CONTRATO DE PROCESSAMENTO DE DADOS
CONTRATO DE PROCESSAMENTO DE DADOS
Este Contrato de Processamento de Dados (o “DPA”), entre a pessoa jurídica da Agilent com quem você faz negócios (“Agilent”) e o Cliente (o “Controlador ou cliente”) (Agilent e Controlador, cada um, uma “parte” e, coletivamente , as partes").
HISTÓRICO:
(a) A Agilent e o Controlador concordaram com a venda de bens, serviços e produtos pela Agilent ao Controlador, regidos pelos Termos Deste contrato.
(b) O Controlador e a ▇▇▇▇▇▇▇ reconhecem que, durante o fornecimento de bens, serviços e produtos, a Agilent usualmente não processará dados pessoais em nome do Controlador.
(c) Caso o Controlador instrua a Agilent a Processar os Dados Pessoais do Controlador, este DPA será aplicado, conforme descrito mais detalhadamente no Anexo 1.
(d) As partes garantirão que a Agilent Processe os Dados Pessoais do Controlador de acordo com as instruções do Controlador e em conformidade com as Leis de Proteção de Dados Aplicáveis
1. DEFINIÇÕES
1.1. “Afiliados” significa, com relação a uma parte, qualquer entidade que controle direta ou indiretamente, seja controlada por ou esteja sob controle comum com essa parte. Para fins deste DPA, "controle" significa uma participação econômica ou de voto de pelo menos cinquenta por cento (50%) ou, na ausência de tal participação econômica ou de voto, o poder de dirigir ou determinar a direção da administração e definir o políticas dessa entidade..
1.2. “Contrato” Contrato” significa o Termo de Vendas e Serviços da Agilent que rege a entrega de produtos e/ou serviços fornecidos pela Agilent ao Controlador, exigindo que a Agilent Processe os Dados Pessoais do Controlador de acordo com o Anexo 1;
1.3. “Leis de Proteção de Dados Aplicáveis” significa quaisquer leis e regulamentos aplicáveis relativos ao Processamento de Dados Pessoais, incluindo, mas não se limitando a (i) o Regulamento da União Europeia (EU) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção de pessoas físicas com no que diz respeito ao processamento de dados pessoais e à livre circulação desses dados (Regulamento Geral de Proteção de Dados) (“GDPR”), (ii) o GDPR do Reino Unido (“UK”) e a Lei de Proteção de Dados de 2018, (iii) o GDPR da Suíça Lei Federal de Proteção de Dados de 19 de junho de 1992, a Portaria da Lei Federal de Proteção de Dados,
(iv) Lei Geral de Proteção de Dados (LGPD) do Brasil, (v) Lei de Proteção de Informações Pessoais da China (“PIPL”) e ( vi) a Lei de Privacidade do Consumidor da Califórnia de 2018 (CCPA); e, quando aplicável, as orientações e códigos de prática emitidos pelas autoridades de proteção de dados ou outros em conexão com essas leis, todos alterados de tempos em tempos.
1.4. “Controlador-Processador de Cl” significa o Módulo 2 das Cláusulas Contratuais Padrão para a transferência de Dados Pessoais para países terceiros, de acordo com a Decisão de Execução da Comissão de 4 de junho de 2021 (2021/914);
1.5. “Titular dos Dados” significa a pessoa natural a quem se refere os dados pessoais que são objeto do tratamento.;
1.6. “Dados Pessoais” significa qualquer informação à qual se aplicam as Leis de Proteção de Dados Aplicáveis, que estejam relacionadas a qualquer Titular de Dados identificado ou identificável, em particular por uma referência direta ou indireta a um identificador, como um nome, um número de identificação, dados de localização, um identificador on- line ou a um ou mais fatores específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;
1.7. “Processar, Processado ou Processando” significa qualquer operação ou conjunto de operações realizadas em Dados Pessoais ou em conjuntos de Dados Pessoais, seja ou não por meios automatizados, como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, divulgação ou disponibilização de outra forma, alinhamento ou combinação, restrição, apagamento ou destruição;
1.8. “Regulador” significa qualquer autoridade supervisora de proteção de dados que tenha jurisdição sobre o Processamento de Dados Pessoais nos termos do DPA;
1.9. “Países Terceiros” significa todos os países fora do âmbito das leis de proteção de dados do Espaço Económico Europeu (“EEE”), excluindo os países aprovados como tendo proteção adequada pela Comissão Europeia;
1.10. “Adendo do Reino Unido” significa o Adendo de Transferência Internacional de Dados às Cláusulas Contratuais Padrão da Comissão Europeia, Versão B1.0, em vigor em 21 de Março de 2022;
1.11. “Cláusulas Controlador-Processador do Reino Unido” significa as Cláusulas Controlador-Processador, conforme alteradas pelo Adendo do Reino Unido; e
1.12. “Países Terceiros do Reino Unido” significa países fora do Reino Unido ou qualquer jurisdição considerada adequada pelo Secretário de Estado de acordo com a Seção 17A da Lei de Proteção de Dados do Reino Unido de 2018.
2. CONDIÇÕES DE PROCESSAMENTO
2.1 Este DPA, que faz parte do Contrato, rege os termos sob os quais a Agilent Processa Dados Pessoais em nome do Controlador.
3. OBRIGAÇÕES DA AGILENT
3.1 A Agilent somente processará Dados Pessoais em nome do Controlador e de acordo com (a) os termos deste DPA, incluindo o Anexo 1, (b) o Aviso de Privacidade da Agilent localizado em ▇▇▇▇▇://▇▇▇.▇▇▇▇▇▇▇.▇▇▇/▇▇▇▇/▇▇▇▇▇▇▇- política, e (c) as instruções documentadas recebidas do Controlador de tempos em tempos leis aplicáveis.
3.1.1 Não obstante o acima exposto na cláusula 3.1 , se a Agilent for obrigada a processar os Dados Pessoais de outra forma além dos termos indicados em (a)-(c) de acordo com a lei aplicável, a ▇▇▇▇▇▇▇ concorda em informar o Controlador dessa lei aplicável antes de Processar os Dados Pessoais, a menos que seja proibido de outra forma por essa lei aplicável.
3.2 A Agilent implementará as medidas de segurança técnicas e organizacionais especificadas no Anexo 2 deste DPA antes de Processar os Dados Pessoais do Controlador e continuará a cumpri-las durante a vigência deste DPA
3.3 A Agilent notificará o Controlador sobre uma violação de segurança que leve à destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilegal aos Dados Pessoais do Controlador, sem demora injustificada. Nesse caso, a Agilent tomará medidas comercialmente razoáveis para mitigar os efeitos prejudiciais conhecidos pela Agilent de um uso ou divulgação dos Dados Pessoais em violação deste DPA.
3.4 A Agilent fornecerá assistência razoável em resposta a consultas do Controlador ou de seu Regulador relacionadas ao Processamento de Dados Pessoais do Controlador pela Agilent.
3.5 A Agilent deverá, mediante solicitação por escrito do Controlador, disponibilizar ao Controlador todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas neste DPA.
3.6 Onde:
3.6.1 um Titular dos Dados exerce seus direitos sob as Leis Aplicáveis de Proteção de Dados em relação aos Dados Pessoais Processados pela Agilent em nome do Controlador;
3.6.2 O Controlador é obrigado a lidar ou cumprir qualquer avaliação, inquérito, notificação ou investigação por parte do Regulador; ou
3.6.3 O Controlador é obrigado, de acordo com as Leis Aplicáveis de Proteção de Dados, a realizar uma avaliação obrigatória de impacto na proteção de dados ou consultar o Regulador antes do Processamento de Dados Pessoais confiados à Agilent sob este DPA;
então a Agilent fornecerá assistência razoável ao Controlador para permitir que o Controlador cumpra as obrigações que surgirem como resultado disso, desde que o Controlador arcará com os custos razoáveis de tal assistência.
3.7 Na medida exigida pelas Leis de Proteção de Dados Aplicáveis, a Agilent atenderá a uma solicitação do Controlador para alterar, transferir ou excluir quaisquer Dados Pessoais na medida necessária para permitir que o Controlador cumpra suas responsabilidades de acordo com as Leis de Proteção de Dados Aplicáveis.
3.8 Na medida em que a CCPA se aplica às partes, (a) a Agilent é uma “provedora de serviços” (conforme definido na CCPA) para o Controlador; e (b) a Agilent não “venderá” (conforme definido na CCPA) os Dados Pessoais de residentes na Califórnia recebidos do Controlador ou obtidos em conexão com a prestação dos serviços descritos no Anexo 1.
4. TRANSFERÊNCIAS DE DADOS PESSOAIS
4.1 O Controlador reconhece e concorda que a Agilent pode nomear uma Afiliada ou terceiro subcontratado(também conhecido como subprocessador) para Processar os Dados Pessoais do Controlador fora do país de origem dos Dados Pessoais, desde que garanta que tal Processamento ocorra de acordo com os requisitos da Proteção de Dados Aplicável. Leis.
4.2 Quando a Agilent Processa Dados Pessoais do Espaço Econômico Europeu ou da Suíça em Países Terceiros, o Controlador (como "exportador de dados") e a Agilent (como "importador de dados") celebram as Cláusulas Controlador-Processador, que são incorporadas por esta referência e constituem parte integrante deste DPA. Considera-se que as partes aceitaram e executaram as Cláusulas Controlador-Processador em sua totalidade,
inclusive os anexos. Na medida em que as Cláusulas Controlador-Processador entrem em conflito com os termos restantes deste DPA, as Cláusulas Controlador-Processador prevalecerão. Para fins de cumprimento das Cláusulas Controlador-Processador, as partes concordam:
4.2.1 Os Anexos 1 a 3 das Cláusulas Controlador-Processador serão considerados preenchidos com os Anexos 1 a 3 anexados a este documento;
4.2.2 Aplica-se a Cláusula 7 (Cláusula de encaixe);
4.2.3 Aplica-se a Cláusula 7 (Cláusula de encaixe);
4.2.4 A linguagem opcional da Cláusula 11 não será aplicável; e
4.2.5 Para os fins das Cláusulas 17 e 18 das Cláusulas Controlador-Processador, a lei aplicável e o foro serão a lei aplicável e o foro regente do exportador de dados.
4.3 Quando a Agilent Processa Dados Pessoais do Reino Unido em Países Terceiros do Reino Unido, o Controlador (como “exportador de dados”) e a Agilent (como “importador de dados”) celebram as Cláusulas Controlador- Processador do Reino Unido, que são incorporadas por esta referência e constituem parte integrante deste DPA. Considera-se que as partes aceitaram e executaram as Cláusulas Controlador-Processador do Reino Unido em sua totalidade, incluindo os anexos. Na medida em que as Cláusulas Controlador-Processador do Reino Unido entrem em conflito com os termos restantes deste DPA, as Cláusulas Controlador-Processador do Reino Unido prevalecerão. As Cláusulas Controlador-Processador do Reino Unido serão preenchidas conforme indicado na Seção 4.2 deste DPA, desde que a Parte 1 do Adendo do Reino Unido seja considerada concluída com o Anexo 4, Tabelas de Adendo do Reino Unido, anexado a este documento.
4.4 Na medida em que o PIPL se aplica ao Processamento de Dados Pessoais sob este DPA, o Controlador declara e garante que obteve todos os consentimentos necessários e que de outra forma tem uma base legal para transferir dados pessoais para a Agilent, incluindo a transferência de Dados Pessoais para fora da China Continental.
5. OBRIGAÇÕES DO CONTROLADOR
5.1 O Controlador declara e garante que: (a) a lei aplicável ao Controlador não impede a Agilent de cumprir as instruções recebidas do Controlador e de cumprir suas obrigações sob este DPA, (b) o Controlador cumpriu e continua a cumprir as Leis Aplicáveis de Proteção de Dados, e (c) O Controlador obteve todos os consentimentos necessários dos Titulares dos Dados, forneceu todos os avisos necessários aos Titulares dos Dados e, de outra forma, tem um motivo legítimo para divulgar os dados à Agilent e permitir o Processamento dos Dados Pessoais pela Agilent, conforme estabelecido neste DPA.
5.2 O Controlador deverá indenizar, defender e isentar a Agilent de e contra todas as reivindicações, responsabilidades, custos, despesas, perdas e danos (incluindo perdas consequentes, lucros cessantes, perda de reputação e todos os juros, penalidades e danos legais e outros custos e despesas profissionais) incorridos pela Agilent decorrentes direta ou indiretamente de uma violação da Cláusula 5.1.
6. ALTERAÇÕES NAS LEIS DE PROTEÇÃO DE DADOS APLICÁVEIS IN APPLICABLE
6.1 As partes concordam em negociar de boa fé modificações neste DPA se forem necessárias alterações para que a Agilent continue a processar os Dados Pessoais do Controlador em conformidade com as Leis de Proteção de Dados Aplicáveis.
7. SUBCONTRATAÇÃO
7.1 O Controlador concorda com o uso do(s) subcontratado(s) estabelecido(s) no Anexo 3 para os fins descritos com mais detalhes no Anexo 3. Se a Agilent nomear um subcontratado novo ou substituto, a ▇▇▇▇▇▇▇ deverá fornecer ao Controlador uma notificação prévia por escrito desse novo subcontratado. O Controlador poderá se opor à nomeação ou substituição dentro de trinta (30) dias após o recebimento da notificação por escrito da ▇▇▇▇▇▇▇. Se o Controlador não se opuser dentro desse prazo, a Agilent poderá prosseguir com a nomeação ou substituição.
7.2 A Agilent deverá ter acordos escritos em vigor com todos os subcontratados contendo obrigações do subcontratado que não sejam menos onerosas para o subcontratado relevante do que as obrigações da Agilent sob este DPA.
8. TERMINAÇÃO
8.1 Este DPA será rescindido após a rescisão do Contrato.
8.2 Após a rescisão deste DPA, a Agilent deverá:
i. à escolha do Controlador, excluir ou devolver todos os Dados Pessoais do Controlador ao Controlador após o término da prestação de serviços relacionados ao Processamento, e excluir cópias existentes dos Dados Pessoais, a menos que qualquer Lei de Proteção de Dados Aplicável exija o armazenamento de tais Dados Pessoais Dados; e
ii. cease Processing Personal Data on behalf of the Controller.
9 LIMITAÇÃO DE RESPONSABILIDADE
9.1 Cada parte e todas as suas Afiliadas, respondem em conjunto pela responsabilidade, decorrente ou relacionada a este DPA, seja por contrato, ato ilícito ou sob qualquer outra teoria de responsabilidade, está sujeita à seção “Limitação de Responsabilidade” deste o Contrato e o limite de responsabilidade aplicável para a parte relevante estabelecido no Contrato. Qualquer referência nessa seção à responsabilidade de uma parte significa a responsabilidade agregada dessa parte e de todas as suas Afiliadas nos termos do Contrato e de todos os acordos de processamento de dados em conjunto.
9.2 Para evitar dúvidas, a responsabilidade total da Agilent e de suas Afiliadas por todas as reivindicações do Controlador e de todas as Afiliadas do Controlador decorrentes ou relacionadas ao Contrato e este DPA será aplicável de forma agregada a todas as reivindicações sob o Contrato e este DPA e, em particular, não será entendido como aplicável individual e solidariamente ao Controlador e/ou a qualquer uma das Afiliadas do Controlador.
10 GERAIS
10.1 Este DPA será regido e interpretado de acordo com a lei aplicável e as disposições de jurisdição do Contrato, a menos que exigido de outra forma pelas Leis Aplicáveis de Proteção de Dados.
10.2 Qualquer modificação neste DPA deverá ser feita por escrito e assinada pelas partes.
10.3 Exceto pelas alterações feitas por este DPA, o Contrato permanece inalterado e em pleno vigor e efeito. Se houver qualquer conflito entre este DPA e o Contrato, este DPA prevalecerá na medida desse conflito.
10.4 As disposições deste Adendo são separáveis. Se qualquer frase, cláusula ou disposição ou Anexo (incluindo as Cláusulas do Controlador-Processador e o Adendo do Reino Unido) for inválido ou inexequível, no todo ou em parte, tal invalidade ou inexequibilidade afetará apenas tal frase, cláusula ou disposição, e o restante deste O DPA permanecerá em pleno vigor e efeito.
10.5 Este DPA poderá ser executado em vias, cada uma das quais será considerada um original, mas todas juntas constituirão um único e mesmo instrumento. Assinaturas eletrônicas, fac-símile ou fotocopiadas constituirão assinaturas válidas.
ANEXO 1 - DESCRIÇÃO DO PROCESSAMENTO
A. LISTA DAS PARTES
Exportador(es) de dados: Identidade e dados de contacto do(s) exportador(es) de dados e, quando aplicável, do seu responsável pela proteção de dados e/ou representante na União Europeia.
Nome: Nome legal do Controlador listado deste Contrato Endereço: Endereço do Controlador listado deste Contrato
Nome, cargo e detalhes da pessoa de contato: O nome do contato, cargo e detalhes do Controlador Atividades relevantes para os dados transferidos sob estas Cláusulas: Compra de bens e serviços conforme disposto nos Termosdeste Contrato.
Função: Controlador
Importador(es) de dados: Identidade e detalhes de contato do(s) importador(es) de dados, incluindo qualquer pessoa de contato responsável pela proteção de dados.
Nome: A entidade Agilent listada no preâmbulo deste Contrato Endereço:
O endereço da entidade Agilent listada no preâmbulo deste Contrato
Nome, cargo e detalhes da pessoa de contato: Oficial de Proteção de Dados, ▇▇▇▇-▇▇▇▇▇▇▇▇▇▇.▇▇▇▇▇▇▇@▇▇▇▇▇▇▇.▇▇▇. Atividades relevantes para os dados transferidos sob estas Cláusulas: A Agilent é líder global em mercados de ciências biológicas, diagnósticos e produtos químicos aplicados, fornecendo soluções focadas em aplicações que incluem instrumentos, software, serviços e consumíveis para todo o fluxo de trabalho do laboratório.
Função: Processador
B. DESCRIÇÃO DA TRANSFERÊNCIA
Categorias de titulares de dados cujos dados pessoais são transferidos:
☒ Funcionários e agentes de clientes empresariais do Controlador
☒ Funcionários do Controlador e trabalhadores contratados
☒ Funcionários e agentes de fornecedores, distribuidores e outros parceiros de negócios do Controlador
☐ Pacientes do controlador
Categorias de dados pessoais transferidos:
☒ Dados pessoais básicos (por exemplo, nome, sexo, data de nascimento)
☒ Informações de contato (por exemplo, endereços, e-mail, números de telefone);
☐ Números de identificação e assinaturas únicas (por exemplo, números de Segurança Social, número de passaporte e cartão de identificação, números de carta de condução, números de identificação de funcionários, números de identificação de pacientes);
☐ Informações financeiras (por exemplo, nome e número da conta bancária, nome e número do cartão de crédito);
☐ Dados de localização (por exemplo, endereços IP);
☐ Fotos, vídeo e áudio;
☐ Atividade na Internet (por exemplo, informações relacionadas a cookies ou perfis baseados em preferências de marketing)
☐ Dados de RH e recrutamento (por exemplo, currículos, dados de empregos e cargos, informações sobre salário, cidadania e residência
☐ Dados sensíveis (por exemplo, origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos para efeitos de identificação única de uma pessoa singular, dados relativos à saúde, dados relativos à vida sexual ou sexual de uma pessoa singular orientação ou dados relativos a condenações criminais ou infrações)
Dados sensíveis transferidos (se aplicável) e restrições ou salvaguardas aplicadas que tenham plenamente em conta a natureza dos dados e os riscos envolvidos, tais como, por exemplo, limitação estrita da finalidade, restrições de acesso (incluindo acesso apenas para pessoal que tenha seguido formação especializada), manutenção um registro de acesso aos dados, restrições para transferências posteriores ou medidas de segurança adicionais: Nenhum contemplado. Se Dados Pessoais Sensíveis forem processados pelo Importador de Dados (Agilent), o Exportador de Dados (Cliente) notificará e concordará antecipadamente com a Agilent.
A frequência da transferência (por exemplo, se os dados são transferidos de forma única ou contínua):
☐Os dados são transferidos apenas uma vez
☒ Os dados são transferidos continuamente para a Agilent
Natureza do processamento: De acordo com os termos dos Termos de Vendas e Serviços da Agilent.
Finalidade(s) da transferência de dados e processamento adicional: Com a finalidade de fornecer produtos e/ou serviços sob os Termos deste contrato..
O período durante o qual os dados pessoais serão retidos ou, se isso não for possível, os critérios usados para determinar esse período: Pela vigência do Termo de Vendas e Serviços da Agilent.
Para transferências para (sub)processadores, especifique também o objeto, a natureza e a duração do processamento: consulte o Anexo 3 do DPA.
C. AUTORIDADE DE SUPERVISÃO COMPETENTE (SOMENTE PARA TRANSFERÊNCIAS DO EEE, DA SUÍÇA E DO REINO UNIDO):
A autoridade supervisora de dados na qual o exportador de dados está estabelecido.
ANEXO 2 - MEDIDAS DE SEGURANÇA TÉCNICAS E ORGANIZACIONAIS
As medidas técnicas e organizacionais implementadas pela Agilent estão descritas no seguinte link: ▇▇▇▇▇://▇▇▇.▇▇▇▇▇▇▇.▇▇▇/▇▇▇▇▇/▇▇▇▇▇▇▇▇▇/▇▇▇▇▇▇▇▇▇▇▇-▇▇▇▇▇▇▇▇/
Para transferências para subprocessadores, descrever também as medidas técnicas e organizacionais específicas a serem tomadas pelo subprocessador para poder prestar assistência ao controlador e, para transferências de um processador para um subprocessador, ao exportador de dados.
A Agilent exigirá que seus subprocessadores cumpram materialmente as medidas técnicas e organizacionais mencionadas acima com relação a quaisquer subprocessadores que Processem Dados Pessoais de acordo com o DPA.
ANEXOANEXO 3 - LISTA DE SUBPROCESSADORES
A lista de Subprocessadores usada pela Agilent será fornecida ao Controlador mediante solicitação ou conforme indicado nos Termos deste contrato, conforme acordado pelo Controlador.
ANEXO ANEXO4 - TABELAS DE ADENDOS DO REINO UNIDO
Tabela 1: Partes
Data de Início | A Data Efetiva deste contrato | |
As Partes | Exportador (quem envia a Transferência Restrita) | Importador (que recebe a Transferência Restrita) |
Detalhes das partes | Conforme declarado no Anexo 1 | Conforme declarado no Anexo 1 |
Contato principal | Conforme declarado no Anexo |
Tabela 2: Selecionadas SCCs, Módulos e cláusulas selecionadas
Aditivo EU SCCs | A versão das SCCs aprovadas da EU às quais este Adendo está anexado é detalhada abaixo, incluindo as informações do Anexo: Data: 4 de junho de 2021 Referência (se houver): Decisão de Execução (EU) 2021/914, Module No. 2 |
Tabela 3: Informações do Anexo
Anexo 1A: Lista de Partes: Conforme Tabela 1 acima |
Anexo 1B: Descrição da Transferência: De acordo com o Anexo 1 do DPA |
Anexo II: Medidas técnicas e organizacionais, incluindo medidas técnicas e organizacionais para garantir a segurança dos dados: De acordo com o Anexo 2 do DPA |
Anexo III: Lista de Subprocessadores (somente Módulos 2 e 3): De acordo com o Anexo 3 do DPA |
Tabela 4: Encerrar este Adendo quando o Adendo Aprovado for alterado
Encerrar este Adendo quando o Adendo Aprovado for alterado | Quais Partes podem rescindir este Adendo conforme estabelecido na Seção 19: 🗹 Importador 🗹 Exportador |