VISA ACORDO DE TRATAMENTO DE DADOS PARA SERVIÇOS HOSPEDADOS OU NAS INSTALAÇÕES (ON-PREMISE)

Este Acordo de Tratamento de Dados (“DPA”) faz parte do acordo comercial para a prestação de serviços hospedados ou nas instalações (on-premise) (“Serviços”) (o “Acordo”) celebrado pelo Cliente (conforme definido no Acordo), por um lado, e a respectiva entidade Visa que celebrou o Acordo (“Visa”), por outro lado. Este DPA integra o Acordo sob o qual a Visa e suas Afiliadas realizam o Tratamento de Informações Pessoais em nome do Cliente em conexão com os Serviços. A Visa e o Cliente podem ser aqui mencionados como “Parte” e coletivamente como “Partes”.

A. DEFINIÇÕES

1. Para fins deste DPA, as seguintes definições se aplicarão:

“Decisão de Adequação” significa uma decisão adotada por uma autoridade competente com jurisdição sobre a Transferência declarando que uma jurisdição atende a um nível adequado de proteção das Informações Pessoais.

“Afiliadas” significa qualquer entidade, qualquer outra entidade que, direta ou diretamente, controle, seja controlada ou esteja sob controle comum com essa entidade. Para fins desta definição, o termo “controle” (incluindo os significados correlatos do termo “controlado por” e “sob controle comum com”) significa a posse, direta ou indireta, do poder de dirigir ou orientar a direção das políticas de gestão desse terceiro, seja por meio da titularidade de títulos com direito a voto, por contrato ou de outra forma.

“Leis de Proteção de Dados Aplicáveis” significa qualquer legislação ou regulamentação referente à proteção de dados, privacidade e/ou ao Tratamento de Informações Pessoais, na medida aplicável em relação às obrigações de uma parte em conformidade com o Acordo e este DPA. Apenas para fins ilustrativos, “Leis de Proteção de Dados Aplicáveis” incluem, sem limitação, e na medida aplicável, a Lei Geral de Proteção do Brasil No. 13.709/2018 “LGPD”, o Regulamento Geral de Proteção de Dados (Regulamento [UE] 2016/679 (o “GDPR”), Leis de Proteção de Dados do Reino Unido, a Lei Gramm-Leach-Bliley (“GLBA”), a Lei de Privacidade do Consumidor da Califórnia de 2018, Cód. Civ. Cal. § 1798.100 e seguintes, conforme alterado pela Lei dos Direitos de Privacidade da Califórnia (“CCPA”), Lei de Proteção de Informações Pessoais e Documentos Eletrônicos, S.C. 2000, c. 5 (“PIPEDA”), Leis de PD da Suíça, Lei de Privacidade da Austrália de 1988 (incluindo os Princípios de Privacidade da Austrália), Lei de Proteção de Dados Pessoais de Singapura de 2012, Lei do Japão sobre a Proteção de Informações Pessoais, Lei de Proteção de Informações Pessoais da Coreia, Lei de Proteção de Informações Pessoais da República Popular da China, Lei de Proteção de Informações Pessoais da África do Sul, Lei de Privacidade de Dados Pessoais de Hong Kong (PDPO), Lei de Privacidade da Nova Zelândia de 2020, Lei de Privacidade de Dados das Filipinas, DPL da Argentina, , DPL da Colômbia, DPL do Peru, LOPDP, DPL do Uruguai, conforme atualizada, alterada e substituída ocasionalmente e quaisquer regulamentos associados ou qualquer outra legislação ou regulamentos que transponham, substituam ou sejam considerados substancialmente semelhantes aos acima.

“DPL da Argentina” significa a Lei N.° 25.326 e seus regulamentos subsidiários e outra legislação sobre proteção de dados ou privacidade em vigor periodicamente na Argentina.

“DPL da Colômbia” significa a Lei 1581 de 2012; o Decreto 1074 de 2015; o Capítulo V da Circular Única do SIC; o Decreto 090 de 2018; e todos os outros regulamentos referentes à proteção de dados na Colômbia.

“LGPD” significa a Lei de Proteção de Dados do Brasil (N.° 13.709/2018, “LGPD”), seus regulamentos subsidiários e outras leis ou regulamentos de proteção de dados ou privacidade em vigor periodicamente no Brasil, incluindo qualquer regulamento publicado pela Autoridade Nacional de Proteção de Dados.

"LOPDP": refere-se à Lei Orgânica do Equador sobre a Proteção de Dados Pessoais, ao Decreto 904 de 11/2023 (Regulamentação) e seus regulamentos subsidiários e outra legislação sobre proteção de dados ou privacidade em vigor periodicamente no Equador.

“CCPs da UE” significa as Cláusulas Contratuais Padrão da UE (Módulo 1 Controlador para Controlador e Módulo 2 Controlador para Operador, conforme aplicável) (UE 2021/914), disponíveis eur-lex.europa.eu/legal-content/ e incorporadas a este DPA por referência, incluindo os Anexos I e II incluídos no Anexo 5 deste DPA.

“CCPs da RIPD” são as Cláusulas Contratuais Modelo emitidas pela Rede Iberoamericana de Proteção de Dados, que foram aprovadas pela Autoridade de Proteção de Dados da Argentina por meio da Resolução 198/2023, pela Autoridade de Proteção de Dados do Peru por meio da Resolução Diretorial N.º 0074-2022-JUS/DGTAIPD e pela Agência de Proteção de Dados do Uruguai por meio da Resolução N.° 50/022 URCDP disponível em annex-model-contractual-clauses-en.pdf e incorporadas a este DPA por referência, incluindo os Anexos I e II incluídos no Anexo 5 deste DPA.

“CCPs do Brasil” significa as Cláusulas Contratuais Padrão aprovadas pela Autoridade Nacional de Proteção de Dados (ANPD) por meio da Resolução CD/ANPD N.° 19 de 23 de agosto de 2024 disponíveis em regulation-on-international-transfer-of-personal-data.pdf e incorporadas a este DPA.

“Informações Pessoais” significa todos os dados ou informações, em qualquer forma ou formato, que identifiquem, se relacionem, descrevam, possam ser associados ou possam ser razoavelmente vinculados, direta ou indiretamente, a um consumidor ou indivíduo específico (“Titular dos Dados”) ou que sejam regulados como “dados pessoais”, “informações pessoais” ou outros conforme as Leis de Proteção de Dados Aplicáveis. Para evitar dúvidas, elas incluem quaisquer informações relacionadas a um Titular de Dados, conforme definido no Acordo e conforme descrito no Anexo 3 deste DPA.

“DPL do Peru” significa a Lei de Proteção de Dados Pessoais do Peru N.° 29733 (conforme atualizada, alterada e substituída periodicamente), incluindo todos os regulamentos ou instrumentos de implementação e associados.

“Tratar”, “Tratado” ou “Tratamento” significa qualquer operação ou conjunto de operações que sejam executadas com Informações Pessoais, seja por meios automáticos ou não, como acesso, coleta, registro, estruturação, armazenamento, adaptação ou alteração, recuperação, divulgação ou disponibilização, duplicação, transmissão, combinação, bloqueio, revisão, apagamento ou destruição.

"Incidente de Segurança” significa uma violação da segurança que resulte na destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Informações Pessoais. Um Incidente de Segurança inclui uma “violação de dados pessoais” (conforme definido no GDPR), um "incidente de segurança de um sistema”, uma “violação de salvaguardas de segurança” (conforme definido na PIPEDA) ou termo semelhante (conforme definido em qualquer outra legislação de privacidade aplicável).

“Leis de PD da Suíça” é a Lei Federal de Proteção de Dados de 25 de setembro de 2020 (conforme atualizada, alterada e substituída periodicamente), incluindo todas as portarias de implementação.

“Transferência” significa transmitir ou disponibilizar Informações Pessoais do Cliente através das fronteiras nacionais em circunstâncias que sejam restritas pelas Leis de Proteção de Dados Aplicáveis.

“Leis de Proteção de Dados do Reino Unido” significa o GDPR no Reino Unido, conforme definido na seção 3(10) e na seção 205(4) da Lei de Proteção de Dados de 2018 (“UK GDPR”), junto com a Lei de Proteção de Dados de 2018 e outras leis de proteção de dados ou privacidade em vigor, periodicamente, no Reino Unido. Neste DPA, em circunstâncias nas quais e exclusivamente na medida em que o GDPR do Reino Unido se aplica, as referências ao GDPR e suas disposições devem ser interpretadas como referências ao GDPR do Reino Unido e suas respectivas disposições.

“Adendo CCPs do Reino Unido” significa o Adendo Internacional de Transferência de Dados às Cláusulas Contratuais Padrão da Comissão Europeia, Versão B1.0, em vigor a partir de 21 de março de 2022, incluindo a Parte 2 “Cláusulas Obrigatórias”.

“DPL do Uruguai” significa a Lei de Proteção de Dados N.° 18.331 2008; 414 2009, 19.670 2018, N.° 64 2020 (conforme atualizada, alterada e substituída periodicamente), incluindo todos os regulamentos ou instrumentos de implementação e associados.

2. Salvo se definido de outra forma no Acordo ou neste DPA, todos os termos utilizados neste DPA terão as definições atribuídas a eles nas Leis de Proteção de Dados Aplicáveis e os termos “controlador” e “operador” incluirão qualquer termo equivalente ou análogo em outras Leis de Proteção de Dados Aplicáveis, como “empresa” e “prestador de serviços”.

B. TRATAMENTO DE INFORMAÇÕES PESSOAIS DO CLIENTE

1. Designação. As partes reconhecem e concordam que, com relação às Informações Pessoais que a Visa Trata em nome do Cliente (“Informações Pessoais do Cliente”) para fornecer os Serviços, a Visa atua na qualidade de  Operador e o Cliente atua na qualidade de Controlador, nos termos da LGPD. O objeto, a duração e a finalidade do Tratamento , incluindo o tipo de Informações Pessoais envolvidas e as categorias de Titulares dos Dados, estão definidos no Anexo 3 deste DPA.

2. Não obstante o disposto acima , o Cliente reconhece que a Visa pode realizar determinadas atividades de Tratamento de Informações Pessoais do Cliente na qualidade de Controladora independente para fins de cumprimento de suas próprias obrigações legais, inclusive em relação à verificação de sanções e de Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo (PLD/FT).

3. Autorização para Tratamento. A Visa Tratará as Informações Pessoais do Cliente para a prestação dos Serviços, e o Cliente autoriza a Visa a Tratar Informações Pessoais do Cliente exclusivamente em conexão com as seguintes atividades:

1. conforme previsto no Acordo e qualquer outro acordo aplicável, incluindo, sem limitação, quaisquer anexos, tabelas e estruturas de preços aplicáveis, para a prestação dos Serviços e para qualquer Tratamento exigido pelas leis ou regulamentos aplicáveis;
2. a transferência de Informações Pessoais do Cliente para bancos, emissores, operadores de carteiras, agregadores de carteiras e/ou redes de compensação para concluir uma transação de pagamento; e
3. conforme razoavelmente necessário para permitir que a Visa cumpra quaisquer outras instruções ou orientações fornecidas pelo Cliente.
4. o Cliente reconhece que a Visa pode Tratar os dados do Cliente (incluindo Informações Pessoais do Cliente) em sua própria conta, e na qualidade de Controladora, quando for o caso, para os fins e da maneira descrita no Aviso de Privacidade Global da Visa, inclusive para gerar conjuntos de dados desidentificados, anônimos ou agregados, ou para outros fins, desde que esse tratamento seja pertinente e não incompatível com a entrega, segurança e melhoria dos Serviços e outros serviços relacionados oferecidos pela Visa e por suas Afiliadas.

4. Cumprimento da Lei. A Visa, em sua prestação de Serviços ao Cliente, e o Cliente, no uso dos Serviços, Tratarão as Informações Pessoais do Cliente em conformidade com as Leis de Proteção de Dados Aplicáveis.

Na medida necessária para permitir que cada parte cumpra suas obrigações nos termos das Leis de Proteção de Dados Aplicáveis, cada parte concorda ainda em cumprir quaisquer disposições aplicáveis do Anexo 1 (Lei de Privacidade do Consumidor da Califórnia) e/ou do Anexo 2 (Regulamentação Geral de Proteção de Dados) a este DPA, cada uma, na medida aplicável.

5. Aviso de Privacidade. O Cliente fornecerá ou assegurará que seus clientes forneçam aos Titulares de Dados todos os avisos de privacidade, informações e quaisquer opções necessárias bem como obterá todos  os consentimentos exigidos para permitir que a Visa cumpra as Leis de Proteção de Dados Aplicáveis e Trate as Informações Pessoais do Cliente para os fins previstos neste DPA.

6. Direitos do Titular dos Dados. Na medida legalmente permitida, a Visa prestará assistência razoável ao Cliente para responder às solicitações dos Titulares de Dados no exercício de seus direitos previstos nas Leis de Proteção de Dados Aplicáveis (por exemplo, direito de acesso ou exclusão de Informações Pessoais) de forma compatível  com a natureza e funcionalidade dos Serviços. Caso a Visa receba qualquer solicitação dessa natureza diretamente de um Titular dos Dados, a Visa informará ao Titular dos Dados que o Cliente é o responsável pelo atendimento de tais solicitações, nos termos das Leis de Proteção de Dados Aplicáveis.

7. Envolvimento com Suboperadores. A Visa garantirá que, ao contratar outro operador de dados ( “Suboperador”) para a realização de determinadas atividades específicas de Tratamento em nome do Cliente, seja celebrado um acordo escrito entre a Visa e o respectivo Suboperador que assegure, em essência, o mesmo nível de proteção das Informações Pessoais do Cliente previsto neste DPA.

8. Demonstração de Conformidade com este DPA. A Visa disponibilizará ao Cliente as informações necessárias para demonstrar o cumprimento de suas obrigações sob este DPA e permitirá (e contribuirá para) a realização de auditorias (limitadas a uma vez por ano, salvo no caso de um Incidente de Segurança efetivo que afete as Informações Pessoais do Cliente, caso em que se aplicará a cláusula 14), incluindo inspeções conduzidas pelo Cliente ou outro auditor designado pelo Cliente, com a finalidade exclusiva  de  de demonstrar o cumprimento das obrigações previstas neste DPA, desde que:

1. o Cliente forneça à Visa um aviso prévio razoável acerca de qualquer auditoria (quando permitido  pelas leis ou regulamentos aplicáveis);
2. a auditoria seja realizada de uma forma que cause a menor interferência possível nas atividades do Operador (inclusive no que se refere à duração da auditoria e ao número e à experiência dos profissionais  do Operador que deverão auxiliar na auditoria); e
3. o Cliente e seu auditor independente estejam sujeitos às políticas e obrigações de confidencialidade aplicáveis ao Operador.

Em reconhecimento ao tempo, aos custos e à potencial interrupção das atividades empresariais associados à realização de auditorias e inspeções que envolvam entrevistas e visitas presenciais, o Cliente concorda em realizar tais auditorias e inspeções somente mediante a demonstração de que estas são necessárias, além das informações já disponibilizadas pela Visa nos termos desta seção.

A título exemplificativo, na medida em que a Visa possa demonstrar o cumprimento de suas obrigações previstas neste DPA por meio da adesão a um código de conduta aprovado, da obtenção de uma certificação aprovada ou do fornecimento ao Cliente de relatório de auditoria emitido por auditor independente, desde que o Cliente cumpra as obrigações de confidencialidade aplicáveis previstas neste DPA e no Acordo e não utilize referido relatório de auditoria para qualquer outra finalidade, o Cliente concorda que não realizará auditoria ou inspeção nos termos desta seção 8.

9. Transferência Internacional. A Visa só transferirá quaisquer Informações Pessoais do Cliente fora da jurisdição aplicável do Cliente, incluindo, sem limitação, fora do Espaço Econômico Europeu (“EEE”), do Reino Unido ou da Suíça, Argentina, Brasil, Colômbia, Equador, Peru, Uruguai e outros países da ALC em conformidade com as Leis de Proteção de Dados Aplicáveis. O Cliente concorda e reconhece que a Visa Transfere e armazena certas Informações Pessoais do Cliente (inclusive relacionadas a indivíduos localizados no EEE, na Suíça e/ou no Reino Unido), Argentina, Brasil, Colômbia, Equador, Peru, Uruguai e outros países da ALC nos Estados Unidos. Quando requerido por qualquer Lei de Proteção de Dados Aplicável, o Cliente concorda em aplicar as respectivas proteções, medidas ou mecanismos, executar qualquer notificação, obter aprovação regulatória e/ou concluir qualquer análise necessária para habilitar Transferências pela Visa e/ou seus Suboperadores nos termos deste DPA.

1. As CCPs da UE se aplicarão a qualquer Transferência de Informações Pessoais do Cliente para a Visa que esteja sujeita ao GDPR (ou que estivesse sujeita ao GDPR antes de sua Transferência para a Visa) e não esteja de outra forma sujeita a uma Decisão de Adequação. As Partes concordam que as CCPs da UE são concluídas e incorporadas por referência a este DPA da seguinte forma:
   1. Quando a Visa atuar como controladora de acordo com a Seção B deste DPA, o Módulo 1 das CCPs da UE será aplicado (Controlador para Controlador).
   2. Quando a Visa atuar como operadora nos termos deste DPA, o Módulo 2 das CCPs da UE será aplicado (Controlador para Operador).
   3. A cláusula 7 (Cláusula de Adesão) é mantida.
   4. Para fins do Módulo 2 das CCPs da UE, na Cláusula 9, as Partes concordam que a Opção 2 (Autorização Geral por Escrito) será aplicada de acordo com a cláusula 9 e o Anexo 2, cláusula 1.2 deste DPA.
   5. A disposição opcional na Cláusula 11(a) das CCPs da UE não se aplicará.
   6. Na Cláusula 17, as CCPs da UE serão regidas pelas leis da Irlanda.
   7. Na Cláusula 18, qualquer disputa decorrente das CCPs da UE será resolvida pelos tribunais da Irlanda, que têm jurisdição para disputas decorrentes das CCPs da UE.
   8. Para efeitos do Anexo I.C. das CCPs da UE, as Partes concordam que a Comissão Irlandesa de Proteção de Dados é a autoridade supervisora competente para Transferências de Informações Pessoais sujeitas ao GDPR.
   9. Os Anexos I e II das CCPs da UE constam do Anexo 5 deste DPA.
2. As CCPs da UE, conforme modificadas nesta cláusula, se aplicarão a qualquer Transferência de Informações Pessoais do Cliente para a Visa que esteja sujeita às Leis de PD da Suíça (ou que estivesse sujeita às Leis de PD da Suíça antes de sua Transferência para a Visa) e não esteja de outra forma sujeita a uma Decisão de Adequação:
   1. O termo “Estado-Membro da UE” não deve ser interpretado de modo a excluir os Titulares dos Dados na Suíça da possibilidade de exercer seus direitos no seu local de residência habitual (Suíça) em conformidade com a Cláusula 18(c).
   2. As referências ao GDPR devem ser entendidas como referências às Leis de PD da Suíça.
   3. Na Cláusula 17, as CCPs da UE serão regidas pelas leis da Suíça.
   4. No Anexo I.C, o Comissário Federal Suíço para Proteção de Dados e Informações é a Autoridade Supervisora competente.
3. O Adendo das CCPs do Reino Unido, incorporado por referência a este DPA, se aplicará a qualquer Transferência de Informações Pessoais do Cliente para a Visa que esteja sujeita à GDPR do Reino Unido (ou esteja sujeita à GDPR do Reino Unido antes de sua Transferência para a Visa) e não esteja sujeita a uma Decisão de Adequação. Nesses casos, as Partes concordam:
   1. O Adendo das CCPs do Reino Unido, incluindo a Parte 2, “Cláusulas Obrigatórias”, é incorporado por referência a este documento e deve ser aplicado integralmente;
   2. Na Tabela 1 do Adendo referente a CCPs do Reino Unido, os nomes das Partes, suas funções e seus detalhes serão estipulados no Anexo I, Anexo 5 deste DPA;
   3. As Tabelas 2 e 3 do Adendo relativo às CCPs do Reino Unido, a versão das CCPs da UE incorporada na cláusula I.1 deste DPA se aplicarão, incluindo as informações estabelecidas nos Anexos das CCPs da UE; e
   4. Na Tabela 4 do Adendo referente a CCPs do Reino Unido, nenhuma das Partes poderá rescindir o Adendo referente a CCPs do Reino Unido.
4. As CCPs da RIPD se aplicarão a qualquer Transferência de Informações Pessoais do Cliente para a Visa que esteja sujeita à DPL da Argentina, DPL da Colômbia, DPL do Peru, LOPDP ou DPL do Uruguai ou outra Lei de Proteção de Dados Aplicável na América Latina que aprove o uso das CCPs da RIPD (ou que estivesse sujeita a essas leis antes de sua Transferência para a Visa) e não esteja sujeita a uma Decisão de Adequação.
   1. As Partes concordam que as CCPs da RIPD são concluídas e incorporadas por referência a este DPA da seguinte forma:
   2. Quando a Visa atuar como controladora de acordo com a Seção B deste DPA, aplicar-se-ão as Cláusulas de Controlador para Controlador das CCPs da RIPD.
   3. Quando a Visa atuar como Operador nos termos deste DPA, aplicar-se-ão as Cláusulas de Controlador para Operador das CCPs da RIPD.
   4. A cláusula 5 (Cláusula de Adesão) é mantida.
   5. Para fins de Cláusulas de Controlador para Operador das CCPs da RIPD, na Cláusula 9, as Partes concordam que a Opção 2 (Autorização Geral por Escrito) se aplicará de acordo com a cláusula 9 e o Anexo 2, cláusula 1.2 deste DPA.
   6. A disposição opcional na Cláusula 8(a) das CCPs da UE não se aplicará.

   7. A identificação das Partes e os Anexos B e C das CCPs da RIPD constam do Anexo 5 deste DPA

5. As CCPs do Brasil se aplicarão a qualquer Transferência de Informações Pessoais do Cliente para a Visa que esteja sujeita à LGPD (ou que estivesse sujeita à LGPD antes de sua Transferência para a Visa) e não esteja de outra forma sujeita a uma Decisão de Adequação.
   1. As Partes concordam que as CCPs da RIPD são concluídas e incorporadas por referência a este DPA da seguinte forma:

   2. Quando a Visa atuar como controladora de acordo com a Seção B deste DPA, aplicar-se-ão as Cláusulas de Controlador para Controlador das CCPs do Brasil na esta página.
      

   3. Quando a Visa atuar como Operador nos termos deste DPA, aplicar-se-ão as Cláusulas de Controlador Operador para Operador das CCPs do Brasil disponíveis em esta página.

10. Equipe. A Visa garantirá que as pessoas autorizadas a Tratar Informações Pessoais do Cliente estejam sob uma obrigação apropriada de confidencialidade de acordo com as leis ou regulamentos aplicáveis que regem as mesmas.

11. Segurança de Tratamento. A Visa cumprirá o Anexo 4 do Acordo (Adendo de Segurança Visa) ao fornecer os Serviços.

Levando em consideração o estado da arte, os custos de implementação e a natureza, escopo, contexto e finalidades do Tratamento, bem como os riscos aos direitos e liberdades das pessoas físicas, a Visa implementará medidas físicas, técnicas e organizacionais para garantir um nível de segurança adequado a esse risco.

Ao avaliar o nível apropriado de segurança, a Visa deve levar especialmente em conta a sensibilidade das Informações Pessoais e os riscos apresentados pelo Tratamento, em particular de Tratamento não autorizado ou ilícito, destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso às Informações Pessoais transmitidas, armazenadas ou Tratadas.

A Visa prestará assistência razoável ao Cliente para garantir que o Cliente cumpra suas próprias obrigações de cumprimento com relação a essas mesmas medidas de segurança.

12. Incidente de Segurança.

1. No caso de um Incidente de Segurança real (definido acima) que afete as Informações Pessoais do Cliente contidas nos sistemas da Visa, a Visa (i) investigará as circunstâncias, extensão e causas do Incidente de Segurança e comunicará os resultados ao Cliente quando legalmente permitido e continuará mantendo o Cliente informado periodicamente sobre o progresso da investigação da Visa, até que a Visa determine que o problema foi efetivamente resolvido.
2. A Visa notificará o Cliente sem atrasos indevidos após a Visa tomar conhecimento de um Incidente de Segurança real que afeta as Informações Pessoais do Cliente, fornecendo ao Cliente informações suficientes e assistência razoável para permitir que o Cliente cumpra suas obrigações nos termos das Leis de Proteção de Dados Aplicáveis para: (i) notificar uma Autoridade de Supervisão (conforme definido pelas Leis de Proteção de Dados Aplicáveis) sobre o Incidente de Segurança; e (ii) comunicar o Incidente de Segurança aos Titulares dos Dados relevantes.
3. O aviso ou resposta da Visa a um Incidente de Segurança não constituirá uma confirmação ou admissão pela Visa de qualquer falha ou responsabilidade com relação ao Incidente de Segurança.
4. Na medida em que um Incidente de Segurança tenha sido causado pelo Cliente (incluindo seus executivos, funcionários, agentes, Afiliadas, parceiros comerciais, representantes e/ou fornecedores) ou seus clientes, o Cliente será responsável pelos custos decorrentes do fornecimento de assistência da Visa nos termos desta seção 12.

13. Eliminação e Retenção. A Visa, à escolha do Cliente, excluirá ou devolverá todas as Informações Pessoais do Cliente após a rescisão do Acordo e excluirá as cópias existentes, a menos e na medida em que o armazenamento seja exigido pela lei ou regulamento aplicável.

14. Responsabilidade do Cliente como Controlador. No que diz respeito à função do Cliente como controlador em relação aos Serviços, ele deve adotar todos os procedimentos a seguir:

1. garantir o cumprimento total com todas as Leis de Proteção de Dados Aplicáveis e regulamentos a respeito das Informações Pessoais que recolhe, armazena, transfere, ou Trata;
2. fornecer informações antecipadas apropriadas aos Titulares dos Dados sobre o Tratamento pretendido de Informações Pessoais pelo Cliente e pela Visa;
3. fornecer à Visa dados precisos sobre os Titulares dos Dados relevantes, inclusive informando à Visa quando as Informações Pessoais devem ser corrigidas, atualizadas ou excluídas;
4. garantir que tem a devida base legal para o tratamento de quaisquer Informações Pessoais, inclusive o tratamento de quaisquer Informações Pessoais pela Visa; e
5. notificar a Visa após o contato de qualquer autoridade regulatória com relação a dados Tratados pela Visa, a menos que a lei ou regulamento aplicável proíba tal notificação.

C. DISPOSIÇÕES GERAIS

15. Qualquer aviso de rescisão desse DPA deve ser por escrito e cumprir os procedimentos de rescisão estabelecidos no Acordo. Em qualquer caso, salvo acordo em contrário por escrito pelas Partes, este DPA permanecerá em vigor até o final (i) do vencimento ou rescisão do Acordo; e (ii) da interrupção do Tratamento de Informações Pessoais do Cliente pela Visa em nome do Cliente em conexão com os Serviços.

16. Os termos deste DPA se aplicarão somente na medida exigida pelas Leis de Proteção de Dados Aplicáveis.

Na medida em que não seja inconsistente com este documento, as disposições aplicáveis do Acordo (incluindo, sem limitação, indenizações, limitações de responsabilidade, fiscalização e interpretação) se aplicarão a este DPA.

Na eventualidade de qualquer conflito entre este DPA e os termos do Acordo, os termos deste DPA prevalecerão exclusivamente no que diz respeito aos termos de tratamento de dados quando exigido pelas Leis de Proteção de Dados Aplicáveis e, em todos os demais aspectos, os termos do Acordo prevalecerão. Não obstante qualquer termo ou condição deste DPA, este DPA não se aplica a quaisquer dados ou informações que não sejam Informações Pessoais, que tenham sido agregadas, anônimas ou não identificáveis de acordo com as Leis de Proteção de Dados Aplicáveis, ou na medida em que a Visa e o Cliente tenham celebrado termos de tratamento de dados separados que abordem o assunto aqui tratado.

17. O Cliente concorda que a Visa pode, sem a necessidade de obter qualquer consentimento adicional ou notificar o Cliente, usar, distribuir, transferir ou sublicenciar quaisquer formas de dados agregados, desidentificados ou anônimos fornecidos nos termos deste DPA ou do Acordo.

Não obstante qualquer termo ou condição deste DPA, este DPA não se aplica a quaisquer dados ou informações que não se relacionem a um ou mais indivíduos vivos identificáveis nos termos das Leis de Proteção de Dados Aplicáveis.

Esse Anexo complementa o DPA para abordar certas disposições da Lei de Privacidade do Consumidor da Califórnia de 2018 e seus regulamentos de implementação, conforme alterado ou substituído periodicamente (Código Civil da Califórnia §§ 1798.100 a 1798.199) (coletivamente, “CCPA”) e outras leis estaduais aplicáveis de privacidade do consumidor dos EUA (juntamente com a CCPA, “Leis Estaduais de Privacidade do Consumidor”).

1. APLICAÇÃO

1.1 Este Anexo se aplica além de quaisquer termos estabelecidos no corpo do DPA (e é nele incorporado) quando as Leis Estaduais de Privacidade do Consumidor se aplicam ao uso dos Serviços pelo Cliente (“Serviços”). Não obstante qualquer outra disposição em contrário, as partes concordam que esse Anexo não se aplica a quaisquer informações coletadas, tratadas, vendidas ou divulgadas pelas partes sujeitas à Lei Gramm-Leach-Bliley (“GLBA”).

1.2 Os termos em maiúsculas não definidos neste documento têm o significado atribuído a eles no DPA ou no Acordo ou, se não definidos, nas Leis Estaduais de Privacidade do Consumidor, conforme aplicável.

1.3 Na eventualidade de um conflito entre este Anexo e o Acordo ou DPA, este Anexo prevalecerá, na medida necessária para garantir o cumprimento das Leis Estaduais de Privacidade do Consumidor.

2. FUNÇÕES E OBRIGAÇÕES DE PRIVACIDADE DE DADOS

2.1 Para fins deste Anexo, as Partes reconhecem que, com relação às Informações Pessoais que a Visa trata em nome do Cliente nos termos do Acordo, que não são tratadas em conformidade com a GLBA (a) o Cliente atua como Empresa ou Controlador dentro do significado fornecido pelas Leis Estaduais de Privacidade do Consumidor e este Anexo; e (b) a Visa atua como Provedor de Serviços ou Operador dentro dos significados fornecidos pelas Leis Estaduais de Privacidade do Consumidor.

2.2 Cada Parte cumprirá suas obrigações nos termos das Leis Estaduais de Privacidade do Consumidor em relação a quaisquer Informações Pessoais Tratadas sob este Anexo. O Cliente reconhece e concorda especificamente que seu uso dos Serviços não violará os direitos de qualquer Consumidor, incluindo aqueles que optaram por não participar das vendas ou outras divulgações de Informações Pessoais, na medida aplicável nos termos das Leis Estaduais de Privacidade do Consumidor.

3. OBRIGAÇÕES DA VISA

3.1 Em sua função como Operador, a Visa:

1. protegerá e guardará as Informações Pessoais do Cliente de acordo com as Leis Estaduais de Privacidade do Consumidor e fornecerá o mesmo nível de proteção de privacidade exigido por essas leis;
2. Tratará as Informações Pessoais do Cliente somente para as finalidades comerciais específicas estabelecidas no Acordo;
3. Exceto conforme permitido pelas Leis Estaduais de Privacidade do Consumidor, não venderá ou compartilhará, dentro dos significados fornecidos pelas Leis Estaduais de Privacidade do Consumidor, Informações Pessoais do Cliente ou manterá, usará ou divulgará Informações Pessoais do Cliente (i) para qualquer finalidade que não seja necessária para cumprir os objetivos comerciais estabelecidos no Acordo, incluindo a retenção, uso ou divulgação das Informações Pessoais do Cliente para uma finalidade comercial que não seja a finalidade comercial estipulada no Acordo; ou (ii) fora da relação comercial direta entre a Visa e o Cliente;
4. Não combinará as Informações Pessoais do Cliente com as Informações Pessoais que receber de ou em nome de qualquer outra pessoa ou entidade ou coleta de sua própria interação com um indivíduo, exceto se permitido pelas Leis Estaduais de Privacidade do Consumidor;
5. Implementará procedimentos e práticas de segurança razoáveis, apropriados à natureza das Informações Pessoais do Cliente, projetados para proteger as Informações Pessoais do Cliente contra acesso, destruição, uso, modificação ou divulgação não autorizados ou ilegais;
6. Notificará o Cliente sobre quaisquer alterações relevantes na capacidade da Visa de cumprir suas obrigações nos termos das Leis Estaduais de Privacidade do Consumidor, incluindo, entre outros, qualquer determinação de que a Visa não possa mais cumprir suas obrigações nos termos deste Anexo;
7. Firmará acordos com quaisquer suboperadores usados para Tratar Informações Pessoais do Cliente que estejam em conformidade com as Leis Estaduais de Privacidade do Consumidor, incluindo, entre outros, quaisquer requisitos contratuais para Provedores de Serviços e contratados;
8. Oferecerá cooperação razoável ao Cliente, mediante solicitação, para permitir que o Cliente cumpra as solicitações do consumidor feitas de acordo com as Leis Estaduais de Privacidade do Consumidor;
9. Concede ao Cliente o direito de tomar medidas razoáveis e apropriadas em conformidade com o Acordo para garantir que a Visa use as Informações Pessoais do Cliente de maneira consistente com as obrigações do Cliente nos termos das Leis Estaduais de Privacidade do Consumidor; e
10. Concede ao Cliente o direito, mediante aviso prévio e em conformidade com o Acordo, de tomar medidas razoáveis e apropriadas para interromper e remediar o uso não autorizado das Informações Pessoais do Cliente pela Visa.

A Visa certifica que entende suas obrigações, incluindo restrições, impostas a ela pelas Leis Estaduais de Privacidade do Consumidor com relação às Informações Pessoais do Cliente e as cumprirá.

3.2 Não obstante o acima exposto, a Visa pode manter, usar ou divulgar Informações Pessoais do Cliente conforme permitido pelas Leis Estaduais de Privacidade do Consumidor, incluindo:

1. Contratar e utilizar outro Provedor de Serviços ou contratado como subcontratado de acordo com este Anexo e quaisquer outros termos aplicáveis do Acordo quando o subcontratado cumpre os requisitos de um Provedor de Serviços, contratado ou subcontratado nos termos das Leis Estaduais de Privacidade do Consumidor;
2. Para seu uso interno para desenvolver ou melhorar a qualidade dos Serviços, desde que a Visa não use as Informações Pessoais do Cliente para prestar serviços em nome de outra pessoa;
3. Para evitar, detectar ou investigar incidentes de segurança de dados ou proteger contra atividades maliciosas, enganosas, fraudulentas ou ilegais;
4. Para qualquer outro propósito expressamente contemplado ou permitido pelas Leis Estaduais de Privacidade do Consumidor ou outra lei aplicável.

 

 

Este Anexo do GDPR se aplica além de quaisquer termos estabelecidos no corpo do DPA (e é incorporado nele) quando (i) a Visa Trata Informações Pessoais do Cliente em nome do Cliente para fornecer os Serviços; e (ii) o GDPR se aplica ao uso dos Serviços pelo Cliente ou na medida em que as Leis de Proteção de Dados Aplicáveis (que não o GDPR) imponham um requisito comparável ao descrito neste Anexo 2. Os termos em letras maiúsculas não definidos neste documento têm o significado atribuído a eles no DPA. Na medida em que haja quaisquer conflitos entre este Anexo do GDPR e o DPA, este Anexo do GDPR prevalecerá. De acordo com o parágrafo 3 deste DPA e para fins deste Anexo 2, o termo "Operadorr" significa Visa.

1. Obrigações Adicionais do Operador

1.1 Tratamento de Informações Pessoais do Cliente.

O Operador tratará as Informações Pessoais do Cliente apenas de acordo com instruções razoáveis documentadas do Cliente (incluindo instruções relacionadas a Transferências de Informações Pessoais do Cliente para um país terceiro, se for o caso), a menos que o Operador  seja obrigado a tratar as Informações Pessoais do Cliente pelas Leis de Proteção de Dados Aplicáveis.

Em tais circunstâncias, o Operador deverá informar o Cliente sobre esse requisito legal antes do Tratamento  Tratamento, a menos que esteja proibido de fazê-lo pela lei vigente, por motivos importantes de interesse público.

1.2 Uso de Suboperador

1.2.1 O Operador não contratará nenhum Suboperador sem a autorização por escrito específica ou geral do Cliente. De acordo com esta seção 1.2 deste Anexo GDPR, o Cliente concede autorização para que o Operador contrate os Suboperadores detalhados na lista de Suboperadores do Operador, conforme previsto no Anexo 4 deste DPA.

1.2.2 Quando o Operador contratar um Suboperador , o Operador deverá garantir que o Cliente seja notificado desse vínculo. O Operador deve fornecer ao Cliente um prazo razoável para que o Cliente se oponha razoavelmente à contratação desse Suboperador, e o Cliente concorda e consente por este meio que o Operador contrate o respectivo Suboperadorquando o Cliente não apresentar objeções razoáveis dentro do período aplicável. Se o Cliente apresentar objeção razoável à contratação de um Suboperador dentro do período aplicável, o Operador poderá optar por um dos itens a seguir: (i) decidir não usar o Suboperador para essa atividade de tratamento; (ii) tomar as medidas corretivas comercialmente razoáveis solicitadas pelo Cliente em sua objeção (que eliminam a objeção do Cliente) e prosseguir com o uso do Suboperador; ou (iii) suspender ou rescindir a prestação dos serviços que exigem o uso do Suboperador.

2. Avaliações de Impacto na Proteção de Dados e Consulta Prévia com o Regulador

2.1 O Operador informará imediatamente o Cliente se, na opinião do Operador, as instruções do Cliente violam as Leis de Proteção de Dados Aplicáveis. O Cliente concorda que o Operador  não terá nenhuma obrigação de tomar medidas projetadas para formar essa opinião.

2.2 O Operador prestará assistência razoável ao Cliente com quaisquer das obrigações legais a seguir: (a) avaliações de impacto de proteção de dados; e (b) consultas anteriores iniciadas pelo Cliente com seu regulador em conexão com essas avaliações de impacto de proteção de dados. Tal assistência será estritamente limitada ao Tratamento de Informações Pessoais do Cliente pelo Operador em nome do Cliente nos termos do Acordo, levando em consideração a natureza do Tratamento e as informações disponíveis ao Operador.

Duração:

A duração do Tratamento é o período durante o qual a Visa presta os Serviços ao Cliente e qualquer período adicional necessário para cumprir as obrigações contratuais da Visa com o Cliente ou com as leis aplicáveis. A Visa pode reter dados para fins de arquivamento em conformidade com as leis cabíveis e as políticas de gerenciamento de registros da Visa.

A. LISTA DAS PARTES

Exportadores de dados: [Detalhes de identificação e contato do(s) exportador(es) de dados e, quando for o caso, de seu(s) encarregado(s) de proteção de dados e/ou representante(s) na União Europeia]

1. Nome: Cliente

Endereço: Veja o Acordo

Nome, cargo e detalhes de contato da pessoa de contato:

Atividades relevantes para os dados transferidos sob essas Cláusulas: Serviços de Recebimento nos termos do Acordo

Função (Controlador/ Operador): Controlador

Assinatura e data:

Importadores de dados: [Detalhes de identificação e contato dos importadores de dados, incluindo qualquer pessoa de contato com responsabilidade pela proteção de dados]

1. Nome: Visa

Endereço: Veja o Acordo

Contato: [email protected]

Atividades relevantes para os dados transferidos sob essas Cláusulas: Prestação de Serviços em conformidade com o Acordo

Função (Controlador/ Operador): Operador quanto aos Serviços fornecidos nos termos do Acordo.

B. DESCRIÇÃO DE TRANSFERÊNCIA

Categorias de titulares dos dados cujos dados pessoais são transferidos

Os clientes do Cliente, o que significa: um cliente direto do Cliente ou qualquer cliente downstream do cliente direto do Cliente onde o Cliente optou por rotear pagamentos feitos em nome de seu cliente por meio dos Serviços

Categorias de dados pessoais transferidos

Nome do cliente, endereço do cliente, data de nascimento do cliente, números de telefone do cliente, cartões do cliente, transações e comportamento do cliente, conforme descrito em mais detalhes no esquema de dados aplicável aos Serviços

Dados confidenciais transferidos (se for o caso) e restrições ou proteções aplicadas que levam totalmente em consideração a natureza dos dados e os riscos envolvidos, como, por exemplo, limitação de propósito estrito, restrições de acesso (incluindo acesso somente para funcionários que tenham seguido treinamento especializado), manter um registro do acesso aos dados, restrições para transferências futuras ou medidas de segurança adicionais.

N/A

A frequência da transferência (por exemplo, se os dados são transferidos em base única ou contínua).

Contínua.

Natureza do tratamento

Coleta, análise, exame, armazenamento e tratamento de Informações Pessoais para prestar os Serviços conforme descrito no Acordo.

Objetivos da transferência de dados e tratamento posterior

Conforme necessário para a prestação dos Serviços que estão descritos no Acordo.

O período para o qual os dados pessoais serão mantidos, ou, se isso não for possível, os critérios usados para determinar esse período

O termo do Acordo ou conforme permitido pelas Leis de Proteção de Dados Aplicáveis e por um período de tempo posterior no ambiente de produção e nos ambientes de backup, a menos que as Informações Pessoais sejam excluídas antes da rescisão ou expiração do Acordo conforme as instruções do Cliente.

No caso de transferências para suboperadores, também especifique o objeto, a natureza e a duração do tratamento.

Para fins de fornecer os Serviços ao Cliente durante a duração do Acordo, a menos que as Informações Pessoais sejam excluídas antes da rescisão ou expiração do Acordo conforme as instruções do Cliente.

 

ANEXO II - MEDIDAS TÉCNICAS E ORGANIZACIONAIS INCLUINDO [1] [2] MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA[1] [2] DOS DADOS

Descrição das medidas técnicas e organizacionais implementadas pelos importadores de dados (incluindo quaisquer certificações relevantes) para garantir um nível adequado de segurança, levando em consideração a natureza, o escopo, o contexto e a finalidade do tratamento, bem como os riscos para os direitos e liberdades das pessoas físicas.

EU-527351
Confidencial
EU-527351