Adendo sobre o processamento de dados do Firebase

INTRODUÇÃO

Este Adendo de Processamento de Dados faz parte do contrato entre o usuário e a iProov Limited, abrangendo o uso dos Serviços de Avaliação.

As definições estabelecidas no Anexo 3 se aplicam a este Adendo de processamento de dados. Se um termo não for definido de outra forma no Anexo 3 deste Adendo de processamento de dados ou em qualquer outro lugar dentro dele, esses termos terão o significado dado a eles no restante do Contrato.

1. PROCESSAMENTO DE DADOS PESSOAIS

1.1 Na execução dos Serviços de Avaliação:

    1. O iProov atua como um Processador; e
    2. você atua como Controlador.

1.2 A iProov processará Seus Dados Pessoais em conformidade com as obrigações dos Processadores de acordo com as Leis de Proteção de Dados do Reino Unido e da União Europeia.

1.3 O iProov processará dados pessoais a fim de fornecer os Serviços de Avaliação de acordo com o Contrato. O Anexo 1 (Detalhes do Processamento de Dados) especifica ainda a natureza e a finalidade do processamento, as atividades de processamento, a duração do processamento, os tipos de dados pessoais e as categorias de titulares de dados.

1.4 O Usuário nomeia a iProov como um processador para processar os Dados Pessoais do Usuário em nome e de acordo com as instruções do Usuário (a) conforme estabelecido no Contrato (que inclui este Adendo de Processamento de Dados) e conforme necessário para que a iProov forneça os Serviços de Avaliação ao Usuário, o que inclui (mas não se limita a) (i) investigação de incidentes de segurança e prevenção de spam, atividade fraudulenta e violações da Política de Uso Aceitável e (ii) detecção e prevenção de explorações ou abusos de rede; (b) conforme necessário para cumprir a lei ou o regulamento aplicável, incluindo a Legislação de Proteção de Dados; e (c) conforme acordado de outra forma por escrito entre a iProov e o usuário.

1.5 Você garante, declara e se compromete a, em todos os momentos:

    1. você garantirá que suas instruções estejam em conformidade com a legislação de proteção de dados;
    2. o processamento justo e todos os outros avisos apropriados foram fornecidos aos Titulares dos Dados de Seus Dados Pessoais (e todos os consentimentos necessários de tais Titulares dos Dados foram obtidos e mantidos em todos os momentos) na medida exigida pela Legislação de Proteção de Dados em relação a todas as atividades de processamento em relação aos Seus Dados Pessoais que podem ser realizadas pela iProov e/ou seus subprocessadores nos termos do Contrato e deste Adendo de Processamento de Dados;
    3. Você cumpriu e continuará a cumprir a Legislação de Proteção de Dados em relação ao uso dos Serviços de Avaliação e ao seu próprio processamento de dados pessoais e ao exercício e desempenho de seus respectivos direitos e obrigações nos termos do Contrato, incluindo a manutenção de todos os registros e notificações regulamentares relevantes, conforme exigido pela Legislação de Proteção de Dados;
    4. Você tem, e continuará tendo, o direito de transferir ou fornecer acesso a quaisquer dados pessoais à iProov para processamento de acordo com os termos do Contrato e deste Adendo de Processamento de Dados;
    5. Se você fizer isso como uma Organização, você e a Organização realizaram a devida diligência em relação aos negócios, operações de processamento e compromissos do iProov e você está convencido (e sempre que continuar a usar os Serviços de Avaliação, você continuará convencido) de que
      1. As operações de processamento do iProov são adequadas para as finalidades para as quais o Usuário se propõe a usar os Serviços de Avaliação e contratar o iProov para processar Seus Dados Pessoais;
      2. as medidas técnicas e organizacionais estabelecidas neste Adendo de Processamento de Dados e no Contrato (cada um atualizado periodicamente) deverão (se a iProov cumprir com suas obrigações) garantir um nível de segurança adequado ao risco em relação aos Seus Dados Pessoais, conforme exigido pela Legislação de Proteção de Dados; e
      3. A iProov tem experiência, confiabilidade e recursos suficientes para implementar medidas técnicas e organizacionais que atendam aos requisitos da Legislação de Proteção de Dados.

1.6 Você reconhece que a iProov não é responsável por determinar quais leis ou regulamentos são aplicáveis a você, sua empresa ou Organização, nem se a prestação dos Serviços de Avaliação pela iProov atende ou atenderá aos requisitos de tais leis. Você garantirá que o processamento de Seus Dados Pessoais pela iProov, quando feito de acordo com o Contrato, não fará com que a iProov viole qualquer lei ou regulamento aplicável, incluindo qualquer Legislação de Proteção de Dados. A iProov informará você caso tome conhecimento, ou acredite razoavelmente, que suas instruções violam qualquer Legislação de Proteção de Dados.

2.1 SEGURANÇA

2.1 A iProov implementará as medidas técnicas e organizacionais estabelecidas no Anexo 2 deste Adendo de Processamento de Dados em relação ao Processamento de Seus Dados Pessoais.

2.2 Você deverá avaliar se as medidas de segurança implementadas de acordo com o parágrafo 2.1 são suficientes para proteger seus Dados Pessoais contra destruição, perda, alteração, divulgação ou acesso acidental, não autorizado ou ilegal, na medida exigida pela Legislação de Proteção de Dados, nas circunstâncias.

2.3 O Usuário reconhece que a iProov fornece um serviço comoditizado de um para muitos e que as necessidades ou avaliações de outros clientes podem ser diferentes, e a iProov não será obrigada a implementar medidas de segurança diferentes para o Usuário, mas o Usuário poderá interromper o uso dos Serviços de Avaliação, caso conclua que as medidas adotadas pela iProov não são suficientes para suas necessidades.

3. SUBPROCESSAMENTO

3.1 A iProov não subcontratará nenhum Processamento dos Dados Pessoais a um subprocessador terceirizado sem seu consentimento prévio por escrito e garantirá que tal subprocessador (cada um, um "Subprocessador") esteja vinculado a termos que (i) sejam pelo menos equivalentes aos termos estabelecidos neste Adendo de Processamento de Dados, ou (ii) no caso de Provedores de Serviços em Nuvem, sejam os termos que o Provedor de Serviços em Nuvem oferece em conformidade com as Leis de Proteção de Dados do Reino Unido e da UE. Por meio deste documento, você consente e autoriza (a) a iProov Limited e (b) os seguintes (cada um deles um "Provedor de Serviços em Nuvem") como processadores: Microsoft Limited c/o Microsoft Ireland Operations Limited, One Microsoft Place, South County Industrial Park, Leopardstown, Dublin, Irlanda (ou outro membro de seu grupo) em relação ao serviço Azure; AWS EMEA SARL (uma entidade de Luxemburgo) (ou outro membro de seu grupo) em relação ao Amazon Web Services (AWS); Google Ireland Limited, com escritórios em Gordon House, Barrow Street, Dublin 4, Irlanda (ou outro membro de seu grupo) em relação ao Google GCP.

3.2 O iProov será e permanecerá totalmente responsável por todos os atos e omissões de cada Subprocessador como se fossem seus próprios atos e omissões.

4. DIREITOS DO TITULAR DOS DADOS

A iProov ajudará o Cliente a responder às Solicitações do Titular dos Dados na medida tecnicamente viável e exigida pelas Leis de Proteção de Dados do Reino Unido e da União Europeia. A iProov notificará o Cliente, sem atrasos indevidos, sobre quaisquer Solicitações do Titular dos Dados e responderá a elas somente com as instruções por escrito do Cliente (a seu custo e despesa) ou conforme exigido por lei. A menos que seja proibido pela Legislação de Proteção de Dados, você é responsável por quaisquer custos e/ou despesas incorridos pela iProov ao fornecer essa assistência e reembolsará a iProov por tais custos e/ou despesas imediatamente após a solicitação da iProov.

5. VIOLAÇÕES DE DADOS PESSOAIS

A iProov notificará o Cliente sem atraso indevido quando tomar conhecimento de uma Violação de Dados Pessoais que afete Seus Dados Pessoais, e a iProov fornecerá ao Cliente as informações exigidas pela iProov de acordo com a Legislação de Proteção de Dados aplicável (na medida em que tais informações estejam, nesse momento, sob o controle ou posse da iProov).

6. AVALIAÇÃO DO IMPACTO DA PROTEÇÃO DE DADOS E CONSULTA PRÉVIA

A iProov fornecerá cooperação razoável ao Cliente em relação a qualquer avaliação de impacto de proteção de dados ou consultas com autoridades regulatórias que possam ser necessárias de acordo com a Legislação de Proteção de Dados (a seu custo e despesa).

7. DEVOLUÇÃO OU EXCLUSÃO DE DADOS PESSOAIS.

7.1 Sujeito ao parágrafo 7.2 e ao Período de Retenção, na rescisão ou expiração do Contrato, o iProov, de acordo com o Anexo 1 (Detalhes do Processamento) deste Adendo de Processamento de Dados, excluirá ou tornará irreversivelmente anônimos (a critério do iProov) os Dados Pessoais do Usuário armazenados ou processados como parte ou dentro dos Serviços de Avaliação.

7.2 Não obstante qualquer disposição em contrário neste Adendo de Processamento de Dados, a iProov poderá reter Seus Dados Pessoais, ou qualquer parte deles, se exigido pela lei ou regulamento aplicável, incluindo a Legislação de Proteção de Dados.

7.3 Durante qualquer período em que Seus Dados Pessoais forem retidos após a rescisão ou expiração deste Contrato, de acordo com este parágrafo, a iProov garantirá que Seus Dados Pessoais:

      1. seja processado somente conforme necessário para os fins descritos neste Adendo de Processamento de Dados; e
      2. permanece protegida de acordo com os termos do Contrato, deste Adendo de Processamento de Dados e das Leis de Proteção de Dados do Reino Unido e da União Europeia.

8. DIREITOS DE AUDITORIA

8.1 A iProov disponibilizará ao Cliente, dentro de um período razoável após sua solicitação por escrito, as informações que a iProov considerar razoavelmente apropriadas nas circunstâncias para demonstrar sua conformidade com este Adendo sobre Processamento de Dados.

8.2 Se o Usuário demonstrar, de forma razoável, que as informações fornecidas pelo iProov nos termos do Parágrafo 8.1 são insuficientes para demonstrar a conformidade do iProov com este Adendo de Processamento de Dados, o iProov permitirá que o Usuário ou seu auditor (o "Auditor") (que incluirá auditores internos e externos e, quando relevante, Autoridades de Supervisão) tenha acesso durante o horário normal de trabalho do iProov e mediante aviso prévio razoável (e, em qualquer caso, com pelo menos 60 dias de antecedência), para auditar quaisquer registros e materiais relevantes mantidos pelo iProov, que sejam necessários para demonstrar tal conformidade. Esse acesso estará sujeito ao seguinte:

      1. As auditorias serão realizadas remotamente, a menos que uma visita ao local seja legalmente exigida;
      2. Você concorda em cumprir e deverá garantir que qualquer Auditor cumpra a Legislação de Proteção de Dados e quaisquer requisitos razoáveis de segurança e confidencialidade do iProov;
      3. o acesso somente será concedido em locais e sistemas determinados pelo iProov a seu critério razoável (e, para evitar dúvidas, será razoável que o iProov leve em consideração quaisquer outros clientes do iProov, qualquer interrupção nos negócios do iProov e quaisquer obrigações de confidencialidade do iProov ao determinar qual acesso é razoável);
      4. não será dado acesso a quaisquer registros, materiais ou sistemas que contenham informações relacionadas a outros clientes do iProov;
      5. o acesso não será concedido a nenhum auditor que não apresente provas razoáveis de sua identidade ou autoridade; e
      6. O acesso não será concedido em mais de uma ocasião em qualquer período contínuo de 12 meses, a menos que o usuário demonstre ao iProov que uma auditoria é necessária com mais frequência, a fim de cumprir suas obrigações de acordo com a Legislação de Proteção de Dados aplicável.

8.3 O Usuário deverá providenciar para que seus Auditores envidem seus melhores esforços para evitar qualquer dano ou interrupção nas instalações, equipamentos, pessoal, dados ou negócios da iProov durante qualquer auditoria no local e o Usuário deverá indenizar a iProov por qualquer dano ou interrupção.

8.4 O Usuário pagará (e reembolsará o iProov mediante solicitação) todos os custos e despesas do iProov relacionados à condução da auditoria, a menos que essa auditoria revele que o iProov violou materialmente suas obrigações nos termos deste Parágrafo 8, caso em que o iProov arcará com seus próprios custos e despesas.

9. PROCESSAMENTO DE DADOS PESSOAIS DE RESIDENTES DA CALIFÓRNIA

9.1 Para os fins deste Parágrafo 9, os termos "negócio", "finalidade comercial", "vender" e "provedor de serviços" terão os respectivos significados dados a eles na CPRA, e "informações pessoais" significam Seus Dados Pessoais que constituem informações pessoais regidas pela CPRA.

9.2 Com relação a quaisquer informações pessoais, o iProov é um provedor de serviços. O iProov não deverá (a) vender quaisquer informações pessoais; (b) sujeito ao Parágrafo 7, reter, usar ou divulgar quaisquer informações pessoais para qualquer finalidade que não seja a finalidade específica de fornecer o Serviço de Avaliação, incluindo reter, usar ou divulgar as informações pessoais para uma finalidade comercial que não seja o fornecimento do Serviço de Avaliação; ou (c) sujeito ao Parágrafo 7, reter, usar ou divulgar as informações pessoais fora do relacionamento comercial direto entre o iProov e o Cliente. A iProov, por meio deste documento, certifica que compreende suas obrigações nos termos deste Parágrafo 9.2 e que as cumprirá.

9.3 Reconhece-se que a retenção, o uso e a divulgação de informações pessoais pelo iProov documentados neste Adendo de Processamento de Dados são parte integrante do processamento e da prestação dos Serviços de Avaliação pelo iProov.

10. TRANSFERÊNCIAS INTERNACIONAIS DE DADOS

10.1 Durante o processo de instalação da Extensão, você terá a opção de selecionar o país no qual Seus Dados Pessoais serão hospedados pela iProov em relação ao seu uso ou acesso aos Serviços de Avaliação (a "Região de Hospedagem") e você concorda que, se for uma opção, você selecionará o país no qual os Serviços de Avaliação serão usados ou disponibilizados (ou predominantemente usados ou disponibilizados, conforme aplicável), como a Região de Hospedagem.

10.2 A iProov (e seus Subprocessadores) somente poderá Transferir Seus Dados Pessoais para (ou processar Seus Dados Pessoais em) os seguintes países: Reino Unido, UE e Região de Hospedagem (em conjunto, os "Territórios") e você autoriza a iProov (ou qualquer Subprocessador) a Transferir Seus Dados Pessoais para qualquer um dos Territórios e este parágrafo 10 constituirá sua instrução com relação às Transferências.

11. INCORPORAÇÃO E PRECEDÊNCIA

Na medida em que houver qualquer conflito ou inconsistência entre este Adendo de Processamento de Dados e o restante deste Contrato, os termos deste Adendo de Processamento de Dados terão precedência e prevalecerão.

ANEXO 1

DETALHES DO PROCESSAMENTO DE DADOS

Este Anexo 1 inclui determinados detalhes do processamento de seus dados pessoais, conforme exigido pelo Artigo 28(3) do GDPR.

Detalhes do processamento

Categorias de titulares de dados: você e/ou os Usuários
Categorias de dados pessoais:
  • Dados de interação do usuário (inclui dados sobre como os usuários interagem com o serviço)
  • Informações sobre o dispositivo do Titular dos Dados, que podem incluir um endereço IP
  • Endereço IP do dispositivo do Titular dos Dados conectado aos Serviços e/ou Aplicativo de Avaliação.
  • Credenciais de autenticação, incluindo chaves de API e segredos usados para identificar os titulares dos dados
  • Imagens faciais do Titular dos Dados criadas ao usar os Serviços de Avaliação, por exemplo, imagens tiradas com a câmera do dispositivo
  • Nome de usuário pseudônimo do Titular dos Dados
  • Um identificador de uma instância instalada de um Android, IOS ou Flutter
  • Um modelo biométrico de você / Usuários
Natureza e finalidade do processamento:
  • Processamento de acordo com os direitos e obrigações das partes nos termos do Contrato;
  • processamento conforme razoavelmente necessário para fornecer os Serviços de Avaliação; e
  • processamento conforme iniciado, solicitado ou instruído por você ou pelos Usuários em relação ao uso dos Serviços de Avaliação.
Duração do processamento: Durante a vigência do Contrato ou (se for mais longo) de acordo com suas instruções.

Com relação a cada imagem facial de qualquer Titular de Dados criada ou transferida para o iProov em conexão com o uso dos Serviços de Avaliação, o iProov excluirá a imagem facial relevante em até 14 dias após o Processamento da mesma em conexão com o fornecimento dos Serviços de Avaliação (o "Período de retenção").

ANEXO 2

MEDIDAS DE SEGURANÇA

A iProov mantém a conformidade com o padrão de segurança ISO/IEC 27001:2013, cujo escopo incluirá os Serviços de Avaliação fornecidos a você e que inclui os seguintes padrões:

  • Seção 5.3 - Funções, responsabilidades e autoridades organizacionais da ISO/IEC 27001:2013
  • ISO/IEC 27001:2013 seção 8.2 - Avaliação de riscos de segurança da informação
  • ISO/IEC 27002:2013 seção 9 - Controle de acesso
  • ISO/IEC 27002:2013 seção 10 - Criptografia
  • ISO/IEC 27002:2013 seção 9.2.4 - Gerenciamento de informações de autenticação secreta de usuários
  • ISO/IEC 27002:2013 seção 11.1 - Gerenciamento de áreas seguras
  • Seção 12.1.2 da ISO/IEC 27002:2013 - Gerenciamento de mudanças
  • ISO/IEC 27002:2013 seção 16.1 - Gestão de incidentes e melhorias de segurança da informação
  • ISO/IEC 27002:2013 seção 13.1 - Gerenciamento de segurança de rede
  • ISO/IEC 27002:2013 seção 12.6 - Gerenciamento de vulnerabilidade técnica
  • ISO/IEC 27002:2013 seção 17 - Aspectos de segurança da informação da gestão de continuidade de negócios.

ANEXO 3

DEFINIÇÕES

  1. Neste Adendo sobre Processamento de Dados, os termos terão o significado que lhes é atribuído neste Anexo 3.
  2. Qualquer termo em letra maiúscula que não esteja definido neste Anexo 3 ou no Contrato terá o significado dado a ele no GDPR do Reino Unido.
  • "Lei aplicável" significa o seguinte, na medida em que faz parte da lei de qualquer jurisdição aplicável:
  1. a) qualquer lei, legislação, regulamento, regimento interno ou legislação subordinada em vigor de tempos em tempos;
  2. b) a lei comum e as leis de equidade, conforme aplicáveis de tempos em tempos;
  3. c) qualquer ordem judicial, sentença ou decreto vinculante; ou
  4. d) qualquer orientação, política, regra ou ordem aplicável feita ou dada por qualquer órgão regulador com jurisdição sobre uma parte ou qualquer um dos ativos, recursos ou negócios dessa parte;
  • "Informações biométricas" significa qualquer informação, independentemente de como é capturada, convertida, armazenada ou compartilhada, com base no Identificador biométrico de um indivíduo usado para identificar um indivíduo.
  • "Leis de informações biométricas" significa toda e qualquer Lei Aplicável e leis e regulamentos de informações biométricas vinculantes que se relacionam ao uso de Informações Biométricas ou dados biométricos.
  • "Identificador biométrico" significa as características fisiológicas, biológicas ou comportamentais de um indivíduo, inclusive o ácido desoxirribonucleico (DNA) de um indivíduo, que podem ser usadas, isoladamente ou em combinação entre si ou com outros dados de identificação, para estabelecer a identidade individual. Os identificadores biométricos podem incluir, entre outros, imagens da íris, retina, impressão digital ou rosto, mão, palma da mão, padrões de veias e gravações de voz ou vídeo, a partir das quais um modelo de identificador, como uma impressão facial, um modelo de minúcias ou uma impressão de voz, pode ser extraído, além de padrões ou ritmos de pressionamento de teclas, padrões ou ritmos de marcha e dados de sono, saúde ou exercícios que contenham informações de identificação.
  • "CPRA" significa a Lei de Direitos de Privacidade da Califórnia de 2020 e quaisquer regulamentações vinculativas promulgadas por ela.
  • "Legislação de proteção de dados" significa quaisquer Leis Aplicáveis relacionadas a (i) privacidade e segurança de dados, incluindo (mas não se limitando a) o GDPR e o CPRA ou (ii) dados biométricos ou Informações Biométricas, incluindo Leis de Informações Biométricas;
  • "Solicitação do Titular dos Dados" significa o exercício, pelos Titulares dos Dados, de seus direitos nos termos e de acordo com o Capítulo III do GDPR, em relação aos Seus Dados Pessoais.
  • "Excluir" significa remover ou obliterar Dados Pessoais de forma que não possam ser recuperados ou reconstruídos, e "Exclusão" deverá ser interpretada de acordo com essa definição.
  • "EEE" significa o Espaço Econômico Europeu.
  • "GDPR" significa, conforme e onde aplicável:
  1. a) Regulamento(UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 (o "GDPR DA UE"); e/ou
  2. b) o GDPR da UE, uma vez que faz parte da legislação do Reino Unido em virtude da seção 3 da Lei da União Europeia (Retirada) de 2018, conforme alterada (inclusive pelos Regulamentos de Proteção de Dados, Privacidade e
    c) Regulamentos de Comunicações Eletrônicas (Alterações etc.) (Saída da UE) de 2019) (o "    GDPR DO REINO UNIDO").
  • "Salvaguardas legais" significa o(s) mecanismo(s) legalmente aplicável(eis) para Transferências de Dados Pessoais, conforme permitido pelas Leis de Proteção de Dados do Reino Unido e da UE, de tempos em tempos;
  • "Violação de dados pessoais" significa qualquer violação de segurança real ou razoavelmente suspeita que leve à destruição acidental, ilegal ou não autorizada, perda, alteração, criptografia, aquisição, divulgação ou acesso a Dados Pessoais transmitidos, armazenados ou de outra forma processados pela iProov nos termos ou em conexão com o Contrato.
  • "Período de retenção" significa o período identificado como tal no Anexo 1.
  • "Autoridade de Supervisão" significa:
  1. a) no no contexto do Reino Unido e do GDPR do Reino Unido, significa o Gabinete do Comissário de Informações do Reino Unido;
  2. b) no contexto do GDPR do EEE e da UE, tem o significado dado a esse termo no Artigo 4(21) do GDPR da UE; e
  3. c) qualquer outra autoridade pública regulatória, governamental ou independente estabelecida com jurisdição sobre toda ou qualquer parte (a) da aplicação da Legislação de Proteção de Dados; e (b) dos Serviços de Avaliação.
  • "Transferência" tem o mesmo significado que a palavra "transferência" no Artigo 44 do GDPR (e termos relacionados, como Transferências, Transferido e Transferir têm significados correspondentes).
  • "Leis de proteção de dados do Reino Unido e da UE" significa as Leis Aplicáveis sobre proteção de dados ou privacidade que se aplicam no Reino Unido e na UE, incluindo o GDPR e a Lei de Proteção de Dados de 2018 no Reino Unido.
  • "Seus Dados Pessoais" significa os Dados Pessoais que são Processados pelo iProov ou em seu nome (o que inclui quaisquer Dados Pessoais de seus Usuários ou da Organização) sob ou em conexão com o Contrato (o que inclui este Adendo de Processamento de Dados).