Esta Adenda à Proteção de Dados (doravante denominada “Adendo” ou “DPA”) faz parte do Contrato de Licença com relação ao uso da aplicação do Provedor pelos fornecedores de produtos e / ou serviços (doravante denominada como o “Acordo” ou o “Contrato Principal” entre: (i) o Fornecedor (doravante referido como o “Fornecedor” ou o “Processador”) e (ii) o fornecedor de produtos e / ou serviços (o “fornecedor de produtos e / ou serviços “ou o” Controlador “).

Os termos utilizados neste Adendo terão os significados estabelecidos neste Adendo. Os termos em letras maiúsculas não definidos neste documento terão o significado que lhes é dado no Contrato Principal. Exceto conforme modificado abaixo, os termos do Contrato Principal permanecerão em pleno vigor e efeito.

Em consideração às obrigações mútuas estabelecidas neste documento, as partes concordam que os termos e condições estabelecidos abaixo adicionado como um Adendo ao Contrato Principal. Exceto quando o contexto exigir o contrário, as referências neste Adendo ao Contrato Principal são para o Contrato Principal, conforme aditado por, e incluindo, este Adendo.

1. Definições

1.1. Neste Aditamento, os seguintes termos terão os significados definidos abaixo e os termos cognatos serão interpretados em conformidade:

1.1.1. “Dados Pessoais do Controlador” significa quaisquer Dados Pessoais processados ​​pelo Processador em nome do Controlador de acordo com ou em conexão com o DPA; < p> 1.1.2. “Processador” significa o Provedor ou um Subprocessador;

1.1.3. “Leis de Proteção de Dados” significam as Leis de Proteção de Dados da UE e, na extensão aplicável, as leis de proteção de dados ou privacidade aplicáveis ​​de qualquer outro país;

1.1.4. “Leis de Proteção de Dados da UE” significa o GDPR e as leis que implementam ou complementam o GDPR;

1.1.5. “GDPR” significa o Regulamento Geral de Proteção de Dados da UE 2016/679;

1.1.6. “Subprocessador” significa qualquer pessoa c Contratada pelo Provedor para Processar Dados Pessoais em nome do Controlador em conexão com o Contrato Principal e o DPA; e

1.2. Os termos, “Processador” , “Controlador” , “Assunto dos dados” < / strong>, “Estado-Membro” , “Dados pessoais” , “Violação de dados pessoais” , “Processamento” e “Autoridade Supervisora” terá o mesmo significado que no GDPR, e os seus termos cognatos deverão ser interpretados em conformidade.

1.3. “include” deve ser interpretado como significando incluir, sem limitação, e termos cognatos devem ser interpretados de acordo.

2. O assunto do processamento dos Dados Pessoais do Controlador

2.1. O propósito deste DPA é definir as condições nas quais o Processador irá realizar, em nome do Controlador, o processamento dos Dados Pessoais do Controlador.

2.2. O Processador processará em nome do Controlador os Dados Pessoais do Controlador, ou seja, os dados pessoais dos clientes ( doravante também referidos como os “clientes” ou os “titulares dos dados”) que estão a encomendar produtos e / ou serviços ao Controlador através da solução do Fornecedor.

2.3. Como parte de suas relações contratuais, as partes também se comprometerão a cumprir as Leis de Proteção de Dados da UE, se for o caso.

3. Duração do processamento

O Processador processará em nome do Controlador os Dados Pessoais do Controlador durante o período de validade do Contrato Principal.

4. Descrição do processamento

4.1. A natureza do processamento de Dados Pessoais do Controlador

Os Dados Pessoais do Controlador serão coletados, organizados, estruturados , armazenados, consultados, usados ​​e divulgados, inclusive por transmissão.

4.2. Os Dados Pessoais do Controlador serão processados ​​pelo Processador com a finalidade de concluir um contrato entre o cliente e o Controlador em relação aos produtos e / ou serviços solicitados pelo cliente e para realizar tal contrato, bem como para fins de comunicação de marketing direto, conforme o caso, conforme mencionado no presente DPA e / ou acordado de outra forma pelo Processador. .

4.3. Os Dados Pessoais do Controlador que serão processados ​​pelo Processador são os dados pessoais fornecidos pelos titulares dos dados ao usar a solução do Fornecedor e encomendar produtos / e / ou serviços ao Controlador [por exemplo Nome, sobrenome, endereço (entrega), número de telefone, endereço de e-mail, dados de localização (geo), endereços IP, bem como quaisquer outros dados do pedidos de clientes forneceram, exceto detalhes do cartão de crédito que serão capturados diretamente pelos processadores de pagamento por meio de um iFrame compatível com PCI, caso o controlador decida aceitar pagamentos on-line e, consequentemente, ativar a comunicação direta compatível com PCI via API com sua conta de comerciante aberta. os provedores de contas comerciais compatíveis com API,]

4.4. Os clientes que estão solicitando produtos e / ou serviços para o Controlador através da solução do Provedor são a categoria dos titulares dos dados cujos dados pessoais serão processados.

4.5. O Processador processará os Dados Pessoais do Controlador de acordo com os mencionados no presente DPA, bem como em outras instruções documentadas do Controlador. ; Por uma questão de clareza, para o propósito do presente DPA as “instruções documentadas do Controlador” significam o presente DPA, quaisquer instruções que possam ser realizadas através das configurações da aplicação do Processador e quaisquer outras instruções previamente acordadas pelo Processador. . O Controlador pode terminar este DPA se o Processador se recusar a seguir as instruções do Controlador, sem qualquer penalidade para qualquer Parte. Na medida máxima permitida pelos regulamentos legais em vigor, o Processador não será responsável de qualquer forma, no caso de uma instrução infringir o GDPR ou outras disposições de proteção de dados da União ou dos Estados-Membros.

4.6 < / strong> O Processador processará os Dados Pessoais do Controlador com a finalidade de concluir um contrato entre o cliente e o Controlador em relação aos produtos e / ou serviços solicitados pelo cliente e para realizar tal contrato, bem como para as comunicações de marketing direto propósitos, como segue:

4.6.1. O Processador, em nome do Controlador, coletará dos clientes os Dados Pessoais do Controlador também com a finalidade de concluir um contrato entre o cliente e o Controlador

4.6.2. O Processador, em nome do Controlador, armazenará os Dados Pessoais do Controlador coletados para o Controlador em um banco de dados.

4.6.3. O processador, em nome do controlador, w mal enviar comunicações para os clientes na tela do navegador ou na tela do aplicativo nativo, via e-mail (e via SMS, se tecnicamente possível e a pedido do controlador) sobre informações sobre a confirmação ou rejeição do pedido ou sobre os pedidos perdidos e sobre o entrega do pedido e / ou quaisquer outros detalhes importantes e necessários sobre o pedido, conforme o caso, que incluam detalhes completos do pedido, incluindo dados pessoais do controlador.

4.6.4. O Processador, em nome do Controlador, faremos relatórios e armazenamos dados do histórico de pedidos, incluindo Dados Pessoais do Controlador relacionados a esses pedidos (ou carregados pelo Controlador, se tecnicamente possível, conforme o caso). 

4.6.5. O Processador, em nome do Controlador, se for tecnicamente possível e somente com uma aprovação ou uma solicitação ou com uma instrução documentada do Controlador, enviará / disponibilizará / facilitará o acesso para os clientes da Controladora Dados do Controlador, incluindo Dados Pessoais do Controlador, para outros processadores de dados atuando em nome do Controlador e / ou terceiros relevantes para a aceitação ou o cumprimento / processamento dos pedidos do cliente. O Controlador é totalmente responsável por assegurar que as entidades adicionais a quem Ele irá documentar instruir-nos a dar acesso a detalhes de ordens, incluindo dados pessoais do controlador, em conformidade com o GDPR, conforme o caso. Esse acesso (envio / disponibilização / facilitação do acesso) que um Controlador pode exigir ou pode aprovar ou pode documentar instruir o Processador, pode incluir, mas não está limitado a:

i. envio de e-mails de notificação adicionais, alguns deles contendo detalhes do pedido do cliente, incluindo Dados Pessoais do Controlador para processamento adicional relacionado ao cumprimento do pedido;

ii. conectando software de terceiros para receber o detalhes do pedido via APIs, incluindo Dados Pessoais do Controlador para processamento adicional relacionado ao cumprimento do pedido, pois o Controlador pode exigir ou pode aprovar ou pode documentar instruir o Processador, tais como: software de entrega de pedidos e / ou passageiros, sistemas POS, soluções de impressão, plataformas de fidelidade, gateways de pagamento compatíveis com PCI, ferramentas de análise, software de faturamento e / ou contabilidade, soluções de mensagens que o Controller usa, etc.

iii. concedendo acesso multiusuário a funcionários, representantes participantes, parceiros ou colaboradores do Controlador para a área administrativa do Controlador, especialmente para o histórico do pedido ou lista do cliente, incluindo acesso aos Dados Pessoais do Controlador.

4.6.6. O Processador, em nome do Controlador, enviará às comunicações de marketing direto do Cliente, como e se for o caso. Para o envio de tais comunicações de marketing direto, o Controlador é totalmente responsável por garantir que o consentimento dos clientes para a realização de tal comunicação foi devidamente obtido, em total conformidade com o GDPR e outras regulamentações aplicáveis.

4.6.7. O Processador, em nome do Controlador, processará as solicitações dos Clientes (solicitações para exercer os direitos do Titular de Dados), especialmente a “solicitação de cancelamento de assinatura” das comunicações de marketing direto e a solicitação para apagar os dados pessoais, todos eles somente em relação à base de dados com os Dados Pessoais do Controlador que o Processador mantém em nome do Controlador, e no caso da solicitação para apagar os dados pessoais, o Processador informará o Controlador sobre tais solicitações e tomará medidas razoáveis ​​para informar os outros Processadores do Controlador (ou seja, aqueles para os quais o Processador – com uma aprovação ou uma solicitação ou com uma instrução documentada do Controlador – facilitou o acesso via API ou e-mail e o Parceiro do Controlador que tinha acesso na área administrativa da solução) que estão processando os dados pessoais, que o titular dos dados solicitou o apagamento de quaisquer links para, ou cópia ou replicação de, esses dados pessoais.

4.6.8. O Processador, em nome do Controlador, excluirá, a pedido do Controlador, os Dados Pessoais do Controlador indicados pelo Controlador.

4.6.9. O Processor, em nome do Controlador, excluirá na rescisão do Contrato, o banco de dados com os Dados Pessoais do Controlador que o Processador mantém em nome do Controlador.

5. Segurança do Processamento

5.1. Levando em consideração o estado da arte, os custos de implementação e a natureza, escopo, contexto e propósitos do Processamento, bem como o risco de variar a probabilidade e severidade dos direitos e liberdades das pessoas singulares, o Processador deve, em relação aos Dados Pessoais do Controlador, implementar medidas técnicas e organizacionais apropriadas para assegurar um nível de segurança apropriado a esse risco, incluindo, conforme apropriado e necessário, as medidas referidas no artigo 32.º, n.º 1, do RGPD.

5.2. Ao avaliar o nível adequado de segurança, o Processador deve ter em conta, nomeadamente, os riscos apresentado por Processing, em particular a partir de uma violação de dados pessoais.

6. Subprocessamento

6.1. O Controlador concede ao Processador através do presente DPA a autorização geral por escrito para que os Processadores envolvam quaisquer Subprocessadores para processar os Dados Pessoais do Controlador. , respeitando as leis de proteção de dados da UE e sem cumprir qualquer formalidade anterior.

6.2. Sem afetar a generalidade do exposto e por uma questão de clareza, o controlador concorda que o processador irá processar os Dados Pessoais do Controlador também através dos seguintes Subprocessadores, da seguinte forma:

6.2.1. As informações relativas às contas e / ou cartões de pagamento dos clientes serão transmitidas para as respectivas partes que estão processando os pagamentos, a fim de processar os pagamentos.

6.2.2. Além disso, as seguintes informações, serão transmitidas para as seguintes categorias de Subprocessadores, para os seguintes propósitos e processamento:

6.2. 2.1. Os detalhes do cliente, a saber: sobrenome, nome, endereço de e-mail, número de telefone, endereço de entrega (se relevante), fornecidos juntamente com os detalhes do pedido, no formato eletrônico (excluindo os detalhes do pedido). cartão de pagamento, se o cliente tiver escolhido o processo de pagamento on-line) será (re) transmitido por meio de operadores de mensagem de e-mail (no momento da presente versão ser Sendgrid Inc. e / ou Peaberry Software Inc. ou o serviço Amazon SES da Amazon.com Inc.) para o Controlador e de volta para o endereço de e-mail do cliente, para processar o pedido e para oferecer ao cliente as notificações relevantes sobre as informações sobre confirmação ou rejeição do pedido ou sobre os pedidos perdidos e sobre a entrega do pedido.

6.2.2.2. Se possível, os detalhes do cliente, a saber: sobrenome, nome, endereço de e-mail, telefone número, endereço de entrega (se relevante), fornecido juntamente com os detalhes do pedido, no modo eletrônico (excluindo os detalhes do cartão de pagamento, se o cliente tiver escolhido o processo de pagamento on-line) será (re) transmitido através de operadores de mensagens SMS (no momento da presente versão sendo Twilio Inc.) para o Controlador e de volta para o cliente, por SMS, para processar o pedido e para oferecer ao cliente as notificações relevantes sobre a informação sobre a confirmação ou rejeição do pedido ou sobre os pedidos perdidos e sobre a entrega do pedido.

6.2.2.3. Se o cliente tiver escolhido o método de pagamento on-line, o cliente detalhes de contato, a saber: sobrenome, nome, endereço de e-mail, número de telefone, endereço de entrega (se relevante) fornecidos juntamente com os detalhes do seu pedido, na forma eletrônica, serão transmitidos junto com: nome, data de validade do cartão, número do cartão Cvv (se necessário); que pode ser capturado diretamente via iFrame dos processadores de pagamento relevantes (no momento da presente versão sendo Spreedly Inc.) em total conformidade com os regulamentos PCI, a fim de processar o pagamento ao fornecedor de produtos e / ou serviços relacionados ao seu pedido e para lhe oferecer as notificações relevantes sobre as informações sobre confirmação ou rejeição do pedido ou sobre os pedidos perdidos e sobre a entrega do seu pedido.

6.2.2.4. < / strong> Além disso, os dados pessoais do controlador serão enviados para serem armazenados pelos provedores de armazenamento de dados (no momento em que a presente versão é a Amazon)

7. Transferências dos Dados Pessoais do Controlador para países terceiros

O Controlador concede ao Processador, por meio do presente DPA, a autorização geral por escrito para que os Processadores transfiram os Dados Pessoais do Controlador para países terceiros. processado pelos Subprocessadores, respeitando as Leis de Proteção de Dados da UE e sem cumprir qualquer formalidade anterior. Sem afetar a generalidade do acima exposto e por uma questão de clareza, o Controlador concorda que o Processador irá transferir os seguintes Dados Pessoais do Controlador para os seguintes países, que podem ser considerados países terceiros de acordo com o GDPR, da seguinte forma:

A. Sobrenome, nome, endereço de e-mail, número de telefone, endereço de entrega (se relevante) será enviado a Sendgrid Inc, com sede em Denver, Colorado, EUA, para processar o pedido e para oferecer ao cliente as notificações relevantes sobre as informações sobre confirmação ou rejeição do pedido ou sobre os pedidos perdidos e sobre a entrega do pedido.

B. Sobrenome, nome, endereço de e-mail, número de telefone, endereço de entrega (se relevante) será enviado para Peaberry Software Inc. d / b / a Cliente IO com sede em Nova York – EUA, para processar o pedido e para oferecer ao cliente as notificações relevantes sobre as informações sobre confirmação ou rejeição do pedido ou sobre os pedidos perdidos e sobre a entrega do pedido.

C. Sobrenome, nome, endereço de e-mail, número de telefone, endereço de entrega (se relevante) será enviado para Twilio Inc. em São Francisco, Califórnia – EUA, para processar o pedido e para oferecer ao cliente as notificações relevantes sobre as informações sobre confirmação ou rejeição do pedido ou sobre os pedidos perdidos e sobre a entrega do pedido.

D. Sobrenome, nome, endereço de e-mail, número de telefone e endereço de entrega (se relevante) IP de origem da sessão, bem como quaisquer outros dados que os clientes do pedido tenham fornecido (exceto informações de cartão de crédito), serão enviados para a Amazon.com Inc. em Oregon – EUA, para serem armazenados e / ou para processar o pedido e para oferecer ao cliente as notificações relevantes sobre as informações sobre confirmação ou rejeição do pedido ou sobre os pedidos perdidos e sobre a entrega do pedido.

E. Se o controlador decidisse aceitar pagamentos on-line e, conseqüentemente, ativasse a comunicação direta compatível com PCI via API com sua conta de comerciante aberta com um dos provedores de conta mercantis compatíveis com API, o sobrenome do cliente, Nome, endereço de e-mail, número de telefone e endereço de entrega ( se relevante), será enviado junto com a sessão de pedido IP original, nome do titular do cartão, data de validade do cartão, número do cartão, Cvv (se necessário) que será capturado diretamente pela API compatível com PCI da Spreedly Inc. / em Durham North Carol Nos EUA, a fim de processar o pedido e para oferecer ao cliente as notificações relevantes sobre as informações sobre a confirmação ou rejeição do pedido ou sobre os pedidos perdidos e sobre a entrega do pedido.

8. Violação de Dados Pessoais

8.1. O Processador notificará o Controlador sem demora indevida ao Processador ou a qualquer Subprocessador, tomando conhecimento de uma Violação de Dados Pessoais do Controlador que afeta os Dados Pessoais do Controlador, fornecendo ao Controlador informações suficientes para permitir que o Controlador cumpra quaisquer obrigações de informar ou informar os Titulares dos Dados da Violação de Dados Pessoais. de acordo com as Leis de Proteção de Dados.

8.2. O Processador deve cooperar com o Controlador e adotar as medidas comerciais razoáveis ​​que sejam direcionadas pelo Controlador para auxiliar na investigação, mitigação e remediação. de cada violação de dados pessoais.

9. Outras obrigações do Processador

O Processador:

a) processa os dados pessoais somente de acordo com o presente DPA e nas instruções documentadas do Controlador, incluindo no que diz respeito às transferências de dados pessoais para um país terceiro ou para uma organização internacional, a menos que seja obrigada a fazê-lo pelo direito da União ou do Estado-Membro ao qual o processador está sujeito; em tal caso, o Processador informará o controlador dessa exigência legal antes do processamento, a menos que essa lei proíba tal informação por importantes razões de interesse público

b) garante que as pessoas autorizadas processar os Dados Pessoais do Controlador comprometeram-se com a confidencialidade ou estão sob uma obrigação estatutária de confidencialidade;

c) toma todas as medidas relativas à Segurança do Processamento mencionadas no DPA;

d) respeita as condições mencionadas no presente DPA para contratar outro processador;

e) tendo em conta o natureza do processamento, auxilia o Controlador através de medidas técnicas e organizacionais apropriadas, na medida do possível, para o cumprimento da obrigação do controlador de responder aos pedidos de exercício dos direitos do titular da informação

f) ajuda o Controlador a garantir o cumprimento do obli em relação à segurança do processamento e à consulta prévia, levando em conta a natureza do processamento e as informações disponíveis ao processador;

g) à escolha do controlador, exclui ou retorna todos os Dados Pessoais do Controlador após o fim da prestação de serviços relacionados com o processamento e suprime cópias existentes, a menos que a legislação da União ou dos Estados-Membros exija a conservação dos dados pessoais;

h) disponibilizar ao Controlador todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas neste artigo e permitir e contribuir para auditorias necessárias e razoáveis, incluindo inspeções, conduzidas pelo controlador ou por outro auditor determinado pelo Controlador.

i) informará o Controlador sobre a impossibilidade de cumprir as instruções e o Beneficiário terá o direito de suspender ou cessar o DPA sem qualquer penalidade para qualquer Parte.

10. Outras obrigações do Controlador

O Controlador irá:

A. Documentar, por escrito, qualquer instrução relacionada ao processamento de dados por o Processador

B. Garantir, antes e durante todo o processamento, o cumprimento das obrigações estabelecidas no Regulamento Geral de Proteção de Dados por parte do Processador, como e se aplicável.

11. Termos Gerais

11.1. Os termos usados ​​no presente DPA terão o significado definido no DPA, no GDPR e no Contrato, a menos que o contexto seja diferente. 11.2. Em caso de qualquer conflito ou inconsistência entre as disposições deste Adendo e quaisquer outros acordos entre as partes, incluindo o Contrato Principal, ou é fornecido de outra forma.

em relação ao processamento dos Dados Pessoais do Controlador, as disposições deste Adendo prevalecerão.

11.3. Se qualquer disposição deste Adendo for inválida ou inexequível, o restante do presente aditamento permanecerá em vigor e em vigor. A disposição inválida ou inexequível deve ser (i) alterada conforme necessário para garantir a sua validade e aplicabilidade, preservando as intenções das partes o mais próximo possível ou, se isso não for possível, (ii) interpretadas de maneira como se o inválido ou parte inexeqüível nunca havia sido contida nele.