ADENDO DO PROCESSAMENTO DE DADOS DO FORNECEDOR

Este Adendo do Processamento de Dados (“APD”) faz parte do Acordo entre a Vapotherm e a parte identificada no Acordo (como mencionado neste Adendo, “Fornecedor”) e se aplica na medida em que (i) o Fornecedor processa os Dados Pessoais em benefício da Vapotherm no curso da prestação de serviços e (ii) o Acordo incorpora expressamente este APD por referência. Para evitar qualquer ambiguidade, todas as referências ao Acordo devem incluir este APD (incluindo as Cláusulas Contratuais Padrão, quando aplicável).

CONSIDERANDOS:

  1. A Vapotherm e o Fornecedor são partes de um acordo de serviços (o “Acordo).
  2. Os serviços a serem prestados pelo Fornecedor inclui o Processamento dos Dados Pessoais em benefício da Vapotherm. Consonantemente, e como exigido pela Lei de Proteção de Dados, a Vapotherm e o Fornecedor concordaram em celebrar este Adendo do Processamento de Dados (o “Adendo”).

TERMOS OPERACIONAIS:

  1. Definições eInterpretação
    • Nesse Adendo:

Acordo” tem o significado enunciado na Cláusula 1.

Consumidor no CCPA” significa um “consumidor” no termo definido na CCPA, Lei da Privacidade do Consumidor da Califórnia.

Controlador de dados” significa pessoa individual ou jurídica, autoridade pública, agência ou qualquer outro órgão que, por si ou em conjunto com outros, determina as finalidades e os meios de Tratamento dos Dados Pessoais.

Legislação de Proteção de Dados” significa (i) a Regulamentação Geral da Proteção de Dados (UE) 2016/679, e qualquer outra legislação e/ou regulamentação implementando ou elaborada consonante, ou que amenda, substitui, adota ou consolida a legislação e todas as outras leis aplicáveis em relação ao tratamento dos Dados Pessoais e a privacidade que pode existir em qualquer jurisdição relevante, incluindo, quando aplicável, a diretriz e os códigos de prática emitidos por autoridades supervisoras (“RGPD”); (ii) Lei de Privacidade do Consumidor da Califórnia, Califórnia. Civ. Código §§ 1798.100 em diante (“CCPA”); e (iii) qualquer outra legislação de proteção de dados que se aplica ao Tratamento de Dados Pessoais segundo este Adendo.

Titular dos Dados” significa uma pessoa natural identificada ou identificável, incluindo sem limitação, o Consumidor no CCPA.

Cláusulas do Modelo da UE” significa cláusulas contratuais padrão adotadas ou aprovadas pela Comissão Europeia para transferências de acordo com o RGPD (e se mais de um conjunto dessas cláusulas for aplicável para a transferência, o conjunto mais recente) ou quaisquer cláusulas sucessoras aprovadas para transferências pela Comissão ou uma autoridade supervisora relevante de acordo com a Legislação de Proteção de Dados aplicável.

Dados Pessoais” têm o significado atribuído aos mesmos na Legislação de Proteção de Dados aplicáveis, inclusive sem limitação às “informações pessoais” como tal termo se encontra definido na CCPA, e refere-se a quaisquer dados processados pelo Fornecedor em benefício da Vapotherm em conexão com o Acordo.

Processador“, “Processamento” ou “Processo” (ou qualquer variação do mesmo) significa qualquer operação ou conjunto de operações efetuadas com os Dados Pessoais ou nos conjuntos de Dados Pessoais, sendo ou não por meios automatizados, tal como de transmissão coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transferência, disseminação ou de outra forma disponibilizado, em alinhamento ou combinação, restrição, apagamento ou destruição, e “Processo” será interpretado consonantemente.

Violação de Segurança” significa qualquer destruição, perda, alteração ou divulgação ilegal, acidental ou não autorizada ou acesso aos Dados Pessoais processados pelo Fornecedor no curso do fornecimento dos Serviços e

Vender” e “Venda” tem o significado atribuído a eles na CCPA.

Serviços” significa os serviços a serem fornecidos pelo Fornecedor para a Vapotherm de acordo e em consonância ao estabelecido no Acordo.

Subcontratante” significa qualquer entidade externa indicada pelo Fornecedor de acordo com o Acordo ou este Adendo (como aplicável) para processar os Dados Pessoais.

  • Em caso de conflito ou inconsistência entre as disposições do Acordo e este Adendo, as disposições deste Adendo devem prevalecer. Com exceção das alterações e emendas especificamente deste Adendo, todos os termos, disposições e especificações contidos no Acordo devem permanecer em pleno vigor e efeito e controlar este Adendo.
  1. Relação entre as Partes
    • O Fornecedor concorda que a Vapotherm é o Controlador dos dados e o Fornecedor é o Processador dos dados relativos aos Dados Pessoais que o Fornecedor processa no curso do fornecimento dos Serviços.
    • Para as finalidades da CCPA, as partes reconhecem e concordam que o Fornecedor agirá como um “Prestador de Serviços”, e não como uma “Entidade Externa”, nos termos definidos pela CCPA, no seu desempenho de suas obrigações conforme o Acordo.
    • Quando o Fornecedor processa os Dados Pessoais no curso de fornecimento de Serviços. O Fornecedor:
      • Processará os Dados Pessoais somente de acordo com as instruções escritas da Vapotherm, as quais podem ser instruções específicas ou de natureza geral como estabelecidas no Adendo ou conforme notificado pela Vapotherm ao Fornecedor periodicamente. Se o Fornecedor for obrigado a Processar os Dados Pessoais por qualquer outro motivo por qualquer outra Legislação de Proteção de Dados à qual o Fornecedor está sujeito, o Fornecedor informará este requisito primeiro à Vapotherm, a não ser que tal(is) lei(s) proíba(m) isto por motivos importantes para o interesse público;
      • em todos os momentos cumprirá a Legislação de Proteção de Dados aplicável e notificará a Vapotherm imediatamente se, na opinião do Fornecedor, uma instrução para o processamento de Dados Pessoais dada pela Vapotherm infringir a Legislação de Proteção de Dados aplicável, e
      • não Venderá Dados Pessoais;
      • não deverá reter, usar ou divulgar qualquer Dado Pessoal para (a) qualquer finalidade diferente do propósito específico de desempenho dos Serviços conforme este Acordo em benefício da Vapotherm ou (b) fora da relação comercial direta entre o Fornecedor e a Vapotherm ou conforme permitido pela Legislação de Proteção de Dados aplicável.
  1. Detalhes de Processamento dos Dados Pessoais
    • O Anexo de Processamento de Dados do Acordo dispõe de determinadas informações a respeito do Processamento dos Dados Pessoais como determinado pelo artigo 28(3) do RGPD (e, possivelmente, por requisitos equivalentes de outras Leis de Proteção dos Dados). Vapotherm pode, regularmente, fazer emendas razoáveis ao Anexo de Processamento de Dados do Acordo, através de uma notificação por escrito para o Fornecedor quando a Vapotherm considerar razoavelmente necessário atender tais requisitos. Nenhum item do Anexo de Processamento de Dados do Acordo (inclusive como emendado conforme esta seção 3.1) confere qualquer direito ou impõe qualquer obrigação a nenhuma parte por meio deste Adendo.
  2. Assistência
    • Sempre considerando a natureza do Processamento, o Fornecedor deve auxiliar a Vapotherm:
      • utilizando medidas técnicas e organizacionais apropriadas para proteger a segurança dos Dados Pessoais.
      • assegurando a conformidade com as obrigações de acordo com os Artigos 32 a 36 do RGPD considerando as informações disponíveis para o Fornecedor, e
      • se a Vapotherm realizar uma avaliação do impacto da proteção de dados em relação ao Processamento de Dados Pessoais, o Fornecedor deverá razoavelmente auxiliar a Vapotherm com tal avaliação e qualquer consulta subsequente com a ICO (Gabinete do Comissário da Informação do Reino Unido) em conexão com tal avaliação, de acordo com os Artigos 35 e 36 do RGPD;
      • disponibilizando para a Vapotherm, todas as informações que a Vapotherm solicitar razoavelmente, para permitir que a Vapotherm demonstre o cumprimento das obrigações estabelecidas no Artigo 28 do RGPD relacionadas à indicação dos Processadores, e
      • fornecendo assistência razoável para responder a solicitação do Titular dos Dados ou uma solicitação de quaisquer autoridades de proteção de dados relacionadas ao Processamento dos Dados Pessoais.
  3. Medidas de Segurança e Violações dos Dados Pessoais
    • O Fornecedor deve implementar e manter medidas técnicas e organizacionais apropriadas para proteger quaisquer Dados Pessoais contra o Processamento não autorizado e ilegal, e contra a perda, destruição, dano, roubo, alteração ou divulgação acidental. Essas medidas devem ser apropriadas considerando o dano que pode resultar de qualquer Processamento não autorizado ou ilegal, perda acidental, destruição, dano ou roubo de Dados Pessoais e considerando a natureza dos Dados Pessoais que devem ser protegidos.
    • No caso de uma Violação de Dados, o Fornecedor:
      • tomará uma medida imediatamente para investigar a Violação de Segurança e identificar, prevenir e mitigar os efeitos da Violação de Segurança e para remediar a Violação de Segurança;
      • notificará a Vapotherm sem atraso indevido (mas em nenhum caso, após mais de 24 horas) e proverá para Vapotherm uma descrição dos detalhes da Violação de Segurança conhecida no momento, incluindo:
        • o possível impacto da Violação de Segurança,
        • as categorias e o número aproximado de Titulares dos Dados afetados, o país de residência, as categorias e o número aproximado de registros afetados,
        • e o risco constituído pela Violação de Segurança para os indivíduos, e
        • as medidas tomadas ou propostas pelo Fornecedor para resolver a Violação de Segurança e mitigar seus efeitos adversos
      • e fornecerá atualizações oportunas destas informações, quando tiver mais detalhes , e quaisquer outras informações que a Vapotherm possa em algum momento solicitar em relação à Violação de Segurança, e
      • não liberar ou publicar qualquer arquivo, comunicação, notificação, divulgação para a imprensa ou relatório relativo à Violação de Segurança sem uma aprovação por escrito antecipada da Vapotherm (exceto quando exigido legalmente).
  1. Subcontratação
    • A Vapotherm concorda que o Fornecedor pode designar Subcontratantes para auxiliar no fornecimento de Serviços com o processamento dos Dados Pessoais unicamente para a finalidade de fornecimento de Serviços, contanto que tais Subcontratantes: (i) concordem em agir somente mediante instruções do Fornecedor para o Processamento dos Dados Pessoais (as instruções devem ser consistentes com as Instruções de Processamento da Vapotherm), e (ii) concordem em proteger os Dados Pessoais em um padrão consistente com os requisitos deste Adendo.
    • O Fornecedor deve fornecer uma lista dos Subcontratantes para a Vapotherm antes da execução deste Adendo. Antes de autorizar qualquer novo Subcontratante, o Fornecedor deve prover uma notificação. A Vapotherm pode objectar a mudança sem penalidades, notificando o Fornecedor até 14 dias após a notificação, contanto que tal objeção seja baseada em motivos importantes relacionados à proteção de dados. As partes devem trabalhar juntas para resolver quaisquer objeções. No caso de tais objeções não puderem ser razoavelmente resolvidas, e o Fornecedor não designar, nem substituir o Subcontratante relevante ou, caso isso não seja possível, a Vapotherm poderá suspender ou rescindir o Acordo.
    • Se o Fornecedor tiver permissão para usar quaisquer Subcontratantes de acordo com este Adendo, qualquer Subcontratante escolhido deve ser considerado como um “Prestador de Serviço” de acordo com a CCPA. O Fornecedor não deve fazer quaisquer divulgações de Dados Pessoais para o Subcontratante em uma ocasião que a CCPA defina como Venda.
  2. Auditoria
    • O Fornecedor deve permitir que a Vapotherm e seus respectivos auditores ou agentes autorizados conduzam auditorias ou inspeções durante o termo do Acordo, inclusive fornecendo acesso razoável às instalações, recursos e equipe do Fornecedor em conexão com a prestação dos Serviços, e oferecer toda a assistência possível para auxiliar a Vapotherm no exercício de seus direitos de auditoria conforme este parágrafo. A finalidade de uma auditoria de acordo com este parágrafo é unicamente verificar se o Fornecedor está processando os Dados Pessoais de acordo com as obrigações do Fornecedor sob estes termos.
    • Qualquer auditor externo ou representante agindo em benefício da Vapotherm estará sujeito ao acordo de confidencialidade.
    • Quaisquer auditorias devem ser realizadas durante o horário comercial razoável e não devem interromper as práticas comerciais normais do Fornecedor.
  3. Termo e Rescisão, Exclusão ou Destruição dos Dados Pessoais
    • Este Adendo entrará em vigor a partir da data efetiva do Acordo e será encerrado automaticamente após a rescisão ou expiração do Acordo sem ser necessária outra medida por qualquer uma das partes. As obrigações do Fornecedor e os direitos da Vapotherm de acordo com este Adendo devem continuar em vigor enquanto o Fornecedor processa ou mantém os Dados Pessoais, incluindo quaisquer dados não identificados ou agregados, se apropriado.
    • No final dos Serviços, a pedido da Vapotherm, o Fornecedor deve destruir com segurança ou devolver tais Dados Pessoais para a Vapotherm, e excluir as cópias existentes a não ser que a Legislação de Proteção de Dados Pessoais requeira armazenamento de tais Dados Pessoais.
  4. Transferências de Dados
    • O Fornecedor concorda em cumprir com as obrigações de importador dos dados como estabelecido nas Cláusulas do Modelo da UE para a transferência dos Dados Pessoais para os Processadores estabelecidos em países terceiros adotados pela Comissão Europeia, os quais estão incorporados neste Adendo por referência. O Fornecedor reconhece que a Vapotherm será um exportador de dados. O Anexo de Processamento de Dados do Acordo deve ser aplicado como Anexo 1 nas Cláusulas do Modelo da UE.
  5. Indenização e Limitação de Responsabilidade
    • Para evitar qualquer ambiguidade, qualquer ressarcimento ou limitação de responsabilidade, as disposições do Acordo devem se aplicar a este Adendo.