Este Adendo referente ao Processamento de Dados (Data Processing Addendum, DPA) entra em vigor em 27 de setembro de 2021, ou na data de início de vigência (“Data de Início de Vigência”), em que você, na qualidade de cliente comercial (“você” ou “Cliente”) passa a adquirir Serviços (conforme definição abaixo) da Clipchamp Pty Ltd (ACN 162516556), uma subsidiária da Microsoft Corporation (Clipchamp”, “nós”, “nos”, “nosso”,ou“Provedor de Serviços”), e a fazer parte de todo e qualquer acordo (inclusive, entre outros, dos Termos, conforme definição abaixo), ordens de compra, declarações de trabalho e outros documentos contratuais estabelecidos entre as partes (individual e coletivamente, o “Contrato”). Este DPA é assinado pela Clipchamp e/ou Afiliadas associadas (conforme definição abaixo) que prestam Serviços ao Cliente, e pelo Cliente e/ou Afiliadas associadas (conforme definição abaixo) que adquirem Serviços da Clipchamp nos termos de um Contrato. Este DPA se aplicará na medida em que o Provedor de Serviços receber, armazenar ou processar Dados Pessoais em nome do Cliente em conexão com quaisquer Serviços. A Clipchamp e o Cliente são referidos individualmente como “parte” e, coletivamente, como “partes” neste DPA. O Contrato incorpora expressamente este DPA. Em caso de conflito entre este DPA e o Contrato, o Contrato prevalecerá na medida do conflito (exceto na medida limitada em que os termos do DPA sejam exigidos pela lei aplicável, caso em que os termos relevantes deste DPA prevalecerão na extensão do conflito). Todos os termos em letras maiúsculas não definidos neste DPA terão os significados conforme estabelecidos no Contrato.

1. DEFINIÇÕES.

Os termos a seguir têm os significados estabelecidos abaixo apenas para fins do DPA e não se aplicam aos Termos e Condições da Clipchamp (“Termos”). Outros termos podem ser definidos detalhadamente neste DPA.

1.1 “Afiliadas” significa entidades que possuem, são de propriedade ou estão sob o controle comum de qualquer parte.

1.2 “Operações de Negócios” consistem no seguinte: cada qual como inerente à entrega dos Serviços ao Cliente: (1) gerenciamento de contas e de cobrança; (2) remuneração (por exemplo, calcular comissões de funcionários e incentivos de parceiros); (3) relatórios internos e modelo de negócios (por exemplo, previsão, receita, planejamento de capacidade, estratégia de produto); (4) combate à fraude, crime cibernético ou ataques cibernéticos que possam afetar os Serviços da Clipchamp ou os produtos e serviços de suas Afiliadas; (5) melhorar a funcionalidade central da acessibilidade, privacidade ou eficiência energética; e (6) relatórios financeiros e conformidade com obrigações legais (sujeito às limitações na divulgação de dados processados, descritas na Seção 2.9 abaixo).

1.3 “Controladora” significa a entidade que determina os fins e os meios do Processamento de Dados Pessoais.

1.4 “Lei de Proteção de Dados” significa todas as leis de proteção e privacidade de dados aplicáveis ao Processamento de Dados Pessoais nos termos do Contrato, inclusive, quando aplicável, a Lei de Proteção de Dados da UE e a Lei de Privacidade Australiana de 1988 (Cth).

1.5 “Titular dos Dados” refere-se ao indivíduo a quem os Dados Pessoais se relacionam.

1.6 “Lei de Proteção de Dados da UE” refere-se (i) antes de 25 de maio de 2018, à Diretiva 95/46/EC do Parlamento Europeu e do Conselho da União Europeia sobre a proteção de indivíduos quanto ao processamento de Dados Pessoais e à livre movimentação desses dados (“Diretiva”); (ii) a partir de 25 de maio de 2018, ao Regulamento 2016/679 do Parlamento Europeu e do Conselho da União Europeia sobre a proteção de pessoas físicas quanto ao processamento de Dados Pessoais e à livre movimentação desses dados (Regulamento Geral sobre a Proteção de Dados) (“RGPD”); e (iii) à Diretiva e RGPD conforme transposição para a legislação nacional de cada Estado-Membro.

1.7 “Cláusulas Contratuais Padrão” significa as cláusulas contratuais padrão aplicáveis a Processadores, conforme aprovadas pela Comissão Europeia, que são incorporadas a este DPA.

1.8 “Dados Pessoais” significa qualquer informação relacionada a uma pessoa física identificada ou identificável, que seja enviada ao Provedor de Serviços pelo Cliente como parte dos Serviços.

1.9 “Violação de Dados Pessoais” significa uma violação à segurança dos Serviços que leva à destruição acidental ou ilícita, perda, alteração, divulgação não autorizada ou acesso aos Dados Pessoais.

1.10 “Processo” ou “Processamento” significa qualquer operação ou conjunto de operações executadas com base nos Dados Pessoais, por meios automáticos ou não, como, p. ex., coleta, registro, organização, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou, de outra forma, disponibilização, alinhamento ou combinação, bloqueio, exclusão ou destruição.

1.11 “Dados Processados” significa: (a) Dados do Cliente; (b) Dados de Serviços Profissionais; (c) Dados Pessoais; e (d) outros dados processados pela Clipchamp relacionados aos Serviços e considerados informações confidenciais do Cliente nos termos do Contrato.

1.12 “Processador” refere-se a uma entidade que processa Dados Pessoais em nome da Controladora.

1.13 “Serviços Profissionais” significa os seguintes serviços: (a) Serviços de consultoria da Clipchamp, consistindo em planejamento, aconselhamento, diretrizes, migração de dados, serviços de implantação e desenvolvimento de soluções/software fornecidos com base em uma ordem de serviço da Clipchamp que incorpore este DPA por referência; e (b) serviços de suporte técnico fornecidos pela Clipchamp que ajudam os clientes a identificar e resolver problemas que afetam os Serviços, inclusive suporte técnico fornecido como parte dos serviços de suporte da Clipchamp e outros serviços de suporte técnico.

1.14 “Dados de Serviços Profissionais” significa todos os dados, inclusive todos os arquivos de texto, som, vídeo, imagem ou software, fornecidos à Clipchamp por ou em nome de um Cliente (ou obtidos a partir dos Serviços pela Clipchamp, mediante autorização do Cliente) ou obtidos ou processados de outra forma, por ou em nome da Clipchamp, por meio de um compromisso firmado com a Clipchamp para a obtenção dos Serviços Profissionais.

1.15 “Serviços” refere-se, individual e coletivamente, a quaisquer produtos, serviços ou documentação fornecidos pelo Provedor de Serviços ao Cliente, nos termos do Contrato.

1.16 “Subprocessador” significa qualquer Processador usado ou contratado pelo Provedor de Serviços ou qualquer membro de seu grupo de empresas que processe Dados do Cliente, Dados de Serviços Profissionais e/ou Dados Pessoais de acordo com o Contrato, conforme descreve o Artigo 28 do RGPD. Um Subprocessador pode incluir terceiros ou qualquer membro do grupo de empresas do Provedor de Serviços (ou seja, Afiliadas do Provedor de Serviços).

1.17 “Fornecer Serviços” consiste em um ou mais dos seguintes: (a) entrega de capacidades funcionais conforme licenciadas, configuradas e usadas pelo Cliente e seus usuários, com o fornecimento de experiências personalizadas do usuário; (b) solução de problemas (prevenção, detecção e reparo de problemas); e (c) melhoria contínua (instalar as atualizações mais recentes e promover melhorias na produtividade, confiabilidade, eficácia, qualidade e segurança do usuário).

1.18 “Fornecer Serviços Profissionais” consiste em um ou mais dos seguintes: (a) prestação dos Serviços Profissionais, com o fornecimento de suporte técnico, planejamento profissional, aconselhamento, diretrizes, migração de dados, implantação e serviços de desenvolvimento de soluções/software; (b) solução de problemas (prevenção, detecção, investigação, mitigação e reparo de problemas, inclusive Incidentes de Segurança e problemas identificados nos Serviços Profissionais ou Produto(s) relevantes durante a entrega dos Serviços Profissionais); e (c) melhoria contínua (melhoria da entrega, eficácia, qualidade e segurança dos Serviços Profissionais e dos Produtos subjacentes, com base em problemas identificados ao fornecer os Serviços Profissionais, considerando a instalação das atualizações mais recentes e a correção de defeitos de software).

2. ESCOPO, FUNÇÕES, PROCESSAMENTO E SOLICITAÇÕES DE TITULARES DOS DADOS.

2.1 Escopo. Para fins de esclarecimento, este DPA aplica-se apenas ao Processamento de dados em ambientes controlados pelos Subprocessadores da Clipchamp e pela Clipchamp, nos quais a Clipchamp esteja atuando como Processadora segundo a lei aplicável. Portanto, este DPA se aplicará à relação contratual entre as partes se os Dados do Cliente, Dados pessoais e/ou Dados de Serviços Profissionais estiverem envolvidos e forem enviados à Clipchamp pelo Cliente, mas não se aplicarão se (a) os dados não incluírem Dados Pessoais (conforme definição na legislação aplicável), (b) os Dados do Cliente, os Dados pessoais e os Dados dos Serviços Profissionais, em todos os momentos durante os Serviços e voltados ao desempenho dos Serviços, permanecerem nas instalações do Cliente ou nos ambientes operacionais de terceiros selecionados pelo Cliente; ou (c) a Clipchamp estiver atuando como Controladora nos termos da lei aplicável para a execução dos Serviços. Se a Clipchamp for a Controladora nos termos da lei aplicável para a execução dos Serviços, ou se exigido de outra forma pela lei aplicável, as partes reconhecem e concordam que a política de privacidade da Clipchamp, disponível em https://clipchamp.com/en/privacy/, se aplicará ao tratamento de dados associado aos Serviços em vez deste DPA. Além disso, o Cliente entende e concorda que visualizações privadas, visualizações públicas e outros testes beta de recursos, ferramentas ou funcionalidades (individual e coletivamente, “Visualizações”) podem empregar medidas de privacidade e segurança menos efetivas ou diferentes das normalmente presentes nos Serviços. A menos que de outra forma observado, o Cliente não deve usar Visualizações para processar Dados Pessoais ou outros dados sujeitos a requisitos de conformidade legal ou regulamentar. No tocante aos Serviços, os seguintes termos neste DPA não se aplicam às Visualizações: Processamento de Dados Pessoais; RGPD, CCPA e Segurança de Dados.

2.2 Funções das Partes.  Exceto conforme estabelecido na Seção 2.9 (Processamento para Operações de Negócios), as partes reconhecem e concordam que, com relação ao Processamento de Dados Pessoais nos termos deste DPA, o Cliente pode atuar como Controlador ou Processador, e o Provedor de Serviços pode atuar como Processador ou Subprocessador. A Seção 2.9 estabelece circunstâncias limitadas em que a Clipchamp pode atuar como Controladora independente com o Cliente.

2.3 Processamento de Dados Pessoais pelo Cliente.  O Cliente, ao usar os Serviços, cumprirá suas obrigações nos termos da Lei de Proteção de Dados em relação ao processamento de Dados Pessoais e quaisquer instruções de processamento emitidas ao Provedor de Serviços. O Cliente declara e garante ter as autorizações necessárias para que o Provedor de Serviços processe Dados Pessoais para fins de prestação dos Serviços ao Cliente, de acordo com o Contrato. Para dirimir dúvidas, em qualquer caso em que a Lei de Proteção de Dados da UE se aplicar e o Cliente atuar como Processador, o Cliente declara e garante à Clipchamp que as instruções do Cliente, inclusive a nomeação da Clipchamp como Processadora ou Subprocessadora, foram autorizadas pelo Controlador relevante.

2.4 Processamento de Dados Pessoais pelo Provedor de Serviços.  O Provedor de Serviços usará e processará os Dados do Cliente, os Dados dos Serviços Profissionais e os Dados Pessoais somente conforme descrito e sujeito às limitações fornecidas abaixo (a) para fornecer os Serviços ao Cliente de acordo com as instruções documentadas do Cliente, e (b) para operações de negócios inerentes à prestação dos Serviços ao Cliente. Não obstante o acima exposto, o Cliente instrui o Provedor de Serviços a Processar Dados do Cliente, Dados de Serviços Profissionais e Dados Pessoais: (i) de acordo com o Contrato; (ii) como parte de qualquer Processamento iniciado pelo Cliente em seu uso dos Serviços; (iii) para cumprir outras instruções razoáveis do Cliente na medida em que sejam consistentes com os termos do Contrato; e (iv) de acordo com os direitos e deveres anexados aos Dados Pessoais. O processamento de Dados do Cliente, Dados de Serviços Profissionais e/ou Dados Pessoais fora do escopo do Contrato exigirá um contrato prévio por escrito, a ser celebrado entre o Provedor de Serviços e o Cliente, por meio de um aditamento por escrito ao Contrato. Mediante notificação por escrito, o Cliente poderá rescindir o Contrato se o Provedor de Serviços recusar-se a seguir as instruções razoáveis do Cliente que difiram daquelas acordadas para o desempenho dos Serviços, na medida em que essas instruções sejam necessárias para o cumprimento da Lei de Proteção de Dados. O Provedor de Serviços notificará o Cliente se não puder mais cumprir os direitos e deveres vinculados aos Dados Pessoais, cessará imediatamente o processamento dos Dados Pessoais e tomará as medidas necessárias para remediar qualquer processamento não autorizado.

2.5 Solicitações de Titulares dos Dados.  O Provedor de Serviços envidará os melhores esforços para notificar o Cliente imediatamente sobre quaisquer solicitações do Titular dos Dados para acesso, correção, aditamento ou exclusão dos Dados Pessoais desse indivíduo. Na medida em que o Cliente não tiver acesso a esses Dados Pessoais por meio do uso dos Serviços para responder a essa solicitação, o Provedor de Serviços fornecerá ao Cliente cooperação e assistência comercialmente razoáveis em relação à resposta à solicitação do Titular dos Dados para acesso aos Dados Pessoais desse indivíduo, na medida legalmente permitida. O Cliente será responsável pelos custos decorrentes da prestação dessa assistência pelo Provedor de Serviços.

2.6 Duração.  A duração do Processamento nos termos do Contrato vigerá até que os Serviços aplicáveis sejam rescindidos, conforme estabelece o Contrato.

2.7 Finalidade.  O objetivo do Processamento é a prestação dos Serviços ao Cliente pelo Provedor de Serviços, de acordo com o Contrato e conforme especificado nas ordens de serviço celebradas segundo o Contrato.

2.8 Propriedade.  Assim como ocorre entre as partes, o Cliente detém todo o direito, a titularidade do direito e o interesse nos Dados do Cliente. A Clipchamp não adquire nenhum direito sobre os Dados do Cliente, exceto os direitos que o Cliente conceder à Clipchamp no Contrato ou nesta Seção 2.8 do DPA. Não obstante o acima exposto, esta Seção 2.8 não afeta os direitos da Clipchamp sobre o software ou os serviços que a Clipchamp licencia ao Cliente.

2.9 Processamento para Operações de Negócios. Ao Processar visando Operações de Negócios, a Clipchamp aplicará princípios de minimização de dados e não usará ou processará Dados do Cliente, Dados de Serviços Profissionais ou Dados Pessoais para: (a) criação de perfil de usuário; (b) publicidade ou fins comerciais semelhantes não relacionados aos Serviços; ou (c) qualquer outro objetivo, exceto para os fins estabelecidos neste DPA. Na medida em que a Clipchamp usar ou processar Dados Pessoais sujeitos à Lei de Proteção de Dados da UE para Operações de Negócios inerentes ao fornecimento dos Serviços ao Cliente, a Clipchamp cumprirá as obrigações de um controlador de dados independente nos termos da Lei de Proteção de Dados da UE para uso nessas circunstâncias limitadas. Para dirimir dúvidas, a Clipchamp aceita as responsabilidades adicionais de um “controlador” de dados nos termos da Lei de Proteção de Dados da UE para Processamento associado às Operações de Negócios para: (a) agir de acordo com os requisitos regulatórios, na medida exigida pela Lei de Proteção de Dados da UE; e (b) agir com mais transparência com o Cliente e confirmar a responsabilidade da Clipchamp pelo Processamento. A Clipchamp emprega garantias para proteger os Dados do Cliente, Dados de Serviços Profissionais e Dados Pessoais em Processamento, inclusive aqueles identificados neste DPA e aqueles contemplados no Artigo 6(4) do RGPD. Com relação ao Processamento de Dados Pessoais nos termos desta Seção, a Clipchamp assume os compromissos estabelecidos na seção Garantias Adicionais. Para esses fins, (i) qualquer divulgação de Dados Pessoais pela Clipchamp, conforme descreve o Anexo II do Apêndice 1 (Medidas Técnicas e Organizacionais, inclusive Medidas Técnicas e Organizacionais para Garantir a Segurança dos Dados) (individual e coletivamente, “Garantias Adicionais”), que tenha sido transferida em conexão com as Operações de Negócios é considerada uma “Divulgação Relevante”; e (ii) os compromissos previstos em Garantias Adicionais aplicam-se a esses Dados Pessoais.

2.10 Processamento de Dados Pessoais; RGPD. Todos os Dados Pessoais processados pela Clipchamp associados ao fornecimento dos Serviços são obtidos como parte de (a) Dados do Cliente; (b) Dados de Serviços Profissionais; ou (c) dados gerados, derivados ou coletados pela Clipchamp para ou em prol da execução dos Serviços (inclusive dados enviados à Clipchamp como resultado do uso de funcionalidades baseadas em serviços por um Cliente ou obtidos pela Clipchamp a partir de software instalado localmente). Os Dados Pessoais fornecidos à Clipchamp por ou em nome do Cliente através do uso dos Serviços também são Dados do Cliente. Os Dados Pessoais fornecidos à Clipchamp por ou em nome do Cliente através do uso dos Serviços Profissionais, também são Dados de Serviços Profissionais. Identificadores pseudonimizados podem ser incluídos nos dados processados pela Clipchamp em conexão com a prestação dos Serviços, e também são considerados Dados Pessoais. Dados Pessoais pseudonimizados ou desidentificados, mas não anonimizados, ou Dados Pessoais derivados de Dados Pessoais, também são considerados Dados Pessoais.

2.11 Divulgação de Dados Processados. A Clipchamp não divulgará nem fornecerá acesso a Dados Processados, exceto: (1) conforme orientação do Cliente; (2) conforme descrito neste DPA; ou (3) conforme exigido pela lei aplicável. Todo o Processamento de Dados Processados está sujeito à obrigação de confidencialidade da Clipchamp, nos termos do Contrato. A Clipchamp não divulgará nem fornecerá acesso a Dados Processados às autoridades competentes, a menos que exigido pela lei aplicável. Caso as autoridades responsáveis pela aplicação da lei entrem em contato com a Clipchamp com um requerimento para obter Dados Processados, procuraremos redirecioná-las para enviar a solicitação desses dados diretamente ao Cliente. Uma vez obrigada a divulgar ou fornecer acesso a Dados Processados às autoridades, a Clipchamp notificará imediatamente o Cliente e fornecerá uma cópia da demanda, a menos que a Clipchamp veja-se proibida ou entenda estar legalmente proibida de fazê-lo. No recebimento de qualquer solicitação de Dados Processados remetida por terceiros, a Clipchamp notificará o Cliente imediatamente, a menos que seja proibida por lei. A Clipchamp rejeitará a solicitação a não ser que seja exigido por lei a cumpri-la. Se a solicitação for válida, a Clipchamp tentará redirecionar o terceiro para que ele solicite os dados diretamente do Cliente. Para dirimir dúvidas, a Clipchamp não fornecerá a terceiros: (a) acesso direto, indireto, amplo ou ilimitado aos Dados Processados; (b) as chaves de criptografia da plataforma usadas para proteger os Dados Processados ou a capacidade de violar essa criptografia; ou (c) acesso aos Dados Processados, se a Clipchamp tomar conhecimento de que esses dados serão usados para fins diferentes dos estabelecidos na solicitação do terceiro. Com base no exposto acima, a Clipchamp poderá fornecer ao terceiro as informações de contato básicas do Cliente.

3. SUBPROCESSAMENTO.

3.1 Uso de Subprocessadores.  O Cliente reconhece e concorda que (a) as afiliadas do Provedor de Serviços e os provedores de serviços terceirizados podem ser contratados como Subprocessadores em conexão com a prestação dos Serviços. Esses Subprocessadores terão permissão para acessar Dados Pessoais somente para fornecer os serviços pelos quais o Provedor de Serviços foi contratado em conexão com os Serviços, e serão proibidos de usar os Dados Pessoais para qualquer outra finalidade. O Provedor de Serviços celebrou um contrato por escrito com cada Subprocessador contendo obrigações de proteção de dados consistentes com o DPA, na medida aplicável à natureza dos serviços prestados pelo Subprocessador.

3.2 Responsabilidade pelos Subprocessadores.  O Provedor de Serviços será responsável pelos atos de seus Subprocessadores na mesma medida em que o Provedor de Serviços se responsabilizaria se realizasse os serviços do Subprocessador diretamente nos termos do DPA, salvo disposição em contrário no Contrato.

3.3 Objeção a Subprocessadores.  Mediante solicitação, o Provedor de Serviços fornecerá uma lista atualizada constando dos Subprocessadores para os Serviços acessados pelo Cliente. Caso o Cliente se oponha a um Subprocessador, o Provedor de Serviços notificará o Cliente sobre alternativas disponíveis para alterar os Serviços ou receber os Serviços de um Subprocessador alternativo, juntamente com quaisquer encargos ou alterações aplicáveis aos termos. Se uma alternativa aceitável para o Cliente não estiver disponível em prazo razoável, o Cliente poderá rescindir os Serviços que não possam ser prestados pelo Provedor de Serviços sem o Subprocessador contestado, e receberá um reembolso proporcional pelo período restante não utilizado dos Serviços.

4. PRIVACIDADE DE DADOS E SEGURANÇA.

4.1 Medidas de Segurança pelo Provedor de Serviços.  O Provedor de Serviços mantém um programa de segurança por escrito para proteger os Dados Pessoais contra violação e para preservar a segurança e a confidencialidade dos Dados Pessoais processados pelo Provedor de Serviços, quando da prestação dos Serviços, em conformidade com a Lei de Proteção de Dados. O programa de segurança do Provedor de Serviços inclui garantias administrativas, técnicas e físicas apropriadas para o tamanho e os recursos do Provedor de Serviços e os tipos de informação que o Provedor de Serviços processa. O Provedor de Serviços poderá atualizar suas medidas de segurança de tempos em tempos, conforme condisser com o desenvolvimento das melhores práticas do setor, desde que essas atualizações e modificações não resultem na degradação da segurança dos Serviços. Quanto aos Serviços para os quais o Provedor de Serviços obtiver certificações ou auditorias de terceiros, mediante solicitação, o Provedor de Serviços fornecerá a cópia mais recente da certificação ou auditoria do terceiro em sua posse, conforme aplicável, a qual o Provedor de Serviços geralmente disponibiliza aos seus clientes no momento da solicitação.

4.2 Equipe do Provedor de Serviços.  O Provedor de Serviços garantirá que o acesso de sua equipe aos Dados Pessoais limite-se aos funcionários do Provedor de Serviços que precisarem desse acesso para execução do Contrato. A equipe do Provedor de Serviços que acessar os Dados Pessoais será informada sobre a natureza confidencial dos Dados Pessoais, estará sujeita a obrigações de confidencialidade por escrito e terá recebido treinamento adequado quanto às suas responsabilidades e a natureza dos Dados Pessoais.

4.3 Medidas de Segurança pelo Cliente.  Um Serviço pode disponibilizar recursos e funcionalidades de segurança que o Cliente possa optar por usar (por exemplo, criptografia de dados em trânsito). Na medida em que o Serviço fornecer ao Cliente controles e funcionalidades para permitir que o Cliente gerencie o Serviço, o Cliente será responsável por configurar o Serviço adequadamente e usar os controles disponíveis conforme considerar apropriado para manter a segurança adequada, proteção, exclusão e backup de Dados Pessoais. O Cliente também se responsabilizará pela implementação de medidas técnicas e organizacionais apropriadas relacionadas ao seu uso dos Serviços de maneira a permitir que o Cliente cumprirá a Lei de Proteção de Dados.

5. RESPOSTA À VIOLAÇÃO DE DADOS PESSOAIS.

O Provedor de Serviços envidará os melhores esforços para notificar imediatamente o Cliente sobre qualquer divulgação não autorizada ou perda de Dados Pessoais, conforme exigir a Lei de Proteção de Dados e de acordo com as disposições relevantes no Contrato. O Provedor de Serviços tomará as medidas apropriadas para identificar e remediar a causa dessa divulgação ou perda não autorizada, e fornecerá informações relacionadas à Violação dos Dados Pessoais, conforme razoavelmente solicitado pelo Cliente. As notificações serão entregues aos administradores do Cliente para o Serviço pelos meios habituais de aviso, exceto que, devido ao tempo ser essencial nesta situação, serão enviadas mensagens eletrônicas para o e-mail do Cliente registrado pela Clipchamp. É responsabilidade do Cliente garantir que suas informações de contato estejam sempre atualizadas no console de Serviço aplicável. O Cliente reconhece que o Provedor de Serviços não o notificará sobre tentativas malsucedidas de violação de segurança que não resultem em acesso não autorizado ou perda de Dados Pessoais.

6. TRANSFERÊNCIAS E EXPORTAÇÕES DE DADOS.

6.1 Transferências de Dados.  O Cliente reconhece e consente com a transferência de Dados Pessoais pelo Provedor de Serviços (inclusive se o Cliente localizar-se na Europa, fora do EEE e da Suíça, de acordo com a Seção 6.2 abaixo, e se o Cliente localizar-se na Austrália, fora da Austrália), sujeito à conformidade do Provedor de Serviços com a Lei de Proteção de Dados aplicável e os requisitos deste DPA.

6.2 Transferências de Dados provenientes do EEE e da Suíça.  A menos que o Provedor de Serviços tenha fornecido um mecanismo de transferência adequado alternativo (conforme reconhecido pela Lei de Proteção de Dados) para o país pertinente, ou o Provedor de Serviços esteja atuando como Subprocessador, as Cláusulas Contratuais Padrão serão aplicadas aos Dados Pessoais transferidos pelo Provedor de Serviços do Espaço Econômico Europeu (“EEE”) e/ou da Suíça para um país não reconhecido pela Comissão Europeia ou pela Autoridade Federal de Proteção de Dados da Suíça como fornecendo um nível adequado de proteção para Dados Pessoais. Essas transferências de Dados Pessoais para fora do EEE ou da Suíça serão regidas pelo Módulo 2 das Cláusulas Contratuais Padrão, conforme disponíveis em http://dados.europa.Eu/eli/dec_impl/2021/914/oj (as “Novas SCCs”), e transferências de Dados Pessoais para fora do Reino Unido serão regidas pelas Cláusulas Contratuais Padrão, conforme disponíveis em https://eur-lex.europa.Eu/conteúdo-legal/en/TXT/?uri=CELEX%3A32010D0087 (as “SCCs Herdadas”). As Novas SCCs e as SCCs Herdadas são incorporadas e fazem parte deste DPA. Conforme usado nas Novas SCCs e nas SCCs Herdadas, o termo “importador de dados” refere-se ao Provedor de Serviços, e o termo “exportador de dados” refere-se ao Cliente e suas Afiliadas. Não obstante o disposto acima, para os fins das Cláusulas Contratuais Padrão (Standard Contractual Clauses, SCCs):

a Cláusula 7 opcional das Novas SCCs não se aplicará,

a opção 1 da Cláusula 9(a) das Novas SCCs se aplicará, e o prazo será estipulado em 30 dias;

a opção 1 da Cláusula 17 das Novas SCCs se aplicará e fará referência à República da Irlanda;

o texto opcional na Cláusula 11(a) das Novas SCCs não se aplicará;

os Anexos I, II e III das Novas SCCs e o Anexo I das SCCs Herdadas serão substituídos em sua totalidade pelo Apêndice 1, anexado a este instrumento.

6.3 Mecanismo alternativo de Exportação de Dados. Se o Provedor de Serviços adotar outro mecanismo alternativo de exportação de dados (conforme reconhecido pela Lei de Proteção de Dados), as Cláusulas Contratuais Padrão deixarão de ser aplicáveis a partir da data em que o Provedor de Serviços implementar esse novo mecanismo de exportação de dados. 

7. EXCLUSÃO DE DADOS.

Durante e após o Contrato, o Provedor de Serviços excluirá ou devolverá ao Cliente todos os Dados Pessoais em posse ou controle do Provedor de Serviços, conforme disposto no Contrato, exceto na medida em que o Provedor de Serviços ver-se obrigado a reter Dados Pessoais específicos conforme exigir a lei aplicável (nesse caso, o Provedor de Serviços arquivará os dados e implementará medidas razoáveis para impedir que os Dados Pessoais sejam processados posteriormente). Os termos deste DPA continuarão em vigor em relação a esses Dados Pessoais.

8. COOPERAÇÃO.

8.1 DPIAs, Registros de Atividades de Processamento e Consultas Anteriores.  Na medida exigida pela Lei de Proteção de Dados da UE, o Provedor de Serviços, mediante notificação razoável e às custas do Cliente, fornecerá informações pertinentes solicitadas sobre os Serviços para permitir que o Cliente realize avaliações de impacto de proteção de dados (data protection impact assessments, “DPIAs”), registros de atividades de processamento e/ou consultas prévias com as autoridades de proteção de dados. Para evitar dúvidas, a Clipchamp (quando solicitada) fornecerá registros e informações ao Cliente e manterá esses registros e informações precisos e atualizados, na medida exigida pela Lei de Proteção de Dados da UE.

8.2 Solicitações Legais de Divulgação.  Se o Provedor de Serviços receber uma solicitação juridicamente vinculativa para a divulgação de Dados Pessoais sujeitos a este DPA, essa solicitação será imediatamente encaminhada ao Cliente, a fim de permitir que o Cliente tenha a oportunidade de se envolver nos processos legais que considerar apropriados em relação à proteção ou divulgação dos Dados Pessoais. Não obstante o exposto acima, a Clipchamp poderá disponibilizar essas informações à autoridade supervisora, se assim o exigir a Lei de Proteção de Dados.

8.3 Auditorias.  Com relação às auditorias descritas nas Cláusulas 5(f), 11 e 12(2) das Cláusulas Modelo da UE, o Cliente concorda que as auditorias serão realizadas de acordo com as seguintes especificações: Mediante solicitação do exportador de dados, e sujeito às obrigações de confidencialidade estabelecidas no Contrato, o Provedor de Serviços deverá, em período razoável após a solicitação, disponibilizar para o exportador de dados (ou para o exportador de dados independente, auditor terceirizado que não seja concorrente do Provedor de Serviços) informações sobre a conformidade do Provedor de Serviços com as obrigações estabelecidas no DPA, que podem ser na forma de relatórios e certificações de auditoria de terceiros, na medida em que o Provedor de Serviços tenha esses relatórios ou certificações atualizados e geralmente os disponibilize aos clientes. O Cliente reembolsará o Provedor de Serviços pelo tempo e despesas incorridos para atender a qualquer auditoria no local, de acordo com as taxas de serviços profissionais padrão do Provedor de Serviços. Antes do início de qualquer auditoria, o Provedor de Serviços e o exportador de dados concordarão com o escopo, o prazo e a duração.

9. LIMITAÇÃO DE RESPONSABILIDADE.

9.1 Exclusão de Danos. EM NENHUM CASO, QUALQUER DAS PARTES SERÁ RESPONSÁVEL PERANTE A OUTRA POR DANOS INDIRETOS, INCIDENTAIS, EXEMPLARES, ESPECIAIS OU CONSEQUENCIAIS, DECORRENTES OU RELACIONADOS A ESTE DPA OU AO CONTRATO, MESMO SE AVISADAS ANTECIPADAMENTE DA POSSIBILIDADE DE TAL PERDA OU DANO.

9.2 Responsabilidade Total.  AS RESPONSABILIDADES ASSOCIADAS A ESTE DPA ESTARÃO SUJEITAS À LIMITAÇÃO DE RESPONSABILIDADE ESTABELECIDA NO CONTRATO. SE NENHUMA LIMITAÇÃO DE RESPONSABILIDADE FOR ESTABELECIDA NO CONTRATO, EM NENHUM CASO A RESPONSABILIDADE AGREGADA DE QUALQUER DAS PARTES PERANTE A OUTRA, POR TODAS AS CAUSAS DE AÇÃO E TEORIAS DE RESPONSABILIDADE, EXCEDERÁ 1 (UMA) VEZ O VALOR REAL PAGO PELO CLIENTE AO PROVEDOR DE SERVIÇOS NO PERÍODO DOS 12 (DOZE) MESES ANTERIORES, DE ACORDO COM O CONTRATO.

10. DISPOSIÇÕES GERAIS.

10.1 Modificação e Suplementação.  As partes concordam em determinar e executar mutuamente modificações apropriadas aos termos deste DPA que não alterem materialmente a economia ou alocação de risco estabelecidas pelo Contrato (i) se exigido por autoridade supervisora ou outra entidade governamental ou regulatória; (ii) se necessário para cumprir a Lei de Proteção de Dados: ou (iii) para implementar ou aderir a cláusulas contratuais padrão revisadas que possam ser emitidas nos termos da Lei de Proteção de Dados. Para evitar dúvidas, as cláusulas contratuais padrão estabelecidas no Contrato Internacional de Transferência de Dados do Reino Unido (International Data Transfer Agreement, “ITDA”), em https://ico.org.Reino uk/media/for-organisations/documents/4019483/international-data-transfer-addendum.pdf, se aplicarão para transferências de dados pessoais do Reino Unido para os Estados Unidos e outras jurisdições não adequadas nos termos deste DPA. Termos complementares podem ser adicionados como Anexo ou Apêndice a este DPA, quando tais termos se aplicarem apenas ao processamento de Dados Pessoais nos termos da Lei de Proteção de Dados de países ou jurisdições específicas. Qualquer das partes poderá notificar a outra sobre essas alterações, e o DPA modificado entrará em vigor, de acordo com os termos do Contrato.

10.2 Local e Lei Reguladora para a Solução de Litígios. Salvo se exigido de outra forma para cumprir a Lei de Proteção de Dados (inclusive, entre outras, a Lei de Proteção de Dados da UE), este DPA será interpretado e aplicado de acordo com o Contrato, sem considerar conflitos entre princípios legais (“lei aplicável”). Cada parte concorda que qualquer ação, processo ou outro procedimento baseado ou decorrente deste DPA (cada qual, um “Litígio”) será apresentado e mantido de acordo com o Contrato, e cada parte consente com a jurisdição e foro obrigatórios dessas arbitragens e tribunais, e renuncia a qualquer direito de se opor à jurisdição e foro. A parte vencedora em qualquer Litígio terá direito à recuperação dos honorários advocatícios e custas razoáveis, exceto na arbitragem, em que a recuperação dos honorários advocatícios e custas será regida pelo Contrato e pelas normas de arbitragem. A Lei Uniforme de Transações de Informação por Computador e a Convenção das Nações Unidas sobre Contratos para a Venda Internacional de Mercadorias não se aplicarão a este DPA.

10.3 Cláusulas Diversas. Para os fins deste DPA, os termos definidos constantes no singular incluem o plural, e vice-versa. Exceto na medida em que um DPA diferente tenha sido ou será executado entre as partes sobre o assunto deste documento, este DPA constitui o acordo integral entre as partes e substitui todas as propostas, verbais ou escritas, todas as negociações, conversas ou discussões entre as partes relacionadas ao assunto deste DPA e todas as negociações anteriores, normas ou práticas do setor.

10.4 Lei de Privacidade do Consumidor da Califórnia (California Consumer Privacy Act, CCPA). Se a Clipchamp estiver processando Dados Pessoais no escopo da CCPA, a Clipchamp assumirá os seguintes compromissos adicionais com o Cliente. A Clipchamp processará os Dados do Cliente, Dados de Serviços Profissionais e Dados Pessoais em nome do Cliente, e não reterá, usará ou divulgará esses dados para qualquer finalidade que difira dos fins estabelecidos no DPA, e conforme permitido pela CCPA, inclusive nos termos de qualquer isenção de “venda”. Em nenhum caso a Clipchamp venderá esses dados. Estes Termos da CCPA não limitam nem reduzem nenhum compromisso de proteção de dados feito pela Clipchamp com o Cliente no DPA e/ou no Contrato firmado entre a Clipchamp e o Cliente. Na medida exigida pela lei aplicável, o Adendo da CCPA anexado como Apêndice 2 a este DPA se aplicará aos Serviços.

10.5 Dados Biométricos. Se o Cliente usar os Serviços para processar Dados Biométricos, na medida permitida pela lei aplicável, o Cliente será responsável por: (i) fornecer notificação aos titulares dos dados, inclusive em relação aos períodos de retenção e destruição; (ii) obter consentimento dos titulares dos dados; e (iii) excluir os Dados Biométricos, conforme apropriado e exigido pelos Requisitos de Proteção de Dados vigentes. A Clipchamp processará os Dados Biométricos seguindo as instruções documentadas pelo Cliente (conforme descreve a seção “Escopo, Funções, Processamento e Solicitações de Titular dos dados” acima) e protegerá esses Dados Biométricos de acordo com os termos de segurança e proteção de dados deste DPA. Para os fins desta seção, “Dados Biométricos” terá o significado estabelecido no Artigo 4 do RGPD e, se aplicável, termos equivalentes em outra Lei de Proteção de Dados.

APÊNDICE 1

ANEXO I

A. LISTA DE PARTES

Exportador(es) de Dados

Nome: o Cliente, as entidades afiliadas do Cliente ou os respectivos clientes e afiliadas do cliente que sejam usuários dos produtos ou serviços do Provedor de Serviços (“Soluções do Provedor de Serviços”) e estejam localizados no Espaço Econômico Europeu ou na Suíça.

Endereço: endereço especificado no Contrato.

Nome, cargo e detalhes de contato da pessoa de contato: conforme descrito no Contrato; se não estiver descrito no Contrato, será o signatário do Contrato.

Telefone: conforme descrito na seção de notificação do Contrato; se não estiver descrito no Contrato, “Não aplicável”. Email: conforme descrito na seção de notificação do Contrato; se não estiver descrito no Contrato, “Não aplicável”.

Atividades relevantes aos dados transferidos nos termos destas Cláusulas:

usando os Serviços da Clipchamp, conforme descrito no Contrato.

Data e assinatura: mesmo signatário e data do Contrato.

Função (controlador/processador): controlador

Importador(es) de Dados:

Nome: Clipchamp Pty Ltd (ACN 162516556)

Endereço: Level 1, 315 Brunswick Street, Fortitude Valley QLD 4006, Austrália

Nome, cargo e detalhes de contato da pessoa de contato: Clipchamp Pty Ltd, a/c Microsoft Corporation, a/c: Diretor de Privacidade, 1 Microsoft Way, Redmond, WA 98052 EUA

Telefone: N/A E-mail: privacy@clipchamp.com

Atividades relevantes aos dados transferidos nos termos destas Cláusulas:

executando os Serviços da Clipchamp, conforme descrito no Contrato.

Data e assinatura: mesmo signatário e data do Contrato.

Função (controlador/processador): Processador

B. DESCRIÇÃO DA TRANSFERÊNCIA

O Cliente, como exportador de dados, pode enviar dados pessoais para a Clipchamp (importadora de dados), cuja extensão é determinada e controlada pelo exportador de dados, a seu exclusivo critério, e pode incluir, entre outros, as seguintes categorias de titulares de dados cujos dados pessoais são transferidos:

  • Clientes potenciais, clientes, parceiros de negócios, fornecedores e funcionários do exportador de dados (que são pessoas físicas)

  • Funcionários ou pessoas de contato do exportador de dados e/ou clientes potenciais, clientes, parceiros de negócios e fornecedores do exportador de dados

  • Usuários de exportadores de dados autorizados pelo exportador de dados a usar os Serviços

  • Indivíduos cujas imagens podem aparecer em vídeos carregados pelos usuários dos exportadores de dados

O Cliente, como exportador de dados, pode enviar dados pessoais para a Clipchamp (importadora de dados), cuja extensão é determinada e controlada pelo exportador de dados, a seu exclusivo critério, e pode incluir, entre outros, as seguintes categorias de dados pessoais transferidos:

  • Informações de contato, informações de emprego e educação, endereço IP, dados de conexão, dados de localização e dados pessoais incluídos no conteúdo criado pelo usuário ou sobre ele (inclusive, entre outros, vídeos e imagens que aparecem em vídeos carregados pelos usuários dos exportadores de dados).

Dados sensíveis transferidos (se aplicável) e restrições ou garantias vigentes que consideram a natureza dos dados e os riscos envolvidos, como, por exemplo, limitação rigorosa de finalidade, restrições de acesso (inclusive acesso apenas para funcionários que seguiram treinamento especializado), mantendo um registro de acesso aos dados, restrições para transferências subsequentes ou medidas de segurança adicionais:

  • A partir da Data de Início de Vigência do Contrato, as partes não antecipam categorias especiais de dados pessoais em transferência. Não obstante, o Cliente, como exportador de dados, pode enviar categorias especiais de dados para a Clipchamp (importadora de dados), cuja extensão é determinada e controlada pelo exportador de dados, a seu exclusivo critério, por meio de carregamento de vídeo, campos de texto ou outro conteúdo, que, para fins de clareza, pode revelar origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, filiação sindical e/ou saúde ou vida sexual.

Frequência da transferência (por exemplo, se os dados são transferidos de uma só vez ou de forma contínua):

Contínua.

Natureza do processamento:

  • Executar os Serviços, conforme descrito no Contrato.

Finalidade(s) da transferência de dados e processamento adicional:

  • Executar os Serviços, conforme descrito no Contrato.

Período durante o qual os dados pessoais serão retidos ou, se não for possível, os critérios usados para determinar esse período:

  • Durante a vigência do Contrato.

Para transferências a (sub)processadores, especifique também o assunto, a natureza e a duração do processamento:

  • De acordo com o DPA, o importador de dados poderá contratar outras empresas para prestar serviços limitados em nome do importador de dados, tais como dar suporte ao cliente. Os subcontratados poderão obter os dados pessoais apenas para prestar serviços pelos quais foram contratados pelo importador de dados, e eles serão proibidos de usar os dados pessoais para qualquer outra finalidade.

C. AUTORIDADE SUPERVISORA COMPETENTE

A autoridade supervisora competente deve ser:

  • A autoridade supervisora da República da Irlanda

Anexo II -

MEDIDAS TÉCNICAS E ORGANIZACIONAIS, E TAMBÉM MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS

A Clipchamp mantém políticas de segurança documentadas para os Serviços aplicáveis, disponíveis para o Cliente em um Apêndice aos termos de confidencialidade do Contrato.

Subprocessadores

A lista de subprocessadores aprovados pela Clipchamp está disponível conforme os termos de confidencialidade do Contrato, por meio de solicitação enviada ao seu representante de vendas da Clipchamp. Para evitar dúvidas, qualquer lista de Subprocessadores poderá ser atualizada pela Clipchamp, conforme estabelece o Contrato e/ou este DPA.

APÊNDICE 2

Adendo à Lei de Privacidade do Consumidor da Califórnia

Este Adendo à CCPA (“Adendo”) datado da Data de Início de Vigência do Contrato (conforme definição abaixo) é incorporado e faz parte da ordem de compra, contrato e/ou contrato/anexo de proteção de dados celebrado entre a Clipchamp e/ou Afiliadas identificadas abaixo (“Provedor de Serviços”) e o Cliente e/ou suas Afiliadas para o Contrato. O Provedor de Serviços e o Cliente são considerados, individualmente, uma “parte” e, coletivamente, as “partes”. Para os fins deste Adendo, “Afiliadas” significa qualquer entidade que, direta ou indiretamente, seja de propriedade ou controlada por uma parte, em que “controle” é definido como a posse, direta ou indiretamente, do poder de controlar ou causar a direção da gestão e das políticas de uma entidade, seja por meio da propriedade de títulos com direito a voto, por contrato ou de outra forma. Salvo disposição em contrário neste instrumento, quaisquer termos não definidos neste Adendo terão o significado conforme estabelecido no Contrato.

Este Adendo estabelece os termos e condições relacionados à conformidade com a Lei de Privacidade do Consumidor da Califórnia de 2018, Cal. Código Civil §1798.100 et seq. e regulamentos relacionados (“CCPA”), conforme possa ser alterado de tempos em tempos. Em caso de conflito entre este Adendo e o Contrato, este Adendo prevalecerá, quando aplicável. Os termos em letras maiúsculas identificados neste Adendo terão o mesmo significado definido na CCPA, salvo indicação em contrário.

As partes concordam com os seguintes termos:

Na medida aplicável, o Provedor de Serviços cumprirá, em todos os momentos, a CCPA, inclusive emendas. Além disso, na medida em que as Informações Pessoais (conforme definição na CCPA) (“InformaçõesPessoais”) forem coletadas pelo Provedor de Serviços como resultado deste Contrato, o Provedor de Serviços não reterá, usará ou divulgará as Informações Pessoais para qualquer finalidade que difira da prestação dos Serviços especificados no Contrato. Especificamente, o Provedor de Serviços não reterá, usará ou divulgará as Informações Pessoais, exceto para os fins permitidos nos termos do Contrato.

Reter, usar ou divulgar as Informações Pessoais fora do relacionamento comercial direto entre o Provedor de Serviços e o Cliente; contanto que o Provedor de Serviços possa divulgar Informações Pessoais e permitir o processamento de Informações Pessoais por provedores de serviços que prestem serviços para o Provedor de Serviços ou em seu nome, desde que esses provedores de serviços estejam sujeitos a exigências contratuais equivalentes àquelas impostas ao Provedor de Serviços em relação às Informações Pessoais, nos termos do Contrato e deste Adendo. O Provedor de Serviços será responsável pelas ações de seus provedores de serviços.

Não obstante qualquer disposição em contrário neste Contrato, as partes concordam que o fornecimento de Informações Pessoais pelo Cliente ao Provedor de Serviços é necessário para a realização de uma finalidade comercial, portanto não faz parte e é explicitamente excluído da troca de contrapartidas ou qualquer coisa de valor entre as partes.

Se qualquer modificação a este Adendo for necessária devido a uma alteração nas leis ou regulamentos de proteção de dados, qualquer das partes poderá fornecer notificação por escrito à outra sobre essa alteração legal. As partes discutirão e negociarão de boa-fé eventuais alterações necessárias a este Adendo para abordar essa emenda assim que razoavelmente praticável.

It looks like your preferred language is English