Este Adendo de Processamento de Dados ("DPA"), que inclui as cláusulas de Acordo de Parceiro de Negócios ("BAA"), faz parte do Contrato Quadro de Serviços e Assinatura entre o Cliente ("Controlador de Dados") e Continuous Labs SpA, operando como VeriFlow.me ("Processador de Dados").
1. Objeto, Duração, Natureza e Finalidade do Processamento
- Objeto: O processamento de Dados Pessoais para a prestação dos serviços de verificação de credenciais pelo Processador de Dados ao Controlador de Dados.
- Duração: O processamento será realizado durante a vigência do Contrato.
- Natureza e Finalidade: A coleta, armazenamento, consulta e comunicação de Dados Pessoais com o único fim de verificar as credenciais profissionais segundo as instruções do Controlador de Dados.
- Tipos de Dados Pessoais e Categorias de Titulares de Dados: Os tipos de Dados Pessoais e as categorias de Titulares de Dados são os descritos na Política de Privacidade do Processador de Dados.
2. Papéis e Responsabilidades
As partes concordam que, para os efeitos das Leis de Proteção de Dados aplicáveis, o Cliente é o Controlador de Dados (ou "Empresa" / "Entidade Coberta") e VeriFlow.me é o Processador de Dados (ou "Provedor de Serviços" / "Parceiro de Negócios"). Esta definição é a base sobre a qual se constroem todas as obrigações subsequentes.
3. Obrigações do Processador de Dados (VeriFlow.me)
3.1. Processamento sob Instruções Documentadas: O Processador de Dados processará os Dados Pessoais unicamente seguindo as instruções documentadas do Controlador de Dados, a menos que seja obrigado a fazê-lo pela lei da União ou de um Estado-membro.
3.2. Confidencialidade: O Processador de Dados garantirá que todo o pessoal autorizado a processar Dados Pessoais tenha se comprometido a manter a confidencialidade.
3.3. Segurança do Processamento: O Processador de Dados implementará e manterá medidas técnicas e organizacionais apropriadas (TOMs) para garantir um nível de segurança adequado ao risco, protegendo os dados contra o processamento não autorizado ou ilícito e contra sua perda, destruição ou dano acidental. Estas medidas serão detalhadas em um Anexo a este DPA e incluirão, no mínimo, criptografia de dados em trânsito e em repouso, controles de acesso estritos e planos de resposta a incidentes.
3.4. Subprocessadores: O Processador de Dados não subcontratará nenhum outro processador (um "Subprocessador") sem a autorização prévia por escrito, geral ou específica, do Controlador de Dados. Em caso de autorização geral, o Processador de Dados informará o Controlador de Dados de qualquer mudança prevista, dando-lhe a oportunidade de se opor. O Processador de Dados imporá ao Subprocessador as mesmas obrigações de proteção de dados que as estabelecidas neste DPA.
3.5. Assistência nos Direitos dos Titulares de Dados: O Processador de Dados assistirá o Controlador de Dados, mediante medidas técnicas e organizacionais apropriadas, para que este possa cumprir com sua obrigação de responder às solicitações que tenham por objeto o exercício dos direitos dos Titulares de Dados.
3.6. Notificação de Violações de Segurança de Dados Pessoais: O Processador de Dados notificará o Controlador de Dados sem demora indevida qualquer violação de segurança dos Dados Pessoais de que tenha conhecimento.
3.7. Avaliações de Impacto sobre a Proteção de Dados: O Processador de Dados assistirá o Controlador de Dados na realização de avaliações de impacto sobre a proteção de dados (DPIAs), quando necessário.
4. Obrigações do Controlador de Dados (O Cliente)
O Controlador de Dados é o único responsável pela exatidão, qualidade e legalidade dos Dados Pessoais e dos meios pelos quais adquiriu tais Dados Pessoais. O Controlador de Dados garante que suas instruções de processamento cumprem com todas as Leis de Proteção de Dados aplicáveis.
5. Direitos de Auditoria
O Processador de Dados colocará à disposição do Controlador de Dados toda a informação necessária para demonstrar o cumprimento das obrigações estabelecidas no presente DPA e permitirá e contribuirá para a realização de auditorias. Tais auditorias serão realizadas normalmente mediante a revisão pelo Controlador de Dados dos relatórios de auditoria de terceiros do Processador de Dados (p. ex., SOC 2, ISO 27001), com uma frequência não superior a uma vez por ano.
6. Disposições Específicas para o Cumprimento da HIPAA (Cláusulas de Parceiro de Negócios)
Esta seção se aplica unicamente se o Cliente for uma "Entidade Coberta" e os Dados do Cliente incluírem "Informação de Saúde Protegida" (PHI), conforme definido na HIPAA.
6.1. Definições Específicas da HIPAA: Os termos utilizados nesta seção terão o significado que lhes é atribuído na HIPAA e na Lei HITECH.
p>6.2. Usos e Divulgações Permitidos de PHI: O Processador de Dados (como "Parceiro de Negócios") não usará nem divulgará PHI de nenhuma outra maneira que não seja a permitida ou requerida pelo Contrato ou pela Lei.
6.3. Salvaguardas para a PHI: O Processador de Dados implementará salvaguardas administrativas, físicas e técnicas que protejam de maneira razoável e apropriada a confidencialidade, integridade e disponibilidade da PHI eletrônica que cria, recebe, mantém ou transmite em nome do Controlador de Dados (a "Entidade Coberta").
6.4. Notificação de Incidente: O Processador de Dados notificará o Controlador de Dados de qualquer Incidente de PHI não segura sem demora indevida, e em nenhum caso mais tarde de 60 dias corridos após a descoberta do Incidente, em conformidade com os requisitos da Regra de Notificação de Incidentes da HIPAA.
6.5. Cláusula de Supremacia para Obrigações de Proteção de Dados: A integração de um BAA em um DPA focado no GDPR requer uma gestão cuidadosa das possíveis sobreposições ou conflitos normativos. Para abordar isso, estabelece-se a seguinte regra: Em caso de conflito entre as disposições deste Anexo relativas ao GDPR e as relativas à HIPAA, prevalecerá a disposição que impuser o padrão de proteção de dados mais estrito.