DPA Clientes - Acordo de processamento
de dados - Anexo - da proteção dos dados pessoais
1. Dos papeis e responsabilidades
A BENKYOU configura-se nesta relação como um PROCESSADOR de dados pessoais. Portanto, o CLIENTE com o papel de CONTROLADOR definirá as regras de tratamento dos dados pessoais pela BENKYOU.
2. Termos e definições
2.1 Para os fins deste documento, são considerados:
(a) “DADOS PESSOAIS”: informação relacionada a pessoa natural identificada ou identificável.
(b) “DADOS PESSOAIS SENSÍVEIS”: dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
(c) “TRATAMENTO”: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
(d) “TITULAR”: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
(e) “CONTROLADOR”: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
(f) “OPERADOR”: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador
(g) “ENCARREGADO PELO TRATAMENTO” (DPO): pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)
(g) “ANPD”: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
3. Finalidade e base legal
3.1. A BENKYOU se compromete a tratar os dados pessoais para alcançar o objeto do Contrato, não os utilizando, em hipótese alguma para outras finalidades, inclusive para propósitos de marketing e propaganda, sem o estabelecimento de que um consentimento antecipado foi obtido do titular.
3.1.1. A base legal para tratamento dos dados pessoais, o art 7º, inciso V, da Lei 13.709 de 2018 – Lei Geral de Proteção de Dados pessoais.
3.1.2. Ao utilizar a Plataforma Benkyou, coletaremos dados de navegação, as ações realizadas dentro do Plataforma, com o objetivo de melhorar a usabilidade do mesmo. Esses dados serão tratados de forma anonimizada e agregada, não sendo possível identificar indivíduos específicos. A coleta desses dados é baseada no nosso legítimo interesse em oferecer um sistema cada vez mais eficiente e fácil de usar para nossos usuários.
3.2 A BENKYOU deverá informar a CONTRANTE, se na sua opinião, uma instrução de tratamento viola uma regulamentação ou legislação aplicável.
3.3 A BENKYOU cumprirá, a todo momento, as leis de proteção de dados, mantendo os registros de um programa de Governança da Privacidade em conformidade, jamais colocando, por seus atos ou por sua omissão a CONTRATANTE em situação de violação das leis de proteção de dados.
3.4 A BENKYOU se certificará que seus empregados, representantes, e prepostos agirão de acordo com o Contrato e as leis de proteção de dados. A BENKYOU se certificará que as pessoas autorizadas a tratar os Dados Pessoais assumam um compromisso de confidencialidade ou estejam sujeitas a adequadas obrigações legais de confidencialidade.
4. Assistência
4.1 A BENKYOU prontamente prestará assistência à CONTRATANTE no sentido de assegurar o cumprimento da obrigação de responder às solicitações dos titulares de dados, incluindo pedidos de acesso, retificação, bloqueio, restrição, exclusão, portabilidade de dados, ou o exercício de quaisquer outros direitos dos titulares de dados com base nas Leis Aplicáveis à Proteção de Dados.
4.2 A plataforma permite a exclusão de todas as informações e atividades do usuário. Para fazer, é necessário ir além da "desativação do usuário”.
4.2.1 A opção de 'destruir permanentemente todos os registros do software deve ser realizado pelo administrador ou alguém privilegiado além do operador simples para excluir registros, e se esses registros forem compartilhados com outros aplicativos, a exclusão completa do registro pode exigir interação com vários sistemas.
4.2.2 Sugerimos que os usuários sejam inativados, pois ao excluir poderá impactar nos registros realizados por este usuário no sistema.
4.3 A BENKYOU também assistirá à CONTRATANTE por meio da implementação das devidas medidas técnicas e organizacionais sugeridas pela CONTRATANTE, para que a CONTRATANTE possa cumprir suas obrigações de responder a tais pedidos.
5. Segurança do dado armazenado
5.1 A BENKYOU implementará as medidas técnicas e organizacionais apropriadas para proteger os Dados Pessoais, levando em conta as técnicas mais avançadas, o custo de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos apresentados pelo processamento, em particular, devidos à destruição, perda, alteração ou divulgação não autorizada dos Dados Pessoais, de forma acidental ou ilegal, ou ao acesso aos Dados Pessoais transmitidos, armazenados, ou de outra forma tratados. As medidas de segurança da BENKYOU atenderão ou excederão as (i) exigências das leis de proteção de dados e (ii) medidas de segurança correspondentes com as boas práticas do ramo de negócios da BENKYOU.
6. Vazamento dos dados
6.1 Na hipótese de uma violação de Dados Pessoais, a BENKYOU informará a CONTRATANTE, por escrito, acercada violação dos Dados Pessoais, sem demora a contar do momento em que tomou ciência da violação. As informações a serem disponibilizadas pela BENKYOU incluirão: (i) descrição da natureza da violação dos Dados Pessoais, incluindo as categorias e o número aproximado de titulares de dados implicados, bem como as categorias e o número aproximado de registros de dados implicados; (ii) descrição das prováveis consequências ou das consequências já concretizadas da violação dos Dados Pessoais; e (iii) descrição das medidas adotadas ou propostas para reparar a violação dos Dados Pessoais e mitigar os possíveis efeitos adversos.
7. Divulgação e compartilhamento dos dados
7.1 Se o titular dos dados, autoridade de proteção de dados, ou terceiro solicitarem informações para a BENKYOU relativas ao tratamento de Dados Pessoais, a BENKYOU submeterá esse pedido à apreciação da CONTRATANTE. A BENKYOU não poderá́, sem instruções prévias da CONTRATANTE, transferir ou, de qualquer outra forma, compartilhar e/ou garantir acesso aos Dados Pessoais ou a quaisquer outras informações relativas ao tratamento de Dados Pessoais a qualquer terceiro, salvo para atender solicitação judicial.
7.2 A BENKYOU rejeitará quaisquer solicitações para a divulgação de dados pessoais que não sejam legalmente obrigatórias, consultará a CONTRATANTE antes de realizar quaisquer divulgações dos dados pessoais.
7.3 A BENKYOU notificará a CONTRATANTE quaisquer divulgações legalmente obrigatórias para a compartilhamento ou divulgação de dados pessoais.
8. Transferência internacional
8.1. A BENKYOU poderá armazenar e transferir Dados Pessoais no Brasil, Estados Unidos da América (EUA), União Europeia (UE) e Espaço Econômico Europeu (EEE).
8.2. A BENKYOU deverá informar a CONTRATANTE, de qualquer mudança pretendida nesta questão, de modo que o cliente tenha a capacidade de contestar estas mudanças.
9. Subcontratação
9.1 A CONTRATANTE está ciente da utilização de outras subcontratadas, para que sejam fornecidos os serviços necessários para garantir o pleno funcionamento da solução BENKYOU.
9.2. A BENKYOU assegurará que tais subcontratadas que realizam o tratamento de dados pessoais assumam contratualmente o cumprimento de obrigações correspondentes às obrigações contidas neste Contrato.
10. Responsabilidade de indenização
10.1 As Partes serão responsabilizadas por quaisquer multas impostas por autoridades de proteção de dados como pena a CONTRATANTE ou à BENKYOU por violarem a lei de proteção de dados.
11. Registros relativos ao tratamento de DP
11.1 A BENKYOU determinará e manterá os registros necessários para apoiar a demonstração do compliance com suas obrigações para tratamento de DP realizado em nome da CONTRATANTE.
12. Backups, exportação ou eliminação de informações
12.1 Após a rescisão do presente contrato, com ou sem justo motivo, a BENKYOU retirará todos os acessos dos USUÁRIOS, registros e documentos inseridos na Plataforma.
12.2 Poderá a CONTRATANTE, durante a vigência do contrato ou em até 90 (noventa) dias após a rescisão, solicitar o serviço de exportação de informações. A BENKYOU, através de sua equipe, compromete-se a exportar todos os registros e documentos inseridos para uma PLANILHA, pelo valor de R$ 150,00 (cento e cinquenta) reais por hora técnica de trabalho, apresentando relatório próprio das horas de trabalho.
12.2.1 O documento contendo a exportação de informações será encaminhado a CONTRATANTE após o pagamento de todos os valores devidos pela utilização dos serviços prestados pela BENKYOU, incluindo aqueles da cláusula anterior.
12.3 Os backups das informações e documentos da empresa são mantidos em backups por no máximo 2 anos, após esse prazo os dados serão eliminados permanentemente.
13. Recomendamos para o contratante / controlador
13.1. Depois de definir a base legal para coleta, coloque apenas os dados pessoais mínimos necessários no banco de dados de controle de acesso - especificamente, apenas as informações necessárias para verificar a identidade e o nível de acesso.
13.2. Compartilhe suas políticas de retenção de dados ao coletar dados pessoais.
13.3. Elabore o Relatório de Impacto a Proteção de Dados, quando houver a coleta de dados sensíveis.
13.4. Garanta um processo seguro do direito do titular dos dados de ser esquecido e o direito de saber quais dados pessoais estão sendo coletados e armazenados sobre o titular.
13.5. Os dados pessoais não devem ser armazenados por "mais tempo do que o necessário para os fins para os quais os dados pessoais são processados". Portanto é importante, ter políticas claras sobre armazenamento e garantir que ele não seja mantido por muito tempo ou indefinidamente, a não ser que sua política de privacidade justifique e que exista base legal para o armazenamento dos dados por um período maior ou indeterminado.
13.6. Defina um processo para informar o titular dos dados em caso de violação de dados.
14. Recomendamos para o contratante / controlador
14.1. Em caso de qualquer dúvida em relação a este ANEXO ou solicitações para o cumprimento dos direitos dos TITULARES, o CONTROLADOR ou seu responsável legal poderá entrar em contato diretamente com nosso DPO pelo e-mail: privacidade@grupogse.com.br
15. Disposições finais
15.1 Todas as demais cláusulas se mantêm inalteradas, sendo este documento parte integrante, devendo ser aceito e cumprido pela BENKYOU.
Atualização: São Paulo, 20 de setembro de 2023.