TERMO DE CONDIÇÕES DE TRATAMENTO DE DADOS PESSOAIS

Na hipótese de superveniência de quaisquer leis ou regulamentos aplicáveis a Dados Pessoais, aos quais estejam sujeitas quaisquer das Partes, acordam as Partes, desde já, em adaptar a relação, o Contrato e esse Termo de Condições Específicas para que se mantenham em conformidade com a legislação e regulamentos relacionados a Proteção de Dados Pessoais, tais como, mas não se limitando a Lei nº 12.965, de 23 de abril de 2014 (“MCI”), da Lei nº 13.709, de 14 de agosto de 2018 (“LGPD”), regulações emitidas pelos órgãos reguladores, especialmente, mas não se limitando, a Autoridade Nacional de Proteção de Dados (“ANPD”) e o Banco Central do Brasil (“BACEN”) (“Legislação Aplicável”).

Não sendo possível a mencionada adaptação nos prazos e termos conforme previstos na Legislação Aplicável, por dolo ou culpa de uma das Partes, o Contrato poderá ser rescindido pela parte inocente, nos termos e nas condições previstas em Contrato.

As Partes, na consecução do objeto do Contrato, poderão ser classificadas como agentes de tratamento de dados pessoais de acordo com a definição descrita no Glossário de Proteção de Dados Pessoais e Privacidade disponibilizado pela ANPD, se comprometendo na seguinte forma:

(i) Credsystem como Controladora de Dados Pessoais. A Credsystem poderá compartilhar com a Operadora determinados Dados Pessoais, tais como, mas sem se limitar, de seus funcionários, prestadores de serviços, clientes e/ou terceiros. Os detalhes do Tratamento dos Dados Pessoais, em especial, a duração, objeto e finalidade do Tratamento, bem como os tipos de Dados Pessoais a serem tratados e as categorias dos Titulares dos Dados Pessoais, também estão descritos no Contrato, na Política de Privacidade das Partes e/ou no Assessment LGPD/SI encaminhado pela Credsystem e preenchido pela Operadora;

(ii) Credsystem e “Parceiro” e/ou Credsystem e “Fornecedor” como Controladoras Conjuntas de Dados Pessoais. As Partes poderão compartilhar, uma com a outra, Dados Pessoais de seus funcionários, prestadores de serviços, clientes e/ou terceiros. Os detalhes do Tratamento dos Dados Pessoais, em especial, a duração, objeto e finalidade do Tratamento, bem como os tipos de Dados Pessoais a serem tratados e as categorias dos Titulares dos Dados Pessoais, também estão descritos no Contrato, na Política de Privacidade das Partes e/ou no Assessment LGPD/SI preenchido pelas Partes;

(iii) Credsystem como Operadora de Dados Pessoais. A Credsystem poderá receber determinados Dados Pessoais compartilhados pela Controladora dos Dados Pessoais, tais como, mas sem se limitar, de seus funcionários, prestadores de serviços, clientes e/ou terceiros. Os detalhes do Tratamento dos Dados Pessoais, em especial, a duração, objeto e finalidade do Tratamento, bem como os tipos de Dados Pessoais a serem tratados pelas Partes, e as categorias dos Titulares dos Dados Pessoais, também estão descritos no Contrato, na Política de Política de Privacidade das Partes e/ou no Assessment LGPD/SI encaminhado pela própria Credsystem.

As Partes declaram que cumprem e irão continuar a cumprir com toda a Legislação Aplicável, incluindo, mas não se limitando, a disponibilização de um canal de comunicação com o titular de dados e, quando aplicável, a indicação do Encarregado pelo Tratamento de Dados Pessoais (DPO), bem como quanto a observar os princípios gerais de privacidade em suas respectivas atividades.

As Partes declaram e garantem, segundo os princípios da boa-fé, que fazem uso do material denominado “Assessment LGPD/SI”, com escopo também de monitorar e certificar o atual nível de aderência a Legislação Aplicável.

A Política de Privacidade da Credsystem poderá ser acessada pelo link https://www.credsystem.com.br/politica-de-privacidade/.

Com relação aos Dados Pessoais que serão tratados no cumprimento de suas obrigações sob o Contrato, as Partes deverão manter registros de todas e quaisquer atividades relacionadas aos Dados Pessoais compartilhados pelas Partes ou obtidos em decorrência do Contrato, fornecendo tais registros sempre que solicitado pela Parte contrária.

Caso a Operadora ou Controladora Conjunta, não possa cumprir as instruções da Controladora ou da outra Controladora Conjunta por qualquer motivo, a Operadora ou Controladora Conjunta, concorda em informar prontamente a Controladora ou a outra Controladora Conjunta quanto a sua incapacidade de cumprimento, caso em que a Controladora ou a outra Controladora Conjunta terá o direito de suspender a transferência dos Dados Pessoais e/ou rescindir motivadamente o Contrato, conforme os termos e as condições nele estabelecidas.

A Controladora ou Controladora Conjunta notificará imediatamente a Operadora ou a outra Controladora Conjunta, se, em sua opinião, houver violação de qualquer Legislação Aplicável. Caso a Operadora ou a outra Controladora Conjunta, não possa solucionar a violação por qualquer motivo, a Operadora ou a outra Controladora Conjunta concorda em informar prontamente a Controladora ou Controladora Conjunta sobre sua incapacidade de solucionar a violação, caso em que a Controladora ou Controladora Conjunta terá o direito de suspender o compartilhamento dos Dados Pessoais e/ou rescindir o Contrato nos termos previstos no Contrato nos termos ali previstos.

As Partes implementaram e continuarão a implementar medidas técnicas, procedimentais e organizacionais apropriadas para garantir um nível de segurança do Tratamento de Dados Pessoais considerando o risco assumido nos termos do Contrato e adequadas aos padrões de segurança da informação adotadas pelo mercado, incluindo proteções contra incidentes de segurança e utilização inadequada de Dados Pessoais. As Partes possuem políticas de segurança adequadas aplicáveis ao Tratamento de Dados Pessoais.

A pedido de uma Parte, a outra Parte deverá demonstrar as medidas tomadas em conformidade com o presente e deverá permitir que a Parte solicitante realize (diretamente ou através de terceiros contratados) uma auditoria para comprovar tais medidas, mediante notificação com 30 (dias) de antecedência, devendo a realização desta auditoria observar o horário comercial. A auditoria deverá restringir-se apenas aos aspectos que toquem diretamente à execução deste Termo de Condições Específicas.

As Partes irão cooperar mutuamente e manterão as medidas técnicas e organizacionais necessárias para que ambas possam cumprir com os direitos dos Titulares e pedidos das autoridades governamentais competentes decorrentes do Tratamento dos Dados Pessoais objeto do Contrato.

As Partes não poderão compartilhar os Dados Pessoais para quaisquer finalidades diversas do objeto do Contrato ou por ele não legitimado, nos termos da Legislação Aplicável.

Caso a Parte decida por manter Dados Pessoais abrangidos por uma solicitação de eliminação do Titular, essa Parte se responsabilizará individual e integralmente por essa forma de Tratamento, ainda que o faça nos termos da Legislação Aplicável ou do Contrato. Nessa hipótese a Parte que mantiver o Dado Pessoal deverá informar à outra Parte a finalidade específica, a hipótese legal e o período de guarda do Dado Pessoal.

A Parte deverá fornecer a outra Parte solicitante, dentro de 2 (dois) dias úteis ou no prazo legal, o que for menor, toda e qualquer informação relacionada ao processo de Tratamento de Dados Pessoais relacionados ao banco de dados controlado pela Parte solicitante objeto do Contrato.

Se uma das Partes for obrigada, pela Legislação Aplicável a revelar, alterar, excluir ou realizar qualquer outro Tratamento de Dados Pessoais ou a fornecer informações ou documentos relativos aos Dados Pessoais no escopo do Contrato, a Parte demandada deverá: (a) notificar a outra Parte imediatamente, enviando os documentos e informações necessários para que a outra Parte possa se defender ou se manifestar em relação à referida divulgação, alteração, exclusão ou outro tratamento e (b) fornecer, tempestivamente, informações e documentos e auxiliar a outra Parte, para que a outra Parte possa atender aos direitos dos Titulares e das autoridades governamentais competentes previstos na Legislação Aplicável.

Caso as Partes, após o compartilhamento dos Dados Pessoais, façam uso das informações para finalidades distintas do estabelecido em Contrato, as Partes assumirão exclusivamente toda e qualquer responsabilidade perante terceiros e perante os órgãos reguladores, decorrentes da violação de privacidade, de proteção de Dados Pessoais ou da inobservância da Legislação Aplicável.

A Parte culpada indeniza e isenta a Parte inocente de e contra todas as reclamações, ações, perdas, danos, multas, penalidades e despesas (incluindo, mas não se limitando a condenações, honorários advocatícios, de auditores e peritos) incorridas pela Parte inocente decorrentes de uma infração deste Termo de Condições Específicas e/ou da Legislação Aplicável causadas pela Parte culpada.

Atestam as Partes que somente serão responsabilizadas por questões relacionadas ao Tratamento de Dados Pessoais realizado no âmbito do Contrato caso, comprovadamente, tenha realizado operações de Tratamento de Dados Pessoais que violem o quanto disposto no Contrato ou na Legislação Aplicável.

Quando aplicável, os Dados Pessoais compartilhados entre as Partes deverão ser eliminados com o encerramento da relação estabelecida entre as Partes. Na impossibilidade de eliminação dos Dados Pessoais em decorrência de previsão estabelecida na Legislação Aplicável ou no Contrato, deverão ser aplicadas medidas de Segurança para garantir a confidencialidade, integridade e disponibilidade dos Dados Pessoais sem prejuízo da responsabilização integral e individual da Parte que mantiver os Dados Pessoais recebidos da Parte contrária.

Quaisquer avisos e/ou notificações enviadas à Credsystem, relacionadas exclusivamente a este Termo de Condições Específicas, deverão ser encaminhadas para o endereço abaixo:

• DPO – privacidade.dpo@credsystem.com.br

Estas Condições Específicas serão regidas e interpretadas de acordo com a Legislação Aplicável. Quaisquer disputas decorrentes ou relacionadas a este Termo de Condições Específicas serão levadas exclusivamente à jurisdição competente indicada no Contrato.