Contrato de processamento de dados (compatível com GDPR)


Em vigor a partir de 1º de maio de 2018

1. Âmbito e objecto do acordo

Este Processamento de Dados (“DPA”) reflete o acordo das partes com relação aos termos que regem o processamento de Dados Pessoais sob os Termos de Serviço do IBANCOM (o “TOS”). Este DPA é uma emenda aos Termos de Uso e é efetivo após sua incorporação aos Termos de Serviço, cuja incorporação pode ser especificada em um Pedido ou em uma emenda aos TOS. Após sua incorporação aos TOS, o DPA formará uma parte dos TOS.

2. Definições

Neste acordo:

(a) «Serviços» significa os serviços prestados ao Cliente ao abrigo dos Termos do Serviço;
(b) «Dados pessoais», qualquer informação relativa a uma pessoa singular identificada ou identificável («pessoa em causa»);
(c) «Cliente», «controlador» ou «você», a pessoa singular ou colectiva, autoridade pública, agência ou outro organismo que, individualmente ou em conjunto com outros, determina os fins e os meios do tratamento de dados pessoais;
(d) «Processador», «IBANCOM» ou «nós», uma pessoa singular ou colectiva, autoridade pública, agência ou outro organismo que processa dados pessoais em nome do responsável pelo tratamento;
(e) «Processo / processamento» significa qualquer operação ou conjunto de operações que é realizado em dados pessoais ou em conjuntos de dados pessoais, quer seja ou não por meios automatizados, como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, utilização, divulgação por transmissão, divulgação ou disponibilização, alinhamento ou combinação, restrição, apagamento ou destruição;
(f) «Subprocessador» ou «Subcontratante» significa um subcontratante terceirizado contratado pelo processador que, como parte da função do subcontratado de entregar os Serviços, processa os Dados Pessoais do Cliente;
(g) «Medidas de segurança técnicas e organizacionais» significa as medidas destinadas a garantir um nível de segurança adequado ao risco, incluindo, inter alia, a pseudonimização e encriptação de dados pessoais, a capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência dos sistemas e serviços de processamento. , a capacidade de restaurar a disponibilidade e o acesso a dados pessoais em tempo hábil no caso de um incidente físico ou técnico, um processo para testar, avaliar e avaliar a eficácia de medidas técnicas e organizacionais para garantir a segurança do processamento.
(h) “Leis de Proteção de Dados” significa todas as leis e regulamentos, incluindo leis e regulamentos da União Europeia, a Área Econômica Européia e seus Estados Membros, aplicáveis ​​ao Processamento de Dados Pessoais sob o Acordo.

3. Aplicação deste acordo

Este acordo aplica-se a:
a) todos os Dados enviados a partir da data deste contrato pelo Cliente para o IBANCOM para Processamento;
b) todos os dados acessados ​​pelo IBANCOM sob a autoridade do Cliente para Processamento a partir da data deste contrato; e
c) todos os dados recebidos de outra forma pelo IBANCOM para processamento em nome do cliente;
em relação aos Serviços.

4. Categorias de dados pessoais e finalidade do processamento de dados pessoais

Para executar o Contrato e, em particular, para executar os Serviços em nome do Cliente, o Cliente autoriza e solicita que o IBANCOM Processe os seguintes Dados Pessoais: Informações do Cliente: informações que podemos coletar do seu uso dos sites do IBANCOM e suas interações com a gente off-line, como:

• Contact information : name, home address, telephone or mobile number, email address, and passwords.
• Informações financeiras: número do cartão de crédito e informações de faturamento (identificação fiscal, número do pagador, endereço de faturamento, faturamento de e-mail, onde as faturas são pagas, endereço de faturamento, número de telefone, endereço de e-mail e senhas.AT). são enviadas) ; O número do cartão de crédito é tratado pela Avangate (nosso portal de pagamento), por Paypal ou por outros tipos de pagamento; IBANCOM cobra apenas o seu cartão de crédito para pagamentos.
• Detalhes de contato de emprego, incluindo: nome do empregador, cargo e função, detalhes de contato comercial; O IBANCOM lida com as informações do cliente de acordo com os termos da nossa política geral de privacidade.

Dados de Serviços: dados que residem em sistemas IBANCOM, de clientes ou de terceiros, aos quais o IBANCOM forneceu acesso para executar serviços.

• Dados armazenados e processados ​​pelos usuários, tais como: dados enviados para processamento, o histórico de operações realizadas pelos usuários.
• Informações do Arquivo de Log: Três tipos de logs são salvos pelo sistema do IBANCOM: Logs de conexão que são essencialmente logs de cada solicitação para cada aplicativo. Esses logs de conexão podem incluir informações como a solicitação da Web, endereço IP (Internet Protocol), tipo de navegador, páginas de referência / saída e URLs, número de cliques, nomes de domínio, páginas de destino, páginas visualizadas e outras informações. O segundo tipo de logs são logs de aplicativos, que são produzidos pelo nosso software durante os dadosem processamento. Logs de logs de aplicativos são um registro de todos os dados de entrada enviados para processamento em nossos servidores que podem ajudar o IBANCOM a identificar e diagnosticar a origem dos problemas atuais do sistema e ajudar a prever futuros problemas.
A IBANCOM processa as informações do Cliente de acordo com os termos de sua política de privacidade e trata os dados dos serviços como confidenciais de acordo com os termos do seu pedido de serviços.

Categorias de Dados Sujeitos: Os titulares de dados incluem representantes e usuários finais do Cliente, como funcionários, candidatos a emprego, contratados, colaboradores, parceiros e clientes do Cliente. Os titulares de dados também podem incluir indivíduos tentando comunicar ou transferir Dados Pessoais para os usuários dos Serviços.

5. Responsabilidade do IBANCOM

A IBANCOM processará os Dados Pessoais somente para o fornecimento dos Serviços, e concorda em:

• (a) Processar e usar Dados Pessoais para os propósitos estabelecidos neste Contrato ou apenas em instruções documentadas do Cliente e para nenhuma outra finalidade, exceto com o consentimento prévio por escrito do Cliente, ou
• (b) Não divulgar os Dados a terceiros, exceto aqueles de seus funcionários, agentes e subcontratados que estejam envolvidos no Processamento dos Dados e estejam sujeitos às obrigações vinculantes ou exceto conforme possa ser exigido por qualquer lei ou regulamento;
• (c) Implementar medidas técnicas e organizacionais apropriadas para salvaguardar os Dados contra Processamento não autorizado ou ilegal ou perda, destruição ou dano acidental, e tendo em conta o estado do desenvolvimento tecnológico e os custos de implementação de quaisquer medidas, tais medidas devem assegurar um nível de segurança apropriado. aos danos que possam resultar de processamento não autorizado ou ilegal ou perda acidental, destruição ou dano e à natureza dos Dados a serem protegidos;
• (d) Informar o Cliente o mais rápido possível no caso do exercício pelos Titulares dos Dados de qualquer um de seus direitos sob as leis de proteção de dados em relação aos Dados e, se necessário, auxiliar o Cliente a cumprir a obrigação de responder a esses pedidos. em consideração aos compromissos previstos no artigo 7;
• (e) Não Processe ou transfira os Dados para fora da União Europeia, exceto com a expressa autorização prévia por escrito do Cliente e assegure que tais transferências sejam feitas em conformidade com as informações apropriadas.

6. Responsabilidade do cliente

O Cliente do Serviço, como controlador de dados, deve aceitar a responsabilidade por cumprir a legislação de proteção de dados aplicável. Notavelmente, o Cliente tem a obrigação de avaliar a legalidade do processamento de dados pessoais armazenados na Plataforma.

O Cliente concorda que deve garantir a conformidade em todos os momentos com a lei de proteção de dados aplicável e, em particular, o Cliente deve garantir que qualquer divulgação de Dados Pessoais feita por ele ao IBANCOM seja feita com o consentimento do usuário ou legal. O controle de Dados Pessoais permanece com o Cliente e, como entre o Cliente e o IBANCOM, o Cliente permanecerá, a todo o momento, o controlador de Dados para os propósitos dos Serviços, os Termos de Serviço e este Processamento de Dados. Acordo. O Cliente é responsável pelo cumprimento de suas obrigações como Controlador de Dados sob a Lei de Proteção de Dados aplicável, em particular para justificar qualquer transmissão de Dados Pessoais ao IBANCOM (incluindo o fornecimento de avisos necessários e obtenção de consentimentos necessários) e para suas decisões referentes ao Processamento e uso dos dados.

7. Direitos do sujeito de dados

A IBANCOM concederá ao Cliente acesso eletrônico ao ambiente da Plataforma que detenha Dados Pessoais para permitir que o Cliente apague, libere, corrija ou bloqueie o acesso a Dados Pessoais específicos ou, se isso não for praticável e na medida permitida pela lei aplicável, siga as instruções detalhadas do Cliente. instruções para excluir, liberar, corrigir ou bloquear o acesso a dados pessoais.

A IBANCOM repassará ao Cliente quaisquer solicitações de um indivíduo sujeito a dados para excluir, liberar, corrigir ou bloquear Dados Pessoais Processados ​​sob o Contrato.

8. Transferência de dados transfronteiriça e subsequente

A IBANCOM trata todos os Dados Pessoais de maneira consistente com os requisitos da Lei de Proteção de Dados aplicável e deste Contrato de Processamento de Dados em todos os locais globalmente.

Os dados são armazenados pelo IBANCOM em data centers localizados na Alemanha, gerenciados pelo subcontratado Hetzner Online GmbH

Industriestr. 25
91710 Gunzenhausen
Deutschland
Tel.: +49 (0)9831 505-0*
Fax: +49 (0)9831 505-3

Os datacenters estão localizados em
Hetzner Online AG
Am Datacenterpark 1
08223 Falkenstein


No que diz respeito aos Dados Pessoais armazenados pelo IBANCOM em centros de dados da AEE, deve garantir a conformidade dos seus Subprocessadores com os requisitos da lei de proteção de dados aplicável, da seguinte forma:
• (i) O IBANCOM firmou contratos com Subprocessadores que estabelecem que o Subprocessador assumirá obrigações de proteção e confidencialidade de dados, consistentes com as leis de proteção de dados aplicáveis;
• (ii) além disso, quando um Subprocessador processa Dados Pessoais em ou de um país que não recebeu uma descoberta de “adequação”, o IBANCOM exigirá que o Subprocessador execute cláusulas de modelo incorporando requisitos de segurança consistentes com aqueles deste DPA.

9. Subprocessamento

A IBANCOM não subcontratará nenhuma de suas operações de processamento realizadas em nome do Cliente sob o Acordo e os TOS sem o consentimento prévio por escrito do Cliente.

Quando a IBANCOM subcontratar suas obrigações nos termos do Contrato, com o consentimento do Cliente, deverá fazê-lo apenas por meio de um acordo escrito com o subprocessador que impõe as mesmas obrigações ao subprocessador impostas ao IBANCOM sob o Acordo. Quando o subprocessador deixar de cumprir suas obrigações de proteção de dados sob esse acordo por escrito, a IBANCOM permanecerá totalmente responsável perante o Cliente pelo desempenho das obrigações do subprocessador sob tal contrato.

O Cliente como Controlador de Dados pode solicitar que o IBANCOM audite o Subprocessador ou forneça a confirmação de que tal auditoria ocorreu (ou, quando disponível, obtenha ou ajude o Controlador de Dados a obter um relatório de auditoria de terceiros relativo às operações do Subprocessador) para garantir a conformidade com tais obrigações. . O Controlador também terá o direito, mediante solicitação por escrito, de receber cópias dos termos relevantes do contrato do IBANCOM com Subprocessadores que possam processar Dados Pessoais, a menos que o contrato contenha informações confidenciais, caso em que o IBANCOM poderá fornecer uma versão redigida do contrato.

As disposições relativas aos aspectos de protecção de dados para o subprocesso do contrato referido no no 1 regem-se pela lei do Estado-Membro em que o cliente se encontra estabelecido.

10. Medidas Técnicas e Organizacionais

Ao Processar Dados Pessoais em nome do Cliente em conexão com os Serviços, o IBANCOM deve assegurar que implementa e mantém conformidade com as medidas de segurança técnicas e organizacionais apropriadas para o Processamento de tais dados. Nesse sentido, o IBANCOM implementará as seguintes medidas:

• a) Para impedir que pessoas não autorizadas tenham acesso a sistemas de processamento de dados nos quais Dados Pessoais são Processados ​​(controle de acesso físico), o IBANCOM deve tomar medidas para impedir o acesso físico, como pessoal de segurança e edifícios e instalações da fábrica.
• b) Para impedir que os sistemas de processamento de dados sejam usados ​​sem autorização (controle de acesso ao sistema), os seguintes podem, entre outros controles, ser aplicados dependendo dos Serviços solicitados: autenticação via senhas e registro de acesso em vários níveis.
Para serviços de API hospedados no IBANCOM: (i) o acesso lógico aos datacenters é restrito e protegido por firewall / VLAN; e (ii) os seguintes processos de segurança são aplicados: registro e alerta centralizados e (iii) firewalls.
• c) Assegurar que as pessoas autorizadas a usar um sistema de processamento de dados tenham acesso somente aos Dados Pessoais aos quais têm privilégio de acesso, e que os Dados Pessoais não possam ser lidos, copiados, modificados ou removidos sem autorização no curso de Processamento e / ou após o armazenamento (controle de acesso a dados), os Dados pessoais são acessíveis e gerenciáveis ​​apenas por funcionários devidamente autorizados, o acesso direto a consultas a bancos de dados é restrito e os direitos de acesso a aplicativos são estabelecidos e aplicados.

Além das regras de controle de acesso estabelecidas acima, o IBANCOM implementa uma política de acesso sob a qual o Controlador de Dados controla o acesso ao seu ambiente de Serviços de API e aos Dados Pessoais e outros dados por sua equipe autorizada.

• d) Garantir que os Dados Pessoais não possam ser lidos, copiados, modificados ou removidos sem autorização durante a transmissão eletrônica ou transporte, e que seja possível verificar e estabelecer a quais entidades a transferência de Dados Pessoais por meio de instalações de transmissão de dados está prevista (controle de transmissão ), IBANCOM cumprirá os seguintes requisitos: Exceto quando especificado de outra forma para os Serviços de API, as transferências de dados fora do ambiente do Serviço são criptografadas (HTTPS). O conteúdo das comunicações (incluindo os endereços do remetente e do destinatário) enviadas por meio de alguns serviços de e-mail ou de mensagens não podem ser criptografados depois de recebidos por esses serviços. O Controlador de Dados é o único responsável pelos resultados de sua decisão de usar comunicações ou transmissões não criptografadas.
• e) Para garantir que seja possível verificar e determinar se e por quem os Dados Pessoais foram inseridos nos sistemas de processamento de dados, modificados ou removidos (controle de entrada), o IBANCOM cumprirá os seguintes requisitos: Fonte de Dados Pessoais está sob o controle do Cliente e a integração de Dados Pessoais no sistema é gerenciada por transferência segura de arquivos (ou seja, por meio de serviços da Web ou inseridos no aplicativo) do Cliente.
• f) Para garantir que os Dados Pessoais sejam protegidos contra destruição ou perda acidental: os backups são feitos regularmente; os backups são criptografados e protegidos.
• g) Para garantir que os Dados Pessoais coletados para diferentes finalidades possam ser processados ​​separadamente, os dados dos ambientes dos diferentes Data Controllers são logicamente separados nos sistemas do IBANCOM.

11. Direitos de Auditoria

O Cliente pode auditar a conformidade do IBANCOM com os termos do Contrato e este Contrato de Processamento de Dados até uma vez por ano.

O Cliente pode realizar auditorias mais frequentes dos sistemas de computadores do Serviço que processam dados pessoais na medida exigida pelas leis aplicáveis ​​ao Cliente. Se uma terceira parte for realizar a auditoria, o terceiro deve ser mutuamente acordado por ambas as partes e deve executar um acordo de confidencialidade por escrito aceitável para o IBANCOM antes de conduzir a auditoria..

Para solicitar uma auditoria, o Cliente deve apresentar um plano de auditoria detalhado com pelo menos 4 semanas de antecedência da data de auditoria proposta, descrevendo o escopo, a duração e a data de início da auditoria proposta. O IBANCOM analisará o plano de auditoria e fornecerá ao Diretor de Dados quaisquer preocupações ou perguntas (por exemplo, qualquer solicitação de informações que possam comprometer as políticas de segurança, privacidade ou emprego do IBANCOM).

Os relatórios de auditoria são Informações Confidenciais das partes sob os termos do Contrato. Quaisquer auditorias são por conta do Controlador de Dados.

Qualquer solicitação para que o IBANCOM forneça assistência em uma auditoria é considerada um serviço separado se tal assistência exigir o uso de recursos diferentes ou adicionais. A IBANCOM buscará a aprovação por escrito do Contratante de Dados e o acordo para pagar quaisquer taxas relacionadas antes de realizar tal assistência de auditoria.

12. Gerenciamento de Incidentes e Notificação de Violações

O IBANCOM avalia e responde a incidentes que criam suspeitas de acesso não autorizado ou manipulação de dados pessoais.

O Cliente é informado de tais incidentes e, dependendo da natureza da atividade, define os caminhos de encaminhamento e as equipes de resposta para lidar com esses incidentes. A IBANCOM trabalhará com o Cliente, com as equipes técnicas apropriadas e, quando necessário, com as autoridades externas para responder ao incidente. O objetivo da resposta a incidentes será restaurar a confidencialidade, a integridade e a disponibilidade do ambiente dos Serviços e estabelecer as causas-raiz e as etapas de correção.

A equipe de operações do IBANCOM é instruída a responder a incidentes em que o manuseio de dados pessoais pode ter sido não autorizado.

A IBANCOM notificará o Cliente, sem atrasos indevidos, após tomar conhecimento de uma violação de dados pessoais. IBANCOM deve investigar imediatamente qualquer violação de segurança e tomar medidas razoáveis ​​para identificar sua (s) causa (s) raiz (es) e evitar uma recorrência. Como as informações são coletadas ou de outra forma disponibilizadas, a menos que seja proibido por lei, a IBANCOM fornecerá à Data Controller uma descrição da violação de segurança, o tipo de dados que foi objeto da violação e outras informações que a Data Controller razoavelmente solicitar em relação à pessoa afetada. pessoas. As partes concordam em coordenar de boa fé o desenvolvimento do conteúdo de quaisquer declarações públicas relacionadas ou quaisquer avisos necessários para as pessoas afetadas.

13. Divulgações Legalmente Obrigatórias

Exceto conforme exigido por lei, o IBANCOM notificará imediatamente o Cliente sobre qualquer intimação, ordem judicial, administrativa ou arbitral de um órgão executivo ou administrativo ou outra autoridade governamental (“demanda”) que receba e que se relacione com os Dados Pessoais do IBANCOM. Processamento em nome do cliente. A pedido do Cliente, a IBANCOM fornecerá informações razoáveis ​​em sua posse que poderão responder à demanda e qualquer assistência razoavelmente exigida para que o Cliente responda à demanda em tempo hábil. O Cliente reconhece que IBANCOM não tem responsabilidade de interagir diretamente com a entidade que faz a demanda.

14. Obrigação após o término dos serviços de processamento de dados pessoais

As partes concordam que, ao término da prestação de serviços de processamento de dados, o IBANCOM disponibilizará para recuperação ou de outra forma devolverá os Dados Pessoais do Cliente armazenados no ambiente da Plataforma, a menos que a legislação imposta às partes impeça que ele retorne ou destrua todo ou parte de os dados pessoais transferidos. Nesse caso, as partes garantem que garantirão a confidencialidade dos dados pessoais transferidos e não processarão mais ativamente os dados pessoais transferidos.

15. Lei regente

Este acordo será regido pela lei do Estado-Membro no qual o Cliente está estabelecido.