Adendo de processamento de dados da Sojern Inc.

Última atualização: 1 de novembro de 2023

Este Adendo de Processamento de Dados, incluindo os Anexos 1 e 2 (“DPA”), estabelece os termos essenciais exigidos pela Sojern, Inc., uma corporação de Delaware com sede em 575 Market Street, 4th Floor, San Francisco, CA 94105 USA (“Sojern”). Para os fins deste DPA, a empresa que é parte do Contrato (conforme definido abaixo) no qual esse DPA está incorporado é chamada de “Empresa”.

1. Definições

”Contrato” significa todo e qualquer acordo entre as partes sob o qual a Sojern recebe, coleta, acessa ou processa Dados Pessoais para os fins previstos no provedor de dados ou contrato de serviço aplicável. Este DPA incorpora os termos e condições do Contrato e conforme estabelecido abaixo. No caso de um conflito entre o DPA e o Contrato, os termos deste DPA regerão e prevalecerão. Todos os termos em maiúsculas usados, mas não definidos neste documento, terão seus respectivos significados, conforme estabelecido no Contrato.

”Dados pessoais” significa qualquer informação relacionada a uma pessoa física identificada ou identificável que possa ser identificada direta ou indiretamente.

”Serviço” significa os serviços fornecidos pela Sojern or Company, conforme aplicável, de acordo com o Contrato.

2. Aplicação do DPA

Para fins de processamento realizado pela Sojern de acordo com o Contrato, o papel da Sojern como processadora de dados ou controladora de dados com relação aos Dados Pessoais processados pela Sojern será estabelecido no Contrato aplicável.

3. Uso de dados pessoais

Exceto conforme expressamente permitido neste documento ou por escrito pela Empresa, a Sojern não divulgará, venderá, distribuirá ou transmitirá Dados Pessoais a terceiros, nem (b) usará Dados Pessoais para qualquer finalidade que não seja fornecer à Empresa o Serviço nos termos do Contrato e de acordo com todas as leis de privacidade e proteção de dados aplicáveis. A Sojern garantirá que cada pessoa autorizada a processar Dados Pessoais esteja sujeita a um dever de confidencialidade com relação a esses Dados Pessoais.

4. Conformidade com a lei; outras instruções

Cada parte certifica que compreende suas obrigações de acordo com as leis de privacidade e proteção de dados aplicáveis e processará os Dados Pessoais de acordo com todas as leis de privacidade e proteção de dados aplicáveis. Quando a Sojern estiver atuando como processadora de dados, a Sojern realizará o processamento conforme documentado e instruído pela Empresa no Contrato, a menos que seja notificada de outra forma por uma autoridade regulatória de que tal processamento não está em conformidade com as leis de privacidade e proteção de dados aplicáveis. Nesse caso, a Sojern fornecerá imediatamente à Empresa uma notificação por escrito dessa notificação regulatória e poderá interromper o processamento de Dados Pessoais até que a questão regulatória seja resolvida.

Na medida exigida pela Lei de Proteção de Dados aplicável, a Empresa deve apenas instruir a Sojern a processar dados pessoais para os fins permitidos pelas leis de privacidade e proteção de dados aplicáveis e deve divulgar Dados Pessoais à Sojern somente para os fins limitados e especificados especificados no Contrato. A Empresa se reserva o direito, mediante aviso razoável, de tomar medidas razoáveis e apropriadas para ajudar a garantir que a Sojern use os Dados Pessoais transferidos de maneira consistente com as obrigações da Sojern de acordo com as leis de privacidade e proteção de dados aplicáveis, incluindo medidas razoáveis e apropriadas para interromper e remediar o uso não autorizado de Dados Pessoais. A Sojern notificará a Empresa se determinar que não pode mais cumprir suas obrigações de acordo com as leis de privacidade e proteção de dados aplicáveis.

5. Registros; cooperação para conformidade

Cada parte manterá um registro escrito ou eletrônico do processamento de Dados Pessoais. Cada parte cooperará razoavelmente com a outra parte no cumprimento das leis de privacidade e proteção de dados aplicáveis com relação a avaliações de impacto de dados, registros de processamento, solicitações relacionadas ou consultas com autoridades de proteção de dados e auditorias de acordo com o Contrato aplicável para permitir que a Empresa confirme que a Sojern cumpriu suas obrigações de acordo com as leis de privacidade e proteção de dados aplicáveis e o Contrato.

6. Política de privacidade da Sojern

As partes reconhecem que a Sojern não mantém um relacionamento direto com indivíduos cujos Dados Pessoais são fornecidos à Sojern. Assim, quando exigido pelas leis de privacidade e proteção de dados aplicáveis, a Empresa disponibilizará a Política de Privacidade da Sojern em https://www.sojern.com/privacy/privacy-policy/ para indivíduos cujos dados pessoais são processados pela Sojern.

7. Notificação, consentimento e exclusão

A Empresa notificará e obterá consentimentos de indivíduos, conforme exigido pelas leis de privacidade e proteção de dados aplicáveis em relação à coleta, uso e divulgação de Dados Pessoais pela Empresa. Se as leis de privacidade e proteção de dados aplicáveis exigirem mecanismos pelos quais os indivíduos possam exercer direitos, incluindo, mas não se limitando a, direitos de exclusão, a Empresa (ou outra parte responsável pela coleta de Dados Pessoais em nome da Empresa) fornecerá esse mecanismo aos indivíduos. Presume-se que a Empresa forneceu os avisos apropriados e obteve os consentimentos apropriados, se necessário, de quaisquer indivíduos cujos Dados Pessoais sejam fornecidos à Sojern. A Empresa fornecerá prontamente, mediante solicitação e a qualquer momento pela Sojern, prova de que os consentimentos apropriados foram obtidos pela Empresa de indivíduos relevantes.

8. Direitos de privacidade individuais

Cada parte cooperará razoavelmente com a outra parte em resposta a quaisquer solicitações ou reclamações de indivíduos relacionadas ao processamento de Dados Pessoais de acordo com o Contrato e com relação aos direitos de privacidade de acordo com as leis de privacidade e proteção de dados aplicáveis. Se a Sojern receber uma solicitação de um indivíduo, a Sojern prontamente: (a) encaminhará a solicitação à Empresa para gerenciar a solicitação; e (b) quando a Sojern for uma processadora de dados, implementará a decisão da Empresa com relação à forma como a solicitação será gerenciada.

9. Dados pessoais da UE

As partes reconhecem que os Dados Pessoais originados fora dos EUA (incluindo o Espaço Econômico Europeu (EEE), o Reino Unido ou a Suíça) podem ser transferidos ou processados pela Sojern em um país ou território reconhecido como garantindo proteção adequada de acordo com a legislação relevante de privacidade e proteção de dados. As partes também concordam que as transferências desses Dados Pessoais para a Sojern podem ser feitas de acordo com uma solução, diferente das cláusulas contratuais padrão, que permite a transferência legal de dados pessoais para um terceiro país, de acordo com a lei de privacidade e proteção de dados aplicável (uma “Solução de Transferência”). Isso inclui, mas não está limitado a, uma estrutura de proteção de dados aprovada, reconhecida como garantia de que as entidades participantes forneçam proteção adequada de dados pessoais.

Na medida em que dados pessoais originários de fora dos EUA (incluindo o Espaço Econômico Europeu (EEE), o Reino Unido ou a Suíça) são transferidos para Sojern, o processamento de dados exige adequação de acordo com as leis do país da empresa, nenhuma decisão de adequação ou solução de transferência se aplica e a adequação exigida pode ser atendida pelos termos deste DPA, então as partes concordam que esse DPA incorpora por referência, conforme aplicável, a UE () 2021/914 Cláusulas contratuais padrão da Comissão Europeia para a transferência de dados pessoais para países terceiros, de acordo com ao Regulamento (UE) 2016-679 por controladores da UE/EEE para processadores estabelecidos fora da UE/EEE (“Módulo 2”) e/ou por controladores da UE/EEE para controladores estabelecidos fora da UE/EEE (“Módulo 1”), e conforme eles são alterados ou substituídos de tempos em tempos pela Comissão Europeia (coletivamente, as “Cláusulas”). Para fins de conveniência, as cláusulas com hiperlinks acima são geradas com base na texto disponibilizado pela Comissão Europeia com o único propósito de incorporar as Cláusulas ao Contrato, selecionar o (s) Módulo (s) apropriado (s) e adicionar informações no Apêndice conforme permitido pelas Cláusulas. Para fins de transferência de dados pessoais, a Empresa será a “exportadora de dados” e a Sojern será a “importadora de dados” (mesmo que a Empresa seja uma entidade localizada fora da UE/EEE, desde que a Empresa esteja sujeita ao Regulamento (UE) 2016-679). Quando as Cláusulas se aplicarem, considera-se que a Empresa e a Sojern celebraram as Cláusulas em seus respectivos nomes e em seu próprio nome, e os nomes, endereços, detalhes de contato, funções e atividades das partes relacionadas aos Dados Pessoais transferidos de acordo com essas Cláusulas serão fornecidos no Contrato. A execução do Contrato será considerada execução das Cláusulas, especificamente a execução do Anexo I.A das Cláusulas. Na medida em que haja algum conflito entre os termos deste DPA e as Cláusulas, as Cláusulas aplicáveis prevalecerão e prevalecerão.

1. Controlador para controlador. Para fins do Módulo 1, (i) o Anexo 1 deste DPA substituirá o Anexo I.B do Módulo 1; (ii) o Anexo 2 deste DPA substituirá o Anexo II do Módulo 1; e (iii) na Cláusula 11 (a) do Módulo 1, o texto opcional fornecido é selecionado; (iv) na Cláusula 17 do Módulo 1, a OPÇÃO 1 é selecionada e o Estado-Membro da UE é a Irlanda; e (v) de acordo com a Cláusula 18 (b) do Módulo 1, os tribunais da Irlanda são selecionados.
2. Controlador para processador. Para os fins do Módulo 2, (i) o Anexo 1 deste DPA substituirá o Anexo I.B do Módulo 2; (ii) o Anexo 2 deste DPA substituirá o Anexo II do Módulo 2; (iii) de acordo com a Cláusula 9 (a) do Módulo 2, a OPÇÃO 2: A AUTORIZAÇÃO GERAL POR ESCRITO é selecionada e o período de aviso prévio é de trinta (30) dias; (iv) sob a Cláusula 11 (a) do Módulo 2, o texto opcional fornecido é selecionado; (v) na Cláusula 17 do Módulo 2, a OPÇÃO 1 é selecionada e o Estado-Membro da UE é a Irlanda; e (vi) na Cláusula 18 (b) do Módulo 2, os tribunais da Irlanda são selecionados.
3. Seção 702 da FISA e Ordem Executiva 12333. A Sojern notificará a Empresa imediatamente e deixará de aceitar Dados Pessoais se souber que eles se tornaram sujeitos aos requisitos de compartilhamento ou divulgação de dados, conforme previsto na Seção 702 da Lei de Vigilância de Inteligência Estrangeira (FISA) e/ou na Ordem Executiva 12333 dos Estados Unidos. Se mais orientações forem divulgadas pelo Conselho Europeu de Proteção de Dados ou por outra autoridade reguladora pela qual a Empresa seja regulamentada sobre quais medidas adicionais adequadas são necessárias para a exportação internacional de Dados Pessoais, a Sojern implementará imediatamente quaisquer outras medidas adequadas.

10. Salvaguardas de segurança

Cada parte deve implementar e manter medidas técnicas, físicas e organizacionais apropriadas para proteger os Dados Pessoais contra processamento não autorizado ou ilegal e contra perda, destruição ou dano acidental.

1. Violação de dados pessoais. Ao tomar conhecimento de uma violação de dados pessoais de acordo com as leis de privacidade e proteção de dados aplicáveis, cada parte notificará a outra por escrito, sem demora injustificada e dentro do prazo exigido pelas leis de privacidade e proteção de dados aplicáveis. Cada parte cooperará razoavelmente com a outra para mitigar, sempre que possível, os efeitos adversos de uma violação de dados pessoais.
2. Armazenamento de dados; exclusão de dados pessoais após a rescisão. A Sojern implementa medidas técnicas de segurança para se proteger contra o acesso não autorizado a Dados Pessoais, incluindo a criptografia de Dados Pessoais em formato eletrônico enquanto em trânsito e em repouso armazenados nas redes ou sistemas da Sojern. As obrigações da Sojern com relação aos Dados Pessoais em caso de rescisão do Contrato estão estabelecidas na seção Prazo e Rescisão do Contrato, sujeitas a quaisquer termos de retenção de dados do Contrato aplicável. Sob orientação da Empresa, a Sojern excluirá ou devolverá todos os dados pessoais à Empresa conforme solicitado no final da prestação dos serviços, a menos que a retenção dos dados pessoais seja exigida por lei.

11. Subprocessadores

A empresa concede uma autorização geral à Sojern para usar outros processadores de dados para o processamento de dados pessoais (“Subprocessadores”), que estão sujeitos às obrigações de confidencialidade e proteção de dados consistentes com este DPA e as leis de privacidade e proteção de dados aplicáveis, listadas em www.sojern.com/legal/partner-list/. Quando exigido pelo Contrato ou quando a Sojern estiver atuando como processadora de dados, a Sojern informará a Empresa sobre quaisquer alterações relacionadas à adição ou substituição de subprocessadores, atualizando a lista mencionada acima, dando à Empresa a oportunidade de se opor a tais alterações, e as instruções para objeções são fornecidas no mesmo URL. Se a Empresa se opuser razoavelmente a uma mudança e a Sojern não conseguir resolver tal objeção, a Empresa poderá rescindir o Contrato e o DPA.

12. Aplicação do DPA

Este DPA permanecerá em pleno vigor e efeito até que o último dos Contratos permaneça em vigor e (b) a Sojern retenha cópias dos Dados Pessoais. Qualquer uma das partes pode rescindir este DPA imediatamente após uma violação material deste DPA ou uma autoridade reguladora e/ou um tribunal ou tribunal com jurisdição considerar que o processamento de Dados Pessoais pelas partes viola materialmente as leis de privacidade e proteção de dados aplicáveis, desde que, no entanto, a parte não violadora forneça uma notificação da alegada violação, e tal violação tenha permanecido sem cura por um período de quinze (15) dias após tal notificação.

13. Lei vigente

Considera-se que este DPA foi elaborado e interpretado de acordo com as leis do Estado da Califórnia, EUA, sem levar em conta os conflitos de suas disposições legais.

CRONOGRAMA 1

Descrição da transferência

Categorias de titulares de dados cujos dados pessoais são transferidos

Viajantes e outros clientes da Companhia.

Categorias de dados pessoais transferidos

Os Dados Pessoais transferidos pela Empresa são fornecidos de acordo com o Contrato e podem incluir, mas não estão limitados a:

• Informações relacionadas a um identificador on-line exclusivo, como ID de cookie, ID de dispositivo móvel, endereço de e-mail com hash, ID de publicidade e números de ID de cliente atribuídos pela empresa.
• Informações relacionadas ao dispositivo de um indivíduo, como endereço IP, tipo de dispositivo, tipo de navegador, data e hora dos cliques e visitas à web, URLs visitados e outras informações técnicas.
• Informações relacionadas à viagem de um indivíduo, como número e tipos de viajantes, moeda/tarifas/tarifas/taxas, informações de pesquisa e reserva (como data de partida e chegada e país ou cidade de destino), informações sobre recompensas ou programas de fidelidade e preferências de acomodação ou serviço (como quarto, assento de voo ou tipo de carro e preferências de instalações e comodidades).

Dados confidenciais transferidos (se aplicável) e restrições ou salvaguardas aplicadas que levam totalmente em consideração a natureza dos dados e os riscos envolvidos, como, por exemplo, limitação estrita da finalidade, restrições de acesso (incluindo acesso somente para funcionários que tenham seguido treinamento especializado), manutenção de um registro do acesso aos dados, restrições para transferências futuras ou medidas de segurança adicionais.

Nenhum

A frequência da transferência (por exemplo, se os dados são transferidos de forma única ou contínua).

Base contínua, durante a vigência do Contrato aplicável.

Natureza do processamento

Coleta de informações de navegação on-line por meio do uso de cookies e outras tecnologias de rastreamento.

Finalidade (s) da transferência de dados e processamento adicional

Para qualquer finalidade legal relacionada aos Serviços fornecidos sob o Contrato entre exportador e importador de dados, particularmente publicidade direcionada com base em informações de navegação on-line. Nenhum processamento adicional é permitido.

O período pelo qual os dados pessoais serão retidos ou, se isso não for possível, os critérios usados para determinar esse período

Durante a vigência do Contrato aplicável, a menos que, por escolha do exportador de dados, os Dados Pessoais sejam excluídos ou devolvidos.

Para transferências para (sub-) processadores, especifique também o assunto, a natureza e a duração do processamento

Os subprocessadores estão listados em www.sojern.com/legal/partner-list/ conforme permitido pela Cláusula 9 (a) do Modelo 1.

• Assunto do processamento: Os subprocessadores fornecem infraestrutura e serviços de hospedagem, armazenamento e processamento para permitir que a Sojern forneça serviços a seus clientes. Além disso, os subprocessadores veiculam anúncios digitais em sites, aplicativos móveis e outras propriedades conectadas à Internet, emitem relatórios sobre o desempenho de campanhas publicitárias e fornecem uma plataforma que facilita a venda de impressões/inventário on-line por meio de leilões em tempo real.
• Natureza do processamento: os provedores de hospedagem em nuvem armazenam e processam dados fornecidos pelos clientes da Sojern, e as plataformas de demanda processam dados para compra de mídia programática e serviços de publicidade.
• Duração do processamento: Pela duração do contrato entre a Sojern e os subprocessadores, sujeito aos períodos de retenção nele contidos.

Autoridade supervisora competente

A autoridade supervisora de um dos Estados-Membros em que os titulares de dados cujos Dados Pessoais são transferidos de acordo com estas Cláusulas em relação à oferta de bens ou serviços a eles, ou cujo comportamento é monitorado, estão localizados, conforme indicado no Anexo I.C, atuará como autoridade supervisora competente.

CRONOGRAMA 2

Medidas técnicas e organizacionais, incluindo medidas técnicas e organizacionais para garantir a segurança dos dados

1. Geral. A Sojern estabelecerá, implementará e manterá medidas administrativas, técnicas e organizacionais apropriadas, projetadas para proteger contra o processamento não autorizado ou ilegal de Dados Pessoais e contra a perda acidental, destruição ou dano aos Dados Pessoais. Essas medidas serão adequadas para cumprir as leis de proteção de dados aplicáveis e a Sojern cumprirá sempre suas políticas de segurança da informação e seu programa de segurança da informação.

2. Políticas e padrões de segurança da informação. A Sojern manterá políticas, padrões e procedimentos de segurança da informação. Essas políticas, padrões e procedimentos devem ser mantidos atualizados e revisados sempre que alterações relevantes forem feitas nos sistemas de informação que usam ou armazenam Dados Pessoais.

3. Gerenciamento de vulnerabilidades. A Sojern manterá um programa de gerenciamento de vulnerabilidades para todos os sistemas que processam dados pessoais que inclui, sem limitação, varredura de vulnerabilidades interna e externa com descobertas de classificação de risco e planos formais de remediação para resolver quaisquer vulnerabilidades identificadas.

4. Avaliação de risco. A Sojern conduzirá avaliações de risco periódicas para identificar e avaliar riscos razoavelmente previsíveis à segurança, confidencialidade e integridade dos registros que contêm dados pessoais e avaliar e melhorar, quando necessário, a eficácia de suas salvaguardas para limitar esses riscos.

5. Classificação de dados. A Sojern manterá políticas e procedimentos para classificar ativos de informações confidenciais, esclarecer as responsabilidades de segurança e promover a conscientização de todos os funcionários.

6. Criptografia. A Sojern implementará mecanismos de criptografia padrão do setor e pacotes de criptografia fortes (recomenda-se o AES de 256 bits) para armazenamento e transmissão. Sojern aceitará conexões por canais criptografados (o TLS é recomendado).

7. Segurança de rede. A Sojern protegerá sua rede empregando uma abordagem de defesa aprofundada que utiliza equipamentos comercialmente disponíveis e técnicas padrão do setor, incluindo, sem limitação, firewalls, sistemas de detecção de intrusão, listas de controle de acesso e protocolos de roteamento.

8. Controles de vírus e malware. A Sojern protegerá os Dados Pessoais contra códigos maliciosos e instalará e manterá software de proteção antivírus e malware em qualquer sistema que manipule Dados Pessoais.

9. Controle de acesso. A Sojern praticará o princípio do menor privilégio, quando o acesso aos Dados Pessoais é concedido apenas àqueles dentro da organização que têm uma necessidade comercial desse acesso e as permissões serão limitadas à quantidade mínima necessária para desempenhar a função específica.

10. Local de processamento. Os dados pessoais serão processados pela Sojern nos Estados Unidos, sujeitos às leis de proteção de dados aplicáveis que possam exigir o contrário.

11. Resposta a incidentes. Sojern manterá um programa de resposta a incidentes de segurança de dados e documentará todas as suspeitas de incidentes de segurança de dados. A Sojern investigará quaisquer incidentes de segurança de dados e tomará todas as medidas necessárias para eliminar ou conter o incidente de segurança de dados.

12. Pessoal. A Sojern manterá um programa de treinamento e conscientização sobre segurança da informação e treinará funcionários essenciais da Sojern em medidas de proteção de dados e proteções gerais de segurança cibernética.

13. Fornecedor. A Sojern manterá um programa de gerenciamento de fornecedores que avaliará todos os fornecedores com os quais a Sojern troca dados pessoais. Esses fornecedores seguirão padrões de segurança de dados não menos restritivos do que os estabelecidos neste documento.