Este Adendo de Processamento de Dados ("DPA") altera e faz parte do Contrato (conforme definido abaixo) entre o Provedor e você como usuário dos Serviços do Provedor ("Cliente"). 

Para os fins deste DPA, os seguintes termos terão o seguinte significado:

• "Acordomento" significa qualquer acordo entre o Fornecedor e o Cliente para os Serviços, independentemente do título, como "Formulário de Pedido", "Pedido de Venda", "Termos de Uso", "Termos de Serviço", "Acordo SaaS" ou "Acordo de Serviços".
• "Controlador" tem o significado definido no GDPR.
• "Dados da Conta do Cliente e de Uso" significa informações sobre o Cliente que o Cliente fornece ao Fornecedor em conexão com a criação e administração de uma conta, como os nomes e sobrenomes, nome de usuário, endereço de e-mail e informações de cobrança e pagamento de indivíduos associados a uma conta. Isso também inclui informações estatísticas ou analíticas relacionadas ao uso do Serviço pelo Cliente e quaisquer dados derivados. 
• "Dados do Cliente" significa os dados Processados pelo Fornecedor em conexão com a prestação dos Serviços, conforme descrito no Acordo, excluindo Dados da Conta do Cliente e de Uso.
• "Dados Pessoais do Cliente" significa Dados do Cliente, que consistem em Dados Pessoais.
• "Lei(s) de Proteção de Dados" significa qualquer legislação ou regulamento aplicável relacionado ao processamento de dados pessoais, incluindo (a) a Lei de Privacidade do Consumidor da Califórnia e seus regulamentos de implementação; (b) o GDPR (como definido abaixo) e leis de proteção de dados e privacidade relacionadas dos estados membros da Área Econômica Europeia; (c) a Lei de Proteção de Dados de 2018 do Reino Unido ("UK GDPR"); e (d) a Lei Federal Suíça sobre Proteção de Dados ("Swiss DPA"), cada uma conforme aplicável e conforme emendada, revogada, consolidada ou substituída de tempos em tempos.
• "Área Europeia" significa a União Europeia, a Área Econômica Europeia, a Suíça e o Reino Unido da Grã-Bretanha e Irlanda do Norte ("Reino Unido"). 
• "GDPR" significa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).
• "Dados Pessoais" significa qualquer informação relacionada a uma pessoa natural identificada ou identificável que o Fornecedor processa em nome do Cliente sob o Acordo. 
• "Violação de Dados Pessoais" significa uma violação de segurança que leva à destruição, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais de forma acidental ou ilegal. A Violação de Dados Pessoais não inclui tentativas ou atividades malsucedidas que não comprometam a confidencialidade, disponibilidade ou integridade dos Dados do Cliente ou informações confidenciais, incluindo tentativas de login malsucedidas, pings, varreduras de porta, ataques de negação de serviço e outros incidentes semelhantes.
• "Processar" ou "Processamento" significa qualquer operação ou conjunto de operações que é realizado em dados pessoais ou em conjuntos de dados pessoais, independentemente de serem ou não por meios automatizados, como coleta, gravação, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou de outra forma tornando disponível, alinhamento ou combinação, restrição, exclusão ou destruição.
• "Transferência Restrita" significa (a) onde o GDPR se aplica, uma transferência de Dados Pessoais do Cliente ou Dados da Conta do Cliente e de Uso da EEE para um país fora da EEE que não está sujeito a uma determinação de adequação pela Comissão Europeia; (b) onde o Swiss DPA se aplica, uma transferência de Dados Pessoais do Cliente ou Dados da Conta do Cliente e de Uso da Suíça para um país que não está sujeito a uma determinação de adequação pelo Comissário Federal de Proteção de Dados e Informação da Suíça; e (c) onde o UK GDPR se aplica, uma transferência de Dados Pessoais do Cliente ou Dados da Conta do Cliente e de Uso do Reino Unido para um país que não é objeto de regulamentos de adequação sob a seção 17A da Lei de Proteção de Dados do Reino Unido de 2018.
• "Cláusulas Contratuais Padrão" significa (a) onde o GDPR se aplica, as cláusulas contratuais padrão anexadas à Decisão de Implementação 2021/914 da Comissão Europeia de 4 de junho de 2021 sobre cláusulas contratuais padrão para a transferência de dados pessoais para Países Terceiros de acordo com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho ("EU SCCs"); (b) onde o UK GDPR se aplica, o Adendo de Transferência Internacional de Dados às Cláusulas Contratuais Padrão da Comissão da UE emitido pelo Comissário de Informação do Reino Unido, Versão B1.0, em vigor desde 21 de março de 2022 ("UK SCCs"); e (c) onde o Swiss DPA se aplica, as cláusulas padrão de proteção de dados aplicáveis emitidas, aprovadas ou reconhecidas pelo Comissário Federal de Proteção de Dados e Informação da Suíça (as "Swiss SCCs"), cada uma conforme pode ser atualizada de tempos em tempos.
• "País Terceiro" significa países que, conforme pode ser exigido pelas Leis de Proteção de Dados aplicáveis, não receberam uma decisão de adequação de uma autoridade aplicável relacionada a transferências de dados pessoais transfronteiriças, incluindo reguladores como a Comissão Europeia, UK ICO ou Swiss FDPIC.

Os termos capitalizados usados, mas não definidos acima, terão os significados descritos no Acordo. Exceto conforme disposto de outra forma neste DPA, os termos "Negócio", "finalidade comercial", "finalidade comercial", "Contratante", "Controlador", "Processar", "Processador", "Subprocessador", "Titulares de Dados", "desidentificar", "Vender", "Prestador de Serviços", "Compartilhar" e "Terceiro" têm o mesmo significado que nas Leis de Proteção de Dados aplicáveis, e seus termos correlatos serão interpretados de acordo. Todos os outros termos capitalizados têm o mesmo significado que no Acordo.

2.1. Dados Pessoais do Cliente. As partes concordam que o Fornecedor é um Processador em relação ao Processamento dos Dados Pessoais do Cliente. 

2.2. Dados da Conta e de Uso. As Partes concordam que o Cliente e o Fornecedor são Controladores independentes em relação ao Processamento dos Dados da Conta e de Uso do Cliente, e cada Parte cumprirá suas obrigações como Controlador e concorda em fornecer assistência razoável à outra Parte quando solicitado pelas 2.3. Leis de Proteção de Dados. Em relação aos Dados da Conta e de Uso do Cliente, este DPA não se aplica, exceto pela Seção 7.

O objetivo do Processamento sob este DPA é fornecer os Serviços sob o(s) Acordo(s) aplicável(eis). O Anexo A (Descrição do Processamento e Detalhes da Transferência) descreve o objeto e os detalhes do Processamento de Dados Pessoais.

3.1. O Cliente concorda que (a) deve cumprir suas obrigações como Controlador sob o GDPR e outras Leis de Proteção de Dados onde tal conceito é reconhecido em relação ao seu processamento de dados pessoais e quaisquer instruções de processamento que emita ao Fornecedor conforme mencionado na Seção 4.1; (b) forneceu aviso e obteve todos os consentimentos e direitos exigidos pelas Leis de Proteção de Dados para que o Fornecedor processe os Dados Pessoais do Cliente de acordo com o Acordo e este DPA; e (c) o processamento dos Dados Pessoais do Cliente pelo Fornecedor em conformidade com as instruções documentadas do Cliente sob a Seção 4.1 terá uma base legal de processamento de acordo com o Artigo 6 do GDPR e outras Leis de Proteção de Dados que exigem uma base legal de processamento. 

3.2. Se o Cliente for um Processador, o Cliente declara e garante ao Fornecedor que as instruções e ações do Cliente em relação aos Dados Pessoais do Cliente, incluindo sua nomeação do Fornecedor como outro processador, foram devidamente autorizadas pelo Controlador relevante. O Cliente deve indenizar, defender e isentar o Fornecedor de quaisquer reivindicações, ações, processos, despesas, danos e responsabilidades (incluindo, sem limitação, quaisquer investigações governamentais, reclamações e ações) e honorários advocatícios razoáveis decorrentes da violação desta Seção pelo Cliente. Não obstante qualquer disposição em contrário no Acordo, as obrigações de indenização do Cliente sob esta Seção não estarão sujeitas a quaisquer limitações de responsabilidade no Acordo.

4.1. O Cliente instrui o Provedor a Processar os Dados Pessoais do Cliente para fornecer os Serviços conforme documentado no Acordo, a menos que a lei aplicável exija o contrário. Para evitar dúvidas, este DPA constituirá as instruções documentadas do Cliente ao Provedor para processar os Dados Pessoais do Cliente em conexão com a prestação do Serviço pelo Provedor ao Cliente. O Provedor deve informar prontamente o Cliente se, na opinião exclusiva do Provedor, uma instrução viola a lei aplicável.

4.2. Quando o Provedor Processa os Dados Pessoais do Cliente na sua capacidade como Processador, o Provedor usará, reterá, divulgará ou Processará os Dados Pessoais apenas na medida necessária para atuar em nome do Cliente e para o propósito comercial específico de fornecer os Serviços. O Provedor não "venderá" os Dados Pessoais do Cliente dentro e de acordo com as instruções do Cliente, incluindo conforme descrito no Acordo. O Provedor não Venderá ou Compartilhará Dados Pessoais, nem usará, reterá, divulgará ou Processará os Dados Pessoais fora de sua relação comercial com o Cliente ou para qualquer outro propósito (incluindo o propósito comercial do Provedor), exceto conforme exigido ou permitido por lei. O Provedor informará o Cliente se determinar que não é mais capaz de cumprir suas obrigações sob as Leis de Proteção de Dados. O Provedor ou onde, na opinião razoável do Provedor, qualquer uma das instruções do Cliente infrinja qualquer Lei de Proteção de Dados. O Cliente reserva-se o direito de tomar medidas razoáveis e apropriadas para (i) garantir que o Processamento de Dados Pessoais pelo Provedor seja consistente com as obrigações do Cliente sob a Lei de Proteção de Dados e (ii) interromper e remediar o uso não autorizado de Dados Pessoais. O Provedor certifica que entende as restrições desta Seção 4.2.

4.3. O Provedor tem o direito de usar Dados Pessoais exclusivamente (i) na medida necessária para (a) cumprir suas obrigações sob o Acordo e este DPA; (b) operar, gerenciar, testar, manter e aprimorar os Serviços, incluindo como parte de suas operações comerciais; (c) divulgar estatísticas agregadas sobre os Serviços de uma maneira que impeça a identificação ou reidentificação individual do Cliente, Dados do Cliente, Dados Pessoais, incluindo, sem limitação, qualquer dispositivo individual ou pessoa individual; e/ou (d) proteger os Serviços de uma ameaça aos Serviços ou Dados Pessoais; ou (ii) se exigido por ordem judicial de um tribunal ou agência governamental autorizada, desde que um aviso prévio seja dado ao Cliente; (iii) conforme expressamente autorizado pelo Acordo, este DPA, ou Cliente.

4.4. O Provedor não combinará Dados Pessoais que Processa em nome do Cliente, com Dados Pessoais que recebe de ou em nome de outra pessoa ou pessoas, ou coleta de sua própria interação com indivíduos, desde que o Provedor possa combinar Dados Pessoais para realizar qualquer propósito comercial permitido ou exigido sob o Acordo para prestar os Serviços.

4.5. O Provedor fará esforços comercialmente razoáveis para garantir que as pessoas autorizadas pelo Provedor a Processar quaisquer Dados Pessoais do Cliente estejam sujeitas a obrigações de confidencialidade apropriadas. 

4.6. O Provedor, levando em consideração a natureza do processamento, fará esforços comercialmente razoáveis para ajudar o Cliente, às custas do Cliente, por meio de medidas técnicas e organizacionais apropriadas, na medida do possível, no cumprimento da obrigação do Cliente de responder a solicitações para exercer os direitos dos titulares de dados em relação aos seus Dados Pessoais sob as Leis de Proteção de Dados.

4.7. O Provedor fornecerá ao Cliente as evidências sobre a conformidade do Provedor com suas obrigações sob este DPA e as Leis de Proteção de Dados aplicáveis, como relatórios resumidos relacionados a auditorias de segurança SOC II Tipo 2 ou ISO27001, ou equivalentes, mediante solicitação do Cliente e não mais de uma vez por ano, a menos que a solicitação esteja relacionada a uma Violação de Dados Pessoais ou investigação regulatória relacionada ao uso dos Serviços pelo Cliente.

4.8. À escolha do Cliente, o Provedor, mediante solicitação, excluirá ou retornará ao Cliente todos os Dados Pessoais do Cliente dentro de trinta (30) dias após o término da prestação dos Serviços ao Cliente e excluirá cópias existentes, a menos que a lei aplicável exija a retenção de Dados Pessoais.

4.9. O Provedor notificará o Cliente prontamente se o Provedor tomar conhecimento efetivo de uma Violação de Dados Pessoais, desde que a prestação de tal aviso ou qualquer resposta pelo Provedor não seja interpretada como um reconhecimento de culpa ou responsabilidade em relação a qualquer Violação de Dados Pessoais.

4.10. O Provedor usará medidas técnicas e organizacionais apropriadas para proteger os Dados Pessoais do Cliente que atenderão ou excederão os requisitos contidos (a) sob a Lei de Proteção de Dados, e (b) no Anexo B deste DPA. O Cliente reconhece que as medidas de segurança descritas no Anexo B estão sujeitas a progresso e desenvolvimento técnico e que o Provedor pode atualizar ou modificar as medidas de segurança de tempos em tempos, desde que tais atualizações e modificações não degradem ou diminuam a segurança geral dos Serviços.

5.1. Sem limitação à Seção 4, ao processar Dados Pessoais relacionados a titulares de dados localizados na Área Econômica Europeia ("Dados Pessoais da UE"), os seguintes termos adicionais se aplicarão:

a) O Fornecedor deve, levando em consideração a natureza do processamento e as informações disponíveis para o Fornecedor, usar esforços comercialmente razoáveis para auxiliar o Cliente, às custas do Cliente, a garantir a conformidade com as obrigações do Cliente descritas nos Artigos 32 a 36 do GDPR; e

b) O Fornecedor deve disponibilizar, mediante solicitação razoável do Cliente, informações razoavelmente necessárias para demonstrar a conformidade material com as obrigações neste DPA e permitir e contribuir para auditorias (cada uma, uma "Auditoria"), às custas do Cliente, incluindo inspeções das instalações de processamento sob o controle do Fornecedor, realizadas pelo Cliente ou por outro auditor escolhido pelo Cliente (um "Auditor"), durante o horário comercial normal e após aviso prévio razoável, desde que nenhum Auditor seja um concorrente do Fornecedor, e desde que, em nenhum caso, o Cliente tenha acesso às informações de qualquer outro cliente do Fornecedor e as divulgações feitas de acordo com esta Seção 5.1(b) ("Informações da Auditoria") serão mantidas em sigilo como informações confidenciais do Fornecedor e sujeitas a quaisquer obrigações de confidencialidade no Acordo, e desde que, em nenhum caso, a Auditoria será realizada a menos que ou até que o Cliente tenha solicitado, e o Fornecedor tenha fornecido, documentação de acordo com esta Seção e o Cliente determine razoavelmente que uma Auditoria continua sendo necessária para demonstrar a conformidade material com as obrigações neste DPA. Sem limitar a generalidade de qualquer disposição no Acordo, o Cliente deve empregar o mesmo grau de cuidado para salvaguardar as Informações da Auditoria que utiliza para proteger suas próprias informações confidenciais e proprietárias e, em qualquer caso, não menos que um grau razoável de cuidado nas circunstâncias, e o Cliente será responsável por qualquer divulgação ou uso impróprio das Informações da Auditoria pelo Cliente ou seus agentes.

6.1. Os subprocessadores assistem o Fornecedor no processamento de Dados Pessoais conforme estabelecido neste DPA. O Fornecedor celebrará acordos contratuais com subprocessadores exigindo o mesmo nível de conformidade com a proteção de dados e segurança da informação conforme previsto neste DPA. Ao celebrar o Acordo e este DPA, o Cliente consente com o processamento de Dados Pessoais pela divulgação e transferência de Dados Pessoais para os subprocessadores listados em https://www.pdffiller.com/en/subprocessors.htm ("Lista de Subprocessadores"). O Fornecedor informará o Cliente sobre quaisquer mudanças pretendidas para adicionar ou substituir subprocessadores em sua Lista de Subprocessadores, publicando uma lista atualizada de subprocessadores com pelo menos dez (10) dias corridos antes que o novo subprocessador processe Dados Pessoais da UE. 

6.2. O Cliente pode se opor a tais mudanças por escrito dentro de cinco (5) dias corridos após tal notificação, desde que tal objeção se baseie em fundamentos razoáveis relacionados à proteção de dados (uma "Objeção") submetendo Formulário de Ação de Subprocessador pdfFiller. No caso de uma Objeção, as partes discutirão tais preocupações de boa fé com a intenção de alcançar uma resolução. Se as partes não conseguirem alcançar uma resolução conforme descrito na frase anterior, o Cliente, como seu único e exclusivo recurso, poderá rescindir o Acordo por conveniência, desde que o Cliente forneça notificação por escrito ao Fornecedor dentro de cinco (5) dias corridos após ser informado do engajamento do subprocessador. O Cliente não terá direito a qualquer reembolso de taxas pagas antes da data de qualquer rescisão de acordo com esta Seção.

7.1. O Cliente consente com a transferência e o processamento de Dados Pessoais da UE nos Estados Unidos da América.

7.2. Transferências do EEE. Quando uma Transferência Restrita é feita do EEE, as SCCs da UE são incorporadas a este DPA e se aplicam à transferência da seguinte forma:

         a) Com relação às Transferências Restritas do Cliente para o Fornecedor, o Módulo Um se aplica quando tanto o Cliente quanto o Fornecedor são Controladores, o Módulo Dois se aplica quando o Cliente é um Controlador e o Fornecedor é um Processador, e o Módulo Três se aplica quando tanto o Cliente quanto o Fornecedor são Processadores.

         b) Na Cláusula 7, a cláusula de anexo opcional não se aplica;

         c) Na Cláusula 9 dos Módulos Dois e Três, a Opção 2 se aplica, e o prazo para aviso prévio de mudanças de subprocessadores é especificado na Seção 6 deste DPA.

         d) Na Cláusula 11, a linguagem opcional não se aplica

         e) Na Cláusula 17, a Opção 1 se aplica com a lei aplicável designada na seção de Escolha de Lei; Foro do Acordo. Se o Acordo não for regido pela lei de um Estado Membro da UE, as Cláusulas Contratuais Padrão serão regidas por (i) as leis da Irlanda, ou (ii) onde o Acordo é regido pelas leis do Reino Unido, as leis da Inglaterra e País de Gales.

         f) na Cláusula 18(b), as disputas serão resolvidas perante os tribunais no foro aplicável do Acordo. Se o Acordo não designar um tribunal de um Estado Membro da UE como tendo jurisdição exclusiva para resolver qualquer disputa ou ação judicial decorrente ou relacionada a este Acordo, as partes concordam que os tribunais de (i) Irlanda; ou (ii) onde o Acordo designa o Reino Unido como tendo jurisdição exclusiva, os tribunais da Inglaterra e País de Gales terão jurisdição exclusiva para resolver qualquer disputa decorrente das Cláusulas Contratuais Padrão. Para os Titulares de Dados habitualmente residentes na Suíça, os tribunais da Suíça são um lugar alternativo de jurisdição em relação a disputas.

         g) O Anexo I das SCCs é completado com as informações no Anexo A deste DPA; e

         h) O Anexo II das SCCs é completado com as informações no Anexo B deste DPA, e o Anexo III das SCCs é completado com as informações na Lista de Subprocessadores.

7.3. Transferências da Suíça. Em caso de qualquer transferência de Dados da Suíça, (a) referências gerais e específicas nas SCCs da UE ao GDPR ou à Lei da UE ou do Estado Membro têm o mesmo significado que a referência equivalente na DPA Suíça, conforme aplicável; e (b) qualquer outra obrigação nas SCCs da UE determinada pelo Estado Membro em que o exportador de dados ou Titular de Dados está estabelecido refere-se a uma obrigação sob a DPA Suíça, conforme aplicável.

7.4. Transferências do Reino Unido. Quando uma Transferência Restrita é feita do Reino Unido, o Adendo de Transferência do Reino Unido é incorporado a este DPA e se aplica à transferência. O Adendo de Transferência do Reino Unido é completado com as informações na Seção 7.2, a Lista de Subprocessadores e os Anexos A e B deste DPA; e tanto "Importador" quanto "Exportador" são selecionados na Tabela 4.

7.5. Se o Fornecedor adotar um mecanismo alternativo de exportação de dados (incluindo qualquer nova versão ou sucessor das Cláusulas Contratuais Padrão ou do Privacy Shield adotado de acordo com a Lei de Proteção de Dados) para a transferência de dados pessoais não descritos neste DPA ("Mecanismo de Transferência Alternativa"), o Mecanismo de Transferência Alternativa se aplicará em vez de qualquer mecanismo de transferência aplicável descrito neste DPA (mas apenas na medida em que tal Mecanismo de Transferência Alternativa esteja em conformidade com a Lei de Proteção de Dados e se estenda aos territórios para os quais os Dados Pessoais são transferidos).

8.1. Os termos deste DPA controlarão na medida em que houver qualquer conflito entre os termos deste DPA e os termos do Acordo. Se houver qualquer conflito entre este DPA e as Cláusulas Contratuais Padrão, as Cláusulas Contratuais Padrão prevalecerão em relação aos Dados Pessoais da UE, Suíça ou Reino Unido. Exceto conforme especificamente alterado e modificado por este DPA, os termos e disposições do Acordo permanecem inalterados e em pleno vigor e efeito. Exceto conforme descrito na Seção 3 deste DPA, as obrigações contidas neste DPA são (a) sujeitas a quaisquer limitações de responsabilidade descritas no Acordo, e (b) além das outras obrigações contidas no Acordo. Este DPA pode ser executado eletronicamente, incluindo o uso dos Serviços de assinatura eletrônica do Fornecedor.

Esta seção do documento conterá as informações de contato das Partes para os avisos sob este DPA.

• Categorias de Titulares de Dados cujos dados pessoais são transferidos

Representantes do Cliente; representantes de parceiros; usuários e visitantes dos Serviços, incluindo, sem limitação, destinatários de arquivos carregados nos Serviços; e indivíduos referenciados em arquivos carregados nos Serviços.

• Categorias de Dados Pessoais Transferidos

Dados Pessoais da UE relacionados à categoria de titulares de dados descrita acima. Os Dados Pessoais da UE dependem dos Serviços específicos, mas podem incluir: Nome, endereço de e-mail, dados demográficos, endereço IP, empregador, endereço, geolocalização, número de telefone, ocupação e cargo, e quaisquer Dados Pessoais da UE fornecidos pelo Cliente e usuários e visitantes dos Serviços (incluindo, sem limitação, destinatários de arquivos carregados nos Serviços) em conexão com os Serviços, incluindo Dados Pessoais do Cliente contidos em arquivos carregados nos Serviços.

• Dados Sensíveis Transferidos (se aplicável) e restrições ou salvaguardas aplicadas que considerem plenamente a natureza dos dados e os riscos envolvidos, como, por exemplo, limitação estrita de finalidade, restrições de acesso (incluindo acesso apenas para funcionários que tenham seguido treinamento especializado), manutenção de um registro de acesso aos dados, restrições para transferências subsequentes ou medidas de segurança adicionais.

O conteúdo dos Dados Pessoais é variado e sob o controle do exportador de dados, mas pode, de tempos em tempos, dependendo dos Serviços específicos, incluir dados sensíveis sob as Leis de Proteção de Dados relevantes. 

• Frequência de Transferência

As transferências serão contínuas durante o tempo necessário para a execução dos Serviços, quaisquer outros propósitos estipulados no Acordo e em conformidade com as leis e regulamentos aplicáveis.

• Natureza do Processamento

Os Dados Pessoais da UE estarão sujeitos a processamento básico, incluindo, mas não se limitando a, coleta, registro, organização, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou de outra forma disponibilização, alinhamento ou combinação, bloqueio, exclusão ou destruição para o propósito de fornecer Serviços pelo Provedor ao Cliente de acordo com os termos do Acordo.

• Propósito(s) da Transferência

Os Dados Pessoais da UE estarão sujeitos às operações de Processamento descritas no Acordo. 

• Período de Retenção ou Seus Critérios

Enquanto fornecer tais Serviços ao Cliente, o Provedor Processará os Dados Pessoais da UE conforme instruído pelo Cliente durante a vigência do Acordo.

• Transferências para Subprocessadores

Todos os subprocessadores autorizados são obrigados a implementar e manter as mesmas ou substancialmente semelhantes medidas técnicas e organizacionais, responsabilidades e obrigações que aquelas exigidas do Provedor sob este DPA.

• Propósito(s) Comercial(is) para o Processamento das Informações Pessoais dos Consumidores da Califórnia

Para processamento envolvendo consumidores da Califórnia, apenas os seguintes e verificados propósito(s) comercial(is) para o processamento de dados pessoais se aplicam:

     Ajudar a garantir segurança e integridade na medida em que o uso das informações pessoais do consumidor seja razoavelmente necessário e proporcional para esses fins 

     Depuração para identificar e corrigir erros que prejudicam a funcionalidade pretendida existente. 

     Realização de serviços em nome da empresa, incluindo manutenção ou serviço de contas, fornecimento de atendimento ao cliente, processamento ou cumprimento de pedidos e transações, verificação de informações do cliente, processamento de pagamentos, fornecimento de financiamento, fornecimento de serviços analíticos, fornecimento de armazenamento ou fornecimento de serviços semelhantes em nome da empresa. 

     Realização de pesquisas internas para desenvolvimento e demonstração tecnológica. 

     Realização de atividades para verificar ou manter a qualidade ou segurança de um serviço ou dispositivo que é de propriedade, fabricado, fabricado para ou controlado pela empresa, e para melhorar, atualizar ou aprimorar o serviço ou dispositivo que é de propriedade, fabricado, fabricado para ou controlado pela empresa. 

     Para reter e empregar outro prestador de serviços ou contratante como subcontratado onde o subcontratado atenda aos requisitos para um prestador de serviços ou contratante sob o CCPA. 

     Para construir ou melhorar a qualidade dos serviços que está fornecendo à empresa, mesmo que esse Propósito Comercial não esteja especificado no contrato escrito exigido pelo CCPA, desde que o Provedor de Serviços não use os Dados Pessoais para realizar serviços em nome de outra pessoa. 

Para prevenir, detectar ou investigar incidentes de segurança de dados ou proteger contra atividades maliciosas, enganosas, fraudulentas ou ilegais, mesmo que esse Propósito Comercial não esteja especificado no contrato escrito.

〇 Auditoria relacionada à contagem de impressões de anúncios para visitantes únicos, verificando posicionamento e qualidade das impressões de anúncios, e auditoria de conformidade com esta especificação e outros padrões.

〇 Fornecimento de serviços de publicidade e marketing, exceto para publicidade comportamental de contexto cruzado, ao consumidor, desde que, para fins de publicidade e marketing, um prestador de serviços ou contratante não combine as informações pessoais de consumidores que optaram por não participar que o prestador de serviços ou contratante recebe de, ou em nome da, empresa com informações pessoais que o prestador de serviços ou contratante recebe de, ou em nome de, outra pessoa ou pessoas ou coleta de sua própria interação com consumidores. 

〇 Uso de curto prazo e transitório, incluindo, mas não se limitando a, publicidade não personalizada exibida como parte da interação atual do consumidor com a empresa, desde que as informações pessoais do consumidor não sejam divulgadas a outro terceiro e não sejam usadas para construir um perfil sobre o consumidor ou de outra forma alterar a experiência do consumidor fora da interação atual com a empresa.

• Quando o exportador de dados estiver estabelecido em um Estado Membro da UE, a autoridade supervisora responsável por garantir a conformidade do exportador de dados com o Regulamento (UE) 2016/679 em relação à transferência de dados atuará como a autoridade supervisora competente.
• Quando o exportador de dados não estiver estabelecido em um Estado Membro da UE, mas estiver dentro do escopo territorial de aplicação do Regulamento (UE) 2016/679 de acordo com seu Artigo 3(2) e tiver nomeado um representante de acordo com o Artigo 27(1) do Regulamento (UE) 2016/679: A autoridade supervisora do Estado Membro em que o representante, no sentido do Artigo 27(1) do Regulamento (UE) 2016/679, estiver estabelecido atuará como a autoridade supervisora competente.
• Quando o exportador de dados não estiver estabelecido em um Estado Membro da UE, mas estiver dentro do escopo territorial de aplicação do Regulamento (UE) 2016/679 de acordo com seu Artigo 3(2) sem, no entanto, ter que nomear um representante de acordo com o Artigo 27(2) do Regulamento (UE) 2016/679: A Comissão de Proteção de Dados (DPC) – 21 Fitzwilliam Square, South Dublin 2, D02 RD28 Irlanda atuará como a autoridade supervisora competente.
• Quando o exportador de dados estiver estabelecido no Reino Unido ou estiver dentro do escopo territorial de aplicação das Leis e Regulamentos de Proteção de Dados do Reino Unido, o Escritório do Comissário de Informação atuará como a autoridade supervisora competente.
• Quando o exportador de dados estiver estabelecido na Suíça ou estiver dentro do escopo territorial de aplicação das Leis e Regulamentos de Proteção de Dados Suíços, o Comissário Federal de Proteção de Dados e Informação da Suíça atuará como a autoridade supervisora competente na medida em que a transferência de dados relevante seja regida pelas Leis e Regulamentos de Proteção de Dados Suíços.

• Programa. O Fornecedor implementará e manterá um programa de segurança da informação escrito ("Programa de Segurança da Informação"), que contém salvaguardas administrativas, técnicas e organizacionais razoavelmente apropriadas que cumprem com este Anexo. 
• Controles de Acesso. O Fornecedor implementará medidas para: (a) cumprir com o "princípio do menor privilégio", de acordo com o qual o acesso a Dados Pessoais pelo pessoal do Fornecedor será limitado com base na necessidade de conhecimento; e (b) encerrar prontamente o acesso de seu pessoal a Dados Pessoais quando tal acesso não for mais necessário para a execução do Acordo.
• Gerenciamento de Contas. O Fornecedor gerenciará a criação, uso e exclusão de todas as credenciais de conta usadas para acessar a infraestrutura chave do Fornecedor, incluindo a exigência de autenticação multifatorial em todos os sistemas críticos. 
• Gerenciamento de Vulnerabilidades. O Fornecedor (a) usará periodicamente ferramentas automatizadas de varredura de vulnerabilidades para escanear o sistema de produção do Fornecedor em busca de vulnerabilidades, incluindo, mas não se limitando a, testes de penetração, e (b) implementará gerenciamento de patches e ferramentas de atualização de software conforme notificado pelos fornecedores dessas ferramentas. 
• Segmentação de Segurança. O Fornecedor monitorará, detectará e restringirá o fluxo de informações de forma multilayer usando ferramentas como firewalls, proxies e sistemas de detecção de intrusões baseados em rede. 
• Prevenção de Perda de Dados. O Fornecedor usará medidas de prevenção de perda para identificar, monitorar e proteger Dados Pessoais em uso, em trânsito e em repouso. Esses processos e ferramentas de prevenção de perda de dados incluirão: (a) ferramentas automatizadas projetadas para identificar tentativas de exfiltração de dados; e (b) o uso de segurança baseada em certificados de criptografia.
• Criptografia. O Fornecedor criptografará, usando ferramentas de criptografia padrão do setor, todos os Dados Pessoais que o Fornecedor transmitir através de redes públicas. 
• Pseudonimização. O Fornecedor usará técnicas de pseudonimização padrão do setor para proteger Dados Pessoais sempre que possível e consistente com os Serviços. 
• Salvaguardas Físicas. O Fornecedor manterá controles de acesso físicos para proteger as instalações físicas de propriedade do Fornecedor onde o ambiente computacional relevante usado para Processar quaisquer Dados Pessoais está localizado, incluindo um sistema de controle de acesso que permite ao Fornecedor controlar o acesso físico a cada instalação do Fornecedor. 
• Salvaguardas Administrativas. Antes de fornecer acesso aos Dados Pessoais do Cliente a qualquer um de seus funcionários, o Fornecedor usará medidas comercialmente razoáveis: (a) verificar a confiabilidade de tal pessoal; e (b) fornecer treinamento de segurança apropriado a tal pessoal.