Acordo de Processamento de Dados

Celebrado entre:

Harmony Inc. com sede nos Estados Unidos, Delaware, 8 The Green, Ste. R., na Cidade de Dover, Condado de Kent, código postal 19901, representada por Grzegorz Kazulak

doravante denominada "Operador"

e

Empresa, qualquer cliente da Harmony, Inc.

doravante denominada "Controlador"

também referidas coletivamente como as "Partes".

§1. Definições

Os termos utilizados neste Acordo tem os seguintes significados:

1. Harmony - uma plataforma que permite transcrever conversas (de formatos de áudio e vídeo) e unificar e analisar conversas em diferentes plataformas de comunicação, disponível em: Harmony

2. GDPR - Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 relativo a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e a livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO UE L n.o 119, p. 1);

3. Acordo - o presente acordo de processamento de dados;

4. Acordo Principal - um acordo entre o Controlador, que e um usuário da Harmony, e o Operador;

5. Dados Pessoais Sensíveis - terão o significado atribuido aos termos "dados sensíveis", "informações sensíveis", "categorias especiais de dados pessoais" ou termos similares sob a(s) lei(s) de proteção de dados aplicável(is) e incluirao dados pessoais que revelem a origem racial ou etnica, opiniões políticas, convicções religiosas ou filosoficas, filiação sindical, dados geneticos ou dados biometricos para identificar de forma única uma pessoa singular, dados relativos a saúde ou dados relativos a vida sexual ou orientação sexual de uma pessoa singular.

§2. Objeto do Acordo

Nos termos do Acordo, o Controlador confia ao Operador, nos termos do Artigo 28(3) do GDPR, o processamento de dados pessoais na extensão especificada no §3.

§3. Escopo da confiança

1. O objeto da confiança sob o Acordo são quaisquer dados pessoais que o Operador processara em nome do Controlador em conexão com a execução do Acordo Principal, sendo o Administrador o controlador ou o processador dos mesmos nos termos do GDPR.

2. Os dados referidos no paragrafo 1 incluem, em particular, dados que são dados ordinarios - ou seja, dados pessoais de funcionarios, associados do Controlador e pessoas autorizadas pelo Controlador a usar a Harmony e clientes finais - quaisquer indivíduos que contatem ou sejam contatados pelo Controlador usando os serviços, ou cujos dados pessoais sejam de outra forma processados pelo Controlador através dos serviços, sob o Acordo Principal, tais como:

a) Dados de Identidade: incluem nome, sobrenome, nome do meio ou patronimico, título;

b) Dados de Contato: incluem endereço de e-mail, número de telefone;

c) Dados Financeiros: incluem informações sobre transações financeiras, como dados de conta bancaria, informações de cartao de credito e histórico de pagamentos;

d) Dados Biometricos: incluem gravações de voz;

e) Dados Tecnicos: incluem informações coletadas por meios automatizados, como endereços IP, informações de dispositivo, histórico de navegação e cookies;

f) Dados de Emprego: incluem cargo e informações do empregador;

g) Dados de Saúde: incluem dados pessoais sobre a saúde fisica ou mental de um individuo - incluindo o uso de serviços de saúde - revelando informações sobre sua saúde;

h) Preferencias Pessoais: incluem preferências pessoais, interesses e caracteristicas, como preferências de idioma e preferências de marketing;

i) e outros dados resultantes das especificidades dos serviços prestados pelo Operador, que o Controlador utiliza sob o Acordo Principal.

3. O Operador processara todas as categorias de dados pessoais que o Controlador fornecer à Harmony. Uma vez que a acumulação de dados pessoais em nossos servidores ocorre automaticamente durante o uso do serviço, o Operador não tem controle em tempo real sobre como o Controlador categoriza tais informações pessoais.

4. O Controlador não deverá submeter Dados Pessoais Sensíveis ao Operador sem consentimento prévio por escrito do Operador ou com base no Acordo Principal.

§4. Determinação do proposito, natureza e duração da confiança do processamento de dados

1. O processamento de dados pessoais sob o Acordo e confiado com o consentimento e instruções documentadas do Controlador (conforme referido no Artigo 28(3)(a) do GDPR e Artigo 29 do GDPR), com o proposito de o Controlador utilizar os serviços do Operador sob o Acordo Principal, em particular: usar a Harmony, tratar solicitações e reclamações relacionadas ao uso da Harmony.

2. A celebração do Acordo Principal e do Acordo, bem como a seleção dos serviços do Operador pelo Controlador sob o Acordo Principal, serão consideradas pelas Partes como a ordem documentada referida no paragrafo 1.

3. Os Dados confiados pelo Controlador serão processados pelo Operador durante a vigência do Acordo Principal de forma permanente ou ocasional, dependendo da natureza da atividade ou serviço específico realizado sob o Acordo Principal.

4. Dentro de três meses a partir da data de rescisão do Acordo ou recebimento de um pedido documentado de exclusão de dados pessoais do Controlador, o Operador deverá:

a) excluir os dados confiados a ele, de todos os meios de armazenamento, programas e aplicativos, incluindo quaisquer copias dos mesmos, ou

b) anonimizar irreversivelmente os dados cobertos pelo pedido de exclusão,

a menos que a obrigação de continuar a processa-los decorra da lei.

§5. Direitos e obrigações das Partes

1. O Controlador se compromete a que quaisquer dados pessoais confiados ao Operador sob o Acordo serão processados pelo Controlador:

a) em uma das bases legais relevantes estabelecidas no Artigo 6(1) do GDPR, ou

b) em nome de outro controlador, e o Controlador entao assegura ao Operador que:

1) os dados serão processados por seu controlador em uma das bases legais relevantes especificadas no Artigo 6(1) do GDPR;

2) esta autorizado a subcontratar (confiar adicionalmente) o processamento de tais dados pessoais.

2. O Operador se compromete a:

a) nos termos do Artigo 28(3)(e) do GDPR, cooperar com o Controlador, na medida do possível, por meio de medidas técnicas e organizacionais apropriadas, para responder as solicitações dos titulares de dados pessoais no exercício de seus direitos estabelecidos no Capitulo III do GDPR, em particular relativos a informação e comunicação transparente, acesso a dados, obrigação de informação, direito de retificação, exclusão, restrição de processamento, portabilidade de dados e direito de objeção; o Operador terá direito a compensação adicional no caso de tal cooperação com o Controlador;

b) de acordo com o Artigo 28(3)(f) do GDPR, auxiliar o Controlador no cumprimento das obrigações estabelecidas nos Artigos 32-36 do GDPR, em particular a obrigação de garantir a segurança do processamento, de relatar uma violação de dados pessoais a autoridade supervisora, de notificar o titular dos dados sobre uma violação de dados pessoais, de conduzir uma avaliação de impacto na proteção de dados pessoais;

c) nos termos do Artigo 28(3)(g) do GDPR, após a rescisão dos serviços de processamento, dependendo da decisão do Controlador, excluir ou devolver ao Controlador todos os dados pessoais e excluir todas as copias existentes dos mesmos, a menos que disposições obrigatórias de lei exijam o armazenamento de dados pessoais, caso em que se aplicará o §4(4) do Acordo;

d) de acordo com o Artigo 28(3)(h) do GDPR, disponibilizar ao Controlador Todos os insights necessárias para demonstrar conformidade com as obrigações estabelecidas no Artigo 28 do GDPR e permitir que o Controlador ou um auditor autorizado pelo Controlador conduza e contribua para auditorias, incluindo inspeções;

e) informar imediatamente o Controlador se, na opinião do Operador, a ordem emitida a eles constituir uma violação do GDPR ou de outros regulamentos nacionais ou da UE;

f) garantir que todos os processadores a serem usados pelo Operador sejam obrigados a cumprir as mesmas obrigações de proteção de dados que o Operador sob o Acordo.

3. O direito a auditorias referido no paragrafo 2.4 pode ser exercido durante o horario comercial do Operador, ou seja, de segunda a sexta-feira, das 9h as 17h, excluindo feriados, e com aviso prévio mínimo de duas semanas e não deve interferir no trabalho do Operador. Durante a auditoria, o Operador fornecera ao Controlador as informações necessárias para demonstrar conformidade com as obrigações estabelecidas no Artigo 28 do GDPR. As auditorias não devem ser conduzidas com mais frequência do que uma vez por ano civil e não devem durar mais de 3 dias uteis. Todos os custos associados a condução dessas auditorias serão arcados pelo Controlador.

4. Se deficiencias forem encontradas durante auditorias, o Operador concorda em corrigi-las dentro do prazo acordado pelas Partes.

5. O Operador esta autorizado a processar e confiar o processamento de dados pessoais cobertos pelo Acordo para subprocessamento a entidades externas, fora do Espaço Economico Europeu (EEE):

a) o Controlador dara consentimento por e-mail para confiar dados a outras entidades para processamento fora do EEE;

b) no caso de o Operador ser obrigado a transferir dados pessoais sob leis geralmente aplicaveis, o Operador informara o Controlador de tal obrigação antes da transferência, a menos que a lei expressamente proiba o Operador de faze-lo devido a um importante interesse público.

6. Como o Operador transfere dados pessoais para fora do EEE, o Operador deverá cumprir os requisitos específicos estabelecidos no Capitulo V do Regulamento "Transferências de Dados Pessoais para Paises Terceiros ou Organizações Internacionais" e, em particular, deverá garantir que a transferência de dados pessoais ocorra com base em mecanismos legais apropriados, em particular, Decisões de Execução da Comissão, cláusulas contratuais padrão ou outros instrumentos legais similares previstos no GDPR. A lista de cláusulas padrão utilizadas esta anexada como Apendice 1 ao Acordo.

7. O Controlador se compromete, nos termos do Artigo 13(1)(f) do GDPR ou Artigo 14(1)(f) do GDPR, a informar as pessoas cujos dados confiara ao Operador de sua intenção de transferir seus dados pessoais para fora do EEE.

8. De acordo com o Artigo 27(1) do GDPR, o Controlador nomeou um representante no EEE: Agnieszka Pilarska ([email protected], Reja 12/26, 31-216, Cracovia). O Representante esta autorizado pelo Operador a ser contatado - além de ou em vez do Operador - em particular por autoridades supervisoras e titulares de dados, em particular, em relação a todas as questoes relacionadas ao processamento, com o proposito de garantir conformidade com o GDPR.

§6. Relato de incidentes

1. O Operador se compromete, após a descoberta de uma violação de proteção de dados pessoais, a relata-la ao Controlador sem demora injustificada.

2. As informações fornecidas ao Controlador deverão incluir pelo menos:

a) uma descrição da natureza da violação e, se possível, uma indicação da categoria e número aproximado de pessoas cujos dados foram violados, bem como a quantidade/tipo de dados afetados;

b) uma descrição das possiveis consequências da violação;

c) uma descrição das medidas aplicadas ou propostas a serem aplicadas pelo Operador para remediar a violação, incluindo a minimização de seus efeitos negativos.

§7. Uso de subprocessadores

1. O Controlador consente, ou seja, da seu consentimento geral referido no Artigo 28(2) do GDPR, ao uso de outros processadores pelo Operador (ou seja, subprocessadores).

2. O Operador se compromete a informar o Controlador de quaisquer alterações pretendidas em relação a adição ou substituição de subprocessadores, dando assim ao Controlador a oportunidade de se opor a tais alterações. O Operador fornecera informações sobre a alteração por meio de uma mensagem enviada ao Administrador por correio eletronico (e-mail).

3. O Controlador se compromete a expressar as objeções referidas no paragrafo 2, sob pena de nulidade, por escrito ou em forma documental dentro de 7 dias a partir da data de recebimento das informações sobre as alterações mencionadas e fornecendo razoes para elas. As partes concordam que a falta de objeção dentro deste período será considerada como consentimento do Controlador para a alteração do subprocessador. O Controlador se compromete a não se opor as alterações acima sem razoes validas.

4. Se o Controlador se opuser a uma alteração envolvendo a adição ou substituição de subprocessadores de acordo com os paragrafos 2 e 3 acima, pode não ser possível processar os dados para os fins para os quais os dados foram confiados ao Operador. Em tal situação, o Operador terá o direito de rescindir o Acordo sem aviso prévio, e qualquer responsabilidade do Operador por não execução ou execução inadequada do Acordo ou do Acordo Principal causada pela impossibilidade de processar os dados para os fins para os quais os dados foram confiados ao Operador e excluida pelas Partes.

§8. Medidas técnicas e organizacionais declaradas

1. Nos termos do Artigo 28(3)(b) do GDPR, o Operador se compromete a que qualquer pessoa executando o Acordo em seu nome será obrigada a garantir a confidencialidade dos dados pessoais processados aos quais terá acesso e, em particular, que não transferira, divulgara ou compartilhara tais dados com pessoas não autorizadas.

2. Nos termos do Artigo 28(3)(c) do GDPR, o Operador se compromete a aplicar as medidas técnicas e organizacionais exigidas pelo Artigo 32 do GDPR, ou seja, em particular, adequadas ao risco identificado de violação dos direitos ou liberdades dos dados pessoais confiados.

§9. Procedimento de violação de dados. Troca mutua de informações

1. As Partes concordam em notificar-se mutuamente imediatamente sobre possiveis violações de proteção de dados. Na situação de uma suspeita de violação de dados, as Partes concordam em cooperar, de acordo com as disposições do GDPR.

2. As Partes concordam que consultarao sobre a necessidade e conteúdo das notificações de violação de dados a autoridade supervisora.

3. Sempre que as Partes se fornecerem mutuamente informações e declarações sobre os dados processados sob o Acordo, tais informações e declarações serão fornecidas aos endereços de e-mail indicados abaixo:

a) para o Controlador: [endereço de e-mail, número de telefone];

b) para o Operador: [email protected].

§10. Responsabilidade

A responsabilidade total do Operador por não execução ou execução inadequada do Acordo e em qualquer caso limitada a metade da soma das taxas liquidas pagas pelo Controlador com base no Acordo Principal nos últimos 12 meses, anteriores ao evento que deu origem a reivindicação em questao e apenas ao valor do dano real, ou seja, excluindo lucros cessantes (lucrum cessans). Os limites de responsabilidade do Operador indicados no Acordo e no Acordo Principal não se somam. No caso de o Operador ser obrigado a incorrer em responsabilidade sob o Acordo, a reivindicação em questao reduzira o limite de responsabilidade indicado no Acordo Principal.

§11. Disposições finais. Rescisão do Acordo

1. O Acordo e celebrado pela duração do Acordo Principal, ou seja, o Acordo e rescindido sem a necessidade de declarações adicionais, como resultado da rescisão ou expiração do Acordo Principal.

2. O Acordo entra em vigor após a execução do Acordo Principal.

3. A alteração, suplementação ou rescisão do Acordo, sob pena de nulidade, deverá ser por escrito / em forma documental.

4. Em uma situação em que:

a) O Operador, apesar de ser obrigado a remediar as deficiencias identificadas durante a auditoria, não as remediar dentro do prazo acordado pelas Partes, ou processe dados pessoais de maneira inconsistente com o Acordo Principal, ou

b) O Operador processe os dados pessoais confiados em violação do Acordo ou das leis aplicaveis (incluindo o GDPR),

O Controlador pode rescindir o Acordo com efeito imediato sem aviso prévio após a expiração ineficaz de um período adicional de tempo para cessação de violações, estabelecido pelo Controlador, e não inferior a quatorze dias a partir da data de recebimento da notificação.

5. O Operador pode rescindir o Acordo com efeito imediato, sem aviso prévio, se for determinado que o Controlador processa os dados confiados ao Operador de maneira que viole o §5(1) do Acordo, em particular, processando os dados confiados ao Operador sem a base legal especificada no Artigo 6(1) do GDPR.

6. O Apendice 1 ao Acordo - cláusulas contratuais padrão, e parte integrante do Acordo.

7. O Acordo foi salvo em meio eletronico armazenado nos servidores do Operador e enviado ao endereço de e-mail fornecido pelo Controlador em formato PDF / O Acordo foi assinado em duas vias - uma para cada Parte.