Calendly LLC

Adendo de processamento de dados do RGPD

Vigente em 25 de maio de 2018

Este Adendo de processamento de dados do RGPD, incluindo as cláusulas contratuais padrão referenciadas no presente documento (“DPA”), são adendos datados e complementam o contrato de serviço atual e válido (o “Contrato”), seja feito anteriormente ou simultaneamente entre você (junto com entidades subsidiárias e afiliadas, coletivamente “Cliente”) e a Calendly LLC (junto com entidades subsidiárias e afiliadas, coletivamente “Processador”) e define outros termos que se aplicam a todas as informações que você fornecer ao Processador referentes ao Contrato que incluir Dados Pessoais (conforme definido abaixo).

Termos definidos

Os termos utilizados mas não definidos neste DPA, tais como “vazamento de dados pessoais”, “processamento”, “controlador”, “processador” e “titular dos dados”, terão o mesmo significado que no Artigo 4 do RGPD. Além disso, as seguintes definições são utilizadas no Adendo:

  1. “Leis de proteção de dados da UE” significa todas as leis e regulamentações da União Europeia, a Área Econômica Europeia, seus estados participantes, a Suíça e o Reino Unido, aplicáveis ao processamento de dados pessoais sob este contrato, inclusive (onde aplicável) o RGPD.
  2. “RGPD” significa o Regulamento Geral sobre a Proteção de Dados (Regulamentação (EU) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção de pessoas naturais no que se refere ao processamento de dados pessoais e da livre movimentação de tais dados).
  3. “Dados pessoais” significa qualquer informação relacionada a uma pessoa natural identificada ou identificável na Área Econômica Europeia, na Suíça e no Reino Unido. Uma pessoa natural identificável é alguém que pode ser identificado, direta ou indiretamente, particularmente pela referência de um identificador, como um nome, um número de identificação, dados de local, um identificador online, ou a um ou mais fatores específicos à identidade física, psicológica, genética, mental, econômica, cultural ou social dessa pessoa natural.
  4. “Cláusulas contratuais padrão” significa as cláusulas modelo para a transferência de dados pessoais a processadores estabelecidos em outros países aprovados pela Comissão Europeia, cuja versão aprovada esteja definida na Decisão 2010/87/EU da Comissão Europeia de 5 de fevereiro de 2010 e em http://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087, cujas cláusulas estão incorporadas no presente documento por essa referência.

Data de vigência

Este DPA tem vigência no (a) início da vigência do RGPD ou (b) na data em que o Processador começar a processar os Dados Pessoais em nome do Cliente.

Descrição do processamento de dados

O Anexo A deste DPA descreve o exportador de dados, o importador de dados, os titulares de dados, categorias de dados, categorias de dados especiais (se apropriado), as operações de processamento e as medidas técnicas e organizacionais implementadas pelo Processador para proteger os Dados pessoais. Para os propósitos das Cláusulas contratuais padrão, (a) Cliente é o exportador de dados e a execução do Cliente desta DPA deverá ser tratada como a execução do Cliente das Cláusulas Contratuais Padrão e os apêndices deste DPA; e (b) Processador é o importador de dados e a execução do Processador deste DPA deverá ser tratada como a execução do Processador das Cláusulas contratuais padrão e os apêndices deste DPA.

Termos contratuais do RGPD

Nos termos dos Artigos 28, 32 e 33 do RGPD:

  1. O Cliente concede uma autorização geral ao Processador para apontar seus afiliados e subprocessadores e uma autorização específica para o Processador e seus afiliados para apontar como terceiros dos subprocessadores, o que proporciona salvaguardas tecnológicas e organizacionais para proteger os Dados pessoais. Envie um e-mail para security@calendly.com a qualquer momento para solicitar uma lista dos nossos subprocessadores e para assinar as atualizações por e-mail do nosso subprocessador. [Artigo 28(2)]
  2. O Processador deverá [Artigo 28(3)]:
    1. processar os Dados pessoais somente segundo instruções documentadas do Cliente, a menos que exigido pela lei do Estado participante da União Europeia a que o Processador estiver sujeito; nesse caso, o Processador deverá informar o Cliente dessa obrigação legal antes do processamento, a menos que essa lei proíba tais informações segundo bases importantes de interesse público.
    2. garantir que as pessoas autorizadas a processar os Dados Pessoais se comprometeram a manter a confidencialidade, ou estejam sob alguma obrigação estatutária de confidencialidade.
    3. tomar todas as medidas aplicáveis e apropriadas exigidas dos processadores, de acordo com o Artigo 32 do RGPD.
    4. levando em conta a natureza do processamento, auxiliar o Cliente por meio de medidas técnicas e organizacionais, tanto quanto possível, para o atendimento da obrigação do Cliente de responder às solicitações para exercer os direitos do titular s dados definidos no Capítulo III do RGPD. O Processador poderá cobrar uma tarifa (com base nos custos razoáveis do Processador) para responder às solicitações do titular de dados sob esta Sessão 4(b)(iv).
    5. auxiliar o Cliente a garantir a conformidade com as obrigações definidas nos Artigos 32 a 36 do RGPD, considerando a natureza do processamento e as informações disponíveis para o Processador.
    6. a critério do Cliente, excluir ou devolver todos os Dados pessoais ao Cliente após o fim da provisão dos serviços referentes ao processamento e excluir as cópias existentes, a menos que a lei do estado membro da União Europeia ou a lei dos Estados Unidos exija o armazenamento dos Dados Pessoais; desde que, no entanto, o Processador possa reter Dados Pessoais durante a vigência de quaisquer estatutos aplicáveis das limitações para os objetivos de fazer ou defender alegações. O Processador pode cobrar uma taxa (com base nos custos razoáveis do Processador) por quaisquer exclusões de dados sob esta Seção 4(b)(vi).
    7. disponibilizar para o Cliente todas as informações necessárias para demonstrar a conformidade com as obrigações definidas no Artigo 28 do RGPD e permitir e colaborar com auditorias, inclusive inspeções, conduzidas pelo Cliente, e informar o Cliente imediatamente se, em sua opinião, uma instrução infringir o RGPD ou outras provisões de proteção de dados da União Europeia ou Estado Participante. O Processador pode cobrar uma taxa (com base nos custos razoáveis do Processador) por quaisquer auditorias sob a Seção 4(b)(vii).
  3. Onde o Processador envolve outro processador para realizar atividades de processamento específicas em nome do Cliente, as mesmas obrigações de proteção de dados definidas neste DPA deverão ser impostas nesse outro processador, por meio de um contrato ou outro instrumento legal sob a lei da União Europeia ou do Estado Participante, particularmente proporcionando garantias suficientes para implementar medidas técnicas e organizacionais adequadas de forma que o processamento atenda aos requisitos do RGPD. [Artigo 28(4)]
  4. Considerando a tecnologia de última geração, os custos da implementação e a natureza, a abrangência, o contexto e os objetivos do processamento, assim como o risco de probabilidades e gravidades diversas dos direitos e liberdades das pessoas naturais, o Cliente e o Processador deverão implementar medidas técnicas e organizacionais adequadas para assegurar um nível de segurança apropriado para o risco. [Artigo 32(1)]
  5. Na avaliação do nível de segurança adequado, serão tidos em conta os riscos apresentados pelo processamento, particularmente da destruição acidental ou ilícita, perda, alteração, acesso ou divulgação não autorizados de dados pessoais transmitidos, armazenados ou processados de outro modo. [Artigo 32(2)]
  6. Cliente e Processador tomarão medidas para assegurar que qualquer pessoa natural agindo sob a autoridade do Cliente ou do Processador que tiver acesso a dados pessoais não os processe, exceto mediante instruções do Cliente, a menos que seja obrigado a fazê-lo pela lei da União Europeia ou do Estado Participante (ou, no caso do Processador, da lei dos Estados Unidos). [Artigo 32(4)]
  7. O Processador deverá notificar o Cliente, sem demora, ao tomar conhecimento de um vazamento de dados pessoais. [Artigo 33(2)] Tal aviso deverá, no mínimo, (A) descrever a natureza do vazamento de dados pessoais, inclusive, quando possível, as categorias e o número aproximado de titulares de dados envolvidos e as categorias e o número aproximado de registros de dados pessoais envolvidos; (B) comunicar o nome e as informações de contato do responsável pela proteção dos dados, ou outro contato que possa fornecer mais informações; (C) descrever as possíveis consequências do vazamento de dados pessoais; e (D) descrever as medidas tomadas ou propostas a serem tomadas pelo controlador, para tratar do vazamento de dados pessoais, inclusive, se possível, medidas para mitigar seus possíveis efeitos adversos. [Artigo 33(3)] A notificação ou a resposta do Processador sob esta Seção 4(g) não deverá ser considerada como confirmação pelo Processador de qualquer falha ou responsabilidade relacionada a tal vazamento de dados pessoais.

Transferências internacionais

[Artigo 46]

  1. O Cliente reconhece e concorda que o Processador está localizado nos Estados Unidos e que a provisão do Cliente dos dados pessoais ao Processador para o processamento é uma transferência dos dados pessoais para os Estados Unidos.
  2. Todas as transferências dos dados pessoais do Cliente da área Área Econômica Europeia, da Suíça e do Reino Unido para países que não asseguram um nível adequado de proteção no significado das leis vigentes de proteção de dados, deverão ser controladas pelas Cláusulas Contratuais Padrão. As Cláusulas Contratuais Padrão e os Apêndices 1 e 2 das Cláusulas Contratuais Padrão definidas no Anexo A deste Adendo estão incorporadas neste DPA por esta referência, exclusivamente conforme exigido no que diz respeito aos dados pessoais. A execução deste DPA por ambas as partes inclui a execução das Cláusulas Contratuais Padrão no que diz respeito ao processamento de dados pessoais.

Processamento pelo controlador

O Cliente declara e garante que os dados pessoais fornecidos ao processador para processamento sob o Contrato e este DPA são coletados e/ou obtidos de forma válida pelo Cliente em conformidade com todas as leis e regulamentos vigentes, inclusive, sem limitação, as leis de proteção de dados da UE, incluindo, entre outros, o Capítulo II do RGPD.

Limitação de Responsabilidades

A responsabilidade de cada uma das partes resultante de ou relacionada a este DPA, seja em contrato, ato ilícito ou sob qualquer outra teoria de responsabilidade, está sujeita às limitações de responsabilidade contidas no Contrato. Para evitar dúvidas, cada referência a "DPA" presente neste documento significa este DPA incluindo seus anexos e apêndices.

Modificação

Na medida em que for determinado por qualquer autoridade de proteção de dados que o Contrato ou este DPA é insuficiente para cumprir com as leis vigentes de proteção de dados da UE, ou na medida do necessário caso contrário por qualquer alteração nas leis vigentes de proteção de dados, o Cliente e o Processador concordam em cooperar de boa fé para alterar o Contrato ou este DPA ou entrar em outros acordos sobre processamento de dados em concordância mútua, em um esforço para cumprir com quaisquer leis vigentes de proteção de dados da UE para o Processador e o Cliente.

Geral

Este DPA firma-se sem prejuízo dos direitos e obrigações das partes no âmbito do Contrato, que deve continuar a ter pleno vigor e efeito. No caso do surgimento de qualquer conflito entre os termos deste DPA e os termos do Contrato, os termos deste DPA prevalecerão somente no âmbito do objeto que envolver o processamento de dados pessoais. Este DPA não confere nenhum direito beneficiário a terceiros, tem como objetivo o benefício das partes aqui tratadas e seus respectivos sucessores e cessionários autorizados e não tem como objetivo o benefício de nenhuma outra pessoa, nem qualquer das provisões aqui contidas podem ser aplicadas por nenhuma outra pessoa. Este DPA aplica-se somente no que diz respeito ao processamento de dados pessoais pelo Processador em nome do Cliente. Exceto conforme exigido pelo RGDP, este DPA e todas as ações aqui relacionadas serão controladas e interpretadas de acordo com as leis do estado da Geórgia, sem dar efeito a nenhum conflito de princípios da lei. Exceto no caso de disputas sujeitas à arbitração conforme descrito no Contrato, cujas provisões estão incorporadas no presente documento por essa referência, as partes concordam com a jurisdição e local de julgamento dos tribunais de Atlanta, Geórgia. Este DPA, em conjunto com o Contrato, é o contrato final, completo e exclusivo das partes no que se refere ao assunto aqui tratado e substitui e mescla todas as discussões e contratos anteriores entre as partes no que se refere ao assunto em questão.

Adendo do processamento de dados

Anexo A: Apêndices das Cláusulas Contratuais Padrão

Apêndice 1 das Cláusulas Contratuais Padrão

Este Apêndice é parte das Cláusulas Contratuais Padrão

Os Estados Participantes podem completar ou especificar, de acordo com seus procedimentos nacionais, todas as informações adicionais necessárias a este Apêndice.

Exportador de dados

O exportador de dados é (descreva brevemente suas atividades referentes à transferência):

O exportador de dados é Cliente, um usuário dos serviços prestados pelo Processador, a entidade que executou um Contrato e que concordou com as Cláusulas Contratuais Padrão como exportador de dados.

Importador de dados

O importador de dados é (descreva brevemente suas atividades referentes à transferência):

Calendly LLC, fornecedora global de uma plataforma que facilita o agendamento de compromissos e processa dados pessoais após a instrução do exportador de dados, em conformidade com os termos do Contrato e do DPA.

Titulares dos dados

Os dados pessoais transferidos referem-se às seguintes categorias de titulares dos dados (especifique):

O exportador de dados poderá enviar dados pessoais à Calendly, LLC, com volume determinado e controlado pelo exportador de dados a seu critério exclusivo, e que poderá incluir, entre outros, dados pessoais relacionados às seguintes categorias de titulares de dados: representantes e usuários finais do exportador de dados, inclusive funcionários, terceirizados, parceiros comerciais, colaboradores e clientes do exportador de dados. Os titulares de dados podem também incluir indivíduos que tentarem se comunicar ou transferir dados pessoais aos usuários dos serviços fornecidos pela Calendly LLC.

Categorias de dados

Os dados pessoais transferidos referem-se às seguintes categorias de dados (especifique):

O exportador de dados pode enviar dados pessoais à Calendly LLC, com volume determinado e controlado pelo exportador de dados, a seu critério exclusivo, e que poderá conter, entre outras, as seguintes categorias de dados pessoais: (a) Nome e sobrenome; (b) Cargo; (c) Função; (d) Empregador; (e) Informações de contato (empresa, e-mail, telefone, endereço físico comercial); (f) Dados de conexão; (g) Dados de localização; e (h) outros dados no formato eletrônico utilizado pelo Cliente no contexto dos serviços.

Categorias especiais de dados (se apropriado)

Os dados pessoais transferidos referem-se às seguintes categorias especiais de dados (especifique):

Nenhuma

Operações de processamento

Os dados pessoais transferidos estarão sujeitos às seguintes atividades de processamento (especifique):

O objetivo do processamento dos dados pessoais pelo importador de dados é a realização dos serviços contratuais referentes ao Contrato com o exportador de dados. Os processos podem incluir coleta, armazenamento, recuperação, consulta, utilização, eliminação ou destruição, comunicação por transmissão, difusão ou disponibilização dos dados do exportador conforme o necessário para fornecer os serviços em conformidade com as instruções do exportador, inclusive objetivos internos relacionados (como controle de qualidade, resolução de problemas, desenvolvimento de produto etc.).

Apêndice 2 das Cláusulas Contratuais Padrão

Este Apêndice é parte das Cláusulas Contratuais Padrão.

Descrição das medidas de segurança técnicas e organizacionais implementadas pelo importador de dados, de acordo com as Cláusulas 4(d) e 5(c) (ou documento/legislação anexado):

Processador manterá razoáveis salvaguardas administrativas, físicas e técnicas para a proteção da segurança, a confidencialidade e a integridade dos dados pessoais transferidos para o Processador, conforme descrito no Contrato e na política de privacidade do Processador, disponível em https://calendly.com/pages/privacy.