Este Contrato de Processamento de Dados (o "DPA do Parceiro") é incorporado ao(s) contrato(s) firmado(s) entre você ("Parceiro") e a BROSH, Inc. ("BROSH") e rege o compartilhamento de dados entre você e a BROSH (mas excluindo contratos de clientes entre o Parceiro e a BROSH que regem a compra e o uso de produtos e serviços da BROSH pelo Parceiro) ("Contrato do Parceiro").

Este DPA do Parceiro abrange o processamento de: (1) Dados Pessoais que o Parceiro carrega, transfere ou de outra forma fornece à BROSH em conexão com um Contrato de Parceiro; e (2) Dados Pessoais que a BROSH (ou seus clientes) carrega, transfere ou de outra forma fornece ao Parceiro em conexão com o Contrato de Parceiro.

Coletivamente, este DPA de Parceiro (incluindo os SCCs, conforme definido abaixo) e o Contrato de Parceiro são referidos neste DPA de Parceiro como o "Contrato". No caso de qualquer conflito ou inconsistência entre quaisquer dos termos do Contrato, as disposições dos seguintes documentos (em ordem de precedência) prevalecerão: (a) os SCCs (b) este DPA de Parceiro; e (c) o Contrato de Parceiro.

O objetivo deste DPA de parceiro é estabelecer uma estrutura para abordar cenários onde:

1. BROSH e Parceiro podem, em conexão com o Contrato de Parceiro, cada um ser Controlador (conforme definido abaixo) de Dados Pessoais Europeus e, em certos casos, transferir esses Dados Pessoais Europeus para a outra parte para que essa outra parte atue como Controlador desses Dados Pessoais Europeus;
2. BROSH e Parceiro podem ser Controladores de Dados Pessoais Europeus e, em certos casos, transferem esses Dados Pessoais Europeus para a outra parte para que essa outra parte forneça determinados serviços à outra parte como um Processador (por exemplo, executando serviços como Parceiro de Soluções ou concluindo uma chamada de API); ou
3. A BROSH e o Parceiro podem ser Processadores de Dados Pessoais Europeus de um Cliente Conjunto e transferir esses dados para a outra parte para processamento sob a direção desse Cliente Conjunto.

1. DEFINIÇÕES

"Empresa" e "Provedor de Serviços" terão os significados atribuídos a eles na CCPA.

“Informações Pessoais da Califórnia” significa Dados Pessoais que estão sujeitos à proteção da CCPA.

"CCPA" significa Código Civil da Califórnia, Seção 1798.100 e seguintes (também conhecido como Lei de Privacidade do Consumidor da Califórnia de 2018).

“Controlador” significa a pessoa física ou jurídica, autoridade pública, agência ou outro organismo que, individualmente ou em conjunto com outros, determina as finalidades e os meios do Tratamento de Dados Pessoais.

"Leis de Proteção de Dados" significa toda a legislação ou regulamentos aplicáveis em todo o mundo relacionados à proteção de dados e privacidade que se aplicam à respectiva parte na função de Processamento de Dados Pessoais em questão sob o Contrato, incluindo, sem limitação, as Leis Europeias de Proteção de Dados, a CCPA e as leis de proteção de dados e privacidade da Austrália e Cingapura; em cada caso, conforme alterado, revogado, consolidado ou substituído de tempos em tempos. "Europa" significa a União Europeia, o Espaço Econômico Europeu e/ou seus estados-membros, Suíça e Reino Unido.

"Leis Europeias de Proteção de Dados" significa leis de proteção de dados aplicáveis na Europa, incluindo: (i) Regulamento 2016/679 do Parlamento Europeu e do Conselho sobre a proteção de pessoas físicas no que diz respeito ao processamento de dados pessoais e à livre circulação desses dados (Regulamento Geral de Proteção de Dados) ("GDPR"); (ii) Diretiva 2002/58/CE relativa ao processamento de dados pessoais e à proteção da privacidade no setor de comunicações eletrônicas; e (iii) implementações nacionais aplicáveis de (i) e (ii); ou (iii) GDPR, uma vez que faz parte da legislação interna do Reino Unido em virtude da Seção 3 da Lei de Retirada da União Europeia de 2018 ("UK GDPR"); e (iv) Lei Federal Suíça de Proteção de Dados em 19 de junho de 1992 e sua Portaria ("Swiss DPA"); em cada caso, conforme possa ser alterado, substituído ou substituído.

“Dados Pessoais Europeus” significa Dados Pessoais cujo compartilhamento, de acordo com este Contrato, é regulado pelas Leis Europeias de Proteção de Dados.

“Cliente Conjunto” significa um cliente do Parceiro e da BROSH.

“Dados Pessoais do Cliente Conjunto” significa quaisquer Dados Pessoais para os quais um Cliente Conjunto atua como Controlador.

“Dados Pessoais BROSH” significa quaisquer Dados Pessoais para os quais a BROSH atua como Controladora.

“Dados Pessoais do Parceiro” significa quaisquer Dados Pessoais para os quais o Parceiro atua como Controlador.

"Dados Pessoais" significa qualquer informação relacionada a um indivíduo identificado ou identificável, quando tal informação estiver contida nos Dados Pessoais da BROSH, Dados Pessoais do Parceiro ou Dados Pessoais do Cliente Conjunto e for protegida de forma semelhante aos dados pessoais ou informações pessoalmente identificáveis pelas Leis de Proteção de Dados aplicáveis.

"Violação de Dados Pessoais" significa qualquer destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilegal a Dados Pessoais.

"Processamento" significa qualquer operação ou conjunto de operações que são realizadas em Dados Pessoais, abrangendo a coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou outra forma de disponibilização, alinhamento ou combinação, restrição ou apagamento de Dados Pessoais. Os termos "Processo", "Processos" e "Processado" serão interpretados de acordo.

“Processador” significa uma pessoa física ou jurídica, autoridade pública, agência ou outro organismo que processa Dados Pessoais em nome do Controlador.

“Cláusulas Contratuais Padrão” ou “CCPs” significa as cláusulas contratuais padrão anexadas à Decisão de Implementação 2021/914 da Comissão Europeia de 4 de junho de 2021.

“Subprocessador” significa qualquer entidade que fornece serviços de processamento a um Processador.

“Autoridade Supervisora” significa uma autoridade pública independente estabelecida por um estado membro do Espaço Econômico Europeu, Suíça ou Reino Unido.

"Adendo do Reino Unido" significa o Adendo de Transferência Internacional de Dados (Versão B.1.0) emitido pelo ICO do Reino Unido sob a seção 119A da Lei de Proteção de Dados de 2018, conforme possa ser alterado, substituído ou substituído.

2. CONFORMIDADE COM AS LEIS

Cada uma das partes deverá declarar e garantir que cumprirá com suas respectivas obrigações e deveres de acordo com as Leis de Proteção de Dados aplicáveis.

3. CENÁRIOS DE PROCESSADOR CONJUNTO

Cada parte, na medida em que, juntamente com a outra parte, atue como um Processador com relação aos Dados Pessoais do Cliente Conjunto, (i) cumprirá as instruções e restrições estabelecidas em quaisquer acordos com o Cliente Conjunto; e (ii) cooperará razoavelmente com a outra parte para permitir o exercício dos direitos de proteção de dados conforme estabelecido nas Leis de Proteção de Dados aplicáveis. As partes reconhecem e concordam que cada parte está agindo como um Processador para o Cliente Conjunto e nenhuma das partes está contratando a outra como um Subprocessador.

4. CENÁRIOS DE CONTROLADOR PARA CONTROLADOR

Cada parte, na medida em que, juntamente com a outra parte, atue como Controladora em relação aos Dados Pessoais, cooperará razoavelmente com a outra parte para permitir o exercício dos direitos de proteção de dados, conforme estabelecido nas Leis de Proteção de Dados aplicáveis.

As partes reconhecem e concordam que cada uma está agindo de forma independente como Controladora em relação aos Dados Pessoais e que as partes não são controladoras conjuntas, conforme definido pelas Leis Europeias de Proteção de Dados.

5. CENÁRIOS DO CONTROLADOR PARA O PROCESSADOR

A. Relação das partes. Os direitos, responsabilidades e obrigações das partes com relação às Seções 6 – 9 deste DPA serão os seguintes:

Para operações de Processamento em que a BROSH processa Dados Pessoais em nome do Parceiro e sob a direção do Parceiro, o termo "Processador" se refere à BROSH, o termo "Controlador" se refere ao Parceiro e o termo "Dados Pessoais" se refere aos Dados Pessoais do Parceiro. Para operações de processamento de dados em que o Parceiro processa Dados Pessoais em nome da BROSH e sob a direção da BROSH, o termo "Processador" se refere ao Parceiro, o termo "Controlador" se refere à BROSH e o termo "Dados Pessoais" se refere aos Dados Pessoais da BROSH.

B. Âmbito do processamento .

No contexto dos cenários descritos na Seção 5.a acima, cada parte concorda em processar Dados Pessoais somente para os propósitos estabelecidos no Contrato de Parceiro aplicável e/ou no(s) contrato(s) do Parceiro com o Cliente Conjunto. Para evitar dúvidas, as categorias de Dados Pessoais processados e as categorias de titulares de dados sujeitos a este DPA são descritas no Anexo A deste DPA.

6. OBRIGAÇÕES DO CONTROLADOR

As partes, na sua qualidade de Controlador, concordam em:

A. Fornecer instruções ao Processador e determinar os propósitos e meios do processamento de Dados Pessoais pelo Processador de acordo com o Contrato; e

B. Cumprir com suas obrigações de proteção, segurança e outras obrigações com relação aos Dados Pessoais prescritas pelas Leis de Proteção de Dados aplicáveis para um Controlador: (i) estabelecendo e mantendo um procedimento para o exercício dos direitos dos indivíduos cujos Dados Pessoais são processados em nome do Controlador; (ii) processando apenas dados que foram coletados de forma legal e válida e garantindo que tais dados serão relevantes e proporcionais aos respectivos usos; e (iii) garantindo a conformidade com as disposições deste DPA por seu pessoal ou por qualquer terceiro que acesse ou use Dados Pessoais em seu nome.

7. OBRIGAÇÕES DO PROCESSADOR
A. Requisitos de Processamento . As partes, em sua capacidade como Processador, concordam em:

a. Processar Dados Pessoais (i) somente para fins de fornecer, dar suporte e melhorar o produto e os serviços do Processador (incluindo fornecer insights e outros relatórios), usando medidas de segurança técnicas e organizacionais apropriadas; e (ii) em conformidade com as instruções recebidas do Controlador. O Processador não usará ou processará Dados Pessoais para nenhuma outra finalidade. O Processador informará prontamente o Controlador por escrito se não puder cumprir com os requisitos sob as Seções 6 a 9 deste DPA, caso em que o Controlador poderá rescindir o Contrato e qualquer Contrato de Parceiro aplicável, ou tomar qualquer outra ação razoável, incluindo a suspensão das operações de processamento de dados;

b. Informar o Controlador prontamente e sem demora injustificada se, na opinião do Processador, uma instrução do Controlador violar as Leis de Proteção de Dados aplicáveis;

c. Se o Processador estiver coletando Dados Pessoais de indivíduos em nome do Controlador, siga as instruções do Controlador em relação a tal coleta de Dados Pessoais;

d. Tomar medidas comercialmente razoáveis para garantir que (i) as pessoas empregadas por ele e (ii) outras pessoas contratadas para atuar em nome do Processador cumpram os termos do Contrato e os Contratos de Parceiros aplicáveis;

e. Representar e garantir que seus funcionários, agentes autorizados e quaisquer Subprocessadores estão sujeitos a um dever estrito de confidencialidade (seja um dever contratual ou um dever estatutário) e não permitirão que nenhuma pessoa processe os dados pessoais que não esteja sob tal dever de confidencialidade;

f. Se pretender contratar Subprocessadores para ajudá-lo a cumprir suas obrigações de acordo com este DPA ou delegar todas ou parte das atividades de processamento a tais Subprocessadores, (i) fornecer uma lista de Subprocessadores atualmente contratados pelo Processador ao Controlador (tal lista para BROSH está disponível online em https://www.brosh.io/pagex/pt-pt/sub-processors-page.html ), e notificar o Controlador da contratação de quaisquer novos Subprocessadores com pelo menos 30 dias de antecedência, dando ao Controlador a oportunidade de se opor; (ii) permanecer responsável perante o Controlador pelos atos e omissões dos Subprocessadores com relação à proteção de dados quando tais Subprocessadores agirem de acordo com as instruções do Processador; e (iii) celebrar acordos contratuais com tais Subprocessadores, obrigando-os a fornecer o mesmo nível de proteção de dados e segurança da informação àquele aqui previsto;

g. Mediante solicitação, fornecer ao Controlador as políticas de privacidade e segurança do Processador; e

h. Informar o Controlador se o Processador realizar uma revisão de segurança independente.

B. Aviso ao Controlador . O Processador informará imediatamente e sem demora indevida o Controlador se o Processador tomar conhecimento de:

a. Qualquer não conformidade do Processador ou de seus funcionários com as Seções 6 a 9 deste DPA ou Leis de Proteção de Dados aplicáveis relacionadas à proteção de Dados Pessoais processados sob este DPA;

b. Qualquer solicitação juridicamente vinculativa de divulgação de Dados Pessoais por uma autoridade policial ou governamental, a menos que o Processador seja proibido por lei de informar o Controlador, por exemplo, para preservar a confidencialidade de uma investigação por autoridades policiais;

c. Qualquer notificação, inquérito ou investigação por uma Autoridade Supervisora com relação a Dados Pessoais; ou

d. Qualquer reclamação ou solicitação (em particular, solicitações de acesso, retificação ou bloqueio de Dados Pessoais) recebidas diretamente de titulares de dados do Controlador. O Processador não responderá a nenhuma solicitação desse tipo sem a autorização prévia por escrito do Controlador.

C. Assistência ao Controlador. O Processador fornecerá assistência oportuna e razoável ao Controlador em relação a:

a. Responder a qualquer solicitação de um indivíduo para exercer direitos sob as Leis de Proteção de Dados aplicáveis (incluindo seus direitos de acesso, correção, objeção, exclusão e portabilidade de dados, conforme aplicável) e o Processador concorda em informar prontamente o Controlador se tal solicitação for recebida diretamente;

b. A investigação de Violações de Dados Pessoais e a notificação à Autoridade Supervisora e aos titulares dos dados do Controlador sobre tais Violações de Dados Pessoais; e

c. quando apropriado, a preparação de avaliações de impacto sobre a proteção de dados e, quando necessário, a realização de consultas com qualquer Autoridade de Supervisão.

D. Processamento necessário.

Se o Processador for obrigado pelas Leis de Proteção de Dados a processar quaisquer Dados Pessoais por um motivo diferente daquele relacionado ao Contrato, o Processador informará o Controlador sobre essa exigência antes de qualquer processamento, a menos que o Processador seja legalmente proibido de informar o Controlador sobre tal processamento (por exemplo, como resultado de requisitos de sigilo que podem existir sob as leis aplicáveis dos estados-membros da UE).

E. Segurança . O Processador irá:

a. Manter medidas de segurança organizacional e técnica adequadas (incluindo com relação a pessoal, instalações, hardware e software, armazenamento e redes, controles de acesso, monitoramento e registro, detecção de vulnerabilidade e violação, resposta a incidentes, criptografia de Dados Pessoais em trânsito e em repouso) para proteger contra acesso não autorizado ou acidental, perda, alteração, divulgação ou destruição de Dados Pessoais;

b. Ser responsável pela suficiência das salvaguardas de segurança, privacidade e confidencialidade de todo o pessoal do Processador com relação aos Dados Pessoais e responsável por qualquer falha desse pessoal do Processador em cumprir os termos deste DPA;

c. Tomar as medidas adequadas para confirmar que todo o pessoal do Processador está protegendo a segurança, privacidade e confidencialidade dos Dados Pessoais de acordo com os requisitos deste DPA; e

d. Notificar o Controlador sobre qualquer Violação de Dados Pessoais pelo Processador, seus Subprocessadores ou quaisquer outros terceiros agindo em nome do Processador, sem demora injustificada e, em qualquer caso, dentro de 48 horas após tomar conhecimento de uma Violação de Dados Pessoais.

F. Disposições adicionais para informações pessoais da Califórnia .

Quando o Processador Processa Informações Pessoais da Califórnia de acordo com as instruções recebidas do Controlador, as partes reconhecem e concordam que o Controlador é um Negócio e o Processador é um Provedor de Serviços para os propósitos da CCPA. As partes concordam que o Processador Processará Informações Pessoais da Califórnia como um Provedor de Serviços estritamente para o propósito de fornecer, dar suporte e melhorar os serviços do Processador (incluindo fornecer insights e outros relatórios) (o "Propósito Comercial") ou conforme permitido pela CCPA.

8. AUDITORIA, CERTIFICAÇÃO

A. Auditoria da Autoridade Supervisora .

Se uma Autoridade Supervisora exigir uma auditoria das instalações de processamento de dados das quais o Processador processa Dados Pessoais para verificar ou monitorar a conformidade com as Leis de Proteção de Dados, o Processador cooperará com tal auditoria. O Controlador reembolsará o Processador por suas despesas razoáveis incorridas para cooperar com a auditoria, a menos que tal auditoria revele a não conformidade do Processador com este DPA.

B. Certificação do Processador .

O Processador deve, mediante solicitação do Controlador (não excedendo uma solicitação por ano civil) por e-mail (quando BROSH for o Processador, tais e-mails deverão ser enviados para privacy@brosh.io; quando o Parceiro for o Processador, o Parceiro deverá estabelecer e fornecer a BROSH, mediante solicitação, um único ponto de contato para correspondência por e-mail sobre proteção de dados), certificar a conformidade com este DPA por escrito.

9. DEVOLUÇÃO E EXCLUSÃO DE DADOS

As partes concordam que, no término dos serviços de processamento de dados ou mediante solicitação razoável do Controlador, o Processador deverá e tomará medidas razoáveis para fazer com que quaisquer Subprocessadores, a critério do Controlador, devolvam todos os Dados Pessoais Europeus e cópias de tais dados ao Controlador ou os destruam com segurança e demonstrem à satisfação do Controlador que tomou tais medidas, a menos que as Leis de Proteção de Dados impeçam o Processador de devolver ou destruir todos ou parte dos Dados Pessoais Europeus divulgados. Nesse caso, o Processador concorda em preservar a confidencialidade dos Dados Pessoais Europeus retidos por ele e que somente processará ativamente tais Dados Pessoais Europeus após tal data para cumprir com as leis aplicáveis.

10. TRANSFERÊNCIAS DE DADOS

Sempre que os Dados Pessoais forem transferidos para fora do seu país de origem, cada parte garantirá que tais transferências sejam feitas em conformidade com os requisitos das Leis de Proteção de Dados.

a. Dados Pessoais do Parceiro . Para transferências de Dados Pessoais Europeus do Parceiro para a BROSH para processamento pela BROSH em uma jurisdição fora da Europa que não forneça um nível adequado de proteção para Dados Pessoais (dentro do significado das Leis de Proteção de Dados Europeias aplicáveis), as partes concordam que:

(i) Cláusulas Contratuais Padrão : As partes concordam em cumprir e processar Dados Europeus em conformidade com as SCCs conforme incorporadas na Seção 10(c) abaixo.

(ii) Escudo de Privacidade : Embora a BROSH, Inc. não se baseie no Escudo de Privacidade UE-EUA como base legal para transferências de Dados Pessoais à luz do julgamento do Tribunal de Justiça da UE no Caso C-311/18, enquanto a BROSH, Inc. for autocertificada no Escudo de Privacidade, a BROSH Inc. processará Dados Pessoais Europeus em conformidade com os Princípios do Escudo de Privacidade e informará o Parceiro se não for capaz de cumprir com este requisito.

As partes concordam que os titulares de dados para os quais uma entidade BROSH processa Dados Pessoais Europeus são beneficiários terceiros sob as SCCs. Se a BROSH não puder ou se tornar incapaz de cumprir com esses requisitos, os Dados Pessoais Europeus serão processados e usados exclusivamente dentro do território de um estado-membro da União Europeia e qualquer movimentação de Dados Pessoais Europeus para um país fora da UE requer o consentimento prévio por escrito do Parceiro com relação aos Dados Pessoais Europeus. A BROSH deverá notificar prontamente o Parceiro sobre qualquer incapacidade da BROSH de cumprir com as disposições desta Seção 10(a).

b. Dados Pessoais BROSH. Para transferências de Dados Pessoais Europeus da BROSH para o Parceiro para processamento pelo Parceiro em uma jurisdição fora da Europa que não forneça um nível adequado de proteção para Dados Pessoais (dentro do significado das Leis de Proteção de Dados Europeias aplicáveis), as partes concordam que:

(i) Cláusulas Contratuais Padrão : As partes concordam em cumprir e processar Dados Europeus em conformidade com as SCCs conforme incorporadas na Seção 10(c) abaixo.

(ii) Escudo de Privacidade : Enquanto a BROSH, Inc. for autocertificada no Escudo de Privacidade, o Parceiro processará Dados Pessoais Europeus em conformidade com os Princípios do Escudo de Privacidade e informará a BROSH se não for capaz de cumprir com este requisito.

As partes concordam que os titulares dos dados para os quais o Parceiro processa Dados Pessoais Europeus são beneficiários terceiros sob as SCCs. Se o Parceiro não puder ou se tornar incapaz de cumprir com esses requisitos, os Dados Pessoais Europeus serão processados e usados exclusivamente dentro do território de um estado-membro da União Europeia e qualquer movimentação de Dados Pessoais Europeus para um país fora da UE requer o consentimento prévio por escrito da BROSH com relação aos Dados Pessoais. O Parceiro deverá notificar prontamente a BROSH sobre qualquer incapacidade do Parceiro de cumprir com as disposições desta Seção 10(b).

c. Cláusulas Contratuais Padrão. As Partes reconhecem e concordam que para os propósitos das SCCs: (i) com relação aos Dados Pessoais do Parceiro, o "exportador de dados" será o Parceiro e o "importador de dados" será a BROSH (agindo em seu próprio nome e de suas Afiliadas); (ii) com relação aos Dados Pessoais da BROSH, o "exportador de dados" será a BROSH (agindo em seu próprio nome e de suas Afiliadas) e o "importador de dados" será o Parceiro; (iii) os termos do Módulo Um serão aplicados quando ambas as partes forem Controladoras e os termos do Módulo Dois serão aplicados quando a parte que recebe Dados Pessoais sob as SCCs estiver agindo como um Processador em nome da outra parte como um Controlador; (iv) na Cláusula 7, a cláusula de encaixe opcional será aplicada; (v) na Cláusula 9, a Opção 2 do Módulo Dois será aplicada e o Processador obterá autorização para Subprocessadores de acordo com a Seção 7(a) deste DPA; (vi) na Cláusula 11, o idioma opcional será excluído; (vii) na Cláusula 17 e Cláusula 18(b), as SCCs serão regidas pelas leis e as disputas serão resolvidas perante os tribunais da República da Irlanda ou do estado-membro do EEE no qual a entidade legal BROSH que celebrou o Acordo está estabelecida ou, se tal BROSH não estiver estabelecida no EEE, a República da Irlanda; (viii) no Anexo I das SCCs, os detalhes das partes são definidos no Acordo; e (ix) as informações restantes no Anexo I e Anexo II das SCCs serão consideradas completas com as informações definidas no Anexo A deste DPA.

d. Transferências do Reino Unido. Em relação aos Dados Pessoais sujeitos ao GDPR do Reino Unido, os SCCs serão aplicados de acordo com a Seção 10(c) acima e as seguintes modificações adicionais: (i) os SCCs serão alterados conforme especificado pelo Adendo do Reino Unido, que será incorporado por referência; (ii) as Tabelas 1 a 3 na Parte 1 do Adendo do Reino Unido serão preenchidas com informações relevantes definidas no Anexo A deste DPA; (iii) a Tabela 4 na Parte 1 do Adendo do Reino Unido será considerada concluída selecionando "nenhum"; e (iv) qualquer conflito entre os SCCs e o Adendo do Reino Unido será resolvido de acordo com a Seção 10 e a Seção 11 do Adendo do Reino Unido.

e. Transferências Suíças. Em relação aos Dados Pessoais sujeitos ao DPA Suíço, as SCCs serão aplicadas de acordo com a Seção 10(c) acima e as seguintes modificações adicionais: (i) referências ao "Regulamento (UE) 2016/679" e artigos específicos nele contidos serão interpretados como referências ao DPA Suíço e aos artigos ou seções equivalentes nele contidos; (ii) referências a "UE", "União" e "Estado-Membro" serão substituídas por referências à "Suíça"; (iii) referências à "autoridade supervisora competente" e "tribunais competentes" serão substituídas por referências ao "Comissário Federal Suíço de Informações sobre Proteção de Dados" e "tribunais aplicáveis da Suíça"; e (iv) na Cláusula 17 e Cláusula 18(b), as SCCs serão regidas pelas leis e as disputas serão resolvidas perante os tribunais da Suíça.

11. PRAZO

Este DPA permanecerá em vigor enquanto qualquer uma das partes realizar operações de processamento de Dados Pessoais nos Dados Pessoais enviados ou fornecidos pela outra parte de acordo com o Contrato de Parceiro.

12. INDENIZAÇÃO

Cada Parte defenderá, indenizará e isentará a outra e suas subsidiárias, afiliadas e seus respectivos executivos, diretores, funcionários e agentes de e contra todas as perdas, danos, responsabilidades, deficiências, ações, julgamentos, juros, prêmios, penalidades, multas, custos ou despesas de qualquer tipo, incluindo honorários advocatícios razoáveis, o custo de fazer valer qualquer direito à indenização aqui previsto e o custo de processar quaisquer provedores de seguros, decorrentes ou resultantes de qualquer reivindicação de terceiros contra a outra decorrente ou resultante da falha da parte infratora em cumprir com qualquer uma de suas obrigações sob este DPA ou as leis, regulamentos ou princípios aplicáveis contidos nas Leis Europeias de Proteção de Dados. A responsabilidade de cada Parte estará sujeita à limitação de responsabilidade no Contrato de Parceiro aplicável.

AGENDA A

ANEXO A - DESCRIÇÃO DA TRANSFERÊNCIA

1. Categorias de titulares de dados . Os dados pessoais transferidos dizem respeito às seguintes categorias de titulares de dados, dependendo do acordo entre o importador de dados e o exportador de dados:

Membros do BROSH; clientes e funcionários potenciais e reais do exportador de dados; leads de vendas e marketing do exportador de dados; e terceiros que têm, ou podem ter, um relacionamento comercial com o exportador de dados (por exemplo, anunciantes, clientes, assinantes corporativos, contratados e usuários do produto).

2. Categorias de dados pessoais . Os dados pessoais transferidos dizem respeito às seguintes categorias de dados:

Os dados transferidos são os dados pessoais fornecidos pelo exportador de dados ao importador de dados em conexão com o Contrato de Parceiro. Esses dados pessoais podem incluir nome, sobrenome, endereço de e-mail, informações de contato, histórico educacional e profissional e outras informações fornecidas nos perfis de membros do BROSH, currículos, dados de CRM sobre leads de vendas e listas de clientes, quaisquer notas fornecidas pelo exportador de dados sobre o exposto acima e outras atividades dos membros do BROSH realizadas na plataforma BROSH.

1. Dados sensíveis (se apropriado) . Os dados pessoais transferidos podem dizer respeito às seguintes categorias especiais de dados:
   Nenhum.
2. Frequência de transferência .
   Os dados pessoais são transferidos continuamente.
3. Natureza e finalidade do processamento . A transferência é feita para os seguintes propósitos:
   A transferência tem como objetivo permitir o relacionamento das partes contempladas pelo Contrato de Parceiro. O "Contrato de Parceiro" é o(s) contrato(s) firmado(s) pelo importador de dados e o exportador de dados que regem o compartilhamento de dados entre essas partes (mas excluindo contratos de clientes entre o Parceiro e a BROSH que regem a compra de produtos e serviços da BROSH pelo Parceiro).
4. Período durante o qual os dados pessoais serão retidos :
   Os dados pessoais transferidos entre as partes podem ser retidos apenas pelo período de tempo permitido pelo Contrato de Parceria. As partes concordam que cada parte, na medida em que, juntamente com a outra parte, atue como Controladora com relação aos Dados Pessoais, cooperará razoavelmente com a outra parte para permitir o exercício dos direitos de proteção de dados conforme estabelecido nas Leis de Proteção de Dados.
5. Objeto, natureza e duração do processamento .
   O objeto, a natureza e a duração do processamento são conforme descritos no Contrato, incluindo este DPA.
6. Autoridade supervisora competente . Para os propósitos das Cláusulas Contratuais Padrão, a autoridade supervisora competente é a autoridade do estado-membro do EEE no qual o Parceiro ou o representante do Parceiro no EEE está estabelecido (com relação aos Dados Pessoais do Parceiro) ou o [Irish Data Protection Commissioner] (com relação aos Dados Pessoais do BROSH). Para os propósitos de transferências do Reino Unido e da Suíça, a autoridade supervisora competente é o United Kingdom Information Commissioner ou o Swiss Federal Data Protection Information Commissioner (conforme aplicável).

ANEXO B – MEDIDAS DE SEGURANÇA

Usamos uma variedade de tecnologias e procedimentos de segurança para ajudar a proteger seus Dados Pessoais. Todos os Dados Pessoais são protegidos usando medidas físicas, técnicas e organizacionais apropriadas. Para mais informações sobre Segurança na BROSH, consulte https://www.brosh.io/pagex/pt-pt/Security-Policy.html .