ANEXO DE PROTEÇÃO DE DADOS PARA SERVIÇOS DOCUSIGN
Data da versão: 1º de dezembro de 2022
Este Anexo de Proteção de Dados para Serviços Docusign (“APD”) integra o Contrato. Salvo se de outra forma definido neste APD, os termos e expressões iniciados em letras maiúsculas terão os significados atribuídos a eles no Contrato. No caso de qualquer conflito entre esses documentos, aplica-se a seguinte ordem de prevalência (em ordem descendente): (a) Normas Corporativas Globais; (b) as Cláusulas-Padrão Contratuais constantes deste instrumento; (c) o conteúdo deste APD; (d) quaisquer documentos anexados ao APD; e (e) o Contrato.
1. DEFINIÇÕES. Para os fins deste DPA:
“Controlador”, “Operador”, “Negócio” ou “Provedor de Serviços” (ou termos equivalentes) têm os significados atribuídos nas Leis de Proteção de Dados.
“Dados Pessoais” inclui “dados pessoais”, “informações pessoais”, “informações de identificação pessoal (PII)”, ou expressões equivalentes, Tratados pela Docusign em conexão com o provisionamento dos Serviços Docusign sob o Contrato, e tais termos têm o mesmo significado a eles atribuídos sob as Leis de Proteção de Dados.
“EU SCCs” significa as Cláusulas-Padrão Contratuais expedidas conforme a Decisão de Execução (UE) 2021/914 da Comissão, de 4 de junho de 2021 relativa às cláusulas contratuais-tipo aplicáveis à transferência de dados pessoais para países terceiros nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, localizadas em http://data.europa.eu/eli/dec_impl/2021/914/oj, e preenchidas conforme disposto na Cláusula 7 abaixo.
“Leis de Proteção de Dados” significa todas as leis, regulamentos e outras normas legais cogentes em qualquer jurisdição relativos a privacidade, proteção de dados, segurança de dados e notificação de incidente que sejam aplicáveis ao Tratamento de Dados Pessoais pela Docusign, incluindo, sem limitação e conforme aplicável, o California Consumer Privacy Act, Cal. Civ. Code § 1798.100 et seq., e quaisquer regulamentos e alterações relacionado, incluindo, quando vigentes, as alterações ao California Privacy Rights Act (“CCPA”); o Regulamento Geral de Proteção de Dados, Regulamento (UE) 2016/679 (“GDPR”); a Lei Federal de Proteção de Dados da Suíça (o Swiss Federal Act on Data Protection, “FADP”); a Lei de Proteção de Dados do Reino Unido de 2018 (o United Kingdom Data Protection Act of 2018, “UK GDPR”); a Lei de Privacidade da Austrália (No. 119, 1988) (conforme aditada) (o Australian Privacy Act (No. 119, 1988), “Privacy Act”); a Lei de Proteção de Informações Pessoais e Documentos Eletrônicos do Canadá (o Canadian Personal Information Protection and Electronic Documents Act, “PIPEDA"); Lei nº 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais (conforme aditada pela Lei nº 13.853, de 8 de julho de 2019 (“LGPD”); e a Lei de Proteção de Dados Pessoais de Singapura (Singapore Personal Data Protection Act 2012 (No. 26 of 2012), “PDPA”).
“Normas Corporativas Globais” significa as Normas Corporativas Globais para Operadores da Docusign, cuja versão mais atual está disponível no site da Docusign em https://trust.docusign.com/en-us/trust-certifications/gdpr/bcr-p-processor-privacy-code/.
“Titular” significa uma pessoa natural identificada ou identificável a quem se referem os Dados Pessoais (ou termo equivalente sob as Leis de Proteção de Dados).
“Tratar” e “Tratamento” têm o significado estabelecido nas Leis de Proteção de Dados e no Anexo de Segurança para Serviços Docusign, e incluem qualquer operação ou conjunto de operações realizadas com Dados Pessoais ou sobre conjuntos de Dados Pessoais, seja ou não por meios automáticos, tal qual a coleta, registro, organização, criação, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, por disseminação ou por outra forma de disponibilização, alinhamento ou combinação, bloqueio, eliminação ou destruição.
“Violação de Dados” significa qualquer situação acidental ou ilícita de obtenção, destruição, perda, alteração, compartilhamento ou acesso não autorizado aos Dados Pessoais sob gestão da Docusign.
2. ESCOPO E FINALIDADE DO TRATAMENTO.
2.1 O Cliente é um Controlador (ou, dependendo das Leis de Proteção de Dados, um Negócio) e a Docusign é um Operador (ou, dependendo das Leis de Proteção de Dados, um um Provedor de Serviços) com relação ao Tratamento de Dados Pessoais pela Docusign para provisionamento dos Serviços Docusign sob o Contrato. Este APD se aplica ao Tratamento de Dados Pessoais pela Docusign em nome do Cliente ou das Afiliadas do Cliente (conforme o caso) para provisionamento dos Serviços Docusign, conforme especificado no Contrato.
2.2 O escopo, natureza, finalidade e duração do Tratamento, os tipos de Dados Pessoais Tratados e os Titulares envolvidos estão descritos neste APD, incluindo seu Apêndice A. Os detalhes fornecidos no Apêndice A são considerados suficientes para satisfazer qualquer obrigação de fornecer tal detalhamento sob quaisquer Leis de Proteção de Dados.
2.3 A Docusign Tratará Dados Pessoais apenas para: (a) cumprir suas obrigações perante o Cliente sob o Contrato, incluindo este APD; (b) em nome do Cliente, conforme as instruções do Cliente; e (c) cumprir com as Leis de Proteção de Dados. A Docusign não poderá “comercializar” os Dados Pessoais (conforme tal termo entre aspas esteja definido nas Leis de Proteção de Dados); “compartilhar” ou Tratar os Dados Pessoais para fins de “promoção cruzada” (cross-context behavioral advertising) ou “promoção direcionada” (targeted advertising) (conforme tais expressões entre aspas estejam definidas nas Leis de Proteção de Dados) ou Tratar os Dados Pessoais para qualquer outra finalidade que não as finalidades específicas ora estabelecidas ou que não esteja compreendida na relação comercial direta com o Cliente. A Docusign não tentará vincular, identificar ou de outra forma relacionar os Dados Pessoais com dados não-pessoais ou quaisquer outros dados sem a autorização expressa do Cliente.
2.4 O Cliente assegurará que: (a) prestou todos os avisos e obteve todas as autorizações, conforme exigidos pelas Leis de Proteção de Dados, para que a Docusign (e suas Afiliadas e Suboperadores) possam Tratar os Dados Pessoais da forma prevista no Contrato e neste APD; (b) cumpre e seguirá cumprindo com todas as Leis de Proteção de Dados; e (c) possui e manterá o direito de transferir ou de dar acesso aos Dados Pessoais para que a Docusign possa Tratá-los nos termos do Contrato e deste APD.
2.5 A menos que especificado de outra forma no Contrato, o Cliente concorda que não fornecerá à Docusign nenhuma categoria sensível ou especial de Dados Pessoais que imponham à Docusign obrigações específicas de segurança de dados ou proteção de dados que excedam ou sejam distintas daquelas obrigações especificadas neste APD (incluindo qualquer anexo ao APD) ou no Contrato.
3. REQUISITOS PARA O TRATAMENTO DE DADOS PESSOAIS. A Docusign irá:
(a) Assegurar que as pessoas que a Docusign autorizar a Tratar os Dados Pessoais estejam sujeitas a obrigações de confidencialidade relativas a tais atividades, ou que tais estejam sujeitas a deveres legais de confidencialidade apropriados.
(b) Notificar prontamente o Cliente sobre: (i) qualquer reclamação por um terceiro ou Titular sobre o Tratamento de Dados Pessoais; ou (ii) qualquer solicitação de acesso ou de informações por uma autoridade sobre o Tratamento de Dados Pessoais pela Docusign em nome do Cliente, a menos que esteja proibida de fazê-lo em razão da legislação aplicável. A Docusign prestará cooperação e assistência razoáveis ao Cliente com relação a tais solicitações. Se a Docusign estiver proibida, em razão da legislação aplicável, de revelar ao Cliente os detalhes de uma solicitação realizada por uma autoridade, a Docusign empregará todos recursos jurídicos disponíveis no âmbito do procedimento aberto pela autoridade em questão para contestar tais solicitações de acesso a dados, bem como contestar quaisquer ordens para não informar o Cliente, conforme procedimento descrito na Diretrizes de Cumprimento de Ordem Legal da Docusign (Law Enforcement Guidelines), disponível em https://www.docusign.com/legal/law-enforcement.
(c) Prestar assistência razoável e cooperar com o Cliente na elaboração de relatórios de impacto pelo Cliente acerca do Tratamento ou potencial Tratamento de Dados Pessoais, conforme exigido pelas Leis de Proteção de Dados.
(d) Prestar assistência e cooperação razoáveis ao Cliente em consultas do Cliente junto a autoridades regulatórias relacionadas ao Tratamento ou potencial Tratamento de Dados Pessoais, incluindo no cumprimento de quaisquer obrigações aplicáveis à Docusign sob as Leis de Proteção de Dados de consultar qualquer autoridade regulatória com relação ao Tratamento ou potencial Tratamento de Dados Pessoais pela Docusign.
(e) Cumprir com as restrições da CCPA, §1798.140 (e)(6), com relação à combinação dos Dados Pessoais com dados pessoais recebidos de ou em nome de outra(s) pessoa(s) para as finalidades listadas na CCPA. Com relação às suas obrigações sob a CCPA, a Docusign atesta que cumprirá com tais obrigações nos termos deste APD (incluindo, sem limitação, as restrições previstas nas Cláusulas 2 e 3).
(f) Notificar prontamente o Cliente caso verifique que: (i) não atende mais às obrigações previstas neste APD ou nas Leis de Proteção de Dados; e (ii) em sua opinião, uma instrução do Cliente viole as Leis de Proteção de Dados.
4. SOLICITAÇÕES DE TITULARES.
4.1 Caso a Docusign receba diretamente de um Titular uma solicitação acerca de seus direitos sob as Leis de Proteção de Dados, a Docusign prontamente notificará o Cliente sobre tal solicitação se a Docusign identificar o Cliente como Controlador dos Dados Pessoais relacionados à solicitação, e poderá informar ao Titular sobre tal notificação. A Docusign prestará assistência razoável para que o Cliente possa cumprir suas obrigações de responder às solicitações do Titular sob as Leis de Proteção de Dados; entretanto, o Cliente entende e concorda que, na qualidade de Controlador, cabe exclusivamente ao Cliente responder a tais solicitações ou questionamentos do Titular, e que a Docusign não é responsável por responder um Titular no lugar ou em nome do Cliente.
4.2 Se o Cliente receber uma solicitação ou questionamento de um Titular relacionada aos Dados Pessoais Tratados pela Docusign, o Cliente poderá: (a) acessar seus Serviços Docusign que contenham os Dados Pessoais para endereçar a solicitação ou questionamento; ou (b) na medida em que tal acesso não esteja disponível para o Cliente, contatar o suporte ao cliente da Docusign para obter assistência adicional que permita ao Cliente endereçar a solicitação ou questionamento.
5. SEGURANÇA DE DADOS
5.1 A Docusign empregará medidas administrativas, técnicas, físicas e organizacionais adequadas para proteger os Dados Pessoais. Detalhes adicionais sobre as medidas de segurança específicas que se aplicam aos Serviços Docusign estão descritas nas Normas Corporativas Globais, no Contrato e no Anexo de Segurança para Serviços Docusign. O Cliente reconhece que as medidas de segurança da Docusign estão sujeitas a evolução e desenvolvimento técnicos, e que a Docusign poderá atualizar ou modificar as medidas de segurança periodicamente, sendo que tais atualizações ou modificações não resultarão em uma degradação da segurança geral dos Serviços Docusign adquiridos pelo Cliente.
5.2 O Cliente é responsável por implementar adequadamente os controles de acesso e uso e por configurar os recursos e funcionalidades dos Serviços Docusign que o Cliente opte por utilizar, e concorda que o fará de acordo com este APD e com o Contrato, do modo que julgar adequado, o que inclui, sem limitação, manter a segurança, proteção, exclusão e cópias de salvaguarda (backup) apropriadas de seus próprios Dados Pessoais.
6. VIOLAÇÃO DE DADOS. A Docusign notificará o Cliente, sem atraso indevido, quando tomar conhecimento de qualquer Violação de Dados, e prestará assistência ao Cliente em relação às obrigações do Cliente de notificar uma Violação de Dados, incluindo, sem limitação:
(a) Adotar medidas comercialmente razoáveis para mitigar os efeitos da Violação de Dados e para reduzir o risco dos Titulares cujos Dados Pessoais tenham sido afetados; e
(b) Fornecer ao Cliente as seguintes informações, na medida em que forem conhecidas:
(i) a natureza da Violação de Dados, incluindo, na medida do possível, informações sobre como ocorreu a Violação de Dados, as possíveis categorias e número aproximado de Titulares afetados e a categoria e número aproximado de registros de Dados Pessoais afetados;
(ii) as consequências prováveis da Violação de Dados; e
(iii) as medidas tomadas ou a serem tomadas pela Docusign para endereçar a Violação de Dados, incluindo, conforme apropriado, as medidas para mitigar os possíveis efeitos adversos e causas.
(c) A obrigação da Docusign de reportar uma Violação de Dados sob este APD não é e não deve ser interpretada como um reconhecimento de qualquer falha ou responsabilidade da Docusign com relação a tal Violação de Dados. O Cliente é o único responsável por determinar se notificará os Titulares e por realizar tal notificação, e por determinar se as autoridades de supervisão competentes precisam ser notificadas sobre a Violação de Dados, conforme necessário para as finalidades de negócios e atividades próprias do Cliente. Não obstante o exposto acima, o Cliente concorda em alinhar com a Docusign, de modo razoável, o conteúdo das declarações públicas planejadas ou dos avisos necessários aos Titulares afetados, e/ou dos avisos às autoridades de supervisão competentes sobre a Violação de Dados.
7. SUBOPERADORES.
7.1 O Cliente entende e concorda que a Docusign poderá engajar Afiliadas da Docusign ou e outros Suboperadores (conforme definido nas Leis de Proteção de Dados) para Tratar Dados Pessoais, em conformidade com as disposições deste APD e das Leis de Proteção de Dados. Nos casos em que a Docusign delegar quaisquer de seus direitos e obrigações relativos aos Dados Pessoais, incluindo para qualquer Afiliada, a Docusign adotará medidas para selecionar e contratar Suboperadores que sejam capazes de manter medidas adequadas de privacidade e segurança para proteger os Dados Pessoais de modo conforme exigido pelas Leis de Proteção de Dados e por este APD, e permanecerá responsável pelo cumprimento de todas as suas obrigações sob o Contrato e este APD, sejam elas desempenhadas pela Docusign, por suas Afiliadas ou por Suboperadores.
7.2 A Lista dos Suboperadores dos Serviços Docusign está disponível no site da Docusign, em https://www.docusign.com/trust/privacy/subprocessors-list (a “Lista de Suboperadores”), e o aviso sobre novos Suboperadores do Serviço Docusign estará disponível mediante um mecanismo de subscrição, conforme descrito no site da Docusign. O Cliente concorda em subscrever à Lista de Suboperadores para que a Docusign o notifique sobre os novos Suboperadores do Serviço Docusign para os Serviços Docusign aplicáveis. A Docusign manterá uma lista atualizada de seus Suboperadores, e notificará o cliente com 30 (trinta) dias de antecedência sobre qualquer novo Suboperador adicionado à lista. Caso o Cliente tenha motivos razoáveis para se opor a um novo Suboperador, a Docusign empregará esforços razoáveis para disponibilizar ao Cliente alterações aos Serviços Docusign ou recomendar ajustes comercialmente razoáveis ao uso que o Cliente faz dos Serviços Docusign, de modo a evitar o Tratamento de Dados Pessoais pelo Suboperador ao qual o Cliente se opôs, sem alteração substancial ao uso pelo Cliente dos Serviços Docusign afetados. O Cliente poderá, a seu exclusivo critério, rescindir o Contrato caso a Docusign não seja capaz de oferecer uma alteração razoável para sanar a objeção do Cliente em relação ao Suboperador
8. TRANSFERÊNCIA INTERNACIONAL DE DADOS.
8.1 A Docusign não realizará nenhuma transferência internacional dos Dados Pessoais Tratados, nem transmitirá, direta ou indiretamente, quaisquer Dados Pessoais para um país distinto daquele em que os Dados Pessoais foram coletados, sem cumprir com as Leis de Proteção de Dados. Quando a Docusign incorrer em uma transferência posterior de Dados Pessoais, a Docusign deve assegurar que um mecanismo de transferência de dados previsto em lei esteja implementado antes de transferir os Dados Pessoais de um país para outro.
8.2 Na medida em que a transferência internacional pela Docusign dos Dados Pessoais Tratados resultar em uma transferência de Dados Pessoais sujeita a obrigações de transferência internacional sob as Leis de Proteção de Dados, as Normas Corporativas Globais serão aplicáveis ao Tratamento de Dados Pessoais pela Docusign e/ou por suas Afiliadas, como parte da prestação dos Serviços Docusign sob o Contrato. As Normas Corporativas Globais são incorporadas por referência a este APD, e a Docusign concorda em utilizar esforços comercialmente razoáveis para manter a autorização regulatória de suas Normas Corporativas Globais, ou para manter outras salvaguardas apropriadas para transferência internacional durante a vigência do Contrato.
8.3 Não obstante o disposto na Cláusula 8.2 acima, e na medida em que for legalmente exigido, considera-se que o Cliente e a Docusign, ao firmarem este APD, firmaram as EU SCCs como uma salvaguarda adicional, que são parte integrante deste APD e (exceto conforme descrito na Cláusula 8(d) e (e) abaixo) serão tidas como preenchidas da seguinte forma:
(a) o Módulo 2 das EU SCCs se aplica às transferências de Dados Pessoais do Cliente (na qualidade de Controlador) para a Docusign (na qualidade de Operador), e o Módulo 3 se aplica às transferências de Dados Pessoais do Cliente (na qualidade de Operador) à Docusign (na qualidade de Suboperador);
(b) a Cláusula 7 (a cláusula de adesão facultativa) é incluída;
(c) na Cláusula 9 (Uso de suboperadores), as Partes escolhem a Opção 2 (Autorização escrita geral);
(d) na Cláusula 11 (Recurso), a redação opcional que autoriza os Titulares a apresentar reclamações junto a organismos independentes de resolução de disputa deve ser considerada como não incluída;
(e) na Cláusula 17 (Lei aplicável), as Partes escolhem a Opção 1 (a lei de um Estado-Membro da UE que permita o exercício do direito de terceiros beneficiários). As Partes elegem as leis da Irlanda;
(f) na Cláusula 18 (Eleição de foro e jurisdição), as Partes elegem os tribunais da Irlanda;
(g) o Anexo I(A) e I(B) (Lista das Partes) é preenchido conforme disposto no Apêndice A;
(h) no Anexo I(C) (Autoridade de supervisão competente), as Partes seguirão as regras de Cláusula 13 para identificar tal autoridade, e na medida em que seja legalmente permitido, elegem a Comissão de Proteção de Dados da Irlanda;
(i) o Anexo II (Medidas técnicas e organizacionais) é preenchido conforme o disposto no Apêndice A deste APD; e
(j) o Anexo III (Lista de Suboperadores) não se aplica, uma vez que as Partes optaram pela Autorização Geral na Cláusula 9; entretanto, a lista de Suboperadores da Docusign pode ser consultada conforme descrito na Cláusula 7 deste APD.
8.4 A respeito dos Dados Pessoais transferidos a partir do Reino Unido, em relação aos quais a UK GDPR (e não a GDPR ou a FADP) rege a natureza internacional da transferência, o International Data Transfer DPA to the EU SCCs (disponível a partir da Data Efetiva em https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf) (“UK SCCs”) faz parte deste APD e prevalece sobre o resto deste APD, conforme disposto nas UK SCCs. Termos e expressões em letras maiúsculas e que não estejam nesta cláusula terão o significado a si atribuídos nas UK SCCs. Considera-se que as UK SCCs estão preenchidas da seguinte forma: (a) as informações das Partes (Parties’ details) serão aquelas das Partes e de suas Afiliadas, na medida em que qualquer delas estiver envolvida em tais transferências; (b) os Contatos-Chave (Key Contacts) serão os contatos estabelecidos no Contrato; (c) as EU SCCs Aprovadas (Approved EU SCCs) mencionadas no Quadro 2 serão as EU SCCs firmadas pelas Partes; (d) qualquer das Partes poderá rescindir este APD na forma prevista na Cláusula 19 das UK SCCs; e (e) ao firmar este APD, considera-se que as Partes firmaram as UK SCCs.
8.5 Para transferências de Dados Pessoais sujeitas à FADP, as EU SCCs fazem parte deste APD, conforme disposto na Cláusula 8.3 deste APD, mas com as seguintes diferenças, conforme exigidas pela FADP: (a) referências à GDPR nas EU SCCs devem ser entendidas como referências à FADP na medida em que transferências internacionais estejam sujeitas exclusivamente à FADP e não à GDPR; (b) referências a dados pessoais nas EU SCCs também se referem a dados sobre pessoas jurídicas identificáveis, até que entre em vigor as revisões da FADP que eliminem esse escopo mais amplo; (c) o termo “Estado-Membro” nas EU SCCs não será interpretado de modo a subtrair de Titulares na Suíça a possibilidade de reclamarem seus direitos em seu lugar habitual de residência (Suíça), conforme a Cláusula 18(c) das EU SCCs; e (d) a autoridade de supervisão competente é o Comissário Federal de Proteção de Dados e Informação da Suíça (Swiss Federal Data Protection and Information Commissioner) (para transferências sujeitas à FADP, e não à GDPR), ou ambos o Comissário e a autoridade de supervisão identificado nas EU SCCs (quando a FADP e a GDPR forem aplicáveis, respectivamente).
9. AUDITORIAS. Na medida em que for exigido pelas Leis de Proteção de Dados, a Docusign disponibilizará informações razoavelmente solicitadas pelo Cliente para confirmar o cumprimento das obrigações sob este APD (por exemplo: relatórios SOC, ISO, NIST, PCI DSS e outros relatórios de auditoria similares emitidos por auditores independentes qualificados, um “Relatório de Auditoria”) ou sob o Anexo de Segurança para Serviços Docusign. Exceto quando previsto de outra forma no Contrato ou no Anexo de Segurança acerca de auditorias, se o Cliente tiver uma justificativa razoável para concluir que um Relatório de Auditoria fornecido pela Docusign não é suficiente para confirmar tal cumprimento, o Cliente poderá, às suas próprias expensas, mediante notificação com 30 (trinta) dias de antecedência, solicitar uma auditoria, a ser realizada durante horário comercial, dos sistemas e registros da Docusign pertinentes aos Tratamento de Dados Pessoais pela Docusign em nome do Cliente. O direito de auditoria pelo Cliente tem seu exercício limitado a não mais que uma vez por ano durante cada período de 12 (doze) meses.
10. DEVOLUÇÃO OU DESTRUIÇÃO DE DADOS PESSOAIS. Antes do término ou rescisão do Contrato, o Cliente poderá recuperar os Dados Pessoais Tratados pela Docusign conforme previsto no Contrato, e mediante solicitação do Cliente, a Docusign prontamente apagará todos os Dados Pessoais em sua posse ou controle tão logo seja possível, ressalvado que tal requisito não se aplica nas hipóteses em que a Docusign seja obrigada pela legislação aplicável a reter todos ou parte dos Dados Pessoais, ou a Dados Pessoais arquivados em sistemas de backup, sendo que tais Dados Pessoais serão isolados de forma segura e protegidos contra qualquer Tratamento posterior, exceto conforme exigido por lei. Para os Dados Pessoais armazenados no ambiente de serviço do Cliente, ou para os Serviços Docusign para os quais nenhuma funcionalidade de recuperação de dados em massa seja fornecida pela Docusign como parte dos Serviços Docusign, o Cliente é aconselhado a tomar as medidas adequadas para realizar backup ou, de outra forma, armazenar separadamente quaisquer Dados Pessoais enquanto o ambiente de Serviços Docusign ainda estiver ativo antes do término do Contrato, e o Cliente reconhece que a Docusign não oferece funcionalidade de recuperação em massa como parte dos Serviços Docusign, e que o Cliente terá que engajar Serviços Profissionais da Docusign ou o suporte ao cliente da Docusign, mediante pagamento de taxas razoáveis pelo Cliente à Docusign.
11. DISPOSIÇÕES GERAIS.
11.1 Não obstante qualquer disposição em contrário no Contrato, a Docusign reserva a si o direito de fazer alterações a este APD conforme necessário para cumpris com as Leis de Proteção de Dados, desde que tais alterações não degradem quaisquer funcionalidades de serviço ou salvaguardas associadas ao provisionamento dos Serviços Docusign.
11.2 Quaisquer reclamações movidas sob este APD estará sujeita aos termos e condições do Contrato, incluindo, sem limitação, as isenções e limitações ali previstas.
11.3 Este APD permanecerá em pleno vigor e efeito durante a vigência do Contrato, ou enquanto a Docusign Tratar Dados Pessoais no âmbito deste APD, o que ocorrer por mais tempo.
APÊNDICE A
ANEXO I
A. LISTA DAS PARTES
Exportador(es) de dados:
O exportador (Controlador) é o Cliente, e as informações de contato e assinatura do Cliente estão inclusas no Contrato e no APD.
Importador(es) de dados:
O importador (Operador) é a Docusign, Inc., e as informações de contato e a assinatura estão inclusas no Contrato e no APD.
B. DESCRIÇÃO DA TRANSFERÊNCIA
Categorias de titulares de dados cujos dados pessoais são transferidos:
Quaisquer Titulares cujos Dados Pessoais estiverem contidos nos dados que o Exportador de Dados estiver usando com os Serviços Docusign, conforme exposto no Contrato, que descreve o provisionamento dos Serviços Docusign para o Cliente, incluindo o Administrador da Conta, os Usuários Autorizados, os representantes e usuários finais do Cliente, que inclui, sem limitação, os empregados, contratados, parceiros, fornecedores e clientes do Cliente.
Categorias de dados pessoais transferidos:
Quaisquer Dados Pessoais que sejam fornecidos pelo Exportador de Dados ao Importador de Dados em conexão com o Contrato e com o APD, incluindo, sem limitação, informações de contato, tais quais nome, endereço, número de telefone ou celular, endereço de e-mail e senhas.
Dados sensíveis transferidos (se aplicável):
Não aplicável.
A frequência da transferência (por exemplo, se os dados são transferidos de forma pontual ou contínua):
De forma contínua, conforme necessário para o provisionamento dos Serviços Docusign ao Cliente durante a vigência do Contrato.
Natureza do tratamento:
A natureza do Tratamento está exposta no Contrato entre as partes.
Finalidade(s) da transferência e do tratamento posterior dos dados:
A finalidade da transferência de dados é permitir que a Docusign provisione os Serviços Docusign nos termos do Contrato.
Prazo de conservação dos dados pessoais ou, se não for possível, os critérios usados para definir esse prazo:
Os dados serão conservados pelo período de tempo necessário para cumprir as finalidades do Tratamento, a menos que de outra forma exigido pela legislação aplicável.
Para as transferências para suboperadores, especificar também o objeto, a natureza e a duração do tratamento:
Veja a Cláusula 6 para informações acerca de como acessar a lista de Suboperadores da Docusign e a natureza dos serviços que eles prestam. Todas as transferências terão a duração do Contrato entre as partes.
C. AUTORIDADE DE SUPERVISÃO COMPETENTE
Identificar a(s) autoridade(s) de supervisão competente(s) em conformidade com a Cláusula 13:
A autoridade de supervisão competente em relação ao Exportador de Dados será determinada em conformidade com a Lei de Proteção de Dados e, quando possível, será o Comissário de Proteção de Dados da Irlanda.
ANEXO II - MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS DESTINADAS A GARANTIR A SEGURANÇA DOS DADOS
A descrição das medidas técnicas e organizacionais implementadas pelo(s) importador(es) de dados (incluindo quaisquer certificações relevantes) para assegurar um nível adequado de segurança, considerando a natureza, escopo, contexto e finalidade do tratamento, e os riscos para os direitos e liberdades das pessoas naturais.
Ver as Normas Corporativas Globais da Docusign e o Anexo de Segurança para os Serviços Docusign