Adendo de Processamento de Dados

1. Definições

Os termos utilizados neste DPA têm o mesmo significado que no Regulamento Geral de Proteção de Dados do Reino Unido (UK GDPR) e (quando aplicável) no GDPR da UE. Quando este DPA se refere à 'Lei de Proteção de Dados Aplicável', significa, conforme o caso, o UK GDPR, o Data Protection Act 2018 (Lei de Proteção de Dados de 2018), o GDPR da UE, o Privacy and Electronic Communications Regulations 2003 (Regulamento de Privacidade e Comunicações Eletrônicas de 2003), e qualquer outra lei ou orientação de proteção de dados de uma autoridade supervisora competente que se aplique ao processamento das partes.

2. Objeto e papéis

O objeto do processamento no âmbito deste DPA são os dados pessoais submetidos aos Serviços pelo Cliente ou em seu nome, conforme descrito com mais detalhes no Anexo A. O Cliente é o controlador e a Specialist Electronics Ltd é a operadora desses dados pessoais. Quando a Specialist Electronics Ltd processa dados pessoais para seus próprios fins (por exemplo, análises internas, prevenção de fraudes ou para cumprir obrigações legais como o arquivamento de registros AML/KYC), a Specialist Electronics Ltd atua como controladora e aplica-se a Política de Privacidade.

3. Obrigações do operador

Nós iremos:

• Processar dados pessoais apenas de acordo com as instruções documentadas do Cliente, inclusive no que diz respeito a transferências para países terceiros, salvo quando obrigados por lei (caso em que informaremos o Cliente sobre tal requisito legal antes do processamento, salvo se a lei proibir tal informação por razões importantes de interesse público).
• Garantir que as pessoas autorizadas a processar dados pessoais tenham assumido compromissos de confidencialidade ou estejam sujeitas a uma obrigação legal adequada de confidencialidade.
• Adotar todas as medidas exigidas pelo Artigo 32 do UK/EU GDPR, conforme detalhado no Anexo B.
• Respeitar as condições para contratação de suboperadores estabelecidas na cláusula 6.
• Levando em conta a natureza do processamento, auxiliar o Cliente por meio de medidas técnicas e organizacionais apropriadas, na medida do possível, no cumprimento de sua obrigação de responder a solicitações de titulares de dados que exerçam seus direitos nos termos da Lei de Proteção de Dados Aplicável.
• Auxiliar o Cliente no cumprimento de suas obrigações nos termos dos Artigos 32 a 36 do UK/EU GDPR, levando em conta a natureza do processamento e as informações disponíveis para nós.
• À escolha do Cliente, excluir ou devolver todos os dados pessoais ao Cliente após o término da prestação de serviços, e eliminar as cópias existentes, salvo quando o armazenamento for exigido pela Lei de Proteção de Dados Aplicável.
• Disponibilizar ao Cliente todas as informações necessárias para demonstrar a conformidade com este DPA e permitir e contribuir para auditorias, incluindo inspeções, realizadas pelo Cliente ou por outro auditor mandatado pelo Cliente (sujeito às condições da cláusula 8).

4. Obrigações do Cliente

O Cliente garante que forneceu todos os avisos necessários e, quando relevante, obteve todos os consentimentos necessários dos titulares de dados para permitir o nosso processamento de seus dados pessoais ao abrigo do contrato e deste DPA. O Cliente é responsável pela exatidão dos dados pessoais que submete, por garantir que suas instruções estejam em conformidade com a Lei de Proteção de Dados Aplicável e por avaliar a legalidade de qualquer divulgação de dados pessoais à Specialist Electronics Ltd no âmbito deste DPA.

5. Segurança

Implementaremos e manteremos as medidas técnicas e organizacionais estabelecidas no Anexo B. Podemos atualizar essas medidas periodicamente, desde que o nível de segurança não seja materialmente reduzido.

6. Suboperadores

7. Transferências internacionais

Quando o processamento de dados pessoais ao abrigo deste DPA envolver uma transferência de dados pessoais para fora do Reino Unido ou do Espaço Econômico Europeu para um país que não tenha sido objeto de uma decisão de adequação, as partes concordam em ficar vinculadas pelo UK International Data Transfer Agreement ou pelas Cláusulas Contratuais Padrão da UE (Módulo Dois: Controlador para Operador) (as 'SCCs'), complementadas conforme necessário pelo UK Addendum às SCCs. As SCCs são incorporadas por referência a este DPA. Em caso de conflito entre este DPA e as SCCs, as SCCs prevalecem.

8. Auditorias

Mediante solicitação do Cliente e não mais de uma vez por ano civil (exceto quando necessário após uma violação de dados pessoais), disponibilizaremos as informações razoavelmente necessárias para demonstrar nossa conformidade com este DPA, inclusive respondendo a um questionário de auditoria por escrito e compartilhando os resultados de certificações de terceiros e relatórios de auditoria relevantes (como ISO 27001 ou SOC 2, quando disponíveis). Qualquer auditoria presencial será realizada às custas do Cliente por um auditor terceirizado independente razoavelmente aceitável pela Specialist Electronics Ltd, com pelo menos 30 dias de aviso prévio, durante o horário comercial normal e de forma que não interfira de maneira irrazoável em nossas operações nem exponha os dados pessoais de outros clientes.

9. Violação de dados pessoais

Notificaremos o Cliente sem demora indevida (e em qualquer caso dentro de 72 horas) após tomarmos conhecimento de uma violação de dados pessoais que afete os dados pessoais do Cliente. A notificação descreverá, na medida em que estiver disponível, a natureza da violação (incluindo as categorias e o número aproximado de titulares de dados e registros afetados), fornecerá o ponto de contato para mais informações, descreverá as prováveis consequências e descreverá as medidas tomadas ou propostas para remediar a violação e mitigar os efeitos adversos.

10. Solicitações de titulares de dados

Se um titular de dados nos contatar diretamente com um pedido para exercer seus direitos ao abrigo da Lei de Proteção de Dados Aplicável em relação aos dados pessoais que processamos em nome do Cliente, informaremos o titular de dados para que entre em contato diretamente com o Cliente e (quando compatível com nossas obrigações legais) encaminharemos o pedido ao Cliente. Auxiliaremos o Cliente na resposta a tais pedidos por meio de medidas técnicas e organizacionais apropriadas, levando em conta a natureza do processamento.

11. Devolução ou exclusão

Por ocasião do término do contrato subjacente, e à escolha do Cliente notificada a nós por escrito no prazo de 30 dias a partir do término, devolveremos ou excluiremos os dados pessoais do Cliente, incluindo todas as cópias, exceto quando a lei aplicável exigir armazenamento contínuo. Quando os dados pessoais forem retidos por razões legais, continuaremos a aplicar este DPA a eles.

12. Responsabilidade

A responsabilidade de cada parte ao abrigo deste DPA está sujeita às limitações de responsabilidade estabelecidas no contrato subjacente, exceto quando a Lei de Proteção de Dados Aplicável exigir o contrário.

13. Ordem de precedência

Em caso de conflito entre este DPA e o contrato subjacente, este DPA prevalecerá na extensão do conflito, exceto conforme expressamente declarado nas SCCs.

Anexo A — Descrição do processamento

Objeto

Prestação dos Serviços ao Cliente conforme estabelecido no contrato subjacente.

Duração

Pelo prazo do contrato mais qualquer período durante o qual retenhamos dados pessoais de acordo com este DPA ou a lei aplicável.

Natureza e finalidade

Hospedagem, processamento, armazenamento, transmissão e backup de dados pessoais em conexão com os Serviços; autenticação de usuários; realização, cumprimento e suporte de pedidos; análises; segurança.

Categorias de titulares de dados

Os usuários finais do Cliente (tipicamente pessoas físicas que compram do Cliente por meio dos Serviços), os funcionários e contatos autorizados do Cliente, e quaisquer outros indivíduos cujos dados pessoais o Cliente submeta aos Serviços.

Categorias de dados pessoais

Dados de contato (nome, e-mail, telefone, endereço), dados de conta, dados de pedido, metadados de pagamento, conteúdo de comunicações, dados de verificação de identidade quando aplicável, dados de dispositivo e conexão, telemetria de segurança.

Categorias especiais

Imagens de documentos de identidade que podem conter dados biométricos; informações de nacionalidade que podem constar em documentos de identidade.

Anexo B — Medidas técnicas e organizacionais

• Criptografia: TLS 1.2 ou superior para dados em trânsito; AES-256 para dados em repouso em armazenamento em nuvem; criptografia em nível de coluna para campos de alta sensibilidade, quando apropriado.
• Gestão de identidade e acesso: IDs de usuário exclusivos; controles de acesso baseados em funções com privilégio mínimo; autenticação multifator obrigatória para contas administrativas.
• Segregação: documentos de identidade armazenados em object storage criptografado, isolado do banco de dados da aplicação; ambientes separados para desenvolvimento, homologação e produção.
• Registro e monitoramento: logs de auditoria estruturados para eventos sensíveis à segurança; alertas sobre padrões anômalos; retenção de logs com acesso restrito.
• Gestão de vulnerabilidades: varredura de vulnerabilidades em dependências; varredura periódica de infraestrutura; cadência de correções documentada com SLAs mais curtos para vulnerabilidades críticas.
• Resposta a incidentes: plano de resposta a incidentes documentado; escala de plantão; runbooks de notificação de violações alinhados a este DPA.
• Backups: backups criptografados regulares; procedimentos de restauração testados; acesso restrito a mídias de backup.
• Pessoal: compromissos de confidencialidade na contratação; treinamento anual de segurança; revogação de acesso no desligamento.
• Gestão de fornecedores: due diligence antes da contratação de operadores; contratos de processamento por escrito em conformidade com o Artigo 28 do UK GDPR; reavaliação periódica.
• Continuidade de negócios: infraestrutura redundante; objetivos de recuperação documentados; exercícios periódicos de continuidade.