ACORDO DE PROCESSAMENTO DE DADOS (GLOBAL)

Última modificação: junho de 2023

Este Acordo de Processamento de Dados com seus Apêndices e Anexos (“DPA”) é celebrado entre a Avigilon Corporation, uma subsidiária integral da Motorola Solutions, Inc. (“Motorola Solutions”), em nome dela mesma e de suas afiliadas e subsidiárias (“Avigilon”) e o cliente identificado no bloco de assinatura abaixo (“Cliente”) e reflete o acordo das partes em relação ao processamento de Dados do Cliente, que pode incluir dados pessoais, conforme o acordo do Cliente (o“Acordo”) com um revendedor autorizado da Avigilon. Em caso de conflito entre este DPA, o Acordo ou qualquer Apêndice, Anexo ou outros adendos ao Acordo, este DPA prevalecerá.

Quando o Cliente renova ou compra novos produtos ou serviços, o DPA vigente deve ser aplicado e não deve ser alterado durante a vigência aplicável. Quando a Avigilon disponibilizar novos recursos ou complementos aos produtos ou serviços, a Avigilon poderá fornecer termos adicionais ou fazer atualizações neste DPA, que deverão ser aplicados ao uso dos novos recursos ou complementos pelo Cliente.

1. Definições.

Todos os termos em letras maiúsculas não definidos neste documento devem ter o significado estabelecido no Acordo. Todos os termos em letras minúsculas não definidos neste DPA devem ter o significado definido no Artigo 4 do RGPD, caso sejam definidos neste documento, independentemente de o RGPD ser aplicável ou não.

“Dados da Avigilon” são os dados de propriedade da Avigilon e disponibilizados ao Cliente em conexão com os produtos e serviços.

“Dados de Contato do Cliente” são os dados que a Avigilon coleta do Cliente, de seus Usuários Autorizados e dos usuários finais para fins de contato comercial, incluindo, sem limitação, marketing, publicidade, licenciamento e vendas.

“Dados do Cliente” são os dados, incluindo imagens, textos, vídeos e áudios, que são fornecidos à Avigilon por ou em nome do Cliente e Usuários Autorizados ou usuários finais por meio do uso dos produtos e serviços. Os Dados do Cliente não incluem os Dados de Contato do Cliente, os Dados de Uso do Serviço que não contêm Informações Pessoais nem Dados de Terceiros.

“Leis de Proteção de Dados” são todas as leis e regulamentos de proteção de dados aplicáveis a uma Parte com relação ao Processamento de Dados Pessoais nos termos do Acordo.

“Titular dos Dados” significa a pessoa identificada ou identificável a quem os Dados Pessoais se referem.

“Metadados” são os dados que descrevem outros dados.

“Dados Pessoais” ou “Informações Pessoais” são qualquer informação relativa a uma pessoa física identificada ou identificável transmitida à Avigilon por ou em nome do Cliente e seus Usuários Autorizados ou usuários finais como parte dos Dados do Cliente. É considerada identificável uma pessoa física que possa ser identificada, direta ou indiretamente, por referência a um identificador como um nome, número de identificação, dados de localização, identificador online ou por um ou mais fatores específicos da natureza física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa física.

“Processador” significa uma pessoa física ou jurídica, autoridade pública, agência ou outro órgão que processa dados pessoais em nome do controlador. Os processadores atuam em nome do controlador relevante e sob a sua autoridade. Ao fazê-lo, servem aos interesses do controlador, e não aos seus próprios.

“Processo” ou “Processamento” significa qualquer operação ou conjunto de operações executadas nos Dados Pessoais ou em conjuntos de Dados Pessoais, seja por meios automatizados ou não, como coleta, registro, cópia, análise, armazenamento em cache, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização de outra forma, alinhamento ou combinação, restrição, apagamento ou destruição.

“Incidente de Segurança” significa um incidente que leva à destruição, perda, alteração, divulgação ou acesso acidental ou ilegal aos Dados do Cliente, que podem incluir Dados Pessoais, durante o processamento pela Avigilon.

“Cláusulas Contratuais Padrão” são as cláusulas anexas ao presente documento como Apêndice 1, conforme estabelecido pela decisão da Comissão Europeia (C(2021) 3972 de 4 de junho de 2021) sobre Cláusulas Contratuais Padrão para a transferência de dados pessoais para processadores estabelecidos em países terceiros que não garantem um nível adequado de proteção de dados.

“Subprocessador” significa outros processadores contratados pela Avigilon para Processar Dados do Cliente, que podem incluir Dados Pessoais.

“Dados de Terceiros” são informações obtidas pela Avigilon de fontes disponíveis publicamente ou de provedores de conteúdo de Terceiros e disponibilizadas ao Cliente por meio dos produtos ou serviços.

2. Processamento de Dados do Cliente

2.1 Funções das Partes. As Partes concordam que, no que diz respeito ao Processamento de Dados Pessoais nos termos deste documento, o Cliente é o Controlador e a Avigilon é o Processador, que pode contratar Subprocessadores de acordo com os requisitos da Seção 6 abaixo, intitulada “Subprocessadores”.
2.2 Processamento de Dados do Cliente pela Avigilon. A Avigilon e o Cliente concordam que a Avigilon somente poderá usar e processar Dados do Cliente, incluindo as Informações Pessoais incorporadas nos Dados de Uso do Serviço, de acordo com as instruções documentadas do Cliente para os seguintes propósitos: (i) executar serviços e fornecer produtos no âmbito do Acordo; (ii) analisar Dados do Cliente para operar, manter, gerenciar e melhorar os produtos e serviços da Avigilon; e (iii) criar novos produtos e serviços. O Cliente concorda que seu Acordo (incluindo este DPA), juntamente com a documentação de produtos e serviços e o uso e configuração de recursos dos produtos e serviços pelo Cliente, são instruções documentadas completas e finais do Cliente para a Avigilon para fins de processamento dos Dados do Cliente. Quaisquer instruções adicionais ou alternativas deverão ser acordadas seguindo o processo de alteração do Acordo do Cliente. O Cliente declara e garante à Avigilon que as instruções do Cliente, incluindo a nomeação da Avigilon como processadora ou subprocessadora, foram autorizadas pelo controlador relevante. Os Dados do Cliente podem ser processados pela Avigilon em qualquer uma de suas localidades globais e/ou divulgados aos Subprocessadores. É responsabilidade do Cliente notificar os Usuários Autorizados sobre a coleta e uso de Dados do Cliente pela Avigilon e obter os consentimentos exigidos, fornecer todos os avisos necessários e atender a quaisquer outros requisitos legais aplicáveis com relação a tal coleta e uso. O Cliente declara e garante à Avigilon que cumpriu os termos desta disposição.
Para evitar dúvidas, desde que não identifiquem especificamente o Cliente, os “Dados do Cliente”, conforme definição do Acordo, não incluirão, e a Avigilon estará livre para usar, compartilhar e aproveitar, inteligência sobre ameaças à segurança e dados de mitigação em geral, incluindo, sem limitações, vetores de ameaças e endereços IP de Terceiros, informações de hash de arquivos, domínios, assinaturas e informações de malware, informações obtidas de fontes de Terceiros, indicadores de comprometimento e táticas, técnicas e procedimentos usados, aprendidos ou desenvolvidos no decorrer da prestação dos Serviços.
2.3 Detalhes do Processamento. O objeto do Processamento de Dados Pessoais pela Avigilon nos termos deste documento, a duração do Processamento, as categorias de Titulares dos Dados e os tipos de Dados Pessoais estão estabelecidos no Anexo I deste DPA.
2.4 Divulgação dos Dados Processados. A Avigilon não deve divulgar ou compartilhar quaisquer Dados do Cliente com Terceiros, exceto os Subprocessadores, fornecedores e parceiros de canal da Avigilon, conforme necessário para fornecer os produtos e serviços, a menos que permitido por este Acordo, autorizado pelo Cliente ou exigido por lei. Caso um governo ou autoridade supervisora exija o acesso aos Dados do Cliente, na medida permitida por lei, a Avigilon deverá fornecer ao Cliente um aviso de recebimento da exigência para fornecer tempo suficiente para que o Cliente busque a reparação apropriada na jurisdição relevante. Em todas as circunstâncias, a Avigilon reserva-se o direito de cumprir a lei aplicável. A Avigilon deve garantir que seu pessoal esteja sujeito a um termo de confidencialidade e obrigará contratualmente os subprocessadores a um termo de confidencialidade relacionado ao tratamento dos Dados do Cliente e de quaisquer Dados Pessoais contidos nos Dados de Uso do Serviço.
2.5 Obrigações do Cliente. O Cliente é o único responsável pela conformidade com todas as Leis de Proteção de Dados e pelo estabelecimento e manutenção das próprias políticas e procedimentos para garantir tal conformidade. O Cliente não deve usar os produtos e serviços de maneira que viole as Leis de Proteção de Dados aplicáveis. O Cliente deve ser o único responsável (a) pela legalidade de qualquer transferência de Dados Pessoais para a Avigilon, (b) pela precisão, qualidade e legalidade dos Dados Pessoais fornecidos à Avigilon; (c) pelos meios de aquisição dos Dados Pessoais pelo Cliente e (d) pelo fornecimento dos avisos necessários aos e pela obtenção dos reconhecimentos, autorizações ou consentimentos necessários dos Titulares dos Dados. O Cliente assume total responsabilidade por manter a quantidade de Dados Pessoais fornecidos à Avigilon no mínimo necessário para que a Avigilon atue segundo o Acordo. O Cliente será o único responsável pela conformidade com as Leis de Proteção de Dados aplicáveis. O Cliente confirma ter implementado, em seu ambiente e operações, salvaguardas administrativas, físicas e técnicas que não são menos rigorosas do que as práticas aceitas do setor, além de garantir que todas essas salvaguardas cumpram as leis aplicáveis de proteção de dados e privacidade. O Cliente concorda que a Avigilon não será responsável por qualquer Incidente de Segurança decorrente da violação deste requisito pelo Cliente.
2.6 Indenização do Cliente. O Cliente defenderá, indenizará e isentará a Avigilon e suas subcontratadas, subsidiárias e outras afiliadas de e contra todos e quaisquer danos, perdas, responsabilidades e despesas (incluindo honorários e despesas razoáveis com advogados) decorrentes de qualquer dano real ou ameaçado de uma reivindicação, demanda, ação ou processo judicial de terceiros decorrente ou relacionado ao descumprimento por parte do Cliente de suas obrigações nos termos deste Acordo e/ou das Leis de Proteção de Dados aplicáveis. A Avigilon enviará ao Cliente uma notificação imediata por escrito sobre qualquer reivindicação sujeita à indenização mencionada acima. A Avigilon cooperará, às suas próprias custas, com o Cliente em sua defesa ou resolução da reivindicação.

3. Dados de Uso do Serviço. Exceto no caso de Informações Pessoais, o Cliente entende e concorda que a Avigilon poderá coletar e usar Dados de Uso do Serviço para fins próprios, desde que tais fins estejam em conformidade com as Leis de Proteção de Dados aplicáveis. Os Dados de Uso do Serviço podem ser processados pela Avigilon em qualquer uma de suas localidades globais e/ou divulgados aos Subprocessadores.

4. Dados de Terceiros e Dados da Avigilon. Os Dados da Avigilon e Dados de Terceiros podem ser disponibilizados ao Cliente por meio dos produtos e serviços. O Cliente e seus Usuários Autorizados poderão usar os Dados da Avigilon e os Dados de Terceiros conforme permitido pela Avigilon e pelo provedor de dados de terceiros relevante, conforme descrito no Acordo. A menos que expressamente permitido no Acordo, o Cliente não deve, e garante que seus Usuários Autorizados não vão: (a) usar os Dados da Avigilon ou Dados de Terceiros para qualquer finalidade que não seja a finalidade comercial interna do Cliente nem divulgar os dados a terceiros; (b) aplicar o modelo de “etiqueta branca” a esses dados ou de outra forma deturpar sua fonte ou propriedade nem revender, distribuir, sublicenciar ou explorar comercialmente os dados de qualquer maneira; (c) usar esses dados em violação às leis aplicáveis; (d) usar esses dados para atividades ou propósitos em que a confiança nos dados possa levar à morte, ferimentos ou danos materiais; (e) remover, ocultar, alterar ou falsificar quaisquer marcas ou avisos de direitos de propriedade que indiquem a fonte, origem ou propriedade dos dados; ou (f) modificar esses dados ou combiná-los com Dados do Cliente ou outros dados nem usar os dados para compilar bancos de dados. Podem ser estabelecidas outras restrições adiante no Acordo. Quaisquer direitos concedidos ao Cliente ou aos Usuários Autorizados com relação aos Dados da Avigilon ou Dados de Terceiros serão rescindidos imediatamente após a rescisão ou expiração do Acordo. Além disso, a Avigilon ou o fornecedor de Dados de Terceiros aplicável poderá suspender, alterar ou rescindir o acesso do Cliente ou de qualquer Usuário Autorizado aos Dados da Avigilon ou aos Dados de Terceiros se a Avigilon ou tal fornecedor de Dados de Terceiros acreditar que o uso dos dados pelo Cliente ou pelo Usuário Autorizado viola o Acordo, as leis aplicáveis ou o acordo da Avigilon com o fornecedor de Dados de Terceiros em questão. Após a rescisão dos direitos de uso do Cliente de quaisquer Dados da Avigilon ou Dados de Terceiros, o Cliente e todos os Usuários Autorizados deverão descontinuar imediatamente o uso de tais dados, excluir todas as cópias dos dados e atestar a exclusão à Avigilon. Não obstante qualquer disposição do Acordo em contrário, a Avigilon não tem responsabilidade pelos Dados de Terceiros ou Dados da Avigilon disponíveis por meio dos produtos e serviços. A Avigilon e os fornecedores de Dados de Terceiros se reservam todos os direitos relativos aos Dados da Avigilon e aos Dados de Terceiros não concedidos expressamente no Acordo.

5. Avigilon como Controladora ou Controladora Conjunta. Em todos os casos em que a Avigilon atua como Controladora, ela deve cumprir as disposições aplicáveis da Declaração de Privacidade, localizada em https://www.avigilon.com/about…, e que pode ser atualizada de tempos em tempos. A Avigilon mantém todos os Dados de Contato do Cliente como Controladora e deve Processar tais Dados de Contato do Cliente de acordo com a Declaração de Privacidade da Avigilon. Nos casos em que a Avigilon atua como Controladora Conjunta com o Cliente, as Partes deverão celebrar um adendo separado ao Acordo para alocar as respectivas responsabilidades como controladores conjuntos.

6. Subprocessadores.

6.1 Uso de Subprocessadores. O Cliente concorda que a Avigilon poderá contratar Subprocessadores que, por sua vez, poderão contratar Subprocessadores para Processar Dados Pessoais de acordo com o DPA. O Anexo III contém uma lista atual de Subprocessadores. Ao contratar Subprocessadores, a Avigilon deverá celebrar acordos com os Subprocessadores para vinculá-los a obrigações que sejam substancialmente semelhantes ou mais rigorosas do que aquelas estabelecidas neste DPA.
6.2 Mudanças no subprocessamento. O Cliente consente que a Avigilon contrate Subprocessadores para processar os Dados do Cliente, desde que: (i) a Avigilon aplique esforços razoáveis para fornecer um aviso prévio com pelo menos 10 dias de antecedência sobre a adição ou remoção de qualquer Subprocessador, o que pode ser feito publicando detalhes de tal adição ou remoção em um URL fornecido ao Cliente no Anexo III deste documento; (ii) a Avigilon imponha termos de proteção de dados a qualquer Subprocessador por ela nomeado que protejam os Dados do Cliente de acordo com o mesmo padrão previsto neste Acordo; e (iii) a Avigilon permaneça totalmente responsável por qualquer violação desta cláusula causada por um ato, erro ou omissão dos Subprocessadores. O Cliente poderá se opor à nomeação ou substituição de um Subprocessador pela Avigilon antes de sua nomeação ou substituição, desde que tal objeção seja baseada em motivos razoáveis relacionados à proteção de dados. Nesse caso, a Avigilon nomeará ou substituirá o Subprocessador ou, se isso não for viável a critério da Avigilon, o Cliente poderá rescindir este Acordo e receber um reembolso proporcional de qualquer serviço pré-pago ou taxas de suporte como satisfação total de qualquer reivindicação decorrente de tal rescisão.
6.3 Solicitações de Titulares dos Dados. A Avigilon deverá, na medida permitida por lei, notificar imediatamente o Cliente se receber uma solicitação de um Titular dos Dados, incluindo, sem limitação, solicitações de acesso, correção, alteração, transporte ou exclusão dos Dados Pessoais do Titular dos Dados e, na medida aplicável, a Avigilon deverá fornecer ao Cliente cooperação e assistência comercialmente razoáveis em relação a qualquer reivindicação, notificação ou comunicação de um Titular dos Dados. O Cliente deverá responder e resolver prontamente todas as solicitações de Titulares dos Dados que a Avigilon fornecer ao Cliente. O Cliente será responsável pelos custos razoáveis decorrentes do fornecimento de tal assistência pela Avigilon nos termos desta Seção.

7. Transferências de Dados. A Avigilon concorda que não fará transferências de Dados Pessoais no âmbito deste Acordo de uma jurisdição para outra, a menos que tais transferências sejam realizadas em conformidade com este Acordo e com as Leis de Proteção de Dados aplicáveis. A Avigilon concorda em celebrar acordos apropriados com suas afiliadas e Subprocessadores, que permitirão à Avigilon transferir Dados Pessoais para suas afiliadas e Subprocessadores. A Avigilon concorda em alterar, conforme necessário, seu acordo com o Cliente para permitir a transferência de Dados Pessoais da Avigilon para o Cliente. A Avigilon também concorda em auxiliar o Cliente na celebração de acordos com suas afiliadas e Subprocessadores, se exigido pelas Leis de Proteção de Dados aplicáveis, para as transferências necessárias. Na medida em que a Avigilon seja um Processador ou Subprocessador de Dados Pessoais sujeito ao Regulamento Geral de Proteção de Dados, (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção de pessoas físicas no que diz respeito ao processamento de Dados Pessoais e sobre a livre circulação de tais dados (“RGPD”), e revogando a Diretiva 95/46/CE, as Cláusulas Contratuais Padrão estabelecidas no Apêndice 1 deste documento deverão ser aplicadas às transferências de dados.

8. Segurança. A Avigilon deve implementar medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco representado pelo Processamento de Dados Pessoais, considerando os custos de implementação; a natureza, escopo, contexto e finalidades do Processamento; e o risco de probabilidade e gravidade variáveis de danos aos titulares dos dados. As medidas técnicas e organizacionais apropriadas que devem ser implementadas pela Avigilon estão estabelecidas no Anexo II. Quanto à avaliação do nível apropriado de segurança, a Avigilon deve pesar os riscos apresentados pelo Processamento, especialmente de destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos dados pessoais transmitidos, armazenados ou de outra forma Processados.

9. Notificação de Incidentes de Segurança. Se a Avigilon tomar conhecimento de um Incidente de Segurança, a Avigilon deverá (a) notificar o Cliente sobre o Incidente de Segurança sem demora injustificada, (b) investigar o Incidente de Segurança e informar o Cliente sobre os detalhes do Incidente de Segurança e (c) tomar medidas comercialmente razoáveis para impedir qualquer perda contínua de Dados Pessoais devido ao Incidente de Segurança se estiver sob controle da Avigilon. A notificação de um Incidente de Segurança não deve ser interpretada como um reconhecimento ou admissão pela Avigilon de qualquer falha ou responsabilidade relacionada ao Incidente de Segurança. A Avigilon deverá envidar esforços razoáveis para ajudar o Cliente no cumprimento de suas obrigações sob as Leis de Proteção de Dados para notificar a autoridade supervisora relevante e os Titulares dos Dados sobre tal incidente.

10. Retenção e Exclusão de Dados. Com exceção dos Dados do Cliente anonimizados, conforme descrito acima, ou conforme disposto de outra forma no Acordo, a Avigilon exclui todos os Dados do Cliente noventa (90) dias após a rescisão ou expiração do Acordo, a menos que haja outra exigência para cumprir a lei aplicável. Não obstante o acima exposto, a Avigilon reterá os Dados do Cliente por pelo menos trinta (30) dias após tal rescisão ou expiração para satisfazer uma solicitação do Cliente referente aos Dados do Cliente. Se, dentro desse período de trinta (30) dias, o Cliente solicitar (por escrito), a Avigilon disponibilizará os Dados do Cliente ao Cliente para exportação ou download por um período de trinta (30) dias. A Avigilon não tem obrigação de reter os Dados do Cliente além desse período de trinta (30) dias. Sujeita à Seção 12.4 relativa aos Dados CJIS, a Avigilon poderá excluir quaisquer Dados de Uso do Serviço após a rescisão ou expiração do Acordo.

11. Direitos de Auditoria

11.1 Auditoria Periódica. A Avigilon permitirá que o Cliente realize uma auditoria de escopo e duração razoáveis das operações da Avigilon relevantes para os produtos e serviços adquiridos nos termos do Acordo, às custas exclusivas do Cliente, para verificação da conformidade com as medidas técnicas e organizacionais estabelecidas no Anexo II se (a) a Avigilon notificar o Cliente sobre um Incidente de Segurança que resulte em comprometimento real dos produtos e/ou serviços adquiridos; ou (b) o Cliente acreditar razoavelmente que a Avigilon não está em conformidade com seus compromissos de segurança sob este DPA, ou (c) tal auditoria for legalmente exigida pelas Leis de Proteção de Dados. A auditoria deverá ser conduzida de acordo com os procedimentos estabelecidos na Seção 11.3 deste DPA e não poderá ser realizada mais de uma vez por ano. Se a auditoria exigir acesso a informações confidenciais de outros clientes, fornecedores ou agentes da Avigilon, tal parte da auditoria só poderá ser conduzida por auditores terceirizados independentes do Cliente que sejam reconhecidos nacionalmente, de acordo com os procedimentos estabelecidos na Seção 11.3 deste DPA. A menos que seja exigido pelo RGPD ou de outra forma por lei ou ordem judicial, não será permitido realizar uma auditoria em um data center por motivos de segurança e conformidade. A Avigilon não deve, em nenhuma circunstância, fornecer ao Cliente a capacidade de auditar qualquer parte de seu software, produtos e serviços de forma que possa razoavelmente comprometer a confidencialidade das informações ou Dados Pessoais de terceiros.
11.2 Satisfação da Solicitação de Auditoria. Após o recebimento de uma solicitação de auditoria por escrito, e sujeita ao acordo com o Cliente, a Avigilon poderá satisfazer tal solicitação de auditoria fornecendo ao Cliente uma cópia confidencial da revisão de segurança de terceiros mais recente aplicável da Avigilon, realizada por um auditor terceirizado independente reconhecido nacionalmente, tal como um relatório SOC2 Tipo II ou certificação ISO 27001, para que o Cliente possa verificar justamente a conformidade da Avigilon com os padrões do setor.
11.3 Processo de Auditoria. O Cliente deverá fornecer à Avigilon uma notificação por escrito com pelo menos sessenta (60) dias de antecedência sobre a solicitação para realizar a auditoria descrita na Seção 11.1. Todas as auditorias devem ser realizadas durante o horário comercial normal, em locais aplicáveis ou remotamente, conforme designado pela Avigilon. Os locais de auditoria, se não forem remotos, geralmente serão onde os Dados do Cliente são acessados ou Processados. A auditoria não deve interferir injustificadamente nas operações diárias da Avigilon. A auditoria deverá ser conduzida às custas e despesas exclusivas do Cliente e estará sujeita aos termos das obrigações de confidencialidade estabelecidas no Acordo. Antes do início de tal auditoria, a Avigilon e o Cliente deverão concordar mutuamente sobre o horário e a duração da auditoria. A Avigilon deve cooperar de modo razoável com a auditoria, incluindo fornecer ao auditor nomeado o direito de revisar, mas não copiar, informações ou materiais de segurança da Avigilon, desde que tal auditor tenha assinado um acordo de não divulgação apropriado. A política da Avigilon é compartilhar a metodologia e informações de resumo executivo, e não dados brutos ou informações privadas. O Cliente deverá, gratuitamente, fornecer à Avigilon uma cópia completa de todas as conclusões da auditoria.

12. Termos Específicos do Regulamento

RGPD. Na medida em que a Avigilon seja um Processador ou Subprocessador de Dados Pessoais sujeito ao RGPD (conforme definido na Seção 7 deste documento), as Cláusulas Contratuais Padrão estabelecidas no Apêndice 1 deste documento deverão ser aplicadas.

13. Contato da Avigilon. Se o Cliente acreditar que a Avigilon não está cumprindo suas obrigações de privacidade ou segurança aqui descritas, o Cliente deverá entrar em contato com o Diretor de Proteção de Dados da Motorola em Motorola Solutions, Inc., 500 W. Monroe St., Chicago, IL USA 60661 – 3618 ou pelo e‑mail privacy1@motorolasolutions.com.

Apêndice 1

CLÁUSULAS CONTRATUAIS PADRÃO

SEÇÃO I

Cláusula 1

Finalidade e escopo

(a) O objetivo destas cláusulas contratuais padrão é garantir o cumprimento dos requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção de pessoas físicas no que diz respeito ao processamento de Dados Pessoais e sobre a livre circulação de tais dados (Regulamento Geral de Proteção de Dados) para a transferência de dados pessoais a um país terceiro.

(b) As Partes:

(i) A(s) pessoa(s) física(s) ou jurídica(s), autoridade(s) pública(s), agência(s) ou outro(s) órgão(ãos) (doravante denominados “entidades”) transferindo os dados pessoais, conforme listado no Anexo I.A (individualmente denominados “exportador de dados”), e
(ii) a(s) entidade(s) em um país terceiro que recebe os dados pessoais do exportador de dados, direta ou indiretamente por meio de outra entidade também Parte destas Cláusulas, conforme listado no Anexo I.A (individualmente denominados “importador de dados”) concordaram com estas cláusulas contratuais padrão (doravante denominadas “Cláusulas”).

(d) O Apêndice a essas Cláusulas contendo os Anexos referidos é parte integrante das Cláusulas.

Cláusula 2

Efeito e invariabilidade das Cláusulas

(a) As cláusulas estabelecem salvaguardas adequadas, incluindo direitos executáveis do titular dos dados e recursos legais eficazes, nos termos do artigo 46(1) e do artigo 46(2)(c) do Regulamento (UE) 2016/679 e, no que diz respeito às transferências de dados de controladores para processadores e/ou de processadores para processadores, as cláusulas contratuais padrão nos termos do artigo 28(7) do Regulamento (UE) 2016/679, desde que não sejam modificadas, exceto para selecionar o(s) Módulo(s) apropriado(s) ou para adicionar ou atualizar informações no Apêndice. Isso não impede que as Partes incluam as cláusulas contratuais padrão previstas nestas Cláusulas em um contrato mais amplo e/ou adicionem outras cláusulas ou salvaguardas, desde que não contrariem, direta ou indiretamente, estas Cláusulas nem prejudiquem os direitos ou liberdades fundamentais dos titulares dos dados.

(b) Estas cláusulas não prejudicam as obrigações a que o exportador de dados está sujeito por força do Regulamento (UE) 2016/679.

Cláusula 3

Terceiros beneficiários

(a) Os titulares dos dados poderão invocar e fazer cumprir estas Cláusulas, como terceiros beneficiários, contra o exportador de dados e/ou importador de dados, com as seguintes exceções:

(i) Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
(ii) Cláusula 8 – Módulo Um: Cláusula 8.5 (e) e Cláusula 8.9 (b); Módulo Dois: Cláusula 8.1(b), 8.9(a), (c), (d) e (e); Módulo Três: Cláusula 8.1(a), (c) e (d) e Cláusula 8.9(a), (c), (d), (e), (f) e (g); Módulo Quatro: Cláusula 8.1 (b) e Cláusula 8.3 (b);
(iii) Cláusula 9 – Módulo Dois: Cláusula 9(a), (c), (d) e (e); Módulo Três: Cláusula 9(a), (c), (d) e (e);
(iv) Cláusula 12 – Módulo Primeiro: Cláusula 12(a) e (d); Módulos Dois e Três: Cláusula 12(a), (d) e (f);
(v) Cláusula 13;
(vi) Cláusula 15.1(c), (d) e (e);
(vii) Cláusula 16(e);
(viii) Cláusula 18 – Módulos Um, Dois e Três: Cláusula 18(a) e (b); Módulo Quatro: Cláusula 18.

(b) O Parágrafo (a) não prejudica os direitos dos titulares dos dados no âmbito do Regulamento (UE) 2016/679.

Cláusula 4

Interpretação

(a) Quando estas Cláusulas utilizarem termos definidos no Regulamento (UE) 2016/679, os termos terão o mesmo significado que nesse Regulamento.

(b) Estas Cláusulas serão lidas e interpretadas à luz do disposto no Regulamento (UE) 2016/679.

(c) Estas cláusulas não devem ser interpretadas de forma que entre em conflito com os direitos e obrigações previstos no Regulamento (UE) 2016/679.

Cláusula 5

Hierarquia

Em caso de contradição entre estas Cláusulas e as disposições dos acordos relacionados entre as Partes, existentes no momento em que estas Cláusulas forem acordadas ou celebradas posteriormente, estas Cláusulas prevalecerão.

Cláusula 6

Descrição das transferências

Os detalhes das transferências e, em particular, as categorias de dados pessoais que são transferidos e as finalidades para as quais são transferidos, são especificados no Anexo I.B.

Cláusula 7 – Opcional

Cláusula de inclusão de partícipe

(a) Uma entidade que não seja Parte destas Cláusulas poderá, com o acordo das Partes, aderir a estas Cláusulas a qualquer momento, seja como exportador ou importador de dados, mediante o preenchimento do Apêndice e assinatura do Anexo I.A.

(b) Depois de preencher o Apêndice e assinar o Anexo I.A, a entidade aderente se tornará Parte destas Cláusulas e terá os direitos e obrigações de um exportador ou importador de dados, de acordo com sua designação no Anexo I.A.

(c) A entidade aderente não terá os direitos ou as obrigações vinculados a estas Cláusulas referentes ao período anterior a se tornar Parte.

SEÇÃO II – OBRIGAÇÕES DAS PARTES

Cláusula 8

Salvaguardas de proteção de dados

O exportador de dados garante que envidou esforços razoáveis para determinar que o importador de dados é capaz, por meio da implementação de medidas técnicas e organizacionais apropriadas, de cumprir as suas obrigações sob estas Cláusulas.

8.1 Instruções

(a) O importador de dados processará os dados pessoais apenas com base nas instruções documentadas do exportador de dados. O exportador de dados pode dar tais instruções durante a vigência do contrato.

(b) O importador de dados informará imediatamente o exportador de dados se não for capaz de seguir essas instruções.

8.2 Limitação da finalidade

O importador de dados processará os dados pessoais apenas para as finalidades específicas da transferência, conforme estabelecido no Anexo I.B, a menos que receba instruções adicionais do exportador de dados.

8.3 Transparência

Mediante solicitação, o exportador de dados deverá disponibilizar gratuitamente ao titular dos dados uma cópia destas Cláusulas, incluindo o Apêndice preenchido pelas Partes. Na medida necessária para proteger segredos comerciais ou outras informações confidenciais, incluindo as medidas descritas no Anexo II e dados pessoais, o exportador de dados poderá ocultar parte do texto do Apêndice a estas Cláusulas antes de compartilhar uma cópia, mas deverá fornecer um resumo significativo com base no qual o titular dos dados seja capaz de compreender o conteúdo ou exercer seus direitos. Mediante solicitação, as Partes deverão fornecer ao titular dos dados os motivos das ocultações, na medida do possível, sem revelar as informações ocultadas. Esta cláusula não prejudica as obrigações do exportador de dados nos termos dos artigos 13 e 14 do Regulamento (UE) 2016/679.

8.4 Precisão

Se o importador de dados tomar conhecimento de que os dados pessoais recebidos são imprecisos ou estão desatualizados, deverá informar o exportador de dados sem demora injustificada. Nesse caso, o importador de dados cooperará com o exportador de dados para apagar ou retificar os dados.

8.5 Duração do processamento e apagamento ou devolução de dados

O processamento pelo importador de dados ocorrerá somente durante o período especificado no Anexo I.B. Após o término da prestação dos serviços de processamento, o importador de dados deverá, à escolha do exportador de dados, excluir todos os dados pessoais processados em nome do exportador de dados e certificar ao exportador de dados que o fez, ou devolver para o exportador de dados todos os dados pessoais processados em seu nome e excluir as cópias existentes. Até que os dados sejam apagados ou devolvidos, o importador de dados continuará assegurando o cumprimento destas Cláusulas. Caso a legislação local aplicável ao importador de dados proíba a devolução ou exclusão dos dados pessoais, o importador de dados garante que continuará a cumprir estas Cláusulas e só processará os dados na medida e pelo tempo exigido pela legislação local. Isso não prejudica a Cláusula 14, em particular a exigência de o importador de dados, nos termos da Cláusula 14(e), notificar o exportador de dados durante a vigência do contrato se tiver motivos para acreditar que está ou ficou sujeito a leis ou práticas que não estão em conformidade com os requisitos da Cláusula 14(a).

8.6 Segurança do processamento

(a) O importador de dados e, durante a transmissão, também o exportador de dados, devem implementar medidas técnicas e organizacionais adequadas para garantir a segurança dos dados, incluindo proteção contra uma violação de segurança que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a esses dados (doravante denominada “violação dos dados pessoais”). Ao avaliar o nível adequado de segurança, as Partes devem considerar as tecnologias de última geração, os custos de implementação, a natureza, o escopo, o contexto, a(s) finalidade(s) e os riscos do processamento para os titulares dos dados. As Partes devem considerar especialmente os recursos de criptografia e pseudonimização, inclusive durante a transmissão, sempre que a finalidade do processamento possa ser cumprida dessa forma. Em caso de pseudonimização, as informações adicionais para atribuir os dados pessoais a um titular de dados específico devem permanecer, sempre que possível, sob o controle exclusivo do exportador de dados. Em conformidade com suas obrigações nos termos deste parágrafo, o importador de dados deve implementar pelo menos as medidas técnicas e organizacionais especificadas no Anexo II. O importador de dados deve realizar verificações regulares para garantir que estas medidas continuam a proporcionar um nível de segurança adequado.

(b) O importador de dados deve conceder o acesso aos dados pessoais ao seu pessoal apenas na medida estritamente necessária para a implementação, gestão e monitoramento do contrato. E deve garantir que as pessoas autorizadas a processar os dados pessoais tenham se comprometido com a confidencialidade ou estejam sujeitas a uma obrigação legal de confidencialidade adequada.

(c) No caso de uma violação de dados pessoais relativa aos dados pessoais processados pelo importador de dados nos termos destas Cláusulas, o importador de dados deverá tomar medidas apropriadas para resolver a violação, incluindo medidas para mitigar seus efeitos adversos. O importador de dados também deve notificar o exportador de dados sem demora injustificada após tomar conhecimento da violação. Essa notificação deve conter os dados de um ponto de contato que possa fornecer mais informações, uma descrição da natureza da violação (incluindo, sempre que possível, categorias e número aproximado de titulares de dados e registos de dados pessoais envolvidos), as consequências prováveis e a medidas tomadas ou propostas para resolver a violação, incluindo, quando apropriado, medidas para mitigar os possíveis efeitos adversos. Quando, e na medida em que, não for possível fornecer todas as informações ao mesmo tempo, a notificação inicial deverá conter as informações então disponíveis, e as informações adicionais devem, à medida que estiverem disponíveis, ser fornecidas posteriormente sem demora injustificada.

(d) O importador de dados deve cooperar e auxiliar o exportador de dados para permitir que o exportador de dados cumpra as suas obrigações nos termos do Regulamento (UE) 2016/679, em particular notificar a autoridade supervisora competente e os titulares dos dados afetados, tendo em conta a natureza do processamento e as informações disponíveis para o importador de dados.

8.7 Dados confidenciais

Quando a transferência envolver dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical e dados genéticos ou biométricos para fins de identificação inequívoca de uma pessoa física, dados relativos à saúde ou à vida ou orientação sexual de uma pessoa ou dados relativos a condenações criminais e infrações (doravante denominados “dados confidenciais”), o importador de dados deverá aplicar as restrições específicas e/ou salvaguardas adicionais descritas no Anexo I.B.

8.8 Transferências posteriores

O importador de dados divulgará os dados pessoais a um Terceiro apenas com base nas instruções documentadas do exportador de dados. Além disso, os dados só podem ser divulgados a Terceiros localizados fora da União Europeia (4) (no mesmo país do importador de dados ou em um país terceiro, doravante denominado “transferência posterior”) se o Terceiro estiver ou concordar em ficar vinculado a estas Cláusulas, nos termos do Módulo apropriado, ou se:

(a) a transferência posterior for para um país que se beneficia de uma decisão de adequação nos termos do artigo 45 do Regulamento (UE) 2016/679, que abrange a transferência posterior;

(b) o Terceiro garantir de outra forma as salvaguardas adequadas nos termos dos artigos 46 ou 47 do Regulamento (UE) 2016/679 com relação ao processamento em questão;

(c) a transferência posterior for necessária para o estabelecimento, exercício ou defesa de ações judiciais no contexto de processos administrativos, regulamentares ou judiciais específicos; ou

(d) a transferência posterior for necessária para proteger os interesses vitais do titular dos dados ou de outra pessoa física.

Qualquer transferência posterior está sujeita ao cumprimento por parte do importador de dados de todas as outras salvaguardas previstas nestas Cláusulas, em particular a limitação da finalidade.

8.9 Documentação e conformidade

(a) O importador de dados deverá responder pronta e adequadamente às consultas do exportador de dados relacionadas ao processamento no âmbito destas Cláusulas.

(b) As Partes devem ser capazes de demonstrar o cumprimento destas Cláusulas. Em particular, o importador de dados deve manter uma documentação adequada das atividades de processamento realizadas em nome do exportador de dados.

(c) O importador de dados deve disponibilizar ao exportador de dados todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas nestas Cláusulas e, a pedido do exportador de dados, permitir e contribuir com auditorias das atividades de processamento abrangidas por estas Cláusulas, em intervalos razoáveis ou em caso de indícios de não conformidade. Ao decidir sobre uma revisão ou auditoria, o exportador de dados pode levar em conta as certificações relevantes mantidas pelo importador de dados.

(d) O exportador de dados pode optar por realizar a auditoria sozinho ou contratar um auditor independente. As auditorias podem incluir inspeções nas dependências ou instalações físicas do importador de dados e devem, conforme apropriado, ser realizadas mediante um aviso com antecedência razoável.

(e) As Partes devem disponibilizar as informações referidas nos parágrafos (b) e (c), incluindo os resultados de auditorias, à autoridade supervisora competente, mediante solicitação.

Cláusula 9

Uso de subprocessadores

(a) OPÇÃO 1: AUTORIZAÇÃO PRÉVIA ESPECÍFICA – Para as atividades de processamento realizadas em nome do exportador de dados sob estas Cláusulas, o importador de dados não deve subcontratar um subprocessador sem a autorização prévia específica por escrito do exportador de dados. O importador de dados deve enviar a solicitação de autorização específica pelo menos [especificar o período] antes da contratação do subprocessador, juntamente com as informações necessárias para permitir que o exportador de dados decida sobre a autorização. A lista de subprocessadores já autorizados pelo exportador de dados encontra-se no Anexo III. As Partes devem manter o Anexo III atualizado.

OPÇÃO 2: AUTORIZAÇÃO GERAL POR ESCRITO – O importador de dados tem a autorização geral do exportador de dados para contratar subprocessador(es) de uma lista acordada. O importador de dados deve informar especificamente o exportador de dados por escrito sobre quaisquer alterações pretendidas nessa lista por meio da adição ou substituição de subprocessadores com pelo menos [especificar o período] de antecedência, oferecendo ao exportador de dados tempo suficiente para poder se opor a tais alterações antes da contratação do(s) subprocessador(es). O importador de dados deve fornecer ao exportador de dados as informações necessárias para permitir que o exportador de dados exerça o seu direito de oposição.

(b) Caso o importador de dados contrate um subprocessador para realizar atividades de processamento específicas em nome do exportador de dados, ele deverá fazê-lo por meio de um contrato por escrito que preveja, essencialmente, as mesmas obrigações de proteção de dados que vinculam o importador de dados sob estas Cláusulas, inclusive quanto aos direitos de terceiros beneficiários dos titulares de dados. (8) As Partes concordam que, ao cumprir esta Cláusula, o importador de dados cumpre as suas obrigações nos termos da Cláusula 8.8. O importador de dados deve garantir que o subprocessador cumpra as obrigações às quais o importador de dados está sujeito de acordo com estas Cláusulas.

(c) O importador de dados deverá fornecer ao exportador de dados, mediante solicitação, uma cópia do contrato do subprocessador e quaisquer alterações subsequentes. Na medida necessária para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o importador de dados poderá ocultar o texto do acordo antes de compartilhar uma cópia.

(d) O importador de dados permanecerá totalmente responsável perante o exportador de dados pelo cumprimento das obrigações do subprocessador nos termos do contrato com o importador de dados. O importador de dados deverá notificar o exportador de dados sobre qualquer falha por parte do subprocessador no cumprimento de suas obrigações nos termos desse contrato.

(e) O importador de dados deverá acordar com o subprocessador uma cláusula de terceiro beneficiário pela qual, caso o importador de dados desapareça, deixe de existir legalmente ou se torne insolvente, o exportador de dados terá o direito de rescindir o contrato do subprocessador e instruir o subprocessador a apagar ou devolver os dados pessoais.

Cláusula 10

Direitos do titular dos dados

(a) O importador de dados notificará imediatamente o exportador de dados sobre qualquer solicitação recebida de um titular de dados. E não deverá responder a essa solicitação, a menos que tenha sido autorizado a fazê-lo pelo exportador de dados.

(b) O importador de dados auxiliará o exportador de dados no cumprimento das suas obrigações de resposta às solicitações dos titulares dos dados para o exercício dos seus direitos no âmbito do Regulamento (UE) 2016/679. A este respeito, as Partes devem estabelecer no Anexo II as medidas técnicas e organizacionais adequadas, tendo em conta a natureza do processamento, pelas quais a assistência será prestada, bem como o escopo e a extensão da assistência necessária.

(c) No cumprimento das suas obrigações nos termos dos parágrafos (a) e (b), o importador de dados deverá cumprir as instruções do exportador de dados.

Cláusula 11

Reparação

(a) O importador de dados deve informar os titulares dos dados, num formato transparente e facilmente acessível, por meio de notificação individual ou no seu site, sobre um ponto de contato autorizado a tratar reclamações. E deve tratar prontamente quaisquer reclamações recebidas de um titular de dados.

[OPÇÃO: o importador de dados concorda que os titulares dos dados também podem apresentar uma reclamação a um organismo independente de resolução de litígios, sem custos para o titular dos dados. E informará os titulares dos dados, na forma estabelecida no parágrafo (a), sobre esse mecanismo de reparação, elucidando que eles não são obrigados a utilizá-lo ou a seguir uma sequência específica ao buscar a reparação.]

(b) Em caso de litígio entre um titular de dados e uma das Partes quanto ao cumprimento destas Cláusulas, essa Parte envidará os seus melhores esforços para resolver a questão de forma amigável e oportuna. As Partes devem manter-se mutuamente informadas sobre tais litígios e, se for caso, cooperarão com a resolução.

(c) Quando o titular dos dados invocar um direito de terceiro beneficiário nos termos da Cláusula 3, o importador de dados aceitará a decisão do titular dos dados de:

(i) apresentar uma reclamação à autoridade supervisora do Estado-Membro da sua residência habitual ou local de trabalho ou à autoridade supervisora competente nos termos da Cláusula 13;
(ii) encaminhar o litígio aos tribunais competentes na acepção da Cláusula 18.

(d) As Partes aceitam que o titular dos dados pode ser representado por um órgão, organização ou associação sem fins lucrativos, nas condições estabelecidas no Artigo 80(1) do Regulamento (UE) 2016/679.

(e) O importador de dados deverá respeitar uma decisão que seja vinculativa nos termos da legislação aplicável da UE ou do Estado-Membro.

(f) O importador de dados concorda que a escolha feita pelo titular dos dados não prejudicará seus direitos materiais e processuais de buscar recursos de acordo com as leis aplicáveis.

Cláusula 12

Responsabilidade

(a) Cada Parte será responsável perante a(s) outra(s) Parte(s) pelos danos causados à(s) outra(s) Parte(s) por violações destas Cláusulas.

(b) O importador de dados será responsável perante o titular dos dados, e o titular dos dados terá direito a receber compensação por quaisquer danos materiais ou imateriais que o importador de dados ou seu subprocessador cause ao titular dos dados ao violar os direitos de terceiros beneficiários sob estas Cláusulas.

(c) Não obstante o parágrafo (b), o exportador de dados será responsável perante o titular dos dados, e o titular dos dados terá direito a receber compensação por quaisquer danos materiais ou imateriais que o exportador ou importador de dados (ou seu subprocessador) cause ao titular dos dados ao violar os direitos de terceiros beneficiários sob estas Cláusulas. Isso não prejudica a responsabilidade do exportador de dados e, caso o exportador de dados seja um processador atuando em nome de um controlador, a responsabilidade do controlador nos termos do Regulamento (UE) 2016/679 ou do Regulamento (UE) 2018/1725, conforme aplicável.

(d) As Partes concordam que, se o exportador de dados for responsabilizado nos termos do parágrafo (c) por danos causados pelo importador de dados (ou seu subprocessador), ele terá o direito de reivindicar do importador de dados a parcela da compensação correspondente à responsabilidade do importador de dados pelos danos.

(e) Quando mais de uma Parte for responsável por qualquer dano causado ao titular dos dados como resultado de uma violação destas Cláusulas, todas as Partes serão solidariamente responsáveis, e o titular dos dados terá o direito de ingressar com uma ação judicial contra qualquer uma dessas Partes.

(f) As Partes concordam que, se uma Parte for responsabilizada nos termos do parágrafo (e), ela terá o direito de reivindicar de volta da(s) outra(s) Parte(s) a parcela da compensação correspondente à responsabilidade de cada Parte pelos danos.

(g) O importador de dados não pode invocar a condução de um subprocessador para evitar a própria responsabilidade.

Cláusula 13

Supervisão

(a) [Caso o exportador de dados esteja estabelecido em um Estado-Membro da UE:] A autoridade supervisora responsável por garantir a conformidade do exportador de dados com o Regulamento (UE) 2016/679 sobre transferências de dados, conforme indicado no Anexo I.C, deve atuar como autoridade supervisora competente.

[Caso o exportador de dados não esteja estabelecido em um Estado-Membro da UE, mas esteja no âmbito de aplicação territorial do Regulamento (UE) 2016/679, em conformidade com o seu artigo 3(2), sem nomear um representante nos termos do artigo 27(2) do Regulamento (UE) 2016/679:] A autoridade supervisora de um dos Estados-Membros onde estão localizados os titulares cujos dados pessoais são transferidos nos termos destas Cláusulas para a oferta de bens ou serviços que lhes são oferecidos, ou cujos comportamentos são monitorados, conforme indicado no Anexo I.C, deve atuar como a autoridade supervisora competente.

(b) O importador de dados concorda em submeter-se à jurisdição e cooperar com a autoridade supervisora competente em quaisquer procedimentos destinados a garantir o cumprimento destas Cláusulas. Em particular, o importador de dados concorda em responder a consultas, submeter-se a auditorias e cumprir as medidas adotadas pela autoridade supervisora, incluindo medidas corretivas e compensatórias. E deve fornecer à autoridade supervisora uma confirmação por escrito de que as medidas necessárias foram tomadas.

SEÇÃO III – LEIS E OBRIGAÇÕES LOCAIS EM CASO DE ACESSO POR AUTORIDADES PÚBLICAS

Cláusula 14

Leis e práticas locais que afetam o cumprimento das Cláusulas

(a) As Partes garantem que não têm motivos para acreditar que as leis e práticas do país terceiro de destino aplicáveis ao processamento de dados pessoais pelo importador de dados, incluindo quaisquer requisitos de divulgação de dados pessoais ou medidas que autorizem o acesso por parte do público autoridades, impedem o importador de dados de cumprir suas obrigações sob estas Cláusulas. Isso baseia-se no entendimento de que as leis e práticas que respeitam a essência dos direitos e liberdades fundamentais e não excedem o que é necessário e adequado em uma sociedade democrática para salvaguardar um dos objetivos listados no Artigo 23(1) do Regulamento (UE ) 2016/679 não estão em contradição com estas Cláusulas.

(b) As Partes declaram que, ao fornecer a garantia prevista no parágrafo (a), levaram em devida conta especialmente os seguintes elementos:

(i) as circunstâncias específicas da transferência, incluindo a extensão da cadeia de processamento, o número de agentes envolvidos e os canais de transmissão utilizados; transferências futuras pretendidas; o tipo de destinatário; a finalidade do processamento; as categorias e formatos dos dados pessoais transferidos; o setor econômico em que ocorre a transferência; o local de armazenamento dos dados transferidos;
(ii) as leis e práticas do país terceiro de destino, incluindo aquelas que exigem a divulgação de dados às autoridades públicas ou que autorizam o acesso por essas autoridades, relevantes à luz das circunstâncias específicas da transferência, bem como as limitações e salvaguardas aplicáveis;
(iii) quaisquer salvaguardas contratuais, técnicas ou organizacionais relevantes implementadas para complementar as salvaguardas previstas nestas Cláusulas, incluindo medidas aplicadas durante a transmissão e ao processamento dos dados pessoais no país de destino.

(c) O importador de dados garante que, ao realizar a avaliação nos termos do parágrafo (b), fez todos os esforços para fornecer ao exportador de dados informações relevantes e concorda que continuará a cooperar com o exportador de dados para garantir o cumprimento destas Cláusulas.

(d) As Partes concordam em documentar a avaliação nos termos do parágrafo (b) e disponibilizá-la à autoridade supervisora competente, mediante solicitação.

(e) O importador de dados concorda em notificar prontamente o exportador de dados se, após ter concordado com estas Cláusulas e durante a vigência do contrato, tiver motivos para acreditar que está ou ficou sujeito a leis ou práticas não alinhadas aos requisitos previstos no parágrafo (a), inclusive após uma alteração na legislação do país terceiro ou uma medida (como um pedido de divulgação) que indique uma aplicação de tais leis na prática que não está em conformidade com os requisitos previstos no parágrafo (a). [Para o Módulo Três: o exportador de dados deverá encaminhar a notificação para o controlador.]

(f) Após uma notificação nos termos do parágrafo (e), ou se o exportador de dados tiver motivos para acreditar que o importador de dados não pode mais cumprir suas obrigações sob estas Cláusulas, o exportador de dados deverá identificar imediatamente medidas apropriadas (por exemplo, medidas técnicas ou organizacionais para garantir a segurança e a confidencialidade) a serem adotadas pelo exportador e/ou importador de dados para resolver a situação [para o Módulo Três: se apropriado em consulta com o controlador]. O exportador de dados deverá suspender a transferência de dados se considerar que não é possível garantir as salvaguardas adequadas para tal transferência, ou se for instruído a fazê-lo [para o Módulo Três: pelo controlador ou] pela autoridade supervisora competente. Nesse caso, o exportador de dados terá o direito de rescindir o contrato, em relação ao tratamento de dados pessoais nos termos destas Cláusulas. Se o contrato envolver mais de duas Partes, o exportador de dados poderá exercer o direito de rescisão apenas em relação à Parte relevante, a menos que as Partes acordem de outra forma. Quando o contrato for rescindido nos termos desta Cláusula, a Cláusula 16 (d) e (e) será aplicável.

Cláusula 15

Obrigações do importador de dados em caso de acesso por autoridades públicas

15.1 Notificação

(a) O importador de dados concorda em notificar prontamente o exportador de dados e, sempre que possível, o titular dos dados (se necessário, com a ajuda do exportador de dados) caso:

(i) receba uma solicitação juridicamente vinculativa de uma autoridade pública, incluindo autoridades judiciais, nos termos das leis do país de destino, para a divulgação de dados pessoais transferidos de acordo com estas Cláusulas; essa notificação incluirá informações sobre os dados pessoais solicitados, a autoridade requerente, a base jurídica do pedido e a resposta dada; ou
(ii) tome conhecimento de qualquer acesso direto por parte de autoridades públicas aos dados pessoais transferidos nos termos destas Cláusulas de acordo com as leis do país de destino; essa notificação incluirá todas as informações disponíveis ao importador.

(b) Se o importador de dados for proibido de notificar o exportador de dados e/ou o titular dos dados sob as leis do país de destino, o importador de dados concordará em envidar seus melhores esforços para obter uma renúncia à proibição, visando comunicar o máximo de informações o mais rapidamente possível. O importador de dados concorda em documentar seus melhores esforços para demonstrá-los a pedido do exportador de dados.

(c) Sempre que permitido pelas leis do país de destino, o importador de dados concorda em fornecer ao exportador de dados, em intervalos regulares durante a vigência do contrato, o máximo possível de informações relevantes sobre as solicitações recebidas (em particular, o número de solicitações, os tipos de dados solicitados, a(s) autoridade(s) requerente(s), se os pedidos foram contestados e o resultado de tais contestações, etc.). [Para o Módulo Três: O exportador de dados deverá encaminhar as informações para o controlador.]

(d) O importador de dados concorda em preservar as informações de acordo com os parágrafos (a) a (c) durante a vigência do acordo, bem como disponibilizá-las à autoridade supervisora competente, mediante solicitação.

(e) Os parágrafos (a) a (c) não prejudicam a obrigação do importador de dados, de acordo com a Cláusula 14 (e) e a Cláusula 16, de informar prontamente o exportador de dados quando não for capaz de cumprir estas Cláusulas.

15.2 Revisão da legalidade e minimização de dados

(a) O importador de dados concorda em analisar a legalidade do pedido de divulgação, em particular se este permanece dentro dos poderes concedidos à autoridade pública requerente, e em contestar a solicitação se, após uma avaliação cuidadosa, concluir que existem motivos razoáveis para considerar que a solicitação é ilegal nos termos da legislação do país de destino, das obrigações aplicáveis sob o direito internacional e dos princípios de cortesia internacional. O importador de dados deverá, nas mesmas condições, buscar possibilidades de recurso. Ao contestar uma solicitação, o importador de dados deverá solicitar medidas provisórias visando suspender os efeitos da solicitação até que a autoridade judicial competente decida sobre o seu mérito. O importador de dados não deve divulgar os dados pessoais solicitados até que seja obrigado a fazê-lo nos termos das regras processuais aplicáveis. Esses requisitos não prejudicam as obrigações do importador de dados nos termos da Cláusula 14(e).

(b) O importador de dados concorda em documentar a avaliação jurídica e qualquer contestação à solicitação de divulgação e, na medida permitida pelas leis do país de destino, disponibilizar a documentação ao exportador de dados. E também deve disponibilizá-los à autoridade supervisora competente, mediante solicitação. [Para o Módulo Três: o exportador de dados deverá disponibilizar a avaliação ao controlador.]

(c) O importador de dados concorda em fornecer a quantidade mínima de informações permitida ao responder a uma solicitação de divulgação, com base em uma interpretação razoável da solicitação.

SEÇÃO IV – DISPOSIÇÕES FINAIS

Cláusula 16

Descumprimento das Cláusulas e rescisão

(a) O importador de dados deverá informar imediatamente o exportador de dados se não for capaz de cumprir estas Cláusulas, pelo motivo que for.

(b) Caso o importador de dados viole estas Cláusulas ou seja incapaz de cumpri-las, o exportador de dados suspenderá a transferência de dados pessoais para o importador de dados até que o cumprimento seja novamente garantido ou o contrato seja rescindido. Isso não prejudica a Cláusula 14(f).

(c) O exportador de dados terá o direito de rescindir o contrato, em relação ao tratamento de dados pessoais nos termos destas Cláusulas, quando:

(i) o exportador de dados tiver suspendido a transferência de dados pessoais para o importador de dados nos termos do parágrafo (b) e o cumprimento destas cláusulas não for restaurado dentro de um prazo razoável e, em qualquer caso, dentro de um mês após a suspensão;
(ii) o importador de dados violar de forma substancial ou persistente estas Cláusulas; ou
(iii) o importador de dados não cumprir uma decisão vinculativa de um tribunal competente ou autoridade de supervisão relativa às suas obrigações nos termos destas Cláusulas.

Nestes casos, o importador de dados deve informar a autoridade supervisora competente [para o Módulo Três: e o controlador] sobre a não conformidade. Se o contrato envolver mais de duas Partes, o exportador de dados poderá exercer o direito de rescisão apenas em relação à Parte relevante, a menos que as Partes acordem de outra forma.

(d) Os dados pessoais que tiverem sido transferidos antes da rescisão do contrato nos termos do parágrafo (c) serão, à escolha do exportador de dados, imediatamente devolvidos ao exportador de dados ou eliminados na sua totalidade. O mesmo se aplica a quaisquer cópias dos dados. O importador de dados certificará a exclusão dos dados ao exportador de dados. Até que os dados sejam apagados ou devolvidos, o importador de dados continuará assegurando o cumprimento destas Cláusulas. Caso a legislação local aplicável ao importador de dados proíba a devolução ou exclusão dos dados pessoais transferidos, o importador de dados garante que continuará a cumprir estas Cláusulas e só processará os dados na medida e pelo tempo exigido pela legislação local.

(e) Qualquer uma das Partes poderá revogar o seu acordo de cumprir estas Cláusulas quando (i) a Comissão Europeia adotar uma decisão nos termos do Artigo 45(3) do Regulamento (UE) 2016/679, que abrange a transferência de dados pessoais aos quais estas Cláusulas são aplicáveis; ou (ii) o Regulamento (UE) 2016/679 passar a fazer parte do quadro jurídico do país para o qual os dados pessoais são transferidos. Isso não prejudica outras obrigações aplicáveis ao processamento em questão no Regulamento (UE) 2016/679.

Cláusula 17

Lei governamental

Estas cláusulas serão regidas pela lei do Estado-membro da UE em que o exportador de dados está estabelecido. Quando tal lei não permitir os direitos de terceiros beneficiários, estes serão regidos pela lei de outro Estado-Membro da UE que permita direitos de terceiros beneficiários. As Partes concordam que será a legislação da Dinamarca.

Cláusula 18

Escolha do foro e jurisdição

(a) Qualquer litígio decorrente destas Cláusulas será resolvido pelos tribunais de um Estado-membro da UE.

(b) As Partes concordam que serão os tribunais da Dinamarca.

(c) O titular dos dados também pode iniciar uma ação judicial contra o exportador de dados e/ou importador de dados perante os tribunais do Estado-Membro onde se localiza sua residência habitual.

(d) As Partes concordam em submeter-se à jurisdição de tais tribunais.

ANEXO I

A. LISTA DE PARTES

Exportador(es) de dados: [identidade e detalhes de contato do(s) exportador(es) de dados e, quando aplicável, do responsável pela proteção de dados e/ou representante na União Europeia]

Nome: …

Endereço: …

Nome, cargo e detalhes de contato da pessoa: …

Atividades relevantes para os dados transferidos sob estas Cláusulas: …

Função (controlador/processador): Controlador

…

Importador(es) de dados: [identidade e detalhes de contato do(s) importador(es) de dados, incluindo todo contato responsável pela proteção de dados]

Nome: Motorola Solutions, Inc.

Endereço: 500 W. Monroe St., Chicago, IL 60661 USA

Nome, cargo e detalhes de contato da pessoa: Irene Amu, DPO, Privacy1@MotorolaSolutions.com

Atividades relevantes para os dados transferidos nos termos destas Cláusulas: prestação de serviços relacionados à segurança por vídeo e/sistema de controle de acesso nas dependências do Controlador.

Função (controlador/processador): Processador

…

B. DESCRIÇÃO DA TRANSFERÊNCIA

Categorias de titulares de dados cujos dados pessoais são transferidos

Os titulares dos dados incluem os representantes e usuários finais do exportador de dados, incluindo funcionários, prestadores de serviço, colaboradores e clientes do exportador de dados. Os titulares dos dados também podem incluir indivíduos que tentam comunicar ou transferir informações pessoais aos usuários dos serviços prestados pelo importador de dados. A Avigilon reconhece que, dependendo do uso do Serviço Online pelo Cliente, o Cliente poderá optar por incluir dados pessoais dos seguintes tipos de titulares de dados nos Dados do Cliente:

Funcionários, prestadores de serviço e trabalhadores temporários (atuais, antigos, potenciais) do exportador de dados;
Dependentes de indivíduos das categorias acima;
Colaboradores/contatos (pessoas físicas) do exportador de dados ou funcionários, prestadores de serviço ou trabalhadores temporários de colaboradores/contatos de pessoa jurídica (atuais, antigos, potenciais);
Usuários (por exemplo, consumidores, clientes, pacientes, visitantes, etc.) e outros titulares de dados que sejam usuários dos serviços do exportador de dados;
Parceiros, partes interessadas ou indivíduos que colaboram ativamente, comunicam-se ou de outra forma interagem com funcionários do exportador de dados e/ou usam ferramentas de comunicação, como aplicativos e sites fornecidos pelo exportador de dados;
Partes interessadas ou indivíduos que interagem passivamente com o exportador de dados (por exemplo, porque são objeto de uma investigação, pesquisa ou são mencionados em documentos ou correspondências de ou para o exportador de dados);
Menores de idade; ou
Profissionais com sigilo profissional (por exemplo, médicos, advogados, notários, trabalhadores religiosos, etc.).

Categorias de dados pessoais transferidos

Durante o uso dos produtos e serviços, o Cliente poderá optar por incluir dados pessoais das seguintes categorias nos Dados do Cliente:

Dados pessoais básicos (por exemplo, local de nascimento, nome da rua e número da casa [endereço], código postal, cidade de residência, país de residência, número do celular, nome, sobrenome, iniciais, endereço de e‑mail, sexo, data de nascimento), incluindo dados pessoais básicos sobre familiares e filhos;
Dados de autenticação (por exemplo nome de usuário, senha ou código PIN, pergunta de segurança, registo de auditoria);
Informações de contato (por exemplo, endereços, e‑mails, números de telefone, identificadores de redes sociais; detalhes de contatos de emergência);
Números de identificação exclusivos e assinaturas (por exemplo, número do cadastro de pessoa física, número da conta bancária, número do passaporte e da carteira de identidade, número da carteira de motorista e dados de registro do veículo, endereços IP, número de funcionário, número de estudante, número de paciente, assinatura, identificador exclusivo em cookies de rastreamento ou tecnologias semelhantes);
Pseudônimos;
Informações financeiras e de seguros (por exemplo, número do seguro, nome e número da conta bancária, nome e número do cartão de crédito, número da fatura, rendimento, tipo de garantia, comportamento de pagamento, crédito pessoal);
Informações comerciais (por exemplo histórico de compras, ofertas especiais, informações da assinatura, histórico de pagamentos);
Informações biométricas (por exemplo, DNA, impressões digitais e leituras da íris);
Dados de localização (por exemplo, Cell ID, dados da rede de geolocalização, rastreamento de chamadas e dados de localização derivados do uso de pontos de acesso Wi-Fi);
Fotos, vídeos e áudios;
Atividade na internet (por exemplo, histórico de navegação, histórico de pesquisa, leituras, programas de televisão assistidos, programas de rádio ouvidos);
Identificação do dispositivo (por exemplo, número do IMEI, número do cartão SIM, endereço MAC);
Criação de perfis (por exemplo, com base em comportamentos criminosos ou antissociais observados ou perfis pseudônimos baseados em URLs visitados, fluxos de cliques, registos de navegação, endereços IP, domínios, apps instaladas ou perfis baseados em preferências de marketing);
Dados de RH e de recrutamento (por exemplo, declaração de situação profissional, informações de recrutamento [como currículo, histórico de empregos, detalhes do histórico escolar], dados do cargo e posição, incluindo horas trabalhadas, avaliações e salário, detalhes da autorização de trabalho, disponibilidade, termos de emprego, detalhes fiscais, detalhes de pagamento, detalhes e localização do seguro e organizações);
Dados educacionais (por exemplo, histórico escolar, escolaridade atual, notas e resultados, grau mais alto alcançado, dificuldade de aprendizagem);
Informações sobre cidadania e residência (por exemplo, cidadania, processo de naturalização, estado civil, nacionalidade, situação de imigração, dados do passaporte, detalhes de residência ou autorização de trabalho);
Informações processadas para a realização de uma tarefa de interesse público ou no exercício de uma autoridade oficial;
Categorias especiais de dados (por exemplo, origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos para efeitos de identificação única de uma pessoa física, dados de saúde, dados relativos à vida ou orientação sexual de uma pessoa física e dados relativos a condenações ou infrações penais); ou
Quaisquer outros dados pessoais identificados no Artigo 4 do RGPD.

Dados confidenciais transferidos (se aplicável) e restrições ou salvaguardas aplicadas que considerem plenamente a natureza dos dados e os riscos envolvidos, tais como limitação estrita da finalidade, restrições de acesso (incluindo acesso apenas para o pessoal que tenha uma formação especializada), manutenção de um registo de acesso aos dados, restrições para transferências posteriores ou medidas de segurança adicionais.

…

A frequência da transferência (por exemplo, se os dados são transferidos de forma única ou contínua).

Os dados podem ser transferidos de forma contínua durante a vigência do Acordo ou de outro acordo ao qual este DPA seja aplicável.

Natureza do processamento

A natureza, o escopo e a finalidade do processamento de dados pessoais é cumprir as obrigações da Avigilon em relação ao fornecimento dos produtos e serviços adquiridos nos termos do Acordo. O importador de dados utiliza uma rede global de data centers e instalações de suporte/gerenciamento, e o processamento pode ocorrer em qualquer jurisdição onde o importador de dados ou seus subprocessadores utilizem tais instalações.

Finalidade(s) da transferência de dados e processamento posterior

O período de retenção dos dados pessoais ou, se isso não for possível, os critérios utilizados para determinar esse período.

A retenção de dados é regida pela Seção 10 deste Acordo de Processamento de Dados

Para transferências para (sub)processadores, especifique também o escopo, a natureza e a duração do processamento.

As transferências para subprocessadores serão apenas para cumprir as obrigações da Avigilon em relação ao fornecimento dos produtos e serviços adquiridos nos termos do Acordo. A duração do processamento será igual à vigência do Acordo. O importador de dados utiliza uma rede global de data centers e instalações de suporte/gerenciamento, e o processamento pode ocorrer em qualquer jurisdição onde o importador de dados ou seus subprocessadores utilizem tais instalações.

C. AUTORIDADE DE SUPERVISÃO COMPETENTE

A Agência Dinamarquesa de Proteção de Dados

ANEXO II

MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS

NOTA EXPLICATIVA:

As medidas técnicas e organizacionais devem ser descritas em termos específicos (e não genéricos). Consulte também o comentário geral na primeira página do Apêndice, em particular sobre a necessidade de indicar claramente quais medidas são aplicáveis a cada transferência/conjunto de transferências.

Descrição das medidas técnicas e organizacionais implementadas pelo(s) importador(es) de dados (incluindo quaisquer certificações relevantes) para garantir um nível adequado de segurança, tendo em conta a natureza, o escopo, o contexto e a finalidade do tratamento, bem como os riscos para os direitos e liberdades das pessoas físicas.

[Exemplos de medidas possíveis:

Medidas de pseudonimização e criptografia de dados pessoais

Sempre que for tecnicamente viável e não afetar os serviços prestados:

A Avigilon minimiza os dados coletados às informações que acredita serem necessárias para comunicar, fornecer e oferecer suporte a produtos e serviços, bem como as informações necessárias para cumprir as obrigações legais.
A Avigilon criptografa os dados em trânsito e em repouso.
A Avigilon pseudonimiza e limita as contas administrativas que têm acesso à pseudonimização reversa.

Medidas para assegurar a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento

Para garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento, a política de Proteção de Informações da Avigilon exige a institucionalização da proteção das informações durante todo o desenvolvimento de soluções e ciclos operacionais. A Avigilon mantém equipes de segurança dedicadas à segurança da informação interna e aos seus produtos e serviços. As práticas e políticas de segurança são parte integrante dos negócios e obrigatórias para todos os funcionários e prestadores de serviço da Avigilon. O Diretor de Segurança da Informação da Avigilon mantém a responsabilidade e a supervisão executiva de tais políticas, incluindo governança formal, gerenciamento de revisões, educação de pessoal e conformidade. De modo geral, a Avigilon se alinha à Estrutura de segurança cibernética do NIST, bem como a ISO 27001.

Parte da configuração do sistema está sob o controle do cliente.

Medidas para assegurar a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo hábil em caso de incidente físico ou técnico

Procedimentos para incidentes de segurança – A Avigilon mantém um plano global de resposta a incidentes para resolver qualquer incidente físico ou técnico rapidamente. A Avigilon mantém um registro de violações de segurança com uma descrição da violação, o período, as consequências da violação, o nome do denunciante e a quem a violação foi relatada e o procedimento para recuperação de dados. Para cada violação de segurança que seja um Incidente de Segurança, a notificação será feita de acordo com a seção Notificação de Incidentes de Segurança deste DPA.

Continuidade dos negócios e preparação para desastres – A Avigilon mantém planos de continuidade dos negócios e preparação para desastres para as funções e sistemas críticos sob o controle da Avigilon que dão suporte aos produtos e serviços adquiridos sob o Acordo, a fim de evitar interrupções nos serviços e minimizar os riscos da recuperação.

Processos para testar, analisar e avaliar regularmente a eficácia das medidas técnicas e organizacionais a fim de garantir a segurança do processamento

A Avigilon avalia periodicamente seus processos e sistemas para garantir o cumprimento contínuo das obrigações impostas por lei, regulamento ou contrato com relação à confidencialidade, integridade, disponibilidade e segurança dos Dados do Cliente, incluindo informações pessoais. A Avigilon documenta os resultados dessas avaliações e quaisquer atividades de correção realizadas em resposta a tais avaliações. Periodicamente, a Avigilon passa por avaliações de Terceiros em relação às normas aplicáveis do setor, como ISO 27001, 27017, 27018 e 27701.

Medidas para identificação e autorização do usuário

Identificação e autenticação. A Avigilon emprega práticas padrão do setor para identificar e autenticar os usuários que tentam acessar os sistemas de informação da Avigilon. Nos mecanismos de autenticação baseados em senhas, a Avigilon exige que as senhas tenham pelo menos oito caracteres e sejam alteradas regularmente. A Avigilon emprega práticas de proteção de senha padrão do setor, incluindo práticas desenvolvidas para manter a confidencialidade e a integridade das senhas quando elas são atribuídas e distribuídas, bem como durante o armazenamento.

Política de acesso e administração. A Avigilon mantém um registro dos privilégios de segurança dos indivíduos que têm acesso aos Dados do Cliente, incluindo informações pessoais. A Avigilon mantém processos apropriados para a solicitação, aprovação e administração das contas e privilégios de acesso relacionados ao Processamento de Dados do Cliente. Somente o pessoal autorizado pode conceder, alterar ou cancelar o acesso autorizado aos dados e recursos. Os indivíduos com acesso aos sistemas que contêm Dados do Cliente recebem identificadores exclusivos e pessoais. A Avigilon desativa as credenciais de autenticação periodicamente.

Medidas para a proteção de dados durante a transmissão

Os dados são normalmente criptografados durante a transmissão nos ambientes gerenciados pela Avigilon. A criptografia em trânsito também é geralmente exigida de todos os subprocessadores. Além disso, a proteção dos dados em trânsito também é alcançada por meio dos controles de acesso, da segurança física e ambiental e da segurança do pessoal descritos ao longo deste Anexo II.

Medidas para a proteção dos dados durante o armazenamento

Os dados são comumente criptografados durante o armazenamento nos ambientes gerenciados pela Avigilon. A criptografia no armazenamento também é comumente exigida de qualquer subprocessador. Além disso, a proteção dos dados armazenados também é alcançada por meio dos controles de acesso, da segurança física e ambiental e da segurança do pessoal descritos ao longo deste Anexo II.

Medidas para assegurar a segurança física dos locais onde os dados pessoais são processados

A Avigilon mantém controles de segurança física e ambiental apropriados para evitar o acesso não autorizado aos Dados do Cliente, incluindo informações pessoais. Isso inclui controles de entrada físicos apropriados nas instalações da Avigilon, como pontos de entrada controlados por cartão e uma recepção com equipe para proteger contra entradas não autorizadas. O acesso às áreas controladas dentro de uma instalação será limitado pela função e sujeito à aprovação autorizada. O uso de um crachá de acesso para entrar em uma área controlada será registrado, e tais registros serão retidos de acordo com a política da Avigilon. A Avigilon revoga o acesso do pessoal às instalações e áreas controladas da Avigilon após o término do vínculo empregatício, de acordo com as políticas da Avigilon. As políticas da Avigilon impõem controles padrão do setor para estações de trabalho, dispositivos e mídias, desenvolvidos para proteger ainda mais os Dados do Cliente, incluindo informações pessoais.

Medidas para garantir a segurança do pessoal

Acesso aos Dados do Cliente. A Avigilon mantém processos para autorizar e supervisionar seus funcionários e prestadores de serviço quanto ao monitoramento do acesso aos Dados do Cliente. A Avigilon exige que seus funcionários, prestadores de serviço e agentes que tenham, ou que possam ter, acesso aos Dados do Cliente cumpram as disposições do Acordo, incluindo este Anexo e quaisquer outros acordos aplicáveis vinculativos à Avigilon.

Conscientização sobre segurança e privacidade. A Avigilon deve assegurar que seus funcionários e prestadores de serviço estejam cientes das práticas padrão de segurança e privacidade do setor e de suas responsabilidades pela proteção dos Dados do Cliente e dos Dados Pessoais. Isto deve incluir, sem limitação, proteção contra software mal-intencionado, proteção de senhas e gerenciamento e uso de estações de trabalho e contas de sistemas de computador. A Avigilon exige treinamentos periódico em segurança da informação, privacidade e ética empresarial para todos os funcionários e prestadores de serviço.

Política de sanções. A Avigilon mantém uma política de sanções para lidar com violações dos requisitos de segurança interna da Avigilon, bem como daqueles impostos por lei, regulamento ou contrato.

Verificações de Antecedentes. A Avigilon segue os requisitos padrão obrigatórios de verificação de emprego para todas as novas contratações. De acordo com a política interna da Avigilon, esses requisitos devem ser revisados periodicamente e incluem, sem limitação, verificações de antecedentes criminais, prova de validação de identidade e quaisquer verificações adicionais consideradas necessárias pela Avigilon.

Medidas para assegurar o registro de eventos

A Avigilon mantém políticas que exigem o monitoramento contínuo e o registro de eventos em todos os recursos de informações de produção. Os registros da trilha de auditoria de aplicativos devem ser capturados em todos os recursos de informações de produção da Avigilon. Os registros da trilha de auditoria dos recursos de informação de produção da Avigilon são revisados regularmente, e são tomadas as ações corretivas apropriadas conforme necessário.

Medidas para assegurar a configuração do sistema, incluindo a configuração padrão

Medidas para governança e gerenciamento da TI interna e da segurança da TI

A organização de segurança da informação empresarial da Motorola Solutions está estruturada da seguinte forma: governança/risco/conformidade, inteligência contra ameaças e gerenciamento de vulnerabilidades, detecção, proteção e resposta. A Avigilon avalia anualmente a eficácia da organização por meio de avaliadores externos que relatam e compartilham os resultados da avaliação com os Serviços de Auditoria da Avigilon, que monitoram as correções identificadas. Para obter mais informações, consulte a Central de confiança da Avigilon em https://www.motorolasolutions.com/en_us/about/trust-center/security.html

Medidas para certificação/garantia de processos e produtos

A Avigilon realiza auditorias internas de revisão de aplicativos seguros e revisão de design seguro, bem como revisões de prontidão para produção antes do lançamento do serviço. Quando apropriado, são realizadas avaliações de privacidade dos produtos e serviços da Avigilon. Como resultado da auditorias internas, é criado um registro de riscos com atribuições ao pessoal apropriado. As auditorias de segurança são realizadas anualmente, havendo auditorias adicionais conforme necessário. As avaliações de privacidade adicionais, incluindo mapas de dados atualizados, ocorrem quando são feitas alterações materiais nos produtos ou serviços. Além disso, a Avigilon Solution obteve relatórios AICPA SOC2 Tipo 2 e certificação ISO/IEC 27001:2013 para muitas de suas operações de desenvolvimento e suporte.

Medidas para assegurar a minimização dos dados

As políticas da Avigilon exigem o processamento de todas as informações pessoais de acordo com a legislação aplicável, inclusive quando essa legislação exige a minimização de dados. Além disso, a Avigilon realiza avaliações de privacidade dos seus produtos e serviços e avalia se atendem aos princípios de processamento, como a minimização de dados, conforme estabelecido no Artigo 5 do RGPD.

Medidas para assegurar a qualidade dos dados

As políticas da Avigilon exigem o processamento de todas as informações pessoais de acordo com a lei aplicável, inclusive quando essa lei exigir a garantia da qualidade e precisão dos dados. Além disso, a Avigilon realiza avaliações de privacidade dos seus produtos e serviços e analisa se atendem aos princípios de processamento, como a garantia da qualidade dos dados, conforme estabelecido no Artigo 5 do RGPD.

Medidas para assegurar a retenção limitada de dados

A Avigilon mantém uma política de retenção de dados que fornece um cronograma de retenção descrevendo os períodos de armazenamento dos dados pessoais. O cronograma é baseado nas necessidades comerciais e fornece informações suficientes para identificar todos os registros e implementar decisões de descarte de acordo com o cronograma. A política é revisada e atualizada periodicamente.

Medidas para assegurar a responsabilização

Para garantir a conformidade com o princípio de responsabilização, a Avigilon mantém um Programa de Privacidade que de modo geral alinha suas atividades ao Nymity Privacy Management and Accountability Framework e à Estrutura de Privacidade do NIST. O Programa de Privacidade é auditado anualmente pela Motorola Solutions Audit Services.

Medidas para permitir a portabilidade dos dados e assegurar o apagamento

Quando sujeita a uma solicitação do titular dos dados para mover, copiar ou transferir seus dados pessoais, a Avigilon fornecerá os dados pessoais em um formato estruturado, comumente usado e legível por máquina. Sempre que possível e se um indivíduo solicitar, a Avigilon poderá transmitir diretamente as informações pessoais para outra organização.

Para transferências para (sub)processadores, descreva também as medidas técnicas e organizacionais específicas a serem tomadas pelo (sub)processador para prestar assistência ao controlador e, para transferências de um processador para um subprocessador, ao exportador de dados.

O Processador contrata os subprocessadores de maneira que lhe permita estar em conformidade com suas obrigações perante o Controlador. No que diz respeito às empresas afiliadas do Processador localizadas em todo o mundo, o Processador tem regras corporativas vinculantes em vigor. No que diz respeito a fornecedores terceirizados, o Processador usa cláusulas contratuais padrão conforme apropriado e realiza uma avaliação de segurança antes de divulgar quaisquer dados do cliente ao fornecedor.

ANEXO III

LISTA DE SUBPROCESSADORES

NOTA EXPLICATIVA:

Este Anexo deverá ser preenchido para os Módulos Dois e Três, no caso de autorização específica dos subprocessadores (Cláusula 9(a), Opção 1).

O controlador autorizou o uso dos seguintes subprocessadores:

AVIGILON ALTA

Name and Services (Name and registered address of Supplier entity or subcontractor, with brief description of corresponding Services)	Location/Transfers (Location where entity will Process the Personal Data. Indicate where and from whom transferred, where relevant)	Mechanism (Agreed mechanism for ensuring any transfer is compliant with Data Protection Laws)
Microsoft Azure (Cloud Platform)	EU	N/A
Elastic (cloud Services storage for JSON documents)	EU	N/A
Google Ireland Ltd (Ava Security cloud)	US, EU, UK, CA, AU,	SCCs
OpenPath Security, Inc. (an MSI company)	US, EU	SCCs
Amazon Web Services EMEA	US	SCCs
Freshworks Inc.	US	SCCs
Wasabi.com	US, EU, AU, CA	SCCs or similar applicable contracting mechanism as needed
Digital Ocean	US, EU, UK, CA, SG	SCCs or similar applicable contracting mechanism as needed
Mixpanel, Inc.	US, EU	SCCs
Bugfender	US, EU	SCCs
Bugsnag	US, EU	SCCs
Avigilon Corporation (an MSI company)	US/CA/EU	SCCs
Avigilon USA Corporation (an MSI company)	US/EU	SCCs
Millicast	US	SCCs
Netsuite	US	SCCs
Hubspot	US	SCCs
Locize	EU	N/A
Mouseflow	US	SCCs
LiveKit	US	SCC’s

AVIGILON UNITY

Name and Services (Name and registered address of Supplier entity or subcontractor, with brief description of corresponding Services)	Location/Transfers (Location where entity will Process the Personal Data. Indicate where and from whom transferred, where relevant)	Mechanism (Agreed mechanism for ensuring any transfer is compliant with Data Protection Laws)	Applicable for Cloud Services Only
Microsoft Corporation	US, Australia and Canada	Appropriate Contracting Mechanisms	Yes
Elastic	US, Australia and Canada	Appropriate Contracting Mechanisms	Yes
Google, Inc.	Worldwide	Appropriate Contracting Mechanisms
Apple, Inc.	Worldwide	Appropriate Contracting Mechanisms
Motorola Solutions, Inc., including subsidiaries	Worldwide	Appropriate Contracting Mechanisms
Flexera	US	Appropriate Contracting Mechanisms
Whatsapp	Worldwide	Appropriate Contracting Mechanisms
Twilio	US	Appropriate Contracting Mechanisms and BCR	Yes
PubNub	US	Appropriate Contracting Mechanisms	Yes
Salesforce	US	Appropriate Contracting Mechanisms and BCR