Termos do Site
Adendo sobre processamento de dados
Este Acordo de Processamento de Dados (“DPA”) é celebrado entre a Benchmark Email (“Processador” ou “Benchmark Email”) e o Cliente (“Controlador” ou “Usuário”) que utiliza os serviços da Benchmark Email (os “Serviços”).
Este DPA rege o processamento de Dados Pessoais pela Benchmark Email em nome do Controlador, de acordo com os termos descritos nos Termos de Uso da Benchmark Email. Ao utilizar os Serviços, o Controlador concorda com os termos deste DPA, que faz parte da relação contratual geral entre as partes.
O Processador tratará os Dados Pessoais exclusivamente com a finalidade de prestar os Serviços ao Controlador, em conformidade com as leis de proteção de dados aplicáveis, incluindo o Regulamento Geral sobre a Proteção de Dados (RGPD) e outras leis de privacidade relevantes.
Este DPA reflete o compromisso comum de ambas as partes em cumprir as leis de proteção de dados aplicáveis e garantir a segurança e a confidencialidade dos Dados Pessoais. Quaisquer termos em maiúsculas não definidos neste DPA terão os significados estabelecidos nos Termos de Uso da Benchmark Email.
Para os fins deste DPA, os seguintes termos têm os significados definidos abaixo:
Dados do Cliente: Quaisquer Dados Pessoais que a Benchmark Email processa em nome do Cliente (Controlador de Dados) como Processador de Dados no decorrer da prestação dos seus Serviços.
Controlador de Dados: A entidade que determina as finalidades e os meios de processamento de Dados Pessoais, conforme definido no RGPD. No contexto deste DPA, o Controlador é o cliente da Benchmark Email que coleta, possui e é responsável pelos Dados Pessoais que são processados usando os Serviços.
Processador de Dados: A entidade que processa Dados Pessoais em nome do Controlador de Dados, conforme definido no RGPD. No contexto deste DPA, a Benchmark Email atua como Processador de Dados.
Leis de Proteção de Dados: Todas as leis e regulamentos aplicáveis que regem o processamento de Dados Pessoais, incluindo o GDPR, a Lei de Privacidade do Consumidor da Califórnia (CCPA) e outras leis nacionais ou regionais de proteção de dados.
Titular dos Dados: Uma pessoa física identificada ou identificável cujos Dados Pessoais são processados sob este DPA. Refere-se ao indivíduo cujos dados são coletados, armazenados e processados.
Europa/UE: Refere-se à União Europeia (UE) ou ao Espaço Econômico Europeu (EEE), incluindo todos os Estados-Membros da UE e países do EEE que estão sujeitos ao GDPR.
GDPR: O Regulamento Geral sobre a Proteção de Dados (UE) 2016/679, conforme alterado periodicamente, e quaisquer outras leis de proteção de dados aplicáveis que regem o processamento de Dados Pessoais no Espaço Econômico Europeu (EEE).
Dados Pessoais: Qualquer informação relacionada a uma pessoa física identificada ou identificável, conforme definido no GDPR. Isso inclui, mas não se limita a, nomes, informações de contato e quaisquer outros dados que possam identificar direta ou indiretamente uma pessoa.
Violação de Dados Pessoais: Uma violação de segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais, transmitidos, armazenados ou processados de outra forma.
Processamento: Qualquer operação ou conjunto de operações realizadas sobre Dados Pessoais, seja por meios automatizados ou não, incluindo, mas não se limitando a, coleta, armazenamento, recuperação, uso, divulgação, apagamento ou destruição de Dados Pessoais.
Serviços: Os serviços de marketing por e-mail e serviços relacionados fornecidos pela Benchmark Email, conforme descrito nos Termos de Uso da Benchmark Email, que o Controlador assina e usa para processar Dados Pessoais.
Subprocessador: Qualquer terceiro contratado pela Benchmark Email para processar Dados Pessoais em nome do Controlador. Um Subprocessador pode incluir prestadores de serviços, contratados ou outras entidades que prestam serviços relacionados ao Processamento de Dados Pessoais.
Cláusulas Contratuais Padrão (SCCs): As disposições legais adotadas pela Comissão Europeia que permitem a transferência legal de Dados Pessoais do EEE para países terceiros fora do EEE, em conformidade com os requisitos do GDPR.
Termos: Refere-se aos Termos de Utilização e a todas as políticas relacionadas aqui referidas, incluindo a nossa Política de Privacidade, Política Anti-Spam e quaisquer outros documentos referidos.
Adenda do Reino Unido: As disposições que garantem a conformidade com as leis de proteção de dados do Reino Unido para transferências de dados a partir do Reino Unido, em conformidade com o RGPD do Reino Unido, após o Brexit.
Leis de proteção de dados dos EUA: Refere-se às leis de privacidade e proteção de dados aplicáveis nos Estados Unidos, incluindo a Lei de Privacidade do Consumidor da Califórnia (CCPA) e outras leis federais e estaduais que regem a privacidade de dados.
2. Funções e responsabilidades
Esta seção descreve as funções e responsabilidades do Cliente e da Benchmark Email no processamento dos Dados do Cliente nos termos deste DPA.
2.1 Função do Cliente
O Cliente é a entidade que determina as finalidades e os meios de processamento dos Dados Pessoais e, como tal, é o Controlador de Dados nos termos das leis de proteção de dados aplicáveis, incluindo o GDPR. O Cliente tem as seguintes responsabilidades principais:
- Base legal para o processamento: O Cliente é responsável por garantir que o processamento dos Dados Pessoais seja legal de acordo com as Leis de Proteção de Dados aplicáveis. Isso inclui obter todos os consentimentos necessários dos Titulares dos Dados e garantir que o Cliente tenha o direito de fornecer Dados Pessoais à Benchmark Email para processamento.
- Fornecimento de instruções: O Cliente fornecerá à Benchmark Email instruções claras e legais para o processamento dos Dados do Cliente durante a prestação dos Serviços. A Benchmark Email só processará os Dados do Cliente de acordo com essas instruções, conforme estabelecido neste DPA.
- Direitos dos Titulares dos Dados: O Cliente é responsável por atender às solicitações dos direitos dos Titulares dos Dados, tais como acesso, retificação, exclusão e portabilidade dos dados, de acordo com as leis de proteção de dados aplicáveis. A Benchmark Email ajudará o Cliente a cumprir essas solicitações, conforme necessário.
- Conformidade com as leis de proteção de dados: O Cliente é responsável por garantir que os Dados Pessoais que fornece à Benchmark Email sejam coletados, processados e transferidos em conformidade com as leis de proteção de dados aplicáveis.
- Notificação de violações de dados: O Cliente deve notificar a Benchmark Email imediatamente se tomar conhecimento de uma violação de dados pessoais envolvendo seus Dados Pessoais.
2.2 Função da Benchmark Email
A Benchmark Email, na qualidade de Processadora de Dados, processa os Dados do Cliente em nome do Cliente, de acordo com as instruções fornecidas. A Processadora tem as seguintes responsabilidades principais:
- Instruções de processamento: A Benchmark Email processará os Dados do Cliente apenas conforme instruído pelo Cliente, com a finalidade de fornecer os Serviços acordados. A Benchmark Email não processará Dados Pessoais para quaisquer outras finalidades, a menos que exigido pela lei aplicável. Para uma descrição detalhada das atividades específicas de processamento de dados, incluindo os tipos de dados, titulares dos dados e operações de processamento, consulte o Anexo 1: Detalhes do Processamento de Dados.
- Subprocessadores: A Benchmark Email pode contratar subprocessadores para auxiliar no processamento dos Dados do Cliente. O Cliente concorda com o uso de subprocessadores pela Benchmark Email. A Benchmark Email fornece uma lista de subprocessadores aprovados no Anexo 3: Lista de Subprocessadores, e notifica o Cliente sobre quaisquer alterações nesta lista.
- Segurança dos dados pessoais: A Benchmark Email implementará medidas técnicas e organizacionais adequadas para salvaguardar a segurança e a confidencialidade dos dados pessoais.
- Assistência com os direitos dos titulares dos dados: A Benchmark Email ajudará o Cliente a responder às solicitações dos titulares dos dados, incluindo solicitações de acesso, retificação, apagamento e portabilidade dos dados.
- Notificação de violação de dados: A Benchmark Email notificará imediatamente o Cliente sobre qualquer violação de dados pessoais envolvendo os dados do Cliente. Essa notificação será feita sem demora injustificada e, sempre que possível, dentro de 72 horas.
- Conformidade com as leis de proteção de dados: A Benchmark Email cumprirá todas as leis de proteção de dados aplicáveis, incluindo o GDPR, no processamento de dados pessoais.
2.3 Responsabilidades conjuntas
Embora o Cliente e a Benchmark Email tenham funções distintas, ambas as partes compartilham a responsabilidade de garantir que os Dados Pessoais sejam processados em conformidade com as leis de proteção de dados aplicáveis. Ambas as partes concordam em:
Cooperação: O Cliente e a Benchmark Email cooperarão para resolver quaisquer questões relacionadas com o tratamento de Dados Pessoais e garantir o cumprimento das leis aplicáveis.
Auditoria e monitorização: O Cliente pode solicitar informações ou auditorias para verificar se o tratamento é realizado em conformidade com o presente DPA. A Benchmark Email fornecerá acesso e assistência razoáveis para facilitar tais auditorias ou monitorização.
Conformidade com a transferência de dados: Ambas as partes garantirão que qualquer transferência de Dados Pessoais através das fronteiras esteja em conformidade com as Leis de Proteção de Dados relevantes, incluindo o uso de Cláusulas Contratuais Padrão (SCCs) ou outros mecanismos legais para transferências de dados transfronteiriças.
2.4 Instruções de processamento de dados
A Benchmark Email processará os Dados Pessoais apenas conforme instruído pelo Cliente. Se a Benchmark Email acreditar que qualquer instrução do Cliente é ilegal, a Benchmark Email informará o Cliente sem demora.
3. Segurança
A Benchmark Email implementará e manterá medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco associado ao processamento de Dados Pessoais, incluindo as medidas descritas no Anexo 2: “Medidas de Segurança”. Essas medidas foram concebidas para proteger os Dados Pessoais contra processamento não autorizado ou ilegal, perda acidental, destruição ou danos, e para garantir a confidencialidade, integridade e disponibilidade dos dados.
3.1 Confidencialidade
A Benchmark Email garantirá que qualquer pessoa que autorize a processar Dados Pessoais esteja sujeita a um dever de confidencialidade, seja por obrigação contratual ou legal, para proteger a confidencialidade dos Dados Pessoais.
3.2 Responsabilidades do Cliente
O Cliente reconhece que é responsável por garantir que quaisquer Dados Pessoais que forneça à Benchmark Email sejam coletados, processados e transferidos de acordo com as Leis de Proteção de Dados aplicáveis. O cliente é responsável por revisar as informações disponibilizadas pela Benchmark Email relacionadas à segurança de seus dados e determinar de forma independente se os Serviços atendem aos requisitos e obrigações legais do cliente nos termos das Leis de Proteção de Dados.
O cliente concorda em:
- Manter a confidencialidade de quaisquer credenciais de login ou outras informações de autenticação necessárias para acessar os Serviços.
- Implementar medidas de segurança adequadas em seus próprios sistemas e dispositivos para proteger os Dados Pessoais e impedir o acesso não autorizado.
3.3 Atualizações de segurança
A Benchmark Email implementará procedimentos para atualizar e melhorar suas medidas de segurança. Essas atualizações podem incluir melhorias na tecnologia, nos sistemas ou nos processos com o objetivo de fortalecer a segurança dos Dados Pessoais. A Benchmark Email notificará o Cliente se forem aplicadas atualizações ou patches de segurança críticos que possam afetar o uso dos Serviços pelo Cliente.
3.4 Resposta a incidentes de segurança
No caso de uma violação de Dados Pessoais, a Benchmark Email notificará imediatamente o Cliente e cooperará com ele no gerenciamento da violação, incluindo o fornecimento de informações relevantes para auxiliar em qualquer notificação necessária aos Titulares dos Dados ou reguladores, quando aplicável. A Benchmark Email seguirá seus procedimentos internos de resposta a incidentes para mitigar qualquer dano causado pela violação e prevenir incidentes futuros.
4. Subprocessadores
A Benchmark Email pode contratar subprocessadores para realizar atividades de processamento específicas em nome do Cliente. Os subprocessadores são prestadores de serviços terceirizados que auxiliam a Benchmark Email na prestação dos Serviços e na execução de tarefas específicas relacionadas ao processamento de Dados Pessoais.
4.1 Utilização de subprocessadores
A Benchmark Email pode contratar subprocessadores para auxiliar no processamento de Dados Pessoais relacionados com os Serviços prestados ao Cliente, desde que a Benchmark Email garanta que os subprocessadores cumprem as mesmas obrigações de proteção de dados estabelecidas neste DPA.
4.2 Aprovação de subprocessadores
O Cliente concorda que a Benchmark Email pode contratar subprocessadores para auxiliar no processamento de Dados Pessoais relacionados aos Serviços. A Benchmark Email manterá uma lista atualizada de subprocessadores, conforme descrito no Anexo 3: Lista de Subprocessadores. A Benchmark Email notificará o Cliente sobre quaisquer novos subprocessadores ou alterações na lista, de acordo com o prazo máximo permitido pelo GDPR.
O Cliente tem o direito de se opor à contratação de qualquer novo Subprocessador se houver preocupações legítimas com a proteção de dados. O Cliente deve enviar quaisquer objeções por escrito à Benchmark Email. Se o Cliente se opuser, a Benchmark Email trabalhará com o Cliente para resolver as preocupações, o que pode incluir encontrar um Subprocessador alternativo ou tomar outras medidas razoáveis para resolver a questão.
4.3 Obrigações do subprocessador
A Benchmark Email garantirá que qualquer subprocessador contratado esteja contratualmente vinculado a termos que forneçam um nível equivalente de proteção de dados e obrigações de segurança, conforme estabelecido neste DPA. Isso inclui obrigações relativas à confidencialidade, segurança e manuseio adequado de Dados Pessoais.
4.4 Responsabilidade pelos subprocessadores
A Benchmark Email é responsável pelas ações e omissões de seus subprocessadores realizadas em conexão com o cumprimento deste DPA na mesma medida em que seria responsável se prestasse os Serviços diretamente. No caso de não conformidade de um subprocessador com as obrigações de proteção de dados, a Benchmark Email tomará medidas razoáveis para remediar a situação e mitigar qualquer dano potencial ao Cliente.
5. Direitos dos titulares dos dados
A Benchmark Email ajudará o Cliente (o Controlador de Dados) a cumprir suas obrigações nos termos do GDPR com relação aos Direitos do Titular dos Dados.
O Cliente continua a ser responsável por responder aos pedidos dos titulares dos dados, e a Benchmark Email prestará assistência das seguintes formas:
- Como parte do Serviço, a Benchmark Email fornece ao Cliente uma série de funcionalidades que este pode utilizar para recuperar, corrigir, eliminar ou restringir a utilização de Dados Pessoais, que o Cliente pode utilizar para o ajudar no cumprimento das suas obrigações ao abrigo das Leis de Proteção de Dados no que diz respeito à resposta a pedidos dos titulares dos dados.
- Direito de acesso: a Benchmark Email ajudará o Cliente a fornecer aos Titulares dos Dados acesso aos seus Dados Pessoais, mediante solicitação.
- Direito de retificação: a Benchmark Email ajudará o Cliente a atualizar ou corrigir Dados Pessoais imprecisos ou incompletos.
- Direito à restrição do processamento: a Benchmark Email ajudará o Cliente se um Titular dos Dados solicitar a restrição do processamento de seus Dados Pessoais.
- Direito à portabilidade dos dados: a Benchmark Email fornecerá os Dados Pessoais em um formato estruturado e legível por máquina, conforme solicitado pelo Cliente, em conformidade com o direito do Titular dos Dados à portabilidade dos dados.
- Direito de oposição: A Benchmark Email ajudará o Cliente a responder a qualquer objeção do Titular dos Dados ao processamento de seus Dados Pessoais.
A Benchmark Email notificará imediatamente o Cliente sobre quaisquer solicitações recebidas diretamente dos Titulares dos Dados, a menos que seja legalmente proibida de fazê-lo, e ajudará no tratamento dessas solicitações de acordo com as instruções do Cliente.
A Benchmark Email também garantirá que medidas de segurança razoáveis sejam implementadas ao processar e responder às solicitações dos Direitos dos Titulares dos Dados.
6. Notificação de violação de dados
Em caso de violação de dados pessoais, a Benchmark Email notificará imediatamente o cliente, sem demora injustificada, e no prazo máximo de 72 horas após tomar conhecimento da violação, conforme exigido pelo RGPD. A notificação incluirá as seguintes informações, quando disponíveis:
- Uma descrição da natureza da violação de dados pessoais, incluindo as categorias de dados pessoais afetados e o número aproximado de titulares de dados e registros de dados pessoais envolvidos.
- As prováveis consequências da violação de dados pessoais.
- Uma descrição das medidas tomadas ou propostas pela Benchmark Email para resolver a violação de dados pessoais, incluindo medidas para mitigar seus possíveis efeitos adversos.
Se a Benchmark Email não tiver fornecido todas as informações necessárias dentro de 72 horas, ela fornecerá uma explicação para o atraso.
A Benchmark Email cooperará com o Cliente na gestão da violação, incluindo a prestação de assistência razoável com quaisquer notificações necessárias aos Titulares dos Dados e às autoridades de supervisão relevantes, em conformidade com o RGPD. A Benchmark Email também ajudará o Cliente a fornecer qualquer documentação necessária relacionada com a violação.
A notificação e a assistência serão prestadas de forma a permitir que o Cliente cumpra as suas obrigações ao abrigo do RGPD, incluindo o cumprimento dos prazos para a notificação da violação.
7. Transferências internacionais
A Benchmark Email pode processar Dados Pessoais em qualquer parte do mundo, incluindo em países fora do Espaço Econômico Europeu (EEE), onde o nível de proteção de dados pode não ser equivalente ao fornecido no EEE. Em todos os casos, a Benchmark Email garantirá que sejam implementadas salvaguardas adequadas para proteger os Dados Pessoais em conformidade com o RGPD e outras leis de proteção de dados aplicáveis.
7.1 Decisões de adequação
Se a Benchmark Email transferir Dados Pessoais para um país reconhecido pela Comissão Europeia ou pelas autoridades competentes como proporcionando um nível adequado de proteção para Dados Pessoais, não serão necessárias salvaguardas adicionais. A lista desses países pode ser encontrada no site da Comissão Europeia.
7.2 Cláusulas Contratuais Padrão (SCCs)
Quando aplicável, a Benchmark Email utilizará Cláusulas Contratuais Padrão (SCCs) aprovadas pela Comissão Europeia para facilitar transferências em conformidade de Dados Pessoais para países fora do EEE. Para mais detalhes, consulte o Anexo 4: Cláusulas Contratuais Padrão.
7.3 Transferências de Dados do Reino Unido
No que diz respeito às transferências às quais se aplicam as Leis de Proteção de Dados do Reino Unido, as SCCs serão, quando aplicável, aplicadas e consideradas alteradas conforme especificado pelo Adendo do Reino Unido. O Adendo do Reino Unido será considerado executado pelas partes e incorporado e fará parte integrante deste DPA. Além disso, as tabelas relevantes no Adendo do Reino Unido serão consideradas preenchidas com as informações estabelecidas nos Anexos I e II das SCCs relevantes.
7.4 Transferências de dados na Suíça
No que diz respeito às transferências às quais se aplicam as leis de proteção de dados da Suíça, as SCCs serão, quando aplicável, aplicadas com as seguintes modificações:
As referências ao “Regulamento (UE) 2016/679” serão interpretadas como referências à Lei de Proteção de Dados da Suíça.
As referências a artigos específicos do “Regulamento (UE) 2016/679” serão substituídas pelo artigo ou seção equivalente da DPA suíça.
As referências à “UE”, “União” e “legislação dos Estados-Membros” serão substituídas por “Suíça”.
Outras modificações podem ser aplicadas, conforme exigido pela lei suíça.
7.5 Salvaguardas adicionais
Quando a Benchmark Email processa Dados Pessoais em uma jurisdição não abrangida por uma decisão de adequação ou SCCs, salvaguardas adicionais podem ser implementadas, tais como Regras Corporativas Vinculativas (BCRs), códigos de conduta aprovados ou certificações para garantir que os Dados Pessoais permaneçam protegidos em conformidade com o GDPR.
7.6 Transferências de dados para subprocessadores
Se a Benchmark Email contratar subprocessadores localizados fora do EEE, a Benchmark Email garantirá que os subprocessadores estejam sujeitos ao mesmo nível de salvaguardas para transferências internacionais de dados, incluindo o uso de SCCs ou outros mecanismos de transferência reconhecidos.
8. Retenção e eliminação de dados
A Benchmark Email conservará os Dados Pessoais apenas durante o tempo necessário para cumprir os fins para os quais foram recolhidos, em conformidade com os termos deste DPA, as instruções do Cliente e as leis aplicáveis.
8.1 Período de retenção
A Benchmark Email conservará os Dados Pessoais durante a vigência do contrato com o Cliente, a menos que seja exigido ou permitido pela lei aplicável um período de retenção mais longo. Após o período de retenção, a Benchmark Email excluirá ou anonimizará os Dados Pessoais de acordo com suas políticas internas de retenção de dados.
8.2 Exclusão ou devolução após a rescisão
Após a rescisão ou expiração dos Termos, a Benchmark Email tomará medidas razoáveis para fornecer ferramentas para que o Cliente (à escolha do Cliente) exclua ou devolva todos os Dados do Cliente em posse ou controle da Benchmark Email. Esta obrigação não se aplica na medida em que a Benchmark Email seja obrigada pela legislação aplicável ou pelas regras do setor a reter alguns ou todos os Dados do Cliente, ou aos Dados do Cliente arquivados em sistemas de backup. Nesses casos, a Benchmark Email isolará de forma segura os Dados do Cliente, protegendo-os de qualquer processamento adicional e, eventualmente, eliminando-os de acordo com as políticas de eliminação da Benchmark Email, exceto quando exigido pela legislação aplicável.
8.3 Retenção contínua de dados para obrigações legais
Quando a Benchmark Email for obrigada pela legislação aplicável a reter determinados Dados Pessoais para além do prazo do Contrato, a Benchmark Email garantirá que esses dados sejam retidos apenas durante o tempo necessário para cumprir as obrigações legais.
8.4 Processo de eliminação
Uma vez eliminados os Dados Pessoais, a Benchmark Email tomará medidas razoáveis para garantir que os dados sejam apagados de forma segura e não possam ser recuperados, exceto quando for necessário reter os dados para fins legais, regulamentares ou comerciais.
9. Alterações e atualizações
A Benchmark Email pode atualizar ou alterar este DPA periodicamente para refletir mudanças nas leis de proteção de dados, requisitos regulatórios ou nos serviços oferecidos. Quaisquer alterações serão comunicadas ao Cliente.
9.1 Notificação de alterações
A Benchmark Email fornecerá ao Cliente um aviso prévio razoável sobre quaisquer alterações materiais a este DPA. O aviso pode ser fornecido por e-mail, através da conta do Cliente ou por outros meios razoáveis, dependendo da natureza da alteração. Considera-se que o Cliente aceitou o DPA atualizado ao continuar a utilizar os Serviços da Benchmark Email após a data de entrada em vigor da atualização.
9.2 Alterações
Se for necessária uma alteração por motivos legais ou regulamentares, a Benchmark Email poderá atualizar este DPA sem aviso prévio ao Cliente, desde que o Cliente seja notificado assim que for razoavelmente possível.
9.3 Lei aplicável e jurisdição
Quaisquer alterações feitas a este DPA serão regidas pelos mesmos termos, incluindo as disposições sobre a lei aplicável e a jurisdição especificadas nos Termos de Utilização principais entre a Benchmark Email e o Cliente.
10. Responsabilidade
10.1 Responsabilidade
A responsabilidade de cada parte e de todas as suas afiliadas, consideradas em conjunto, decorrente ou relacionada com este DPA (incluindo as SCCs) estará sujeita às exclusões e limitações de responsabilidade estabelecidas nos Termos de Utilização entre a Benchmark Email e o Cliente.
10.2 Exclusividade de reclamações
Quaisquer reclamações feitas contra a Benchmark Email ou suas afiliadas nos termos ou em conexão com este DPA (incluindo, quando aplicável, as SCCs) serão apresentadas exclusivamente pela entidade Cliente que é parte do Contrato, salvo se exigido de outra forma pela lei aplicável.
10.3 Direitos de proteção de dados
Em nenhuma circunstância qualquer das partes limitará sua responsabilidade com relação aos direitos de proteção de dados de qualquer indivíduo nos termos deste DPA ou de outra forma, na medida exigida pelo GDPR ou pela lei de proteção de dados aplicável.
11. Relação com os Termos
Este DPA faz parte integrante dos Termos de Utilização entre a Benchmark Email e o Cliente. Em caso de conflito entre as disposições deste DPA e os Termos de Utilização, as disposições deste DPA terão precedência no que diz respeito ao tratamento de Dados Pessoais.
11.1 Prazo e rescisão
Este DPA permanecerá em vigor enquanto a Benchmark Email processar os Dados do Cliente em nome do Cliente, ou até a rescisão dos Termos entre a Benchmark Email e o Cliente (e todos os Dados do Cliente tiverem sido devolvidos ou excluídos de acordo com a Seção 8.2 acima).
11.2 Lei Aplicável
Este DPA será regido e interpretado de acordo com as disposições da lei aplicável e da jurisdição nos Termos, a menos que exigido de outra forma pelas Leis de Proteção de Dados aplicáveis.
11.3 Versão Atual
As partes concordam que este DPA substituirá qualquer acordo de processamento de dados existente ou documento semelhante que as partes possam ter celebrado anteriormente em relação ao Serviço.
12. Disposições diversas
12.1 Força maior
A Benchmark Email não será responsável por qualquer falha ou atraso no cumprimento deste DPA devido a circunstâncias além de seu controle razoável, incluindo, mas não se limitando a, desastres naturais, guerra, terrorismo, ações governamentais, falhas de energia ou outros eventos de força maior. Para mais detalhes, consulte a disposição sobre Força maior nos Termos de Uso.
12.2 Divisibilidade
Se qualquer disposição deste DPA for considerada inválida, ilegal ou inexequível por um tribunal de jurisdição competente, as restantes disposições permanecerão em pleno vigor e efeito.
12.3 Acordo Integral
Este DPA, juntamente com os Termos de Uso e quaisquer outros acordos incorporados por referência, constitui o acordo integral entre as partes no que diz respeito ao processamento de Dados Pessoais. Quaisquer acordos, entendimentos ou representações anteriores relacionados ao assunto deste DPA são substituídos e revogados por este DPA. Para obter mais detalhes, consulte a cláusula do Acordo Integral nos Termos de Uso.
12.4 Renúncia
Nossa falha em fazer valer qualquer direito ou cláusula deste DPA não constitui uma renúncia a esse direito ou cláusula. Qualquer renúncia deve ser feita por escrito para ser válida.
12.5 Resolução de disputas
Quaisquer disputas decorrentes ou relacionadas a este DPA serão resolvidas de acordo com as disposições de resolução de disputas especificadas nos Termos de Uso.
12.6 Cessão
Você não pode ceder ou transferir estes Termos ou seus direitos sob eles sem o consentimento prévio por escrito da Benchmark Email. Podemos ceder ou transferir estes Termos sem restrições, incluindo no caso de fusão, aquisição ou venda de ativos.
12.7 Idioma
Este DPA está escrito em inglês, e quaisquer traduções fornecidas são para conveniência. Em caso de discrepâncias entre a versão em inglês e uma versão traduzida, a versão em inglês prevalecerá.
12.8 Ausência de terceiros beneficiários
Este DPA destina-se ao benefício das partes do acordo e não se destina a conferir quaisquer direitos ou benefícios a terceiros, salvo indicação em contrário neste documento.
Anexo 1: Detalhes do processamento de dados
1. Finalidade do processamento de dados
A finalidade do processamento de dados pessoais é fornecer os serviços descritos nos Termos de Uso.
2. Natureza do processamento
A Benchmark Email fornece software de marketing por e-mail e automação como um serviço e outros serviços relacionados, conforme descrito nos Termos de Uso. O objeto do processamento de dados sob este DPA são os Dados do Cliente. Os Dados do Cliente serão processados de acordo com os Termos de Uso (incluindo este DPA).
3. Categorias de dados
As seguintes categorias de Dados Pessoais podem ser processadas:
- Informações de contato: nome, endereço de e-mail, número de telefone e quaisquer outras informações que o Cliente forneça à Benchmark Email;
- Informações de cobrança do Cliente: endereço de cobrança, detalhes do cartão de crédito, outras informações de pagamento;
- Preferências do Cliente: status da assinatura de e-mail, preferências de marketing, etc.;
- Dados comportamentais: endereço IP, dados de navegação, dados do navegador, dados de cookies, interação com e-mails, taxas de cliques, etc.
4. Titulares dos dados
Os titulares dos dados cujos Dados Pessoais são processados incluem:
- Clientes que utilizam os Serviços;
- Assinantes, clientes e potenciais clientes do Cliente;
- Indivíduos que interagem com as campanhas de e-mail do Cliente, incluindo visitantes do seu website ou destinatários de e-mails de marketing.
5. Atividades de processamento
As seguintes atividades de processamento serão realizadas sobre os Dados Pessoais:
- Recolha de dados através de formulários, campanhas de e-mail e integrações;
- Armazenamento de dados, incluindo retenção de informações de contato e interação;
- Análise de dados para relatórios e otimização de campanhas;
- Transmissão de Dados do Cliente para fins de marketing (por exemplo, envio de e-mails)
6. Retenção de dados
A Benchmark Email processará os Dados do Cliente durante a vigência dos Serviços, conforme descrito nos Termos de Uso. A retenção de Dados Pessoais será tratada de acordo com a política de Retenção de Dados da Benchmark Email, conforme descrito na Seção 8 deste DPA.
7. Transferências de dados
Quaisquer transferências de dados, particularmente transferências transfronteiriças, serão abrangidas pelas disposições da Secção 7. Transferências internacionais ou Anexo 4: Cláusulas contratuais padrão (SCCs).
8. Subprocessadores
A lista de subprocessadores contratados pela Benchmark Email para atividades de processamento de dados está detalhada no Anexo 3: Lista de subprocessadores.
Anexo 2: Medidas de segurança
As medidas de segurança aplicáveis ao serviço são descritas neste documento.
1. Medidas de segurança organizacionais
- Responsável pela proteção de dados (DPO): A Benchmark Email designou um responsável pela proteção de dados para supervisionar a conformidade com o RGPD e outros regulamentos de proteção de dados.
- Formação dos funcionários: Todos os funcionários envolvidos no processamento de dados pessoais recebem formação regular sobre os princípios de proteção de dados, incluindo confidencialidade, integridade e segurança.
- Controle de acesso: O acesso aos Dados Pessoais é restrito ao pessoal autorizado com base em suas funções. Todo o acesso é registrado e monitorado para garantir a responsabilidade.
2. Medidas de segurança técnica
- Criptografia: Os Dados Pessoais são criptografados tanto em trânsito quanto em repouso usando protocolos de criptografia padrão da indústria (por exemplo, SSL/TLS para dados em trânsito e AES para dados em repouso).
- Integridade dos dados: Implementamos medidas para garantir a integridade dos Dados Pessoais, incluindo somas de verificação e funções hash para verificar a precisão dos dados durante a transmissão e o armazenamento.
- Controle de alterações: A Benchmark Email mantém políticas e procedimentos para aplicar alterações aos Serviços, incluindo infraestrutura subjacente e componentes do sistema, para garantir que os padrões de qualidade sejam atendidos.
- Anonimização de dados: quando aplicável, a Benchmark Email utiliza técnicas de anonimização para garantir que os dados pessoais sensíveis não sejam expostos desnecessariamente.
3. Resposta a incidentes
- Gerenciamento de violações de segurança: a Benchmark Email estabeleceu procedimentos para detectar, relatar e gerenciar violações de segurança. Em caso de violação de dados, notificaremos imediatamente o Cliente, de acordo com a seção Notificação de violação de dados do DPA.
- Registros de incidentes: Todos os incidentes de segurança são registrados e os registros são revisados regularmente para garantir que quaisquer ameaças potenciais sejam identificadas e tratadas.
4. Disponibilidade do sistema
- Redundância e backup: A Benchmark Email emprega medidas de redundância, incluindo centros de dados distribuídos geograficamente e sistemas de backup, para garantir que os dados do cliente permaneçam disponíveis em caso de falha.
- Recuperação de desastres: mantemos um plano de recuperação de desastres que é testado regularmente para garantir o mínimo de interrupção nos serviços e no processamento de dados em caso de uma interrupção significativa ou desastre.
5. Monitoramento e melhoria contínuos
- Gerenciamento de vulnerabilidades: a Benchmark Email realiza avaliações regulares de vulnerabilidades e testes de penetração para identificar e resolver possíveis falhas de segurança.
- Auditorias de segurança: auditorias independentes de nossas medidas de segurança são realizadas regularmente para garantir a conformidade com as melhores práticas do setor e com o GDPR.
Anexo 3: Lista de subprocessadores
1. Lista de subprocessadores
A Benchmark Email utiliza os seguintes subprocessadores para ajudar a fornecer os seus serviços:
| Subprocessador | Localização | Uso |
|---|---|---|
| Amazon AWS | EUA, Japão | Hospedagem, armazenamento de dados, análise |
| Auth0 | EUA | Autenticação e autorização do cliente |
| BenchmarkONE | EUA | CRM e comunicação com o cliente por e-mail |
| CD Networks | EUA | Conectividade de rede |
| Cloudflare | Global | Distribuição de conteúdo, segurança, prevenção de abusos e serviços DNS |
| Command | EUA | Comunicação com o cliente no aplicativo |
| DNS Made Easy | EUA | Serviços DNS |
| FullStory | EUA | Análise de uso do produto |
| EUA | Armazenamento de dados, análise de sites | |
| HelpScout | EUA | Tickets de suporte ao cliente e comunicação com o cliente por chat e e-mail |
| Intercom | EUA | Comunicação com o cliente por aplicativo e e-mail |
| Kickbox | EUA | Verificação de e-mail |
| LiveChat | EUA | Comunicação com o cliente por chat |
| OpenAI | EUA | Recursos habilitados para IA |
| Slack | EUA | Comunicação interna e colaboração |
| Zendesk | EUA | Tickets de suporte ao cliente e comunicação por e-mail |
2. Atualizações dos subprocessadores
A Benchmark Email atualizará esta lista conforme necessário. Os clientes serão notificados sobre quaisquer novos subprocessadores ou alterações nesta lista, de acordo com os termos especificados na Secção 4: Subprocessadores do DPA.
Anexo 4: Cláusulas Contratuais Padrão (SCCs)
SEÇÃO I
Cláusula 1 - Objetivo e âmbito
(a) O objetivo destas cláusulas contratuais padrão é garantir o cumprimento dos requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas físicas no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados) para a transferência de dados pessoais para um país terceiro.
(b) As Partes: (i) a(s) pessoa(s) singular(es) ou coletiva(s), autoridade(s) pública(s), agência(s) ou outro(s) organismo(s) (doravante designados por «entidade(s)») que transfere(m) os dados pessoais, conforme enumerado no Anexo I.A (doravante designadas por “exportador de dados”), e (ii) a(s) entidade(s) num país terceiro que recebe(m) os dados pessoais do exportador de dados, direta ou indiretamente através de outra entidade que também é Parte nas presentes cláusulas, conforme enumeradas no anexo I.A (doravante designadas por “importador de dados”) concordaram com as presentes cláusulas contratuais-tipo (doravante designadas por “cláusulas”).
(c) As presentes Cláusulas aplicam-se à transferência de dados pessoais, tal como especificado no Anexo I.B.
(d) O apêndice das presentes Cláusulas, que contém os anexos nele referidos, faz parte integrante das presentes Cláusulas.
Cláusula 2 - Efeito e invariabilidade das Cláusulas
(a) As presentes cláusulas estabelecem garantias adequadas, incluindo direitos executórios dos titulares dos dados e vias de recurso eficazes, nos termos do artigo 46.º, n.º 1, e do artigo 46.º, n.º 2, alínea c), do Regulamento (UE) 2016/679 e, no que diz respeito às transferências de dados de responsáveis pelo tratamento para subcontratantes e/ou de subcontratantes para subcontratantes, cláusulas contratuais-tipo nos termos do artigo 28.º, n.º 7, do Regulamento (UE) 2016/679, desde que não sejam modificadas, exceto para selecionar o(s) módulo(s) apropriado(s) ou para adicionar ou atualizar informações no apêndice. Isso não impede as Partes de incluir as cláusulas contratuais padrão estabelecidas nestas Cláusulas em um contrato mais amplo e/ou de adicionar outras cláusulas ou salvaguardas adicionais, desde que não contradigam, direta ou indiretamente, estas Cláusulas ou prejudiquem os direitos ou liberdades fundamentais dos titulares dos dados.
(b) As presentes cláusulas não prejudicam as obrigações a que o exportador de dados está sujeito por força do Regulamento (UE) 2016/679.
Cláusula 3 - Terceiros beneficiários
(a) Os titulares dos dados podem invocar e fazer valer as presentes cláusulas, na qualidade de terceiros beneficiários, contra o exportador e/ou importador de dados, com as seguintes exceções:
(i) Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
(ii) Cláusula 8 – Cláusula 8.1(b), 8.9(a), (c), (d) e (e);
(iii) Cláusula 9 – Cláusula 9(a), (c), (d) e (e);
(iv) Cláusula 12 – Cláusula 12(a), (d) e (f);
(v) Cláusula 13;
(vi) Cláusula 15.1(c), (d) e (e);
(vii) Cláusula 16(e);
(viii) Cláusula 18 – Cláusula 18(a) e (b).
(b) O parágrafo (a) não prejudica os direitos dos titulares dos dados nos termos do Regulamento (UE) 2016/679.
Cláusula 4 - Interpretação
(a) Quando estas Cláusulas utilizarem termos definidos no Regulamento (UE) 2016/679, esses termos terão o mesmo significado que lhes é atribuído nesse Regulamento.
(b) Estas Cláusulas devem ser lidas e interpretadas à luz das disposições do Regulamento (UE) 2016/679.
(c) As presentes cláusulas não devem ser interpretadas de forma contrária aos direitos e obrigações previstos no Regulamento (UE) 2016/679.
Cláusula 5 - Hierarquia
Em caso de contradição entre as presentes cláusulas e as disposições de acordos conexos entre as Partes, existentes no momento em que as presentes cláusulas forem acordadas ou celebradas posteriormente, prevalecerão as presentes cláusulas.
Cláusula 6 - Descrição da(s) transferência(s)
Os detalhes da(s) transferência(s), e em particular as categorias de dados pessoais que são transferidos e a(s) finalidade(s) para a(s) qual(is) são transferidos, estão especificados no Anexo I.B.
Cláusula 7 - Cláusula de adesão
(a) Uma entidade que não seja Parte destas Cláusulas pode, com o acordo das Partes, aderir a estas Cláusulas a qualquer momento, seja como exportador de dados ou como importador de dados, preenchendo o Apêndice e assinando o Anexo I.A.
(b) Depois de preencher o Apêndice e assinar o Anexo I.A, a entidade aderente passará a ser Parte destas Cláusulas e terá os direitos e obrigações de um exportador ou importador de dados, de acordo com a sua designação no Anexo I.A.
(c) A entidade aderente não terá quaisquer direitos ou obrigações decorrentes destas Cláusulas relativos ao período anterior à sua adesão como Parte.
SEÇÃO II - OBRIGAÇÕES DAS PARTES
Cláusula 8 - Salvaguardas de proteção de dados
O exportador de dados garante que envidou esforços razoáveis para determinar que o importador de dados é capaz, através da implementação de medidas técnicas e organizacionais adequadas, de cumprir as suas obrigações ao abrigo das presentes Cláusulas.
8.1 Instruções
(a) O importador de dados tratará os dados pessoais apenas com base em instruções documentadas do exportador de dados. O exportador de dados pode dar essas instruções durante toda a vigência do contrato.
(b) O importador de dados informará imediatamente o exportador de dados se não for capaz de seguir essas instruções.
8.2 Limitação da finalidade
O importador de dados tratará os dados pessoais apenas para os fins específicos da transferência, conforme estabelecido no Anexo I.B, salvo se receber instruções adicionais do exportador de dados.
8.3 Transparência
Mediante solicitação, o exportador de dados disponibilizará gratuitamente ao titular dos dados uma cópia das presentes Cláusulas, incluindo o Apêndice preenchido pelas Partes. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo as medidas descritas no Anexo II e os dados pessoais, o exportador de dados pode redigir parte do texto do apêndice das presentes cláusulas antes de partilhar uma cópia, mas deve fornecer um resumo significativo nos casos em que o titular dos dados não seja capaz de compreender o seu conteúdo ou exercer os seus direitos. Mediante solicitação, as Partes devem fornecer ao titular dos dados os motivos das edições, na medida do possível, sem revelar as informações editadas. Esta Cláusula não prejudica as obrigações do exportador de dados nos termos dos artigos 13.º e 14.º do Regulamento (UE) 2016/679.
8.4 Exatidão
Se o importador de dados tomar conhecimento de que os dados pessoais que recebeu são inexatos ou estão desatualizados, deverá informar o exportador de dados sem demora injustificada. Neste caso, o importador de dados deverá cooperar com o exportador de dados para apagar ou retificar os dados.
8.5 Duração do tratamento e apagamento ou devolução dos dados
O tratamento pelo importador de dados só terá lugar durante o período especificado no anexo I.B. Após o fim da prestação dos serviços de tratamento, o importador de dados, à escolha do exportador de dados, apagará todos os dados pessoais tratados em nome do exportador de dados e certificará ao exportador de dados que o fez, ou devolverá ao exportador de dados todos os dados pessoais tratados em seu nome e apagará as cópias existentes. Até que os dados sejam apagados ou devolvidos, o importador de dados continuará a garantir o cumprimento das presentes cláusulas. No caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou o apagamento dos dados pessoais, o importador de dados garante que continuará a garantir o cumprimento das presentes cláusulas e apenas os tratará na medida e durante o tempo exigido por essa lei local. Isso não prejudica a Cláusula 14, em particular a exigência para que o importador de dados, nos termos da Cláusula 14(e), notifique o exportador de dados durante toda a vigência do contrato se tiver motivos para acreditar que está ou passou a estar sujeito a leis ou práticas que não estão em conformidade com os requisitos da Cláusula 14(a).
8.6 Segurança do processamento
(a) O importador de dados e, durante a transmissão, também o exportador de dados devem implementar medidas técnicas e organizacionais adequadas para garantir a segurança dos dados, incluindo proteção contra violações de segurança que levem à destruição, perda, alteração, divulgação ou acesso não autorizado a esses dados (doravante “violação de dados pessoais”). Ao avaliar o nível adequado de segurança, as Partes devem ter em devida conta o estado da técnica, os custos de implementação, a natureza, o âmbito, o contexto e a(s) finalidade(s) do tratamento e os riscos envolvidos no tratamento para os titulares dos dados. As Partes devem, em particular, considerar o recurso à criptografia ou à pseudonimização, incluindo durante a transmissão, quando a finalidade do tratamento puder ser cumprida dessa forma. Em caso de pseudonimização, as informações adicionais para atribuir os dados pessoais a um titular de dados específico devem, sempre que possível, permanecer sob o controlo exclusivo do exportador de dados. No cumprimento das suas obrigações nos termos do presente parágrafo, o importador de dados deve, pelo menos, implementar as medidas técnicas e organizacionais especificadas no anexo II. O importador de dados deve realizar verificações regulares para garantir que essas medidas continuam a proporcionar um nível adequado de segurança.
(b) O importador de dados concederá acesso aos dados pessoais aos membros do seu pessoal apenas na medida do estritamente necessário para a execução, gestão e monitorização do contrato. Assegurará que as pessoas autorizadas a tratar os dados pessoais se comprometeram a respeitar a confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade adequada.
(c) Em caso de violação de dados pessoais relativos a dados pessoais tratados pelo importador de dados ao abrigo das presentes cláusulas, o importador de dados deve tomar as medidas adequadas para resolver a violação, incluindo medidas para mitigar os seus efeitos adversos. O importador de dados notificará também o exportador de dados sem demora injustificada após ter tomado conhecimento da violação. Essa notificação conterá os detalhes de um ponto de contato onde mais informações podem ser obtidas, uma descrição da natureza da violação (incluindo, quando possível, as categorias e o número aproximado de titulares de dados e registros de dados pessoais em questão), suas prováveis consequências e as medidas tomadas ou propostas para resolver a violação, incluindo, quando apropriado, medidas para mitigar seus possíveis efeitos adversos. Quando e na medida em que não for possível fornecer todas as informações ao mesmo tempo, a notificação inicial deve conter as informações então disponíveis e as informações adicionais devem ser fornecidas posteriormente, sem demora injustificada, à medida que estiverem disponíveis.
(d) O importador de dados deve cooperar com o exportador de dados e ajudá-lo a cumprir as suas obrigações nos termos do Regulamento (UE) 2016/679, em particular para notificar a autoridade de supervisão competente e os titulares dos dados afetados, tendo em conta a natureza do tratamento e as informações disponíveis para o importador de dados.
8.7 Dados sensíveis
Quando a transferência envolver dados pessoais que revelem a origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, ou filiação sindical, dados genéticos ou dados biométricos para efeitos de identificação única de uma pessoa singular, dados relativos à saúde ou à vida sexual ou orientação sexual de uma pessoa, ou dados relativos a condenações penais e infrações (a seguir designados «dados sensíveis»), o importador de dados aplicará as restrições específicas e/ou salvaguardas adicionais descritas no anexo I.B.
8.8. Transferências subsequentes
O importador de dados só divulgará os dados pessoais a terceiros mediante instruções documentadas do exportador de dados. Além disso, os dados só podem ser divulgados a terceiros localizados fora da União Europeia (no mesmo país que o importador de dados ou noutro país terceiro, doravante designados «transferência subsequente») se os terceiros estiverem ou concordarem em ficar vinculados pelas presentes cláusulas, ao abrigo do módulo adequado, ou se:(i) a transferência subsequente for para um país que beneficie de uma decisão de adequação nos termos do artigo 45.º do Regulamento (UE) 2016/679 que abranja a transferência subsequente; (ii) o terceiro assegure de outra forma garantias adequadas nos termos dos artigos 46.º ou 47.º do Regulamento (UE) 2016/679 no que diz respeito ao tratamento em questão;(iii) a transferência subsequente for necessária para o estabelecimento, exercício ou defesa de ações judiciais no contexto de processos administrativos, regulatórios ou judiciais específicos; ou (iv) a transferência subsequente for necessária para proteger os interesses vitais do titular dos dados ou de outra pessoa física. Qualquer transferência subsequente está sujeita ao cumprimento, por parte do importador de dados, de todas as outras salvaguardas previstas nestas Cláusulas, em particular a limitação da finalidade.
8.9 Documentação e conformidade
(a) O importador de dados deve tratar de forma rápida e adequada as consultas do exportador de dados relacionadas com o tratamento ao abrigo das presentes cláusulas.
(b) As partes devem ser capazes de demonstrar a conformidade com as presentes cláusulas. Em particular, o importador de dados deve manter documentação adequada sobre as atividades de tratamento realizadas em nome do exportador de dados.
(c) O importador de dados disponibilizará ao exportador de dados todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas nas presentes cláusulas e, a pedido do exportador de dados, permitirá e contribuirá para auditorias das atividades de tratamento abrangidas pelas presentes cláusulas, a intervalos razoáveis ou se houver indícios de incumprimento. Ao decidir sobre uma revisão ou auditoria, o exportador de dados pode ter em conta as certificações relevantes detidas pelo importador de dados.
(d) O exportador de dados pode optar por realizar a auditoria por conta própria ou contratar um auditor independente. As auditorias podem incluir inspeções nas instalações ou nas instalações físicas do importador de dados e devem, quando apropriado, ser realizadas com aviso prévio razoável.
(e) As Partes devem disponibilizar as informações referidas nos parágrafos (b) e (c), incluindo os resultados de quaisquer auditorias, à autoridade supervisora competente, mediante solicitação.
Cláusula 9 - Utilização de subcontratantes
(a) O importador de dados tem a autorização geral do exportador de dados para contratar subcontratantes a partir de uma lista acordada. O importador de dados deve informar especificamente o exportador de dados, por escrito, de quaisquer alterações previstas nessa lista através da adição ou substituição de subencargados de tratamento, com pelo menos 10 dias de antecedência, dando assim ao exportador de dados tempo suficiente para poder se opor a tais alterações antes da contratação do(s) subencargado(s) de tratamento. O importador de dados deve fornecer ao exportador de dados as informações necessárias para que este possa exercer o seu direito de oposição.
(b) Quando o importador de dados contratar um subprocessador para realizar atividades de processamento específicas (em nome do exportador de dados), deverá fazê-lo por meio de um contrato por escrito que preveja, em essência, as mesmas obrigações de proteção de dados que vinculam o importador de dados nos termos destas Cláusulas, incluindo em termos de direitos de terceiros beneficiários para os titulares dos dados.As Partes concordam que, ao cumprir esta Cláusula, o importador de dados cumpre as suas obrigações nos termos da Cláusula 8.8. O importador de dados deve garantir que o subencargado cumpre as obrigações a que o importador de dados está sujeito nos termos das presentes Cláusulas.
(c) O importador de dados deve fornecer, a pedido do exportador de dados, uma cópia desse contrato de subencargado e quaisquer alterações subsequentes ao exportador de dados. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o importador de dados pode editar o texto do contrato antes de partilhar uma cópia.
(d) O importador de dados permanecerá totalmente responsável perante o exportador de dados pelo cumprimento das obrigações do subcontratante nos termos do seu contrato com o importador de dados. O importador de dados notificará o exportador de dados de qualquer incumprimento por parte do subcontratante das suas obrigações nos termos desse contrato.
(e) O importador de dados deve acordar uma cláusula de terceiro beneficiário com o subencargado de tratamento, segundo a qual — no caso de o importador de dados ter desaparecido de facto, deixado de existir legalmente ou se ter tornado insolvente — o exportador de dados terá o direito de rescindir o contrato com o subencargado de tratamento e de instruir este último para apagar ou devolver os dados pessoais.
Cláusula 10 — Direitos dos titulares dos dados
(a) O importador de dados notificará imediatamente o exportador de dados de qualquer pedido que tenha recebido de um titular dos dados. Não responderá a esse pedido, a menos que tenha sido autorizado a fazê-lo pelo exportador de dados.
(b) O importador de dados ajudará o exportador de dados a cumprir as suas obrigações de responder aos pedidos dos titulares dos dados para o exercício dos seus direitos nos termos do Regulamento (UE) 2016/679. A este respeito, as Partes devem definir no Anexo II as medidas técnicas e organizacionais adequadas, tendo em conta a natureza do tratamento, através das quais a assistência deve ser prestada, bem como o âmbito e a extensão da assistência necessária.
(c) No cumprimento das suas obrigações nos termos das alíneas (a) e (b), o importador de dados deve cumprir as instruções do exportador de dados.
Cláusula 11 - Reparação
(a) O importador de dados informará os titulares dos dados, de forma transparente e facilmente acessível, através de um aviso individual ou no seu sítio Web, sobre um ponto de contacto autorizado para tratar as reclamações. Tratará prontamente quaisquer reclamações que receba de um titular dos dados.
(b) Em caso de litígio entre um titular dos dados e uma das Partes no que diz respeito ao cumprimento das presentes cláusulas, essa Parte envidará todos os esforços para resolver a questão de forma amigável e atempada. As Partes devem manter-se mutuamente informadas sobre tais disputas e, quando apropriado, cooperar na sua resolução.
(c) Quando o titular dos dados invocar um direito de terceiro beneficiário nos termos da Cláusula 3, o importador de dados deve aceitar a decisão do titular dos dados de:
(i) apresentar uma reclamação à autoridade de supervisão do Estado-Membro da sua residência habitual ou local de trabalho, ou à autoridade de supervisão competente nos termos da Cláusula 13;
(ii) submeter o litígio aos tribunais competentes na aceção da Cláusula 18.
(d) As Partes aceitam que o titular dos dados possa ser representado por um organismo, organização ou associação sem fins lucrativos nas condições previstas no artigo 80.º, n.º 1, do Regulamento (UE) 2016/679.
(e) O importador de dados deve respeitar uma decisão que seja vinculativa nos termos da legislação aplicável da UE ou do Estado-Membro.
(f) O importador de dados concorda que a escolha feita pelo titular dos dados não prejudicará os seus direitos substantivos e processuais de recorrer a vias de recurso, em conformidade com a legislação aplicável.
Cláusula 12 - Responsabilidade
(a) Cada Parte será responsável perante a(s) outra(s) Parte(s) por quaisquer danos que cause à(s) outra(s) Parte(s) por qualquer violação das presentes Cláusulas.
(b) O importador de dados será responsável perante o titular dos dados, e este terá direito a receber uma indemnização por quaisquer danos materiais ou não materiais que o importador de dados ou o seu subencargado de tratamento cause ao titular dos dados ao violar os direitos de terceiro beneficiário nos termos das presentes Cláusulas.
(c) Não obstante o parágrafo (b), o exportador de dados será responsável perante o titular dos dados, e o titular dos dados terá direito a receber uma indemnização, por quaisquer danos materiais ou não materiais que o exportador de dados ou o importador de dados (ou o seu subencarregado de tratamento) cause ao titular dos dados por violação dos direitos de terceiros beneficiários ao abrigo das presentes cláusulas. Isto não prejudica a responsabilidade do exportador de dados e, quando o exportador de dados for um processador que atua em nome de um controlador, a responsabilidade do controlador nos termos do Regulamento (UE) 2016/679 ou do Regulamento (UE) 2018/1725, conforme aplicável.
(d) As Partes concordam que, se o exportador de dados for considerado responsável nos termos da alínea (c) por danos causados pelo importador de dados (ou seu subprocessador), ele terá o direito de reclamar do importador de dados a parte da indenização correspondente à responsabilidade do importador de dados pelo dano.
(e) Quando mais de uma Parte for responsável por quaisquer danos causados ao titular dos dados em resultado de uma violação das presentes cláusulas, todas as Partes responsáveis serão solidariamente responsáveis e o titular dos dados terá o direito de intentar uma ação judicial contra qualquer uma dessas Partes.
(f) As Partes concordam que, se uma Parte for considerada responsável nos termos da alínea (e), terá o direito de reclamar à(s) outra(s) Parte(s) a parte da indemnização correspondente à sua responsabilidade pelos danos.
(g) O importador de dados não pode invocar a conduta de um subencargado do tratamento para evitar a sua própria responsabilidade.
Cláusula 13 - Supervisão
(a) A autoridade supervisora responsável por garantir o cumprimento do Regulamento (UE) 2016/679 pelo exportador de dados no que diz respeito à transferência de dados, conforme indicado no Anexo I.C, atuará como autoridade supervisora competente.
(b) O importador de dados concorda em submeter-se à jurisdição da autoridade de supervisão competente e cooperar com esta em quaisquer procedimentos destinados a garantir o cumprimento das presentes cláusulas. Em particular, o importador de dados concorda em responder a perguntas, submeter-se a auditorias e cumprir as medidas adotadas pela autoridade de supervisão, incluindo medidas corretivas e compensatórias. Deve fornecer à autoridade de supervisão uma confirmação por escrito de que foram tomadas as medidas necessárias.
SEÇÃO III – LEIS E OBRIGAÇÕES LOCAIS EM CASO DE ACESSO POR AUTORIDADES PÚBLICAS
Cláusula 14 – Leis e práticas locais que afetam o cumprimento das Cláusulas
(a) As Partes garantem que não têm motivos para acreditar que as leis e práticas do país terceiro de destino aplicáveis ao tratamento de dados pessoais pelo importador de dados, incluindo quaisquer requisitos de divulgação de dados pessoais ou medidas que autorizem o acesso por autoridades públicas, impeçam o importador de dados de cumprir as suas obrigações nos termos das presentes Cláusulas. Isto baseia-se no entendimento de que as leis e práticas que respeitam a essência dos direitos e liberdades fundamentais e não excedem o que é necessário e proporcionado numa sociedade democrática para salvaguardar um dos objetivos enumerados no artigo 23.º, n.º 1, do Regulamento (UE) 2016/679, não estão em contradição com as presentes Cláusulas.
(b) As Partes declaram que, ao fornecerem a garantia prevista na alínea a), tiveram em devida conta, em particular, os seguintes elementos:
i) as circunstâncias específicas da transferência, incluindo a duração da cadeia de tratamento, o número de intervenientes envolvidos e os canais de transmissão utilizados; as transferências subsequentes previstas; o tipo de destinatário; a finalidade do tratamento; as categorias e o formato dos dados pessoais transferidos; o setor económico em que a transferência ocorre; o local de armazenamento dos dados transferidos;
(ii) as leis e práticas do país terceiro de destino — incluindo as que exigem a divulgação de dados às autoridades públicas ou autorizam o acesso por essas autoridades — relevantes à luz das circunstâncias específicas da transferência, e as limitações e salvaguardas aplicáveis;
(iii) quaisquer salvaguardas contratuais, técnicas ou organizacionais relevantes implementadas para complementar as salvaguardas previstas nas presentes cláusulas, incluindo medidas aplicadas durante a transmissão e ao tratamento dos dados pessoais no país de destino.
(c) O importador de dados garante que, ao realizar a avaliação nos termos da alínea (b), envidou todos os esforços para fornecer ao exportador de dados as informações relevantes e concorda em continuar a cooperar com o exportador de dados para garantir o cumprimento das presentes Cláusulas.
(d) As Partes concordam em documentar a avaliação nos termos da alínea (b) e disponibilizá-la à autoridade de supervisão competente, mediante solicitação.
(e) O importador de dados concorda em notificar imediatamente o exportador de dados se, após ter concordado com as presentes cláusulas e durante a vigência do contrato, tiver motivos para acreditar que está ou passou a estar sujeito a leis ou práticas que não estão em conformidade com os requisitos previstos na alínea a), incluindo na sequência de uma alteração na legislação do país terceiro ou de uma medida (como um pedido de divulgação) que indique uma aplicação dessas leis na prática que não está em conformidade com os requisitos previstos na alínea (a).
(f) Na sequência de uma notificação nos termos da alínea (e), ou se o exportador de dados tiver outros motivos para acreditar que o importador de dados já não pode cumprir as suas obrigações nos termos das presentes cláusulas, o exportador de dados identificará prontamente as medidas adequadas (por exemplo, medidas técnicas ou organizacionais para garantir a segurança e a confidencialidade) a adotar pelo exportador de dados e/ou pelo importador de dados para resolver a situação. O exportador de dados suspenderá a transferência de dados se considerar que não é possível garantir salvaguardas adequadas para essa transferência ou se for instruído a fazê-lo pela autoridade de supervisão competente. Nesse caso, o exportador de dados terá o direito de rescindir o contrato, na medida em que este diga respeito ao tratamento de dados pessoais ao abrigo das presentes cláusulas. Se o contrato envolver mais de duas partes, o exportador de dados só poderá exercer este direito de rescisão em relação à parte relevante, salvo acordo em contrário entre as partes. Quando o contrato for rescindido nos termos da presente cláusula, serão aplicáveis as alíneas d) e e) da cláusula 16.
Cláusula 15 - Obrigações do importador de dados em caso de acesso por autoridades públicas
15.1 Notificação
(a) O importador de dados concorda em notificar o exportador de dados e, sempre que possível, o titular dos dados prontamente (se necessário, com a ajuda do exportador de dados) se:
(i) receber um pedido juridicamente vinculativo de uma autoridade pública, incluindo autoridades judiciais, ao abrigo da legislação do país de destino, para a divulgação de dados pessoais transferidos nos termos das presentes Cláusulas; essa notificação deve incluir informações sobre os dados pessoais solicitados, a autoridade requerente, a base jurídica do pedido e a resposta fornecida; ou
(ii) tomar conhecimento de qualquer acesso direto por autoridades públicas aos dados pessoais transferidos de acordo com estas Cláusulas, em conformidade com as leis do país de destino; tal notificação deve incluir todas as informações disponíveis para o importador.
(b) Se o importador de dados estiver proibido de notificar o exportador de dados e/ou o titular dos dados nos termos das leis do país de destino, o importador de dados concorda em envidar seus melhores esforços para obter uma renúncia à proibição, com vista a comunicar o máximo de informações possível, o mais rapidamente possível. O importador de dados concorda em documentar seus melhores esforços, a fim de poder demonstrá-los a pedido do exportador de dados.
(c) Quando permitido pelas leis do país de destino, o importador de dados concorda em fornecer ao exportador de dados, em intervalos regulares durante a vigência do contrato, o máximo possível de informações relevantes sobre as solicitações recebidas (em particular, número de solicitações, tipo de dados solicitados, autoridade(s) solicitante(s), se as solicitações foram contestadas e o resultado de tais contestações, etc.).
(d) O importador de dados concorda em preservar as informações nos termos dos parágrafos (a) a (c) durante a vigência do contrato e disponibilizá-las à autoridade supervisora competente, mediante solicitação.
(e) Os parágrafos (a) a (c) não prejudicam a obrigação do importador de dados, nos termos da Cláusula 14(e) e da Cláusula 16, de informar prontamente o exportador de dados quando não for possível cumprir estas Cláusulas.
15.2 Revisão da legalidade e minimização dos dados
(a) O importador de dados concorda em revisar a legalidade do pedido de divulgação, em particular se este se mantém dentro dos poderes concedidos à autoridade pública requerente, e em contestar o pedido se, após uma avaliação cuidadosa, concluir que existem motivos razoáveis para considerar que o pedido é ilegal ao abrigo das leis do país de destino, das obrigações aplicáveis ao abrigo do direito internacional e dos princípios de cortesia internacional. O importador de dados deve, nas mesmas condições, procurar possibilidades de recurso. Ao contestar um pedido, o importador de dados deve solicitar medidas provisórias com vista a suspender os efeitos do pedido até que a autoridade judicial competente tenha decidido sobre o seu mérito. Não deve divulgar os dados pessoais solicitados até que seja obrigado a fazê-lo ao abrigo das regras processuais aplicáveis. Estes requisitos não prejudicam as obrigações do importador de dados nos termos da Cláusula 14(e).
(b) O importador de dados concorda em documentar a sua avaliação jurídica e qualquer contestação ao pedido de divulgação e, na medida do permitido pelas leis do país de destino, disponibilizar a documentação ao exportador de dados. Deve também disponibilizá-la à autoridade de supervisão competente, mediante pedido.
(c) O importador de dados concorda em fornecer a quantidade mínima de informações permitida ao responder a um pedido de divulgação, com base numa interpretação razoável do pedido.
SEÇÃO IV - DISPOSIÇÕES FINAIS
Cláusula 16 - Incumprimento das Cláusulas e rescisão
(a) O importador de dados informará imediatamente o exportador de dados se não puder cumprir estas Cláusulas, por qualquer motivo.
(b) No caso de o importador de dados violar estas Cláusulas ou não conseguir cumpri-las, o exportador de dados suspenderá a transferência de dados pessoais para o importador de dados até que o cumprimento seja novamente assegurado ou o contrato seja rescindido. Isto não prejudica a Cláusula 14(f).
(c) O exportador de dados terá o direito de rescindir o contrato, na medida em que este diga respeito ao tratamento de dados pessoais ao abrigo destas Cláusulas, quando:
(i) o exportador de dados tiver suspendido a transferência de dados pessoais para o importador de dados nos termos da alínea (b) e o cumprimento das presentes cláusulas não for restabelecido num prazo razoável e, em qualquer caso, no prazo de um mês a contar da suspensão;
(ii) o importador de dados violar de forma substancial ou persistente as presentes cláusulas; ou
(iii) o importador de dados não cumprir uma decisão vinculativa de um tribunal ou autoridade de supervisão competente relativamente às suas obrigações nos termos das presentes cláusulas.Nesses casos, ele informará a autoridade supervisora competente sobre tal incumprimento. Quando o contrato envolver mais de duas Partes, o exportador de dados poderá exercer este direito de rescisão apenas em relação à Parte relevante, salvo acordo em contrário entre as Partes.
(d) Os dados pessoais que tenham sido transferidos antes da rescisão do contrato nos termos da alínea (c) devem, por opção do exportador de dados, ser imediatamente devolvidos ao exportador de dados ou eliminados na sua totalidade. O mesmo se aplica a quaisquer cópias dos dados. O importador de dados deve certificar a eliminação dos dados ao exportador de dados. Até que os dados sejam eliminados ou devolvidos, o importador de dados deve continuar a garantir o cumprimento das presentes Cláusulas. No caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou eliminação dos dados pessoais transferidos, o importador de dados garante que continuará a assegurar o cumprimento das presentes cláusulas e apenas tratará os dados na medida e durante o tempo exigidos por essa lei local.
(e) Qualquer das Partes pode revogar o seu acordo de se vincular às presentes Cláusulas se (i) a Comissão Europeia adotar uma decisão nos termos do artigo 45.º, n.º 3, do Regulamento (UE) 2016/679 que abranja a transferência de dados pessoais a que se aplicam as presentes Cláusulas; ou (ii) o Regulamento (UE) 2016/679 passar a fazer parte do quadro jurídico do país para o qual os dados pessoais são transferidos. Tal não prejudica outras obrigações aplicáveis ao tratamento em questão nos termos do Regulamento (UE) 2016/679.
Cláusula 17 - Lei aplicável
Estas Cláusulas serão regidas pela lei da jurisdição especificada na Seção 11.2 do DPA e nos Termos de Uso do Benchmark Email, salvo se exigido de outra forma pelas Leis de Proteção de Dados aplicáveis.
Cláusula 18 - Escolha do foro e jurisdição
(a) Qualquer litígio decorrente destas Cláusulas será resolvido pelos tribunais da jurisdição especificada na Secção 11.2 do DPA e nos Termos de Utilização da Benchmark Email. (b) As Partes concordam que esses serão os tribunais da jurisdição especificada na Secção 11.2 do DPA e nos Termos de Utilização da Benchmark Email. (c) Um titular de dados também pode instaurar um processo judicial contra o exportador e/ou importador de dados perante os tribunais do Estado-Membro em que tem a sua residência habitual.
ANEXO às Cláusulas Contratuais Padrão\
ANEXO I
A. LISTA DE PARTES
Exportador(es) de dados:
1. Cliente, conforme os termos definidos nos Termos de Uso da Benchmark Email aos quais o Adendo de Processamento de Dados está anexado.
Importador(es) de dados:
1. Nome: Polaris Software, Inc.
Endereço: 3636 S. Geyer Road, Suite 100, St Louis, MO 63127 EUA.
Nome, cargo e detalhes de contato da pessoa de contato: support@benchmarkemail.com
Atividades relevantes para os dados transferidos ao abrigo destas Cláusulas: serviços de marketing por e-mail
Assinatura e data: As Cláusulas Contratuais Padrão entrarão em vigor na data em que o Cliente concordar com os Termos de Uso da Benchmark Email e com o Adendo de Processamento de Dados (DPA). Se o Cliente se tornar um cliente da Benchmark Email após a execução deste DPA, as SCCs serão consideradas efetivas no dia em que o Cliente concordar com os Termos de Uso e o DPA.
Função (controlador/processador): processador
B. DESCRIÇÃO DA TRANSFERÊNCIA
Categorias de titulares dos dados cujos dados pessoais são transferidos: O Cliente determina e controla a extensão dos Dados Pessoais do Cliente enviados para Processamento pelos Serviços, que podem incluir Dados Pessoais relacionados a: (1) Usuários - qualquer indivíduo que acesse e/ou utilize os Serviços através da conta do Cliente; (2) Assinantes - qualquer indivíduo cujo endereço de e-mail esteja incluído na lista de distribuição do Cliente / cujas informações estejam armazenadas ou coletadas através dos Serviços / para quem os Usuários enviam e-mails ou se comunicam através dos Serviços.
Categorias de dados pessoais transferidos: Os dados pessoais transferidos dizem respeito às seguintes categorias de dados: (1) Usuários: dados de identificação e contato (nome, detalhes de contato, incluindo endereço de e-mail, nome de usuário); informações de faturamento (endereço de faturamento, informações de pagamento); informações da organização (nome, endereço, localização geográfica, área de responsabilidade, código de IVA), informações de TI (endereço IP, dados de uso, dados de cookies, dados de navegação online, dados de localização, dados do navegador, informações do dispositivo de acesso); (2) Assinantes: endereço de e-mail e quaisquer outras informações adicionais que o Cliente forneça à Benchmark Email.
Dados sensíveis transferidos (se aplicável) e restrições ou salvaguardas aplicadas que levam em consideração a natureza dos dados e os riscos envolvidos, como, por exemplo, limitação estrita da finalidade, restrições de acesso (incluindo acesso apenas para funcionários que tenham seguido treinamento especializado), manutenção de um registro de acesso aos dados, restrições para transferências posteriores ou medidas de segurança adicionais: Nenhum dado sensível será transferido para a Benchmark Email.
A frequência da transferência: Os dados são transferidos de forma contínua durante a vigência dos Serviços, conforme descrito nos Termos de Utilização.
Natureza do processamento: A Benchmark Email é um serviço que fornece aos clientes um meio de coletar endereços de e-mail e criar, enviar e rastrear promoções por e-mail (“Serviços”) e outros serviços de acordo com quaisquer confirmações de pedidos, documentos de pedidos ou registros online, conforme descrito nos Termos de Uso.
Finalidade(s) da transferência de dados e processamento posterior: A finalidade do processamento de dados nos termos deste DPA é a prestação dos Serviços.
O período durante o qual os dados pessoais serão retidos ou, se isso não for possível, os critérios utilizados para determinar esse período: Os dados serão retidos durante a vigência dos Serviços. Isso não se aplica na medida em que a Benchmark Email seja obrigada pela lei aplicável a reter alguns ou todos os Dados do Cliente, ou aos Dados do Cliente que tenha arquivado em sistemas de backup, onde os Dados do Cliente estão isolados de forma segura e protegidos de qualquer processamento adicional, exceto na medida exigida pela lei aplicável.
Para transferências para (sub)processadores, especifique também o assunto, a natureza e a duração do processamento: Os Dados Pessoais podem ser transferidos para os subprocessadores da Benchmark Email, a fim de fornecer os Serviços aos seus clientes. O subprocessamento deve ocorrer durante a vigência da prestação dos Serviços ou por mais tempo, se exigido por lei.
C. AUTORIDADE SUPERVISORA COMPETENTE
Identifique a(s) autoridade(s) supervisora(s) competente(s) de acordo com a Cláusula 13:
A autoridade supervisora competente para garantir a conformidade com o Regulamento (UE) 2016/679 (RGPD) no que diz respeito à transferência de Dados do Cliente é a Autoridade de Proteção de Dados (DPA) na jurisdição do Cliente. A autoridade relevante será determinada pela localização do Cliente (o Exportador de Dados), conforme listado no diretório de autoridades de supervisão do EDPB (disponível em: Autoridades de Supervisão do EDPB).
Para Clientes localizados na União Europeia (UE) ou no Espaço Econômico Europeu (EEE), a Autoridade de Proteção de Dados no país do Cliente será a autoridade competente. Para Clientes localizados no Reino Unido (RU), o Gabinete do Comissário de Informação (ICO) é a autoridade competente. Para Clientes localizados na Suíça, o Comissário Federal de Proteção de Dados e Informação (FDPIC) é a autoridade competente.
Em caso de tratamento transfronteiriço de dados, o Comité Europeu de Proteção de Dados (EDPB) pode estar envolvido na resolução de litígios, particularmente ao abrigo do mecanismo de balcão único, tal como definido no RGPD.
ANEXO II
MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS
Consulte o Anexo 2 do DPA – Medidas de Segurança.
ANEXO III
LISTA DE SUBCONTRATADOS
Consulte o Anexo 3 do DPA – Lista de subprocessadores.
Última atualização em 15 de outubro de 2025
