As Partes deverão cumprir com as condições previstas no presente Termo de Condições Específicas para Tratamento de Dados Pessoais (“Termo de Condições Específicas”) sempre que aplicável no desenvolvimento das atividades estabelecidas no Contrato firmado entre “Credsystem” e “Parceiro” e/ou Credsystem e “Fornecedor”, quando em conjunto denominadas como “Partes”.
Como esse Termo de Condições Específicas faz parte do Contrato celebrado entre Credsystem e “Parceiro” e/ou Credsystem e “Fornecedor”, em caso de conflito entre as disposições do referido Contrato, deste Termo de Condições Específicas, e da Legislação de Proteção de Dados Aplicável (conforme abaixo definido), a seguinte ordem hierárquica irá prevalecer: (a) Legislação de Proteção de Dados Aplicável; (b) Termo de Condições Específicas; e (c) o Contrato.
Na hipótese de superveniência de quaisquer leis ou regulamentos aplicáveis a Dados Pessoais aos quais estejam sujeitas quaisquer das Partes, acordam as Partes, desde já, em adaptar a relação, o Contrato e esse Termo de Condições Específicas para que se mantenham em conformidade com a legislação e regulamentos relacionados a Proteção de Dados Pessoais, tais como, mas não se limitando a, Lei nº 12.965, de 23 de abril de 2014 (“MCI”), da Lei nº 13.709, de 14 de agosto de 2018 (“LGPD”), regulações emitidas pelos órgãos reguladores, especialmente a ANPD e BACEN (“Legislação Aplicável”). Não sendo possível a mencionada adaptação em até 180 (cento e oitenta) dias do início das tratativas, ou conforme previsto na legislação ou regulamento aplicável, por dolo ou culpa de uma das Partes, o Contrato poderá ser rescindido pela parte prejudicada, nos termos e nas condições previstas em Contrato.
O objetivo deste Termo de Condições Específicas é regular de forma adicional e complementar o dever de as Partes darem cumprimento à Legislação Aplicável, conforme periodicamente alteradas, para a consecução do objeto do Contrato.
Quaisquer termos em letras maiúsculas não definidos de outra forma no Contrato ou neste Termo de Condições Específicas terão o significado atribuído a eles na Legislação Aplicável.
As Partes na consecução do objeto do Contrato poderão ser classificadas como agentes de tratamento de dados pessoais na forma abaixo indicada se comprometendo a:
(i) Credsystem como Controladora de Dados Pessoais. A Credsystem poderá compartilhar com a Operadora determinados Dados Pessoais de seus funcionários, prestadores de serviços, clientes e/ou terceiros. Os detalhes do Tratamento dos Dados Pessoais, em especial, a duração, objeto e finalidade do Tratamento, bem como os tipos de Dados Pessoais a serem tratados e as categorias dos Titulares dos Dados Pessoais, também estão descritos no Contrato, na Política de Tratamentos de Dados das Partes e/ou no Assessment LGPD encaminhado pela Credsystem e preenchido pela Operadora;
(ii) Credsystem e “Parceiro” e/ou Credsystem e “Fornecedor” como Controladoras Conjuntas de Dados Pessoais. As Partes poderão compartilhar uma com à outra Dados Pessoais de seus funcionários, prestadores de serviços, clientes e/ou terceiros. Os detalhes do Tratamento dos Dados Pessoais, em especial, a duração, objeto e finalidade do Tratamento, bem como os tipos de Dados Pessoais a serem tratados e as categorias dos Titulares dos Dados Pessoais, também estão descritos no Contrato, na Política de Tratamentos de Dados das Partes e/ou no Assessment LGPD preenchido pelas Partes;
(iii) Credsystem como Operadora de Dados Pessoais. A Credsystem poderá receber determinados Dados Pessoais compartilhados pela Controladora dos Dados Pessoais de seus funcionários, prestadores de serviços, clientes e/ou terceiros. Os detalhes do Tratamento dos Dados Pessoais, em especial, a duração, objeto e finalidade do Tratamento, bem como os tipos de Dados Pessoais a serem tratados pelas Partes, e as categorias dos Titulares dos Dados Pessoais, também estão descritos no Contrato, na Política de Tratamentos de Dados das Partes e/ou no Assessment LGPD encaminhado pela própria Credsystem.
As Partes declaram que cumprem e irão continuar a cumprir com toda a Legislação Aplicável, bem como observar os princípios gerais de privacidade em suas respectivas atividades.
As Partes declaram e garantem, segundo os princípios da boa-fé, que fazem uso do material denominado “Assessment LGPD”, com escopo também de monitorar e certificar o atual nível de aderência a Legislação Aplicável.
A Política de Tratamento de Dados da Credsystem poderá ser acessada pelos links https://www.credsystem.com.br/politica-de-privacidade/ e https://www.credsystem.com.br/politica-de-cookies/.
Com relação aos Dados Pessoais que serão tratados no cumprimento de suas obrigações sob o Contrato, as Partes deverão manter registros de todas e quaisquer atividades relacionadas aos Dados Pessoais compartilhados pelas Partes ou obtidos em decorrência do Contrato, fornecendo tais registros sempre que solicitado pela Parte contrária.
Atuação das Partes como Operadora. Deverá notificar imediatamente a parte contrária, que esteja na posição de Controladora ou de Controladora Conjunta, se, na opinião da Operadora, qualquer instrução da Controladora ou Controladora Conjunta violar qualquer Legislação Aplicável.
Caso a Operadora não possa cumprir as instruções da Controladora ou Controladora Conjunta por qualquer motivo, a Operadora concorda em informar prontamente a Controladora ou Controladora Conjunta quanto a sua incapacidade de cumprimento, caso em que a Controladora ou Controladora Conjunta terá o direito de suspender a transferência dos Dados Pessoais e/ou rescindir motivadamente o Contrato, conforme os termos e as condições nele estabelecidas.
Atuação das Partes como Operadora A Controladora ou Controladora Conjunta notificará imediatamente a Operadora se, em sua opinião, houver violação de qualquer Legislação Aplicável. Caso a Operadora não possa solucionar a violação por qualquer motivo, a Operadora concorda em informar prontamente a Controladora ou Controladora Conjunta sobre sua incapacidade de solucionar a violação, caso em que a Controladora ou Controladora Conjunta terá o direito de suspender o compartilhamento dos Dados Pessoais e/ou rescindir o Contrato nos termos previstos no Contrato.
Sem prejuízo de quaisquer acordos contratuais existentes entre as Partes, as Partes tratarão todos os Dados Pessoais como confidenciais e assegurará que todos os seus funcionários, agentes e/ou subcontratados envolvidos no Tratamento dos Dados Pessoais tenham ciência sobre a natureza confidencial dos Dados Pessoais.
Essa obrigação permanecerá em vigor após o término do Contrato e deste Termo de Condições Específicas, por qualquer motivo.
As Partes implementaram e continuarão a implementar medidas técnicas, procedimentais e organizacionais apropriadas para garantir um nível de segurança do Tratamento de Dados Pessoais considerando o risco assumido nos termos do Contrato e adequadas aos padrões de segurança da informação adotadas pelo mercado, incluindo proteções contra incidentes de segurança e utilização inadequada de Dados Pessoais As Partes possuem políticas de segurança adequadas aplicáveis ao Tratamento de Dados Pessoais.
A pedido de uma Parte, a outra Parte deverá demonstrar as medidas tomadas em conformidade com o presente e deverá permitir que a Parte solicitante realize (diretamente ou através de terceiros contratados) uma auditoria para comprovar tais medidas, mediante notificação com 30 (dias) de antecedência e para realização e durante o horário comercial A auditoria deverá restringir se apenas a aspectos que toquem diretamente à execução destas Condições Específicas.
As Partes somente irão transferir Dados Pessoais objeto do Contrato para outro país, mediante detalhamento da região, forma de processamento e tratamento dos Dados Pessoais na localidade indicada, com escopo de obter posicionamento favorável da outra Parte acerca dessa transferência, bem como, manter permanentemente a Parte contrária informada sobre eventuais limitações que possam afetar o cumprimento da Legislação Aplicável As Partes entendem e concordam que a proteção adequada aos Dados Pessoais deve existir para que uma transferência seja realizada, e desta forma, se assim exigido, irá celebrar um acordo com cláusulas contratuais padrão ou outros mecanismos especificados pelas autoridades governamentais competentes Qualquer transferência internacional deverá ser efetuada de acordo com a Legislação Aplicável.
As Partes somente poderão subcontratar as operações que envolvam de Tratamento de Dados Pessoais realizadas em nome da Parte contrária mediante (a) consentimento prévio e por escrito da Parte contrária e (b) a assinatura de um Contrato escrito entre a Parte que pretende subcontratar e o subcontratado que contenha ao menos as mesmas obrigações previstas neste Termo de Condições Específicas.
A Parte que subcontratar será individual e solidariamente responsável com o subcontratado perante a Parte contrária por quaisquer atos ou omissões do subcontratado ou infrações do subcontratado às obrigações de proteção de Dados Pessoais ou ao cumprimento da Legislação Aplicável.
As Partes irão cooperar mutuamente e manterão as medidas técnicas e organizacionais necessárias para que ambas possam cumprir com os direitos dos Titulares e pedidos das autoridades governamentais competentes decorrentes do Tratamento dos Dados Pessoais objeto do Contrato.
As Partes não poderão compartilhar os Dados Pessoais para quaisquer finalidades diversas do objeto do Contrato incluindo, mas não se limitando, para fins de enriquecimento de base, análise de crédito, construção de perfis comportamentais, demográficos ou socioeconômicos, pesquisa antifraude e qualquer outra finalidade.
Caso a Parte decida por manter Dados Pessoais abrangidos por uma solicitação de eliminação do Titular, essa Parte se responsabilizará individual e integralmente por essa forma de Tratamento, ainda que o faça nos termos da Legislação Aplicável Nessa hipótese a Parte deverá informar à outra Parte a finalidade específica, a hipótese legal e o período de guarda do Dado Pessoal.
Fornecer à Parte solicitante, dentro de 48 (quarenta e oito) horas ou no prazo legal, o que for menor, toda e qualquer informação relacionada ao processo de Tratamento de Dados Pessoais relacionados ao banco de dados controlado pela Parte solicitante objeto do Contrato.
Se uma das Partes for obrigada, pela Legislação Aplicável a revelar, alterar, excluir ou realizar qualquer outro Tratamento de Dados Pessoais ou a fornecer informações ou documentos relativos aos Dados Pessoais no escopo do Contrato, a Parte demandada deverá (a) notificar a outra Parte imediatamente, enviando os documentos e informações necessários para que essa possa se defender ou se manifestar em relação à referida divulgação, alteração, exclusão ou outro tratamento e (b) fornecer, tempestivamente, informações e documentos e auxiliar a Parte, para que possa atender aos direitos dos Titulares e das autoridades governamentais competentes previstos na Legislação Aplicável.
Sempre que uma Parte tomar conhecimento de um incidente que possa ter qualquer impacto no Tratamento dos Dados Pessoais objeto do Contrato, a Parte conhecedora deverá notificar imediatamente (e sempre dentro dos prazos previstos na Legislação Aplicável) a outra sobre o incidente, bem como cooperar e seguir as instruções da outra Parte com relação a tais incidentes, a fim de permitir que seja realizado uma investigação completa do incidente e seja formulada uma resposta correta e adoção das medidas adequadas em relação ao incidente.
Quaisquer notificações enviadas de uma Parte à outra, nos termos desta Cláusula, devem conter ao menos as seguintes informações (a) descrição da natureza do incidente, incluindo, sempre que possível, as categorias e o número aproximado de Titulares e as registros de Dados Pessoais afetados (b) nome e detalhes de contato do encarregado de proteção de dados (c) descrição das consequências prováveis do incidente e (d) descrição das medidas tomadas ou propostas a serem tomadas para tratar do incidente Caso as informações não possam ser prestadas de imediato, as Partes deverão fornecer as informações assim que possível.
Nos termos desta cláusula, também se faz obrigatório, além do cumprimento do quanto previsto no parágrafo anterior acima, o envio do Formulário de Comunicação de Incidente de Segurança com Dados Pessoais disponibilizado pela ANPD.
Caso as Partes, após o compartilhamento dos Dados Pessoais, façam uso das informações para finalidades distintas do estabelecido em Contrato as Partes assumirão exclusivamente toda e qualquer responsabilidade perante terceiros e perante os órgãos reguladores, decorrentes da violação de privacidade, de proteção de Dados Pessoais ou da inobservância da Legislação Aplicável.
As Partes indenizam e isenta a outra Parte de e contra todas as reclamações, ações, perdas, danos, multas, penalidades e despesas (incluindo honorários advocatícios, de auditores e peritos) incorridas pela Parte prejudicada decorrentes de uma infração deste Termo de Condições Específicas e/ou da Legislação Aplicável.
Atestam as Partes que somente serão responsabilizadas por questões relacionadas ao Tratamento de Dados Pessoais realizado no âmbito do Contrato caso, comprovadamente, tenha realizado operações de Tratamento de Dados Pessoais que violem o quanto disposto no Contrato ou na Legislação Aplicável.
Os Dados Pessoais compartilhados entre as Partes deverão ser eliminados com o encerramento da relação estabelecida entre as Partes. Na impossibilidade de eliminação dos Dados Pessoais em decorrência de previsão estabelecida na Legislação Aplicável, os Dados Pessoais deverão ser anonimizados, sem prejuízo da responsabilização integral e individual da Parte que deixar de eliminar os dados recebidos pela outra Parte, tendo esses dados sido anonimizados ou não.
Quaisquer avisos e/ou notificações enviadas à Credsystem, relacionadas a este Termo de Condições Específicas deverão ser encaminhadas para os endereços abaixo:
Estas Condições Específicas serão regidas e interpretadas de acordo com a Legislação Aplicável. Quaisquer disputas decorrentes ou relacionadas a este Termo de Condições Específicas serão levadas exclusivamente à jurisdição competente indicada no Contrato.