Adendo de processamento de dados

COMO EXECUTAR ESTE DPA:

Para concluir este DPA, envie um e-mail para jurídico@digital.aiApós o recebimento de um DPA devidamente preenchido por Digital.ai, tal DPA se tornará juridicamente vinculativo.

Uma versão em PDF do DPA pode ser baixada. aqui. Para avaliação do cliente.

Adendo de processamento de dados

Este Adendo de Proteção de Dados (“DPA”) faz parte do Acordo (definido abaixo) entre Digital.ai e Cliente para Digital.ai Para prestar serviços ao Cliente. Salvo disposição em contrário neste documento, todos os termos em maiúsculas têm o significado que lhes é atribuído no Contrato aplicável.

Digital.ai poderá, no decorrer da prestação de Serviços ao Cliente nos termos do Contrato, processar Dados Pessoais do Cliente que estejam sujeitos ao Regulamento Geral de Proteção de Dados da União Europeia, Regulamento (UE) 2016/679 (“GDPR da UE”) e o RGPD da UE, na medida em que faz parte da legislação do Reino Unido por força da secção 3 da Lei da União Europeia (Retirada) de 2018 (“GDPR do Reino Unido”) (coletivamente, o “RGPD”) ou outras Leis de Proteção de Dados. Este DPA estabelece as obrigações das partes com relação ao Processamento de Dados Pessoais nos termos do Contrato.

Considerando as obrigações mútuas aqui estabelecidas, as partes concordam em cumprir as seguintes disposições, agindo cada uma de forma razoável e de boa-fé.

1. DEFINIÇÕES

"Afiliados"Significa qualquer pessoa ou entidade que, direta ou indiretamente, detém, controla ou é controlada por, ou está sob controle comum com uma das partes, sendo que "controle" é definido como a posse ou direção de mais de 50% dos títulos de participação com direito a voto ou participação societária similar na entidade controlada.

"Acordo“Significa todos os acordos atuais e futuros entre” Digital.ai e o Cliente em relação ao qual Digital.ai fornece serviços que envolvem o processamento de dados pessoais em nome do cliente, como um Contrato de Assinatura Principal (“Contrato Integral para Venda de Ativos”) e todos os Pedidos aplicáveis ​​aos Serviços. Este DPA é incorporado a tais Contratos por esta referência.

"Responsável pelo Tratamento “Considera-se a entidade que, sozinha ou em conjunto com outras, determina as finalidades e os meios do Tratamento de Dados Pessoais.”

"Leis de proteção de dados“Significa todas as leis de proteção de dados aplicáveis ​​à proteção dos direitos e liberdades fundamentais das pessoas e seu direito à privacidade no que diz respeito ao Processamento de Dados Pessoais nos termos do Acordo, incluindo leis e regulamentos locais, estaduais, nacionais e/ou estrangeiros, o RGPD e as implementações do RGPD na legislação nacional, conforme alterado, substituído ou revogado periodicamente.”

"Dados Pessoais“Dados do Cliente” significa quaisquer Dados do Cliente (conforme definido no Contrato) que se relacionem a uma pessoa singular identificada ou identificável (“dados Assunto”), que está protegida pela Lei de Proteção de Dados.

"Violações de Dados Pessoais"Violação de segurança" significa uma violação de segurança que leva à destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilegal a Dados Pessoais transmitidos, armazenados ou de outra forma processados, e para a qual um Controlador é obrigado, nos termos da Lei de Proteção de Dados, a notificar as autoridades competentes de proteção de dados ou os Titulares dos Dados.

"Tratamento“Operação” significa qualquer operação ou conjunto de operações realizadas sobre Dados Pessoais ou conjuntos de Dados Pessoais, por meios automatizados ou não, tais como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização de qualquer outra forma, alinhamento ou combinação, restrição, eliminação ou destruição.

"Subcontratante"Significa a entidade que processa dados pessoais em nome do controlador."

"Serviços“Significa a prestação de serviços de manutenção e suporte e/ou o fornecimento de software como serviço (“SaaS”) e/ou quaisquer outros serviços, hospedados, gerenciados ou de outra forma, que sejam prestados ao abrigo do Contrato e para os fins dos quais Digital.ai Processa dados pessoais em nome do cliente.

"Cláusulas Contratuais Padrão“significa (i) onde se aplica o RGPD da UE, as cláusulas anexas à Decisão de Execução (UE) 2021/914 da Comissão Europeia, de 4 de junho de 2021, relativa à transferência de Dados Pessoais para países terceiros nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, tal como publicada oficialmente em https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj  ("2021 SCCs”); e (ii) quando o RGPD do Reino Unido se aplicar, as cláusulas padrão de proteção de dados adotadas nos termos do Artigo 46.º do RGPD do Reino Unido ou permitidas por este, conforme publicadas oficialmente em https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087 ("2010 SCCs").

"Subprocessador”Significa um Digital.ai Afiliado ou terceiro contratado por Digital.ai em relação aos Serviços e que Processam Dados Pessoais de acordo com este DPA.

"Autoridade Supervisora“Autoridade pública independente” significa uma autoridade pública independente estabelecida de acordo com as leis de proteção de dados aplicáveis.

2. TRATAMENTO DE DADOS PESSOAIS

2.1. Papel das Partes. Este DPA aplica-se ao Processamento de Dados Pessoais por Digital.ai e seus subprocessadores em relação à prestação dos Serviços. Para os fins deste DPA, Digital.ai é o Processador e o Cliente é o Controlador.

2.2. Âmbito do Processamento. O objeto e a duração do Processamento de Dados Pessoais estão definidos no Contrato, que descreve a prestação dos Serviços ao Cliente. A natureza e as finalidades do Processamento para as quais os Dados Pessoais são processados ​​em nome do Cliente, os tipos de Dados Pessoais e as categorias de Titulares dos Dados estão definidos no Contrato. Anexo 1 a esta DPA.

2.3. Instruções. Digital.ai O processamento de Dados Pessoais será realizado exclusivamente em nome do Cliente e de acordo com as instruções documentadas por ele fornecidas. O Contrato (incluindo este DPA) constitui as instruções iniciais documentadas para o processamento dos Dados Pessoais do Cliente, e cada utilização subsequente dos Serviços constitui instruções adicionais. Digital.ai Faremos todos os esforços razoáveis ​​para cumprir outras instruções razoáveis ​​do Cliente, desde que sejam consistentes com os termos dos Contratos, exigidas pela Lei de Proteção de Dados e tecnicamente viáveis. Digital.ai informará o Cliente caso não possa cumprir uma instrução ou em Digital.aiNa opinião da empresa, quaisquer instruções do Cliente infringem as leis de proteção de dados aplicáveis.

2.4. Conformidade com as Leis. As partes concordam em cumprir todas as Leis de Proteção de Dados aplicáveis, conforme detalhado abaixo:

2.4.1. Digital.ai deverá cumprir todas as Leis de Proteção de Dados aplicáveis. Digital.ai em sua função de Processador em relação a Dados Pessoais. Ao fornecer os Serviços, Digital.ai O tratamento de dados pessoais será realizado em conformidade com as instruções documentadas do Cliente, inclusive no que diz respeito à transferência de dados pessoais para um país terceiro ou organização internacional (conforme descrito na Seção 7). Digital.ai Também poderemos processar Dados Pessoais quando tal for exigido pelas leis de proteção de dados aplicáveis, caso em que Digital.ai deverá informar o Cliente sobre essa exigência legal antes do Processamento, a menos que a lei proíba tal notificação por motivos de interesse público relevante.

2.4.2. O Cliente deverá cumprir todas as Leis de Proteção de Dados aplicáveis ​​ao Cliente em sua função de Controlador e deverá obter todos os consentimentos necessários, bem como fornecer todas as notificações necessárias, aos Titulares dos Dados para permitir Digital.ai Para realizar o Processamento previsto neste DPA de forma lícita, o Cliente é responsável pela exatidão e qualidade dos Dados Pessoais, bem como pelos meios pelos quais os obteve.

3. DIREITOS DO TITULAR DOS DADOS

3.1. Solicitações de titulares de dados. Digital.ai irá, de forma consistente com a funcionalidade dos Serviços e Digital.aiO papel da [Nome da Capacidades] como Processadora é fornecer suporte razoável ao Cliente para permitir que o Cliente responda às solicitações do Titular dos Dados para exercer seus direitos de acordo com as Leis de Proteção de Dados aplicáveis ​​(“Solicitações de titulares de dados").

3.2. Resposta às solicitações dos titulares dos dados. O cliente é responsável por responder às solicitações dos titulares dos dados. Se Digital.ai recebe uma solicitação do titular dos dados ou outra reclamação de um titular dos dados em relação ao processamento de dados pessoais, Digital.ai A empresa, na medida em que a lei o permita, notificará prontamente o Cliente, desde que o Titular dos Dados tenha fornecido informações suficientes para a identificação do Cliente. Salvo exigência legal aplicável, Digital.ai Não responderá a qualquer Solicitação do Titular dos Dados sem a autorização ou instrução prévia por escrito do Cliente, exceto para confirmar que tal solicitação se refere ao Cliente.

4. RETENÇÃO E EXCLUSÃO DE DADOS PESSOAIS

4.1. Retenção de Dados Pessoais. Após a rescisão do Contrato entre as partes e/ou após o término da prestação dos Serviços aos quais este DPA se aplica, Digital.ai A empresa deverá apagar ou devolver quaisquer Dados Pessoais do Cliente de acordo com as Leis de Proteção de Dados e/ou em conformidade com os termos do Contrato, assim que for razoavelmente possível, a menos que a legislação aplicável exija armazenamento adicional.

5. SEGURANÇA DO PROCESSAMENTO

5.1. Medidas de segurança. Digital.ai implementará e manterá medidas técnicas e organizacionais adequadas, conforme especificado em Anexo II De acordo com esta DPA, o Cliente se compromete a proteger os Dados Pessoais contra destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilícito, em conformidade com as Leis de Proteção de Dados aplicáveis. O Cliente é responsável por determinar, de forma independente, se as medidas técnicas e organizacionais dos Serviços atendem aos seus requisitos, incluindo quaisquer obrigações de segurança previstas nas Leis de Proteção de Dados aplicáveis.

5.2. Pessoal. Para processar dados pessoais, Digital.ai e seus Subprocessadores somente concederão acesso a pessoal autorizado que se comprometa com requisitos de confidencialidade pelo menos tão protetivos quanto os deste DPA ou do Contrato. Tal pessoal deverá processar os Dados Pessoais de acordo com as instruções do Cliente, conforme estabelecido no Contrato, e somente na medida necessária para a prestação dos Serviços.

6. SUBPROCESSADORES

6.1. Utilização de Subprocessadores. O Cliente autoriza Digital.ai contratar Subprocessadores de acordo com este DPA, desde que Digital.ai deverá celebrar um contrato por escrito com esses Subprocessadores que seja consistente com os termos deste instrumento. Digital.ai será responsável pelos atos e omissões de qualquer Subprocessador na mesma medida como se tivessem sido realizados por Digital.ai.

6.2. Lista de Subprocessadores. A lista de subprocessadores usados ​​por Digital.ai Para prestar os Serviços, a partir da data de entrada em vigor deste DPA, encontra-se anexado a este documento como Anexo III e publicado em: https://info.digital.ai/rs/981-LQX-968/images/Data-Protection-FAQ-February-2025.pdf  ("Lista de subprocessadores"). Digital.ai deverá notificar o Cliente de quaisquer adições ou substituições pretendidas à Lista de Subprocessadores, atualizando a Lista de Subprocessadores publicada pelo menos trinta (30) dias antes de autorizar qualquer novo Subprocessador a Processar Dados Pessoais.

6.3. Direito de Oposição. Esta Seção 6.3 será aplicável na medida em que o Cliente esteja estabelecido no Espaço Econômico Europeu (“EEE”). ”), o Reino Unido (“UK”) e/ou Suíça ou onde exigido pelas Leis de Proteção de Dados aplicáveis ​​ao Cliente. Nesse caso, se o Cliente se opuser por motivos razoáveis ​​relacionados à proteção de dados, Digital.aiO uso de um novo Subprocessador pela [Nome da Capacidades] deverá ser comunicado imediatamente, e dentro de quinze (15) dias após o término do contrato, ao Cliente. Digital.aiA notificação de acordo com a Seção 6.2 acima, forneça Digital.ai mediante notificação por escrito de tal objeção. No caso de tal objeção, Digital.ai Tomaremos medidas comercialmente razoáveis ​​para abordar as objeções levantadas pelo Cliente e forneceremos ao Cliente uma explicação escrita razoável das medidas tomadas para abordar tal objeção.

7. TRANSFERÊNCIAS DE DADOS

7.1. Transferências. O cliente autoriza Digital.ai e seus subcontratados para processar dados pessoais com a finalidade de fornecer os serviços, sendo que esse processamento pode incluir a realização das transferências necessárias de dados pessoais, de acordo com os termos deste DPA.

7.2. Transferências Restritas. Todas as transferências de Dados Pessoais ao abrigo deste DPA para fora do EEE, do Reino Unido e/ou da Suíça para países que não garantam um nível adequado de proteção de dados na acepção das Leis de Proteção de Dados dos territórios acima mencionados (“Países restritosA presente transação será regida pelas Cláusulas Contratuais Padrão relevantes, que estão incorporadas a este DPA. A transferência safeAs salvaguardas, conforme estabelecido nesta Seção 7, serão aplicadas a: (i) quando o RGPD da UE se aplicar, uma transferência de Dados Pessoais do EEE ou da Suíça para um País Restrito; e (ii) quando o RGPD do Reino Unido se aplicar, uma transferência de Dados Pessoais do Reino Unido para um País Restrito; (“Transferências restritas").

7.3. Cláusulas Contratuais Padrão entre Controlador e Processador: As Cláusulas Contratuais Padrão serão aplicáveis ​​a quaisquer Transferências Restritas de Dados Pessoais do Cliente (como “exportador de dados”) para Digital.ai (como “importador de dados”), da seguinte forma:

7.3.1. Dados Pessoais da UECom relação aos Dados Pessoais protegidos pelo RGPD da UE, as Cláusulas Contratuais Padrão de 2021 serão aplicadas da seguinte forma: (i) o Módulo Dois (Controlador para Processador) será aplicado e os Módulos Um, Três e Quatro serão excluídos integralmente; (ii) a Cláusula 7 será excluída integralmente e as partes poderão adicionar entidades adicionais a este DPA mediante a celebração de um DPA adicional (conforme disponibilizado). aqui.(iii) na Cláusula 9, a Opção 2 será aplicada, conforme detalhado na Seção 6 deste DPA; (v) na Cláusula 17, a Opção 1 será aplicada e as Cláusulas Contratuais Padrão de 2021 serão regidas pela lei holandesa; (vi) na Cláusula 18(b), as disputas serão resolvidas perante os tribunais da Holanda; e (vii) o Anexo I e o Anexo II das Cláusulas Contratuais Padrão de 2021 serão preenchidos com as informações estabelecidas nos Anexos I e II anexados a este DPA.

7.3.2. Dados Pessoais SuíçosPara efeitos das Cláusulas Contratuais Padrão de 2021, o termo "Estado-Membro" não deve ser interpretado de forma a excluir os titulares de dados na Suíça da possibilidade de exercerem os seus direitos no seu local de residência habitual (Suíça), em conformidade com a Cláusula 18(c). Até 31 de dezembro de 2022, e por qualquer período mais longo exigido pela legislação suíça aplicável, as Cláusulas Contratuais Padrão de 2021 também protegerão os dados de pessoas jurídicas no âmbito da Lei Federal Suíça de Proteção de Dados de 19 de junho de 1992 (SR 235.1; "FADP").

7.3.3. Dados Pessoais do Reino UnidoCom relação aos Dados Pessoais protegidos pelo GDPR do Reino Unido, as Cláusulas Contratuais Padrão de 2010 serão aplicáveis ​​no que diz respeito às transferências de Dados Pessoais do Reino Unido. Quaisquer alterações, atualizações ou versões modificadas futuras das Cláusulas Contratuais Padrão de 2010, introduzidas pela Autoridade de Proteção de Dados do Reino Unido para fins de conformidade com as disposições sobre transferência internacional de dados da Lei de Proteção de Dados do Reino Unido de 2018, serão incorporadas e farão parte do contrato entre o Cliente e a [Nome da Capacidades]. Digital.aiOs Apêndices 1 e 2 das Cláusulas Contratuais Padrão de 2010 devem ser preenchidos com as informações constantes dos Anexos I e II anexos a este DPA.

7.4. Esclarecimentos. Não é intenção de nenhuma das partes, nem o efeito deste DPA, contradizer ou restringir quaisquer das disposições estabelecidas nas Cláusulas Contratuais Padrão. Em nenhum caso este DPA restringe ou limita os direitos de qualquer titular de dados ou Autoridade Supervisora ​​competente. Nada neste DPA deve ser interpretado como prevalecendo sobre qualquer cláusula conflitante das Cláusulas Contratuais Padrão de 2010 ou das Cláusulas Contratuais Padrão de 2021. Quando este DPA especificar regras de auditoria e de subcontratação, tais especificações também se aplicam em relação às Cláusulas Contratuais Padrão de 2010 e às Cláusulas Contratuais Padrão de 2021.

7.5. Mecanismo Alternativo de Transferência de Dados. Para evitar dúvidas, caso o mecanismo de transferência identificado nesta Seção 7 seja considerado inválido por uma Autoridade Supervisora ​​ou tribunal com jurisdição competente, as Partes deverão envidar esforços de boa-fé para negociar um mecanismo alternativo (se disponível e necessário) que permita a continuidade da transferência de Dados Pessoais.

8. NOTIFICAÇÃO DE VIOLAÇÃO DE DADOS PESSOAIS

8.1. Notificação de Violação de Dados Pessoais. Digital.ai A empresa notificará o Cliente prontamente, sem demora indevida, assim que tomar conhecimento de qualquer violação de dados pessoais envolvendo os dados pessoais do Cliente processados ​​por ela. Digital.ai e fornecer informações razoáveis ​​que possua para auxiliar o Cliente no cumprimento de suas obrigações de relatar uma Violação de Dados Pessoais, conforme exigido pelas Leis de Proteção de Dados. Digital.ai A empresa envidará esforços razoáveis ​​para identificar a causa de tal violação de dados pessoais e tomará as medidas apropriadas para mitigar os efeitos e minimizar quaisquer danos resultantes da violação de dados pessoais, na medida em que tal remediação esteja dentro dos limites legais. Digital.aicontrole razoável da empresa. A notificação será entregue ao Cliente de acordo com a Seção 8.2. Tal notificação não deve ser interpretada ou considerada como uma admissão de culpa ou responsabilidade por parte da empresa. Digital.ai.

8.2. Entrega de Notificações. As notificações de violações de dados pessoais, se houver, serão entregues a um ou mais contatos comerciais, técnicos ou administrativos do Cliente por meio de Digital.ai as opções selecionadas, inclusive por e-mail. O cliente é responsável por garantir que forneça e mantenha informações de contato precisas em todos os momentos.

9. AUDITAR

9.1. Pedidos de Informação. Digital.ai A empresa disponibilizará ao Cliente, mediante solicitação escrita razoável, as informações relacionadas ao Processamento de Dados Pessoais do Cliente, conforme necessário para demonstrar a eficácia do tratamento. Digital.aiO cumprimento, por parte da empresa, das obrigações previstas neste DPA.

9.2. Auditoria do Cliente. Digital.ai deverá permitir solicitações de inspeção por parte do Cliente (ou seu auditor independente) relacionadas aos Dados Pessoais Processados ​​por Digital.ai a fim de verificar Digital.aia conformidade da empresa com este DPA, se: (a) Digital.ai (a) não forneceu evidências escritas suficientes de sua conformidade com as medidas técnicas e organizacionais, como por exemplo, uma certificação de conformidade com a ISO 27001 ou outras normas; (b) ocorreu uma violação de dados pessoais; (c) uma auditoria é formalmente solicitada pela Autoridade Supervisora ​​do Cliente; ou (d) a Lei de Proteção de Dados confere ao Cliente o direito a uma inspeção obrigatória no local; e desde que o Cliente não exerça esse direito mais de uma vez por ano, a menos que a Lei de Proteção de Dados exija inspeções mais frequentes. Quaisquer informações fornecidas por Digital.ai Nos termos desta Seção 9, estão sujeitas às obrigações de confidencialidade do Acordo. Tais inspeções serão conduzidas de forma a não afetar a segurança, a confidencialidade, a integridade, a disponibilidade e a continuidade das instalações, redes e sistemas inspecionados, nem comprometer quaisquer dados confidenciais neles processados.

9.3. Custo da Auditoria. O Cliente é responsável pelos custos de qualquer auditoria, a menos que tal auditoria revele uma violação material por parte do Cliente. Digital.ai deste DPA, então Digital.ai arcará com suas próprias despesas de auditoria. Se uma auditoria determinar que Digital.ai violou suas obrigações sob este DPA, Digital.ai remediará prontamente a violação às suas próprias custas.

10. AVALIAÇÕES DE IMPACTO SOBRE A PROTEÇÃO DE DADOS

10.1. Caso o Cliente seja obrigado, pela legislação de proteção de dados aplicável, a realizar uma avaliação de impacto sobre a proteção de dados ou uma consulta prévia a uma Autoridade Supervisora ​​relacionada ao uso dos Serviços pelo Cliente, Digital.ai A empresa, mediante solicitação razoável do Cliente, fornecerá os documentos geralmente disponíveis para os Serviços; por exemplo, quaisquer relatórios SOC 2 (Controle Organizacional de Serviços) vigentes, certificações ISO/IEC 27001:2013 e/ou relatórios sucessores comparáveis ​​de acordo com os padrões da indústria, conforme aplicável aos Serviços.

10.2. Qualquer assistência adicional na cooperação ou consulta prévia com uma Autoridade de Supervisão no desempenho das suas funções relacionadas com esta Secção 10, na medida em que tal seja exigido pela legislação de proteção de dados, será mutuamente acordada entre as Partes, tendo em conta a natureza do Tratamento e as informações disponíveis. Digital.aiNa medida em que a lei o permita, o Cliente será responsável por quaisquer custos decorrentes de Digital.aia prestação de tal assistência por parte de

11. GERAL

11.1. Capacidadess Afiliadas do Cliente. O Cliente é responsável por coordenar toda a comunicação com Digital.ai Em nome de suas Afiliadas, no que diz respeito a este DPA. O Cliente declara que está autorizado a celebrar este DPA e quaisquer Cláusulas Contratuais Padrão aqui incorporadas ou celebradas ao abrigo deste DPA, a emitir instruções e a fazer e receber quaisquer comunicações ou notificações relacionadas com este DPA em nome de suas Afiliadas.

11.2. Conflito. A legislação aplicável e os tribunais competentes para este DPA são os do Contrato principal ao qual este DPA está vinculado. Em caso de conflito ou inconsistência entre este DPA e o Contrato, este DPA prevalecerá na medida em que o conflito ou a inconsistência se relacione a Dados Pessoais.

11.3. Rescisão. O presente DPA (Acordo de Proteção de Dados) será encerrado de acordo com os termos do Acordo.

11.4. Disposições Gerais. Cada referência ao DPA neste documento significa este DPA, incluindo seus Anexos e/ou Apêndices. Os títulos das seções contidos neste DPA são apenas para fins de referência e não devem, de forma alguma, afetar o significado ou a interpretação deste DPA.

Em testemunho do que precede, este DPA é celebrado e passa a fazer parte integrante e vinculativa do(s) Contrato(s) entre o Cliente e Digital.ai, a partir da data de assinatura do Cliente abaixo. Se este documento tiver sido assinado eletronicamente por qualquer uma das partes, tal assinatura terá o mesmo efeito legal que uma assinatura manuscrita.

ANEXO I

Descrição do Processamento

Este Anexo 1 se aplica para descrever o Processamento de Dados Pessoais do Cliente para os fins das Cláusulas Contratuais Padrão de 2010, das Cláusulas Contratuais Padrão de 2021 e da legislação de proteção de dados aplicável.

A. LISTA DE PARTES

Exportador(es) de dados:

1. Nome: Nome do Cliente conforme indicado no Contrato vigente

Endereço: Endereço do cliente conforme indicado no contrato vigente.

Nome, cargo e dados de contato da pessoa de contato: signatário autorizado do Acordo em vigor

Atividades relevantes: Uso de Digital.aiprodutos e serviços da empresa de acordo com o Contrato.

Assinatura e data: Ao celebrar o DPA, considera-se que o exportador de dados assinou as Cláusulas Contratuais Padrão aqui incorporadas, a partir da data de entrada em vigor do DPA.

Função (controlador/processador):   Responsável pelo Tratamento

Importador(es) de dados:

Nome: Digital.ai Software, Inc.

Endereço: 555 Fayetteville Street, Suite #210, Raleigh, Carolina do Norte 27601

Nome, cargo e dados de contato da pessoa de contato: jurídico@digital.ai

Atividades relevantes: Fornecimento de Digital.aiprodutos e serviços da empresa de acordo com o Contrato.

Assinatura e data: Ao celebrar o DPA, considera-se que o importador de dados assinou as Cláusulas Contratuais Padrão aqui incorporadas, a partir da data de entrada em vigor do DPA.

Função (controlador/processador): Subcontratante

B. DESCRIÇÃO DA TRANSFERÊNCIA

Categorias de titulares de dados cujos dados pessoais são transferidos:

As categorias de titulares de dados incluem os Usuários do Cliente (conforme definido no Contrato) de Digital.ai produtos e serviços.

Categorias de dados pessoais transferidos:

Informações de identificação (nome, título, endereço de e-mail); informações de login (nome de usuário e senha); dados de login (hora e data dos registros); dados relacionados às solicitações de suporte dos usuários.

Transferência de dados sensíveis (se aplicável) e restrições aplicadas ou safemedidas de segurança que levem em consideração a natureza dos dados e os riscos envolvidos, como, por exemplo, a estrita limitação de finalidade, restrições de acesso (incluindo acesso apenas para funcionários que tenham recebido treinamento especializado), manutenção de um registro de acesso aos dados, restrições para transferências subsequentes ou medidas de segurança adicionais.:

Nenhuma informação sensível é processada por Digital.ai.

Frequência da transferência (por exemplo, se os dados são transferidos de forma pontual ou contínua):

As transferências serão feitas de forma contínua para produtos e serviços em nuvem e de forma pontual para solicitações de suporte.

Natureza do processamento:

Digital.ai atua como Processador dos Dados Pessoais fornecidos pelo Cliente durante a utilização do serviço. Digital.aiOs produtos e serviços da empresa; a natureza do processamento inclui transferência, armazenamento e outras atividades de processamento especificadas nos termos do Contrato.

Finalidade(s) da transferência e processamento posterior dos dados:

Forneça e apoiar Digital.aiOs produtos e serviços da [Nome da Capacidades] ao Cliente, conforme acordado no Contrato (incluindo este DPA).

O período durante o qual os dados pessoais serão retidos ou, se isso não for possível, os critérios usados ​​para determinar esse período:

Durante a vigência do Acordo em vigor com Digital.ai, exceto quando especificado de outra forma no Contrato, ou permitido ou exigido por lei.

Para transferências para (sub)processadores, especifique também o assunto, a natureza e a duração do processamento:

Digital.ai (Importador de Dados) utiliza os subprocessadores identificados no Lista de subprocessadores estabelecido em Anexo III, suportar Digital.ai ao fornecer seus produtos e serviços ao Cliente (Exportador de Dados). O objeto e a duração do processamento estão descritos acima neste Anexo. A natureza dos serviços específicos de subprocessamento é detalhada na Lista de Subprocessadores. identificado no Anexo III.

C. AUTORIDADE SUPERVISORA competente

Identificar a(s) autoridade(s) de supervisão competente(s) de acordo com a Cláusula 13:

A autoridade supervisora ​​competente, determinada de acordo com a Cláusula 13 das Cláusulas Contratuais Padrão.

• Cláusulas Contratuais Padrão de 2021: a lei aplicável às Cláusulas Contratuais Padrão de 2021 será a lei dos Países Baixos.

• Cláusulas Contratuais Padrão de 2010: as Cláusulas Contratuais Padrão de 2010 serão regidas pelas leis do Estado-Membro em que o exportador de dados estiver estabelecido, ou seja, o Reino Unido.

ANEXO II

Medidas de Segurança Técnica e Organizacional

Este Anexo II se aplica para descrever as medidas técnicas e organizacionais aplicáveis ​​para os fins das Cláusulas Contratuais Padrão de 2010, das Cláusulas Contratuais Padrão de 2021 e da legislação de proteção de dados aplicável.

As medidas técnicas e organizacionais estabelecidas no Anexo II foram implementadas pelo importador de dados para garantir um nível adequado de segurança, levando em consideração a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como o risco de probabilidade e gravidade variáveis ​​para os direitos e liberdades das pessoas singulares.

Descrição das medidas técnicas e organizacionais, incluindo medidas técnicas e organizacionais para garantir a Segurança dos dados:

Política, procedimentos e padrões de segurança da informação. Digital.ai manterá um programa de segurança da informação (incluindo a adoção e aplicação de políticas e procedimentos internos) concebido para ajudar a proteger os dados pessoais contra perda, acesso ou divulgação acidental ou ilícita. Uma revisão de todos Digital.ai As políticas, os procedimentos e os padrões técnicos de segurança da informação são revisados ​​pelo menos uma vez por ano. Quando aplicável, cópias de segurança de dados pessoais podem ser disponibilizadas e testadas periodicamente para confirmar a integridade e demonstrar a resiliência. Uma avaliação de vulnerabilidades é realizada periodicamente em sistemas críticos, e testes de penetração são realizados pelo menos uma vez por ano.

Criptografia. Digital.ai Os métodos de criptografia utilizados são considerados seguros de acordo com as melhores práticas do setor para proteger os dados tanto em repouso quanto em trânsito. Os métodos de criptografia utilizados atendem ou excedem os padrões Transport Layer Security (TLS) 1.2 ou Advanced Encryption Standard (AES) 256.

AuditoriasQuando aplicável, Digital.ai Utilizará auditores externos e/ou realizará auditorias internas para verificar a adequação de suas medidas de segurança de acordo com as normas ISO 27001, SOC 2 ou ISO 13485.

Controles de acesso. Identificação e autorização do usuário. Digital.ai manterá controles e políticas de acesso para gerenciar o acesso permitido ao Digital.ai rede de cada conexão de rede e usuário, incluindo o uso de firewalls ou tecnologia funcionalmente equivalente e controles de autenticação.

Segurança física. Os controles de barreira física são usados ​​para impedir a entrada não autorizada em instalações onde dados pessoais são processados, seja pela própria empresa ou em seu nome. Digital.aiOs controles existem tanto no perímetro quanto nos pontos de acesso ao edifício. A entrada normalmente requer validação eletrônica de controle de acesso (por exemplo, sistemas de controle de acesso por cartão, etc.) ou validação por pessoal de segurança (por exemplo, serviço de segurança terceirizado ou interno, recepcionista, etc.). Funcionários e contratados recebem crachás de identificação com foto que devem ser usados ​​enquanto estiverem em qualquer uma das instalações. Visitantes devem se identificar com o pessoal designado, apresentar identificação apropriada, receber um crachá de visitante que deve ser usado enquanto estiverem em qualquer uma das instalações e ser acompanhados continuamente por funcionários ou contratados autorizados durante a visita às instalações.

Registro de eventos. Digital.aiA rede e os sistemas da empresa estão configurados de forma que os erros do sistema e os eventos de segurança sejam registrados, e os arquivos de registro sejam protegidos contra alterações por usuários.

Configuração do sistema. Digital.ai Será responsável por desenvolver, documentar e manter uma configuração de referência atualizada para todos os sistemas abrangidos. A configuração de referência deve ser revisada e atualizada anualmente e sempre que necessário devido a atualizações de sistema, patches ou outras alterações significativas. As configurações anteriores para permitir o rollback devem ser mantidas. Uma configuração de referência mínima deve ser estabelecida para sistemas de informação ou computadores com controles de segurança elevados.