Adendo de Processamento de Dados para o EUSA

Este Adendo de Processamento de Dados ("DPA") é incorporado e faz parte dos termos e condições do Acordo de Serviço do Usuário Final ("EUSA") entre a Avetta e o Fornecedor e estabelece os termos, requisitos e condições adicionais nos quais a Avetta obterá, tratará, processará, divulgará, transferirá ou armazenará Dados Pessoais ao fornecer serviços sob o EUSA. Todos os termos em maiúsculas não definidos neste DPA devem ter o significado atribuído a eles no EUSA.

1. Definições e Interpretação.

1.1 Definições.

"Legislação Aplicável de Proteção de Dados" significa as leis e regulamentos aplicáveis ao processamento de Dados Pessoais da respectiva parte em conexão com o EUSA, incluindo, quando aplicável, (i) o Regulamento Geral de Proteção de Dados (UE) 2016/679 do Parlamento Europeu e do Conselho ("GDPR"), conforme alterado e complementado, conforme o caso, pelas leis e regulamentos relevantes dos Estados-Membros da UE nos quais o Fornecedor opera direta ou indiretamente, (ii) a Lei de Proteção de Dados do Reino Unido de 2018 e o Regulamento Geral de Proteção de Dados do Reino Unido ("GDPR do Reino Unido"), (iii) a Lei de Privacidade Australiana de 1988 e Princípios de Privacidade Australianos, (iv) a Lei de Privacidade do Consumidor da Califórnia de 2018, conforme alterada pela Lei de Direitos de Privacidade da Califórnia de 2020, e quaisquer regulamentos ou orientações relacionados (coletivamente, a "CCPA"), (v) a Lei Canadense de Proteção de Informações Pessoais e Documentos Eletrônicos ("PIPEDA") e (vi) quaisquer outras leis, regras, regulamentos, diretrizes e requisitos governamentais internacionais, federais, estaduais, municipais, provinciais, e territoriais de privacidade ou proteção de dados atualmente em vigor e à medida que se tornem efetivos.

“Titular dos Dados” significa um indivíduo que é o sujeito dos Dados Pessoais e a quem ou sobre quem os Dados Pessoais se relacionam ou identificam, direta ou indiretamente.

“Estrutura de Privacidade de Dados” inclui a Estrutura de Privacidade de Dados UE-EUA, a Extensão do Reino Unido para a Estrutura de Privacidade de Dados UE-EUA e a Estrutura de Privacidade de Dados Suíça-EUA, que foram desenvolvidas respectivamente para promover o comércio transatlântico pelo Departamento de Comércio dos EUA e a Comissão Europeia, o Governo do Reino Unido e a Administração Federal Suíça para fornecer às organizações dos EUA mecanismos confiáveis para transferências de Dados Pessoais para os Estados Unidos do EEE, Reino Unido (e Gibraltar) e Suíça, garantindo proteção de dados consistente com as leis da UE, Reino Unido e Suíça.

“EEE” refere-se ao Espaço Econômico Europeu, que é formado por todos os Estados-membros da União Europeia e Islândia, Noruega e Liechtenstein.

“CCPs da UE” significa as cláusulas contratuais padrão da Comissão Europeia para a transferência de dados pessoais da União Europeia para países terceiros, conforme estabelecido no Anexo da Decisão (UE) 2021/914 da Comissão, cuja cópia está disponível em https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en.

“Dados Pessoais” significa qualquer informação que a Avetta processa que (i) identifica ou se relaciona com um indivíduo que pode ser identificado direta ou indiretamente a partir desses dados sozinhos ou em combinação com outras informações em posse ou controle da Avetta, ou (ii) a Legislação de Proteção de Dados Aplicável define como dados pessoais ou informações pessoais protegidas.

“Processamento, processa e processar” significa qualquer atividade que envolva o uso de Dados Pessoais, ou como a Legislação Aplicável de Proteção de Dados pode definir os termos “processamento”, “processa” ou “processar”. Inclui a obtenção, registro ou retenção dos dados, ou a realização de qualquer operação ou conjunto de operações sobre os dados, incluindo a organização, alteração, recuperação, uso, divulgação, apagamento ou destruição dos mesmos. O processamento também inclui a transferência de Dados Pessoais para terceiros.

“Violação de Segurança” significa uma violação de segurança que leve à destruição acidental ou ilegal, perda, alteração, divulgação ou acesso a Dados Pessoais sem autorização.

“Solicitação de Direitos do Titular” significa o exercício por um Titular dos Dados de seus direitos sob a Legislação Aplicável de Proteção de Dados.

“Adendo do Reino Unido” significa o Adendo de Transferência de Dados Internacionais do UK Information Commissioner's Office às Cláusulas Contratuais Padrão da Comissão Europeia, cuja cópia está disponível em https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/international-data-transfer-agre-and-guidance/.

1.2 Os Suplementos são parte integrante deste DPA e terão efeito como se estivessem estabelecidos na íntegra no corpo deste DPA. Qualquer referência a este DPA inclui os Suplementos.

1.3 Uma referência a material escrito inclui e-mail.

1.4 No caso de conflito ou ambiguidade entre qualquer uma das disposições deste DPA e as disposições do EUSA, as disposições deste DPA prevalecerão, e qualquer uma das disposições deste DPA e quaisquer disposições contidas no Documento A, as disposições aplicáveis do Documento A prevalecerão.

2. Funções e Escopo do Processamento.

2.1 Funções das Partes. O Fornecedor e a Avetta reconhecem e concordam que:

(a) A Avetta é um operador de dados na medida que o processamento de Dados Pessoais é realizado em nome e sob a direção do Fornecedor, como o processamento dos Dados Pessoais do Fornecedor (incluindo Dados Pessoais de seu pessoal e Trabalhadores) contidos nos formulários de pré-qualificação/conformidade e quaisquer documentos ou outros Conteúdos do Cliente enviados ao Fornecedor (incluindo por seus Usuários Autorizados) para o Site para ser compartilhado com seus Clientes.

(b) A Avetta é uma controladora de dados na medida que o processamento de Dados Pessoais é para os próprios fins da Avetta em conexão com a prestação dos Serviços Avetta ou para os interesses comerciais legítimos da Avetta, como faturamento, gerenciamento de contas, suporte técnico, prevenção e detecção de ameaças à segurança, desenvolvimento de produtos, usos analíticos e vendas e marketing (por exemplo, envio de boletins informativos aos usuários administradores do Fornecedor).

2.2 Processamento de dados pessoais pelo fornecedor. O Fornecedor reconhece e concorda que:

(a) O Fornecedor será o único responsável pela precisão, qualidade e legalidade dos Dados Pessoais enviados à Avetta e/ou ao Site (pelo Fornecedor ou por seus Titulares dos Dados);

(b) O Fornecedor só deve carregar e enviar para a Avetta e/ou para o Site os Dados Pessoais que foram obtidos dos Titulares dos Dados em conformidade com a Legislação Aplicável de Proteção de Dados;

(c) O Fornecedor deve garantir que o Fornecedor tenha todos os consentimentos e avisos necessários em vigor e tenha cumprido todos os outros requisitos da Legislação Aplicável de Proteção de Dados para permitir a transferência legal de Dados Pessoais (incluindo Dados Sensíveis) para a Avetta e permitir o processamento de Dados Pessoais da Avetta em várias jurisdições de acordo com o EUSA e este DPA;

(d) Quando o consentimento for a base legal para o processamento de Dados Pessoais ou for necessário para o uso dos Serviços Avetta, o Fornecedor deverá, em todos os momentos, disponibilizar e manter (i) um mecanismo para obter tal consentimento dos Titulares dos Dados, e (ii) um mecanismo para os Titulares dos Dados retirarem tal consentimento, em cada caso de acordo com a Legislação de Proteção de Dados Aplicável; e

(e) O uso dos Serviços Avetta pelo Fornecedor não violará os direitos de quaisquer Titulares dos Dados.

2.3 Detalhes do Processamento de dados. O Documento B descreve as categorias gerais de Dados Pessoais, os tipos de Titulares de Dados e outros detalhes do processamento que a Avetta realizará em conexão com a prestação dos Serviços Avetta de acordo com o EUSA.

3. Obrigações da Avetta.

3.1 A Avetta processará Dados Pessoais apenas para os fins específicos da transferência, conforme estabelecido no Suplemento B. A Avetta pode processar Dados Pessoais para outra finalidade (i) quando tiver obtido o consentimento prévio do Titular dos Dados, (ii) quando necessário para o estabelecimento, exercício ou defesa de reivindicações legais no contexto de processos administrativos, regulatórios ou judiciais específicos; ou (iii) quando permitido sob a Legislação de Proteção de Dados Aplicável para uso de Dados Pessoais para fins secundários às finalidades específicas, conforme estabelecido no Suplemento B sem o consentimento do Titular dos Dados. Na medida que a Avetta atua como um operador de dados do Fornecedor, a Avetta processará Dados Pessoais de acordo com as instruções do Fornecedor. As partes concordam que as instruções do Fornecedor deverão estar dentro do escopo do EUSA e o Fornecedor deverá obter o consentimento prévio por escrito da Avetta para quaisquer instruções adicionais. A Avetta notificará imediatamente o Fornecedor se, na opinião da Avetta, tal instrução violar qualquer Legislação Aplicável de Proteção de Dados. Quando aplicável, o Fornecedor será responsável por quaisquer comunicações, notificações, assistência e/ou autorizações que possam ser necessárias em conexão com seus Titulares dos Dados.

3.2 A Avetta, ao considerar a natureza do processamento da Avetta e as informações disponíveis para a Avetta, ajudará na medida do possível o Fornecedor a cumprir as obrigações de conformidade do Fornecedor nos termos da Legislação Aplicável de Proteção de Dados, desde que o Fornecedor cubra todos os custos incorridos pela Avetta em relação ao fornecimento de tal assistência. Tais obrigações de conformidade podem incluir a obrigação de realizar uma avaliação do impacto das operações de processamento na proteção de Dados Pessoais (uma “Avaliação de Impacto da Proteção de Dados”) onde o processamento provavelmente resultará em um alto risco para os direitos e liberdades das pessoas singulares.

4. Empregados da Avetta.

4.1 A Avetta garantirá que todos os empregados que tenham acesso ou estejam envolvidos no processamento de Dados Pessoais (i) tenham realizado treinamento sobre a Legislação Aplicável de Proteção de Dados relacionada ao manuseio de Dados Pessoais e estejam cientes de ambos os deveres da Avetta e os seus deveres e obrigações pessoais nos termos da Legislação Aplicável de Proteção de Dados e deste ATD; e (ii) estejam sob uma obrigação devida de confidencialidade (seja um dever contratual ou estatutário).

4.2 A Avetta tomará medidas razoáveis para garantir a integridade e a confiabilidade de qualquer empregado da Avetta com acesso aos Dados Pessoais.

5. Segurança.

5.1 Considerando a natureza, o escopo, o contexto e os objetivos do processamento, os custos de implementação, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades dos Titulares dos Dados, a Avetta implementou medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao risco, incluindo as medidas de segurança descritas no Anexo II do Suplemento B. A Avetta pode revisar e atualizar o Anexo II periodicamente, desde que tais atualizações não diminuam materialmente a segurança geral dos Serviços Avetta ou dos Dados Pessoais.

5.2 O Fornecedor é responsável por revisar as informações disponibilizadas pela Avetta relacionadas à segurança de dados e fazer uma determinação independente sobre se os Serviços Avetta atendem aos requisitos do Fornecedor e às obrigações legais nos termos da Legislação Aplicável de Proteção de Dados.

6. Violação de Segurança e perda de dados pessoais.

6.1. A Avetta deverá notificar o Fornecedor sem demora, caso tenha conhecimento de qualquer Violação de Segurança, e fornecer assistência na medida do razoável e necessário, para possibilitar ao Fornecedor cumprir com suas obrigações de informar sobre a violação de acordo com e dentro dos prazos estipulados pela Legislação de Proteção de Dados Aplicável. A notificação da Avetta deve ser enviada para o e-mail registrado pelo Fornecedor nos Serviços Avetta e, quando nenhum e-mail for registrado, o Fornecedor reconhece que os meios de notificação ficarão a critério razoável da Avetta e a capacidade da Avetta de notificar em tempo hábil poderá ser impactada negativamente. A Avetta deve, prontamente, tomar medidas razoáveis para conter, investigar e mitigar qualquer Violação de Segurança. Caso o Fornecedor suspeite de qualquer Violação de Segurança, informe imediatamente para infosec@avetta.com.

6.2 Na medida do possível, a Avetta fornecerá ao Fornecedor informações oportunas sobre a Violação de Segurança, incluindo, por exemplo, a natureza e as consequências da Violação de Segurança, as medidas tomadas e/ou propostas pela Avetta para mitigar ou conter a Violação de Segurança, o status da investigação da Avetta, um ponto de contato do qual informações adicionais podem ser obtidas e as categorias e o número aproximado de registros de dados em questão. As comunicações por ou em nome da Avetta com o Fornecedor em conexão com uma Violação de Segurança não devem ser interpretadas como um reconhecimento pela Avetta de qualquer falha ou responsabilidade com relação à Violação de Segurança.

7. Transferências Transfronteiriças de Dados Pessoais; Cláusulas Contratuais Obrigatórias.

7.1 O Fornecedor reconhece e concorda que a Avetta pode transferir, acessar e processar Dados Pessoais em uma base global, conforme necessário para fornecer os Serviços Avetta.

7.2 Quando a Legislação Aplicável de Proteção de Dados tiver prescrito mecanismos específicos para a transferência de Dados Pessoais para a Avetta e/ou cláusulas contratuais para o processamento de Dados Pessoais pela Avetta (coletivamente, "Mecanismos de Transferência"), a Avetta deverá disponibilizar tais Mecanismos de Transferência específicos (na medida que geralmente aceito pela Avetta) no Documento A.

7.3 Se a Legislação Aplicável de Proteção de Dados tiver prescrito requisitos adicionais para as cláusulas de transferência e/ou contrato para o processamento de Dados Pessoais, a Avetta concorda em cooperar razoavelmente com o Fornecedor para a conformidade do Fornecedor com tais requisitos e atualizará os Mecanismos de Transferência no Documento A quando apropriado. O Fornecedor concorda em executar outros documentos e tomar outras medidas que possam ser razoavelmente necessárias para dar efeito legal ao Mecanismo de Transferência adicional ou modificado.

8. (Sub)operadores.

8.1 O Fornecedor concorda que, na medida que a Avetta atua como um operador de dados, a Avetta pode usar suboperadores listados na seção (Sub) operadores da Avetta para o processamento de Dados Pessoais em conexão com a prestação dos Serviços Avetta. Pelo menos 10 dias antes de autorizar qualquer novo suboperador ou substituir qualquer suboperador, a Avetta notificará o Fornecedor sobre as alterações, publicando os novos suboperadores propostos na seção (Sub)operadores da Avetta. É responsabilidade do Fornecedor verificar este site regularmente para obter atualizações. Se o Fornecedor tiver qualquer objeção legítima à nomeação de novo suboperador que se relacione com a conformidade da Avetta com este DPA, a Avetta envidará esforços razoáveis para resolver a objeção do Fornecedor. Se nenhuma resolução puder ser alcançada, a Avetta, a seu próprio critério, não nomeará o novo suboperador ou permitirá que o Fornecedor suspenda ou rescinda o EUSA sem responsabilidade para nenhuma das partes. A Avetta não será obrigada a fazer qualquer reembolso de quaisquer quantias pagas sob o EUSA.

8.2 O Fornecedor reconhece e concorda ainda que, na medida que a Avetta atua como uma controladora de dados, a Avetta pode usar os provedores de serviços adicionais descritos na seção (Sub)operadores da Avetta para os fins estabelecidos.

9. Solicitações sobre direitos dos Titulares dos Dados.

9.1 Cada uma das partes concorda em fornecer a assistência razoavelmente necessária para permitir que a outra parte cumpra quaisquer Solicitações de Direitos de Titulares dos Dados dentro dos prazos impostos pela Legislação Aplicável de Proteção de Dados.

10. Solicitação de Acesso a Dados de Terceiros.

10.1 A Avetta notificará o Fornecedor sobre qualquer solicitação de divulgação dos Dados Pessoais do Fornecedor por um órgão governamental ou regulador ou autoridade de aplicação da lei, a menos que seja proibido por lei ou uma ordem legalmente vinculativa de tal órgão ou agência.

11. Vigência e Rescisão.

11.1 Este DPA entrará em vigor na data de vigência da EUSA ou da primeira provisão de Dados Pessoais para a Avetta, o que ocorrer primeiro, e permanecerá em vigor e efeito enquanto o EUSA permanecer em vigor.

11.2 Qualquer disposição deste DPA que, expressa ou implicitamente, deva entrar ou continuar em vigor após a rescisão do EUSA, a fim de proteger os Dados Pessoais, permanecerá em pleno vigor e efeito.

12. Devolução e Destruição de Dados.

12.1 A pedido do Fornecedor, a Avetta fornecerá ao Fornecedor uma cópia ou acesso aos Dados Pessoais do Fornecedor em sua posse ou controle, no formato padrão da Avetta, se a solicitação for enviada antes do descarte dos Dados Pessoais pela Avetta.

12.2 Após a rescisão do EUSA, a Avetta, dentro de um período razoável, excluirá ou destruirá com segurança os Dados Pessoais do Fornecedor relacionados a este DPA no Site. Este requisito não se aplicará (i) na medida que a retenção dos Dados Pessoais seja para satisfazer quaisquer requisitos legais, regulatórios, fiscais, contábeis ou de relatórios ou seja necessária para o estabelecimento, exercício ou defesa de reivindicações legais se a Avetta acreditar razoavelmente que há uma perspectiva de litígio; e (ii) aos Dados Pessoais em sistemas de backup até que os backups tenham sido substituídos ou eliminados de acordo com a política de backup da Avetta, caso em que a Avetta isolará e protegerá os Dados Pessoais de qualquer processamento adicional, exceto na medida exigida pela lei aplicável até que a exclusão seja possível.

13. Auditoria.

13.1 Mediante solicitação por escrito e sem custo adicional para o Fornecedor, a Avetta dará ao Fornecedor e/ou seu representante terceirizado devidamente qualificado (coletivamente, o "Auditor"), acesso à documentação razoavelmente solicitada que comprove a conformidade da Avetta com suas obrigações sob este DPA na forma das auditorias ou certificações relevantes listadas no Anexo II do Documento B, como ISO/IEC 27001:2022, ISO/IEC 27701:2019, ISO/IEC 27017:2015, ISO/IEC 27018:2019 e ISO/IEC 22301:2019 ("Certificações ISO") e SOC 2 Tipo II. A Avetta também responderá a quaisquer questionários de auditoria enviados pelo Auditor e se reunirá por teleconferência ou pessoalmente (sob custas do Fornecedor) para abordar questões de acompanhamento, desde que (i) tais questionários de auditoria não abordem nenhum tópico ou área já abordado pelas Certificações ISP ou pelo relatório de auditoria SOC 2 Tipo II, e (ii) o Fornecedor não exerça esse direito mais de uma vez por ano, exceto se e quando exigido por instrução de uma autoridade de proteção de dados competente. A Avetta pode exigir que o Auditor assine um contrato de confidencialidade separado com a Avetta antes de qualquer revisão dos relatórios ou uma auditoria da Avetta, e a Avetta pode se opor por escrito a tal Auditor, se, na opinião razoável da Avetta, o Auditor não estiver adequadamente qualificado ou for um concorrente direto da Avetta. Qualquer objeção da Avetta exigirá que o Fornecedor nomeie outro Auditor. Quaisquer despesas incorridas por um Auditor em conexão com qualquer revisão dos relatórios ou auditoria serão arcadas exclusivamente pelo Fornecedor.

14. Geral.

14.1 As partes concordam que este DPA substituirá qualquer adendo de processamento de dados, anexo, documento ou cláusulas contratuais padrão existentes que a Avetta e o Fornecedor possam ter celebrado anteriormente em conexão com os Serviços Avetta. A Avetta pode atualizar este DPA de tempos em tempos (por exemplo, em resposta a quaisquer alterações na Legislação de Proteção de Dados Aplicável, ou como resultado de uma fusão, aquisição, reorganização corporativa ou outra ocorrência semelhante ou o lançamento de novos recursos, funções, produtos ou serviços ou alterações materiais a qualquer um dos Serviços Avetta existentes), desde que, no entanto, nenhuma atualização diminua materialmente a privacidade ou a segurança dos Dados Pessoais. A Avetta publicará a versão atualizada do Adendo de Processamento de Dados para o EUSA ou em um site sucessor designado pela Avetta.

14.2 A responsabilidade da Avetta sob ou em conexão com este DPA, incluindo sob as SCCs da UE, está sujeita às exclusões e limitações de responsabilidade contidas no EUSA. Em nenhuma circunstância a Avetta limita ou exclui sua responsabilidade para com os Titulares dos Dados ou conforme imposto pelas autoridades de proteção de dados competentes.

14.3 Exceto quando e na medida expressamente prevista nas CCPs da UE ou exigida como uma questão da Legislação de Proteção de Dados Aplicável, este ATD não confere nenhum direito a terceiros beneficiários. Ele destina-se apenas ao benefício das partes e seus respectivos sucessores e designados permitidos, não beneficiando nenhuma outra pessoa, assim como nenhuma disposição deste documento pode ser aplicada por nenhuma outra pessoa.

14.4 Este DPA e qualquer ação relacionada a ele serão regidos e interpretados de acordo com as leis especificadas no EUSA, sem dar efeito a quaisquer conflitos de princípios legais. As partes consentem com a jurisdição pessoal e o local nos tribunais especificados no EUSA.

14.5 Se qualquer disposição deste DPA for, por qualquer motivo, considerada inválida ou inaplicável, as outras disposições do DPA permanecerão aplicáveis. Sem limitação à generalidade do acima exposto, o Fornecedor concorda que a Seção 14.2 (Limitação de Responsabilidade) permanecerá em vigor, não obstante a inaplicabilidade de qualquer disposição deste DPA.

SUPLEMENTO A

MECANISMOS DE TRANSFERÊNCIA E CLÁUSULAS CONTRATUAIS OBRIGATÓRIAS

Este Suplemento A fornece os Mecanismos de Transferência aceitos pela Avetta. Um Mecanismo de Transferência não se aplicará e não será incorporado a este DPA se não for aplicável às transferências do Fornecedor para a Avetta. Se um Mecanismo de Transferência listado for, ou se tornar, aplicável nos termos da Legislação Aplicável de Proteção de Dados, ele será considerado assinado pelas partes (se forem necessárias assinaturas) e será incorporado a este DPA.

1. Estrutura de Privacidade de Dados. Para transferências de Dados Pessoais para os Estados Unidos, a Avetta se autocertificou com a Estrutura de Privacidade de Dados UE-EUA, a Extensão do Reino Unido para a Estrutura de Privacidade de Dados UE-EUA e a Estrutura de Privacidade de Dados Suíça-EUA administrada pelo Departamento de Comércio dos EUA. Para saber mais, consulte o Aviso da Estrutura de Privacidade de Dados da Avetta, disponível na Política de Estrutura de Privacidade de Dados.

2. Cláusulas Contratuais Padrão da UE (SCCs da UE). Quando o processamento envolver transferências de Dados Pessoais para fora do EEE para a Avetta, e não houver outra base legítima para a transferência internacional (por exemplo, se a Estrutura de Privacidade de Dados aplicável tiver sido invalidada), tais transferências estarão sujeitas às SCCs da UE, especificamente:

a. Em circunstâncias em que a Avetta atua como controladora de dados, o Módulo Um das SCCs da UE (para transferências de controladora para controladora), complementado pelos termos abaixo, deve se aplicar às transferências de Dados Pessoais entre o Fornecedor e a Avetta:

i. Linguagem opcional na cláusula 7 (cláusula de encaixe) é usada.

ii. A linguagem opcional na cláusula 11(a) (reparação) não é usada.

iii. Para a cláusula 17, a primeira opção é usada, e a legislação aplicável é a legislação da Bélgica.

iv. Para a cláusula 18(b), o fórum selecionado será o tribunal da Bélgica.

b. Em circunstâncias em que o Fornecedor é um controlador de dados e a Avetta é um operador de dados com relação ao processamento, o Módulo Dois das SCCs da UE (para transferências de controlador para operador), complementado pelos termos abaixo, deve se aplicar:

i. Linguagem opcional na cláusula 7 (cláusula de encaixe) é usada.

ii. Para a cláusula 9(a), a opção 2 (autorização geral por escrito) é selecionada e o período especificado é de 10 (dez) dias.

iii. A linguagem opcional na cláusula 11(a) (reparação) não é usada.

iv. Para a cláusula 17, a primeira opção é usada, e a legislação aplicável é a legislação da Bélgica.

v. Para a cláusula 18(b), o fórum selecionado será o tribunal da Bélgica.

c. O Anexo I, o Anexo II e o Anexo III das SCCs da UE serão considerados preenchidos com as informações estabelecidas neste Suplemento B.

3. Adendo do Reino Unido. Quando o processamento envolver transferências de Dados Pessoais para fora do Reino Unido para a Avetta, e não houver outra base legítima para a transferência internacional (por exemplo, se a Estrutura de Privacidade de Dados aplicável tiver sido invalidada), tais transferências estarão sujeitas ao Adendo do Reino Unido, complementado pelos termos abaixo:

a. As partes deste Adendo do Reino Unido serão as partes do DPA.

b. As SCCs da UE que este Adendo do Reino Unido altera devem ser as SCCs da UE aplicáveis referenciadas na Seção 2 deste Documento A, e as Tabelas 1-3 do Adendo do Reino Unido devem ser preenchidas com as informações relevantes em conformidade.

c. Para os fins da Tabela 4 do Adendo do Reino Unido, "Importador" deve ser selecionada.

d. A parte 2 do Adendo do Reino Unido deverá ser: “Parte 2: Cláusulas Obrigatórias do Adendo Aprovado, sendo o modelo do Adendo B.1.0 emitido pela ICO e apresentado ao Parlamento de acordo com s119A da Lei de Proteção de Dados do Reino Unido de 2018 em 2 de fevereiro de 2022, conforme revisado de acordo com a Seção 18 dessas Cláusulas Obrigatórias.”

4. Cláusulas Contratuais Padrão da Suíça. Quando o processamento envolver transferências de Dados Pessoais para fora da Suíça para a Avetta e não houver outra base legítima para a transferência internacional (por exemplo, se a Estrutura de Privacidade de Dados aplicável não for mais um mecanismo de transferência válido), tais transferências estarão sujeitas às CCPs da UE referenciadas na Seção 2 deste Suplemento A, exceto que:

a. O termo "Estado membro" não deve ser interpretado de forma a excluir os Titulares dos Dados na Suíça da possibilidade de processar seus direitos em seu local de residência habitual (Suíça) de acordo com a cláusula 18 (c) destas cláusulas contratuais padrão.

b. Em circunstâncias em que as transferências estão exclusivamente sujeitas à Lei Federal de Proteção de Dados ("FADP"), as referências ao GDPR devem ser entendidas como referências ao FADP.

c. Em circunstâncias em que as transferências estão sujeitas ao FADP e ao GDPR, as referências ao GDPR devem ser entendidas como referências ao FADP, na medida que as transferências estejam sujeitas ao FADP.

5. Cláusulas Contratuais da CCPA. Quando o processamento envolver Dados Pessoais de Residentes da Califórnia, as partes deverão cumprir adicionalmente o seguinte:

a. A Avetta: (i) apenas coletará, usará, reterá ou divulgará Dados Pessoais para os fins permitidos descritos no EUSA e na CCPA e para nenhum outro propósito comercial; (ii) não venderá nenhum Dado Pessoal ou compartilhará quaisquer Dados Pessoais para publicidade comportamental entre contextos; (iii) não coletará, usará, reterá ou divulgará Dados Pessoais fora do relacionamento comercial direto entre a Avetta, exceto conforme necessário para fornecer os Serviços da Avetta; (iv) não combinará Dados Pessoais que a Avetta receba de, ou em nome do Fornecedor, com Dados Pessoais que colete em nome de outra pessoa ou pessoas, exceto para um propósito comercial que não envolva publicidade comportamental entre contextos e seja permitido pela CCPA; e (v) fornecerá pelo menos o mesmo nível de proteção de privacidade que a CCPA exige em relação aos Dados Pessoais. A Avetta certifica que entende essas restrições e as cumprirá.

b. O Fornecedor terá o direito (i) de monitorar a conformidade da Avetta com este DPA e (ii) de tomar medidas razoáveis e apropriadas para garantir que os Dados Pessoais sejam usados pela Avetta de acordo com o CCPA. A Avetta notificará o Fornecedor se a Avetta determinar que não pode mais cumprir nenhuma de suas obrigações nos termos do CCPA e, nesse caso, a Avetta trabalhará com o Fornecedor e tomará todas as medidas razoáveis e apropriadas para interromper e remediar qualquer processamento até o momento em que o processamento esteja em conformidade com o CCPA e este DPA.

SUPLEMENTO B

DETALHES DE PROCESSAMENTO DE DADOS PESSOAIS

Este Documento B faz parte do DPA e descreve o processamento que a Avetta realizará em conexão com a prestação dos Serviços Avetta.

ANEXO I — DESCRIÇÃO DO PROCESSAMENTO DE DADOS

A. LISTAS DAS PARTES

Exportador de dados:

Importador de dados:

B. DESCRIÇÃO DA TRANSFERÊNCIA

C. AUTORIDADE SUPERVISORA COMPETENTE

ANEXO II — MEDIDAS DE SEGURANÇA TÉCNICAS E ORGANIZACIONAIS

Visão geral

Os aplicativos de software como serviço da Avetta ("Serviços SaaS") foram projetados desde o início com a segurança em mente. Os Serviços SaaS Connect e Workforce Management são arquitetados com uma variedade de controles de segurança em cada nível de processamento para lidar com uma série de riscos de segurança. Esses controles de segurança estão sujeitos a alterações; no entanto, eventuais alterações manterão ou melhorarão a postura geral de segurança da plataforma SaaS.

As principais áreas de controles de segurança abaixo se aplicam a cada um dos componentes do Serviços SaaS Avetta Connect e Workforce Management. A Avetta hospeda seus Serviços SaaS em plataformas de provedores de serviços em nuvem, utilizando principalmente a Amazon Web Services (AWS) e, em casos limitados, a Equinix.

Auditorias e certificações

Os Serviços Avetta SaaS são certificados sob ISO/IEC 27001:2022, ISO/IEC 27701:2019, ISO/IEC 27017:2015 e ISO/IEC 27018:2019 e ISO/IEC 22301:2019 ("Certificações ISO"). A Avetta revisa sua conformidade anualmente com as Certificações ISO, realizando uma auditoria de controles internos. Esta auditoria é analisada pelo Comitê de Sistemas de Gerenciamento de Segurança da Informação e Privacidade, composto por membros da equipe de liderança executiva sênior da Avetta.

A Avetta utiliza principalmente regiões globais da AWS para sua computação e armazenamento para os Serviços SaaS. A AWS fornece instalações de primeira linha que obtiveram várias acreditações, incluindo SOC2, ISO/IEC 27001:2022, ISO/IEC 27017:2015, ISO/IEC 27018:2019, ISO/IEC 27701:2019, ISO/IEC 22301:2019, ISO/IEC 20000-1:2018 e ISO/IEC 9001:2015. Essas instalações da AWS também oferecem proteções físicas de última geração, onde os dados dos clientes da Avetta são armazenados e processados. A Avetta usa a Equinix como provedora de serviços em nuvem para o Workforce Management em determinadas regiões. A Equinix também mantém várias certificações, incluindo ISO/IEC 27001, ISO/IEC 22301, ISO/IEC 14001, ISO/IEC 9001, ISO/IEC 50001, SOC 1 Tipo II e SOC 2 Tipo II. Para saber mais sobre os provedores de serviços em nuvem, acesse https://aws.amazon.com/compliance/programs/ e https://www.equinix.com/data-centers/asia-pacific-colocation/australia-colocation/sydney-data-centers/sy6.

Recuperação de Desastres e Continuidade de Negócios

Para garantir que seus Serviços SaaS mantenham um alto grau de disponibilidade do sistema, a Avetta usa um data center da AWS de backup/failover designado que está localizado em uma localização geográfica separada de sua instalação normal de processamento de dados de produção. Isso garante que a Avetta possa responder rapidamente a qualquer evento ambiental, físico ou acidental que possa causar interrupção na instalação de produção da AWS.

A Avetta mantém um plano abrangente de Recuperação de Desastres e Continuidade de Negócios que é revisado pelo menos anualmente. Essa revisão permite que o pessoal da Avetta esteja familiarizado com o planejamento de emergência no caso de um evento que possa causar interrupção das atividades comerciais normais na Avetta.

Os sistemas da Avetta são projetados para aceitar um objetivo de ponto de recuperação (RPO) de menos de 2 horas e um objetivo de tempo de recuperação (RTO) de menos de 4 horas.

A Avetta também realiza um exercício abrangente de avaliação de riscos regularmente para garantir que estratégias e controles adequados de mitigação de riscos tenham sido implementados dentro da organização.

Resposta a incidentes

A Avetta mantém um Plano de Resposta a Incidentes abrangente. Esse plano, juntamente com processos e procedimentos relacionados, permite que o pessoal da Avetta responda rapidamente a uma violação de segurança suspeita ou potencial, ou outra atividade de segurança cibernética suspeita dentro do ambiente Avetta. Uma Equipe de Resposta a Incidentes, liderada por membros qualificados da equipe de segurança, avaliará eventuais situações e traçará planos de ação e estratégias de mitigação apropriados. Se uma suspeita de violação for confirmada, a Equipe de Resposta a Incidentes seguirá os protocolos designados para agir de imediato e responder adequadamente para mitigar a atividade mal-intencionada, além de preservar evidências forenses. Procedimentos de notificação também serão seguidos.

Criptografia

Os Serviços SaaS da Avetta mantêm a criptografia de dados em repouso usando AES-256. Elementos de dados adicionais também são criptografados usando métodos SALT. Esses processos de criptografia mantêm um alto grau de confidencialidade e integridade nos dados dos clientes. A separação lógica de dados é mantida nos Serviços SaaS da Avetta para que nenhum dado do cliente possa ser acessado por fontes não autorizadas. O acesso aos dados do cliente é controlado por meio de gerenciamento exclusivo de identidade e acesso com atributos que não permitem que usuários não autorizados acessem os dados do cliente.

As medidas de segurança da Avetta são implementadas com base em um método de “privilégio mínimo”, o que significa que apenas os empregados que têm uma necessidade comercial têm acesso a dados específicos e funções do sistema.

Controles de segurança de aplicativos web

O acesso do cliente aos Serviços SaaS é apenas através de protocolos de comunicação seguros; TLS 1.2 ou superior. Isso estabelece um canal de criptografia para permitir a transmissão segura dos dados entre um usuário final e os Serviços SaaS. Isso protege os dados do cliente durante os processos de transmissão de dados.

A administração dos Serviços SaaS por um cliente pode provisionar e cancelar o provisionamento para usuários do Serviço SaaS e acesso associado conforme a necessidade. Os Serviços SaaS permitem que os clientes habilitem a autenticação multifatorial para acessar contas de Serviços SaaS utilizando logon único via provedores de identidade SAML 2.0. Os Serviços SaaS permitem que os clientes ativem políticas de senha personalizáveis para ajudar a alinhar as senhas dos Serviços SaaS às políticas corporativas do cliente.

Network

Os Serviços SaaS utilizam controles de rede do provedor de serviços em nuvem para restringir a entrada e saída da rede. Os grupos de segurança são empregados para limitar a atividade de rede a pontos de extremidade autorizados. Os Serviços SaaS usam uma arquitetura de rede multicamadas, incluindo vários ambientes virtuais Cloudflare separados logicamente, aproveitando zonas privadas, DMZs e não confiáveis dentro da infraestrutura de serviços em nuvem.

Monitoramento e auditoria

Os sistemas e redes de Serviços SaaS são monitorados quanto a incidentes de segurança, integridade do sistema, anormalidades de rede, atividade de processamento, níveis de processamento de infraestrutura e disponibilidade. A Avetta usa um sistema de detecção de intrusão para monitorar a atividade da rede que alertará os membros da equipe designados pela Avetta sobre comportamentos suspeitos. Os firewalls de aplicativos web também são implementados para todos os serviços web públicos.

A Avetta registra eventos de aplicativo, rede, usuário e sistema operacional em um servidor syslog local e SIEM. Esses registros são analisados e revisados automaticamente quanto a atividades e ameaças suspeitas. Quaisquer anomalias de atividade do sistema são escaladas com a ação apropriada que pode ser necessária. A Avetta utiliza sistemas de gestão de informações de segurança e eventos que fornecem análise de segurança contínua das redes e do ambiente de segurança da Avetta, onde são registrados alertas, detecção e relatórios de indicadores de atividades possíveis ou suspeitas. Todos esses recursos e atividades são administrados pela equipe de DevOps e Segurança Cibernética da Avetta.

Gestão de vulnerabilidade

A Avetta realiza avaliações periódicas de vulnerabilidade de aplicativos web, análise de código estático e avaliações de segurança externas como parte de seu programa de segurança abrangente para ajudar a garantir que os controles de segurança adequados sejam implementados e operem de forma eficaz. Semestralmente, a Avetta contrata testadores independentes de vulnerabilidade e penetração de terceiros para realizar avaliações de vulnerabilidade de rede e web. O escopo dessas auditorias externas inclui a conformidade com as 10 principais vulnerabilidades da web do projeto de segurança de aplicativos abertos da web (OWASP). Os resultados da avaliação de vulnerabilidade são incorporados ao ciclo de vida de desenvolvimento de software da Avetta (“CVDS”) para remediar as vulnerabilidades identificadas. As vulnerabilidades específicas são priorizadas e inseridas no sistema de tickets internos da Avetta para rastreamento por meio de resolução.

Desenvolvimento de software seguro

A Avetta segue práticas de desenvolvimento seguras dentro do seu CVDS. Essas práticas incluem análise de código estático e ferramentas de análise de código em tempo real. As revisões por pares também são realizadas antes de o código ser implantado no ambiente de produção. Ambientes de processamento separados foram implementados na Avetta: produção, teste/garantia de qualidade e demonstração. Os desenvolvedores de software da Avetta devem fazer treinamento de desenvolvimento seguro anualmente.

Equipe de cibersegurança da Avetta

A Avetta tem uma equipe de segurança dedicada liderada por um Gerente de Cibersegurança com mestrado em Cibersegurança. A equipe aplica regularmente a toda a empresa treinamentos de segurança, exercícios de segurança e exercícios de vulnerabilidade e penetração. Por meio desses esforços, a equipe de Cibersegurança garante que testes, avaliações e avaliações regulares da eficácia das medidas técnicas e organizacionais sejam feitos para garantir a segurança do processamento dos dados dos clientes.

A equipe de Cibersegurança também participa de auditorias e certificações anuais e frequenta seminários de sua área de atuação.

Privacidade e proteção de dados

A Avetta mantém políticas robustas de segurança da informação e proteção de dados pessoais. Essas políticas descrevem os procedimentos que são seguidos para garantir a proteção das informações do cliente. Elas descrevem ainda os controles que são implementados, que incluem retenção de dados, diretrizes de acessibilidade e autenticação, diretrizes de uso aceitável e diretrizes de privacidade de dados.

ANEXO III — LISTA DE SUBOPERADORES

A lista atual de suboperadores da Avetta está disponível em: (Sub)operadores da Avetta.