Embed Size (px)
Citation preview
CONTRATO DE PROTEÇÃO DE DADOS
A Dell Inc. e suas empresas controladas direta ou indiretamente (“Dell”) e o Fornecedor celebraram um Contrato de Fornecedor segundo o qual o Fornecedor pode processar Dados da Dell. Este Contrato de Proteção de Dados (“DPA”) rege o processamento, por parte do Fornecedor, de Dados da Dell e é incorporado por referência no Contrato de Fornecedor. Em qualquer ocasião durante a vigência do Contrato de Fornecedor, ou após a vigência, caso o Fornecedor tenha acesso aos Dados da Dell ou os mantenha, o Fornecedor cumprirá este DPA e fará com que seus Representantes o cumpram. Em caso de conflito entre o DPA, o NDA e/ou o Contrato de Fornecedor, este DPA prevalecerá.
1. DEFINIÇÕES. Os termos não definidos no presente instrumento têm os significados estabelecidos no Contrato deFornecedor.
1.1. “Legislação Aplicável” significa todas e quaisquer leis, estatutos e decretos aplicáveis, regulamentos, normas,diretivas, e exigências governamentais similares de todos os departamentos internacionais, federais, provinciais, estaduais, municipais e distritais, secretarias, conselhos, agências, gabinetes, comissões e outras subdivisões dos mesmos, ou de quaisquer autoridades governamentais, públicas ou paraestatais.
1.2. “Violação de Dados” significa qualquer destruição, alteração, divulgação, uso indevido, perda, roubo, acesso, cópia, uso, modificação, alienação, cessão ou acesso acidental, ilícito ou não autorizado aos Dados da Dell ou qualquer ato de omissão que comprometa ou arruíne as salvaguardas físicas, técnicas ou organizacionais estabelecidas pelo Fornecedor no processamento de Dados da Dell ou no fornecimento de Soluções.
1.3. “Dados da Dell” significa todos e quaisquer dados fornecidos pela Dell, seus clientes, agentes autorizados e/ou subcontratados ao Fornecedor, ou de outra forma processados pelo Fornecedor para prover Soluções, incluindo (a) todas as informações e dados não públicos submetidos ao Fornecedor ou por ele acessados por meio da rede da Dell ou submetidos ao Fornecedor ou acessados por ele para fins de hospedagem ou terceirização de serviços, (b) Dados Altamente Restritos, (c) Dados Pessoais e/ou (d) Dados de Rastreamento de Usuários.
1.4. “Diretiva” significa a Diretiva 95/46/EC da UE sobre a proteção de pessoas físicas com relação ao processamento de dados pessoais e sobre a livre movimentação de tais dados, de acordo com eventuais alterações ou substituições.
1.5. “EEA” significa os Países Membros da União Europeia mais a Noruega, Islândia e Liechtenstein.
1.6. “Dados Altamente Restritos” significam os números da Previdência Social ou outros números de identificação emitidos pelo governo, informações médicas ou de saúde, informações de segurança de contas, informações de contas financeiras de pessoas físicas, informações de crédito/débito/doação ou outras informações sobre cartão de pagamento, senhas de contas, informações de crédito e renda de pessoa física, propriedade intelectual, modelos de negócios proprietários, preços, informações ou fluxos de dados de infraestrutura/sistema de clientes e dados pessoais confidenciais, conforme definido nas Leis de Privacidade (incluindo a Diretiva).
1.7. “Incluindo” significa incluindo sem limitação ou prejuízo à generalidade de qualquer descrição, definição, termo ou frase que preceda a palavra em questão, e "inclusive" e seus derivados devem ser interpretados da mesma forma.
1.8. “Fornecedor” significa a parte da qual a Dell está comprando Soluções de acordo com o Contrato de Fornecedor, e seus Representantes.
1.9. “Contrato de Fornecedor” significa o contrato ou contratos entre a Dell e o Fornecedor segundo os quais a Dell está comprando Soluções do Fornecedor, incluindo um Contrato Master de Relacionamento (“MRA”).
1.10. “Dados Pessoais” significa quaisquer informações ou dados que, sozinhos ou em conjunto com quaisquer outras informações, refiram-se a uma pessoa física identificada ou identificável, ou dados considerados pessoais conforme definido nas Leis de Privacidade.
1.11. “Leis de Privacidade” significa quaisquer leis, estatutos, diretivas ou decretos, incluindo todas e quaisquer emendas ou substituições legislativas e/ou regulamentares às mesmas, relativas a privacidade, proteção de dados, obrigações de segurança de informações e/ou ao processamento de Dados Pessoais (incluindo a Diretiva).
1.12. “processamento”, “processado” ou “processar” significa qualquer operação ou conjunto de operações realizadas nos ou com os Dados da Dell, independentemente da finalidade e dos meios aplicados, incluindo acesso, recebimento, coleta, gravação, organização, adaptação, alteração, recuperação, consulta, retenção, armazenamento, transferência, divulgação, incluindo divulgação por meio de transmissão, disseminação ou qualquer outra forma de disponibilização, alinhamento, combinação, uso, bloqueio, apagamento e destruição.
1.13. “Representantes” significa o Fornecedor e/ou qualquer funcionário, administrador, agente, consultor, auditor, Subcontratado, terceirizado ou outro terceiro que atue em nome do Fornecedor ou sob a autoridade evidente do Fornecedor no fornecimento de Soluções. As referências neste instrumento ao “Fornecedor” incluem os Representantes.
1.14. “Subcontratados” significa qualquer terceiro ou entidade, incluindo todos os subcontratados, que atuem pelo Fornecedor ou em seu nome, fornecendo Soluções à Dell, ou a quem o Fornecedor tenha cedido ou delegado suas obrigações contratuais para com a Dell. “Subcontratados” não inclui funcionários do Fornecedor.
1.15. “Soluções” significa qualquer hardware, software (incluindo componentes de terceiros), software-as-a-service, serviços em geral ou serviços de hospedagem fornecidos à Dell ou a um cliente da Dell de acordo com o Contrato de Fornecedor.
1.16. “Dados de Rastreamento de Usuários” significa dados associados a usuários de dispositivos on-line ou móveis que registrem informações, interações ou comportamentos de usuários, cliques de usuários ou reação a conteúdo, propaganda ou quaisquer outras atividades, ou interação com estes, relativamente à propaganda comportamental.
2. INFORMAÇÕES CONFIDENCIAIS. Todos os Dados da Dell são “Informações Confidenciais”, conforme definido (a) no NDA;ou (b) caso o Fornecedor e a Dell não tenham celebrado um NDA, no Contrato de Fornecedor. Quaisquer exclusões àdefinição de “Informações Confidenciais” no NDA ou no Contrato de Fornecedor não se aplicam à definição de Dados daDell. O Fornecedor tratará os Dados da Dell como Informações Confidenciais enquanto tais Dados da Dell estiverem deposse ou no controle do Fornecedor, inclusive quando os Dados da Dell forem mantidos em arquivo, backup ou sistemas decontinuidade de negócios/recuperação de desastres.
3. OBRIGAÇÕES DO FORNECEDOR
3.1. Processamento. A Dell instrui e autoriza o Fornecedor a processar Dados da Dell com o único e exclusivo fim dedesempenhar obrigações do Fornecedor para com a Dell de acordo com (a) o Contrato de Fornecedor; (b) instruções por escrito da Dell e de seus agentes; (c) as Leis de Privacidade; e (d) este DPA (coletivamente denominados “Contratos Aplicáveis”). Nos casos em que o Fornecedor rastrear atividades de usuários em dispositivos on-line ou móveis, as obrigações e exigências estipuladas neste DPA em relação a Dados Pessoais se estendem aos Dados de Rastreamento de Usuários.
3.2. Limitações de Divulgação e Uso. O Fornecedor não transferirá nem de outra forma divulgará Dados da Dell, nem permitirá o Processamento deles por seus Representantes ou quaisquer Terceiros, exceto (a) se houver necessidade de se tomar conhecimento, para fins de fornecimento das Soluções; (b) até o limite necessário para fornecer as Soluções; (c) conforme permitido segundo os Contratos Aplicáveis; (d) se for exigido de acordo com a Legislação Aplicável. Se o Fornecedor for obrigado pela Legislação Aplicável a transferir, divulgar ou permitir o processamento de Dados da Dell por terceiros, o Fornecedor notificará prontamente a Dell antes de tal exigência, e cooperará com a Dell no sentido de limitar a extensão e o âmbito de tal transferência, divulgação ou processamento.
3.3. Devolução e Destruição. Quando da rescisão do Contrato de Fornecedor ou mediante solicitação por escrito da Dell, o que ocorrer primeiro, o Fornecedor cessará imediatamente, e garantirá que seus Subcontratados cessemimediatamente, todo e qualquer uso de tais Dados Pessoais, devolvendo-os à Dell ou, mediante instruções da Dell,descartando-os, destruindo-os ou tornando-os anônimos de forma permanente, utilizando, em cada caso, as medidasde segurança estipuladas neste instrumento. Se a Legislação Aplicável não permitir que o Fornecedor destrua osDados da Dell, o Fornecedor não usará os Dados da Dell para nenhuma outra finalidade que não seja requerida pelosContratos Aplicáveis e tais dados ficarão vinculados permanentemente ao disposto nos Contratos Aplicáveis.
3.4. Notificações e Assistência. Se o Fornecedor for contatado por uma pessoa que apresente uma solicitação, consulta ou reclamação quanto aos seus Dados Pessoais relativamente às Soluções, o Fornecedor (a) prontamente, e em qualquer hipótese, no prazo de até dois dias úteis, fornecerá à Dell uma notificação por escrito sobre tal solicitação, consulta ou reclamação; e (b) fornecerá à Dell toda a cooperação, assistência, informações e acesso cabíveis aos Dados Pessoais em seu poder, custódia ou controle, na medida do necessário para que a Dell responda a tal solicitação, consulta ou reclamação prontamente e dentro de qualquer prazo exigido pelas Leis de Privacidade. O Fornecedor não responderá a tal solicitação, consulta ou reclamação, a menos que seja instruído por escrito pela Dell.
4. TRANSFERÊNCIAS INTERNACIONAIS. O Fornecedor pode transferir Dados Pessoais de países do Espaço EconômicoEuropeu (EEA, na sigla em inglês) para países fora do EEA com o consentimento prévio por escrito da Dell, desde que taltransferência seja necessária às Soluções, esteja sujeita aos termos estabelecidos nas Cláusulas Contratuais Padrão da UE(controlador para processadores) e que o Fornecedor cumpra todas as obrigações impostas a um “importador de dados”,conforme estipulado em tais Cláusulas. Para países localizados dentro da região da Ásia-Pacífico, o Fornecedor obterá oconsentimento prévio por escrito da Dell nos casos em que os Dados Pessoais forem transmitidos pelo Fornecedor para forado país no qual eles foram originalmente coletados, a menos que seja exigido em contrário pelos Contratos Aplicáveis.
5. SALVAGUARDAS APROPRIADAS. O Fornecedor terá e manterá processos físicos, organizacionais e técnicos, padrões desegurança, diretrizes, controles e procedimentos apropriados de padrão industrial (“Políticas”) para proteger-se contraquaisquer Violações de Dados (“Salvaguardas Apropriadas”). O Fornecedor, de forma regular, mas em nenhuma hipótesemenos de uma vez por ano, avaliará, testará e monitorará a eficácia de suas Salvaguardas Apropriadas, e ajustará eatualizará prontamente as Salvaguardas Apropriadas conforme garantido de forma razoável por tais resultados. OFornecedor, mediante solicitação, apresentará à Dell uma descrição por escrito das Salvaguardas Apropriadas. OFornecedor proverá à Dell acesso a documentação e relatórios relevantes sobre a implementação, certificação, eficácia eremediação das Salvaguardas Apropriadas. O Fornecedor declara expressamente que ele e seus Subcontratadosimplementarão e manterão Políticas que:
5.1. Gerenciamento de Riscos. Avaliem riscos organizacionais e administrativos pelo menos uma vez por ano, e riscostécnicos e de sistemas pelo menos trimestralmente.
5.2. Gerenciamento de Ativos. (a) Identifiquem todos os equipamentos e mídias usados no processamento de Dados daDell; (b) atribuam a responsabilidade por todos os equipamentos e mídias a um ou mais depositários; e (c) requeiram análises regulares para definir com precisão o inventário do ativo e para identificar a falta de equipamentos e mídias.
5.3. Políticas de Controle de Acesso e Gerenciamento de Identidades. Antes do acesso aos Dados da Dell, (a) todos os direitos de acesso aos dados e ao sistema são atribuídos a pessoas físicas de acordo com suas responsabilidades documentadas e com o princípio do menor privilégio; (b) todas as contas de usuário e administrador são atribuídas a pessoas físicas e é obrigatório que tenham senhas fortes, rodízio de senhas, bloqueios de autenticação com falha e tempo limite de sessão; e (c) a emissão de contas com acesso privilegiado requer a aprovação da gerência e exige padrões estritos de segurança.
5.4. Políticas de Conscientização e Treinamento. Abordem (a) ameaças e melhores práticas relativas à segurança das
informações; (b) políticas, procedimentos e controles de segurança das informações implantados para proteger Dados da Dell; e (c) as funções e responsabilidades de cada Representante na proteção de Dados da Dell.
5.5. Políticas de Responsabilidade. Garantam que (a) todas as ações relativas a contas possam ser rastreadas até chegar ao indivíduo que está usando a conta, (b) o horário, a data e o tipo de ação sejam registrados com relação a todas as ações de contas privilegiadas e todas as ações de contas que afetem Dados da Dell, (c) todas as ações de contas registradas sejam monitoradas ativamente e possam ser facilmente recuperadas para fins de análise, e (d) sejam estabelecidas, comunicadas e postas em prática as consequências para violações de política.
5.6. Políticas de Planejamento de Contingências. Definam funções e responsabilidades, e forneçam uma orientação e treinamento claros sobre a forma correta de lidar com eventos de contingência, incluindo (a) eventos de ameaça natural, como inundações, tornados, terremotos, furacões e tempestades de neve; (ii) eventos de ameaça acidental, como derramamentos de produtos químicos e falhas mecânicas ou elétricas; e (iii) atos intencionais, como violações de privacidade e segurança, ameaças com bombas, agressões e roubo.
5.7. Políticas de Manutenção de Sistemas. Estejam relacionadas a (a) gerenciamento de vulnerabilidade estrutural, incluindo verificação regular, testes de intrusão, análise de risco e aplicação oportuna de correções; (b) gerenciamento de mudanças, incluindo documentação da finalidade, análise de impacto na segurança, plano de testes e resultados, e autorização para todas as alterações; (c) gerenciamento de configurações, incluindo configurações padrão seguras; e (d) monitoramento para detectar e gerar alertas de alterações não autorizadas.
5.8. Políticas de Proteção de Sistemas e Comunicações. Preservem a confidencialidade, integridade e disponibilidade de Dados da Dell, incluindo (a) controles físicos que restrinjam e monitorem o acesso a sistemas que processem Dados da Dell; (b) controles técnicos e administrativos que protejam contra software malicioso e agentes maliciosos; (c) forte criptografia de dados em trânsito por redes públicas e não confiáveis e, no caso de Dados Altamente Restritos, daqueles que estejam inativos em todos os locais de armazenamento; (d) rotação e gerenciamento periódicos de chaves de criptografia; (e) proibição de processamento de Dados Altamente Restritos e Dados Pessoais em ambientes que não sejam de produção; (f) análises de controle e testes de eficácia regulares; e (vii) controles técnicos e administrativos rigorosos com relação a acesso remoto e dispositivos móveis.
5.9. Políticas de Proteção de Mídias. Garantam que as mídias que contenham Dados da Dell sejam manipuladas com segurança, incluindo (a) criptografia forte de Dados da Dell em todos os dispositivos móveis e mídias de armazenamento removível; (b) exigência de métodos seguros de sanitização e destruição de mídias que a qualquer momento contenham Dados da Dell; e (c) exigência de que todas as mídias, incluindo papel, que contenha Dados da Dell não criptografados, sejam armazenadas em local seguro.
6. INFORMAÇÕES DE CARTÃO DE PAGAMENTO. Antes de processar quaisquer informações de cartão de pagamentorelativas a um Contrato de Fornecedor, o Fornecedor, às suas expensas, cumprirá e permanecerá em conformidade com ospadrões de segurança de dados do setor de cartões de pagamento - Payment Card Industry Data Security Standards (“PCIDSS”). Antes de processar quaisquer informações de cartão de pagamento e anualmente a partir de então, o Fornecedorsubmeterá um atestado à Dell declarando que seus arquivos estão atualizados com os seguintes documentos: Relatório deConformidade com o PCI /Questionário de Autoavaliação e Verificação Trimestral da Rede segundo o PCI, e que permaneceem conformidade com o PCI, bem como providenciará qualquer documentação que corrobore tal atestado, conformesolicitado justificadamente pela Dell. Se a qualquer momento o Fornecedor não estiver em conformidade com o PCI DSS,ou então não for capaz ou não queira produzir evidência adequada de conformidade, o Fornecedor estará em situação deviolação do Contrato de Fornecedor e a Dell poderá imediatamente rescindir o Contrato de Fornecedor, semresponsabilidade para a Dell.
7. SEGURANÇA E CONECTIVIDADE DA INFRAESTRUTURA. Se (a) as Soluções incluírem hospedagem de aplicativos,websites, dados ou sistemas; (b) a conectividade de rede for necessária para fornecer as Soluções; ou (c) as Soluçõesdependerem da integridade do ambiente do Fornecedor, as seguintes exigências se aplicarão:
7.1. Acesso à Rede. A conexão e o mecanismo de transmissão de Dados da Dell entre o Fornecedor e a Dell serão postosem prática por meio de uma solução segura aprovada pelo setor de Tecnologia da Informação da Dell. A duração do acesso será restrita somente à ocasião em que o acesso for necessário. O Fornecedor usará Salvaguardas Apropriadas para proteger-se de qualquer cessão, acesso não autorizado ou outro dano à rede da Dell e para proteger as redes e ambientes de TI do Fornecedor associados às Soluções. Mediante solicitação, o Fornecedor apresentará à Dell um diagrama de rede de alto nível que delineie a rede de TI do Fornecedor que serve de apoio às Soluções.
7.2. Auditoria. Mediante solicitação, o Fornecedor apresentará um relatório de auditoria de controles e esforço de reparação de danos, como um SSAE 16, ou auditoria de segurança de informações executada no ano anterior, conforme aplicável às Soluções. A auditoria incluirá uma avaliação dos controles gerais e dos processos e procedimentos de segurança aplicáveis para garantir o cumprimento das Leis de Privacidade e dos padrões industriais. A auditoria correrá por conta do Fornecedor, como parte do programa contínuo de segurança de informações do Fornecedor para avaliar os controles gerais de segurança do Fornecedor.
7.3. Teste. Além dos programas de controle interno do Fornecedor, o Fornecedor executará testes de intrusão independentes em seu ambiente, conforme seja relevante para este DPA, com frequência não inferior a uma vez por ano, e executará verificações de vulnerabilidade de segurança com frequência não inferior a uma vez por trimestre. O Fornecedor se compromete a remediar todas as vulnerabilidades identificadas em um prazo proporcional ao risco, ou conforme acordado com a Dell.
8. SEGURANÇA DA SOLUÇÃO
8.1. Vulnerabilidades. O Fornecedor implementará controles para identificar quaisquer vulnerabilidades de segurança nas
Soluções durante o desenvolvimento e após a disponibilização. O Fornecedor apresentará à Dell uma notificação por escrito a respeito de (a) vulnerabilidades/exploits de dia zero publicamente reconhecidos no prazo de até cinco dias úteis após o reconhecimento público; e (b) vulnerabilidades/exploits de dia zero conhecidos internamente, embora ainda não divulgados publicamente, no prazo de até dez dias úteis após sua descoberta. O Fornecedor se compromete a remediar todas as vulnerabilidades identificadas nas Soluções, às expensas do Fornecedor, e a remediar vulnerabilidades com uma pontuação básica acima de 4, conforme definido pelo Sistema de pontuação de vulnerabilidades comuns (Common Vulnerability Scoring System), em um prazo proporcional ao risco ou conforme acordado com a Dell. O uso de código aberto por parte do Fornecedor não alterará a responsabilidade do Fornecedor de identificar e remediar as vulnerabilidades aqui descritas.
8.2. Práticas de Codificação. O Fornecedor concorda (a) em usar práticas de codificação segura do setor (por exemplo, Software Development Lifecycle da Microsoft, Software Security Touchpoints da Cigital, recomendações da OWASP ou os Top 25 (os 25 erros mais perigosos de software) do SANS Institute); (b) que as Soluções sejam projetadas com base em práticas de codificação segura do setor; e (c) que a segurança das informações seja garantida em todo o ciclo de vida de desenvolvimento. Os processos, recursos diretos e outras ações necessárias cumprirão com todos os padrões PCI e Leis de Privacidade.
8.3. Avaliações de Segurança. O Fornecedor submeterá os resultados e os esforços de remediação de uma avaliação de segurança independente para todas as Soluções que (a) estiverem voltadas para o cliente, inclusive sites, acompanhados de sistemas do cliente ou instalados nele; ou (b) processem Dados Altamente Restritos. O âmbito da avaliação e os esforços de remediação devem ser acordados com a Dell e submetidos à aprovação da Dell antes da aceitação de tais Soluções.
9. VIOLAÇÃO DE DADOS. O Fornecedor notificará à Dell até 24 horas após tomar ciência de uma Violação de Dados real ourazoavelmente presumível. Tal notificação será enviada, no mínimo por e-mail com confirmação de leitura, [email protected] e com cópia para o principal contato comercial do Fornecedor na Dell. O Fornecedor cooperaráamplamente com a Dell no sentido de facilitar a investigação e a remediação de uma Violação de Dados. O Fornecedor nãoinformará a nenhum terceiro a respeito de quaisquer Violações de Dados sem primeiro obter o consentimento por escrito daDell, exceto conforme possa ser estritamente exigido pelas Leis de Privacidade, em cujo caso o Fornecedor, a menos queseja proibido por lei, notificará a Dell antes de informar a qualquer terceiro e cooperará com a Dell no sentido e limitar oâmbito das informações divulgadas ao que for exigido pelas Leis de Privacidade. Os detalhes de qualquer reclamaçãorecebida pelo Fornecedor com relação ao processamento de Dados Altamente Restritos, Dados Pessoais ou Dados deRastreamento de Usuários serão prontamente enviados a um contato comercial do Fornecedor na Dell. O Fornecedorreembolsará à Dell os custos incorridos pela Dell para responder a, remediar e/ou atenuar danos causados por uma Violaçãode Dados ou para acompanhar uma reclamação feita por um titular ou regulador de dados individuais. O Fornecedor tomarátodas as medidas corretivas necessárias e apropriadas, inclusive conforme possa ser instruído pela Dell e pelas Leis dePrivacidade, para remediar ou atenuar quaisquer Violações de Dados.
10. REPRESENTANTES E SUBCONTRATADOS
10.1. Restrições. A menos que seja expressamente permitido pelo Contrato de Fornecedor, o Fornecedor não (a) transferirá;(b) divulgará; (c) subcontratará o processamento de; ou (e) permitirá o processamento de, Dados da Dell por ou paraquaisquer Subcontratados.
10.2. Requisitos para Subcontratados e Representantes. O Fornecedor tomará todas as medidas cabíveis para garantir a confiabilidade dos Representantes e Subcontratados que tenham acesso aos Dados da Dell, inclusive a realização de verificações paralelas apropriadas. O Fornecedor garantirá que os Representantes e Subcontratados sejam treinados adequadamente na manipulação e processamento seguro de Dados da Dell de acordo com as Leis de Privacidade. Se o Fornecedor for autorizado pela Dell a transferir Dados da Dell para um Subcontratado, o Subcontratado cumprirá a Seção 4, “Transferências Internacionais”, deste DPA, como se o Fornecedor fosse a Dell e o Subcontratado fosse o Fornecedor.
10.3. Contrato de Subcontratação. Os contratos entre o Fornecedor e os Representantes e Subcontratados autorizados a Processar Dados da Dell (“Contratos de Subcontratação”) incluirão restrições e condições substancialmente equivalentes às deste DPA. O Fornecedor terá a exclusiva responsabilidade por todos os atos e omissões de Representantes e Subcontratados. O Fornecedor dará à Dell uma cópia dos Contratos de Subcontratação mediante solicitação.
10.4. Auditorias do Subcontratado. O Fornecedor auditará cada um de seus Subcontratados que processarem Dados da Dell pelo menos uma vez a cada doze meses, e com mais frequência na eventualidade de uma Violação de Dados. Se a auditoria revelar quaisquer deficiências, violações e/ou falhas de cumprimento por parte do Subcontratado, o Fornecedor envidará todos os esforços cabíveis no sentido de trabalhar com o Subcontratado para remediar o problema prontamente. Se, a critério razoável da Dell, não for possível implementar uma remediação satisfatória dentro de um prazo cabível, o Fornecedor não terá permissão de usar o Subcontratado para fornecer Soluções à Dell, em cujo caso o Fornecedor será solicitado, conforme instruído pela Dell, a devolver ou excluir prontamente quaisquer Dados da Dell.
11. REGISTROS DE CHAMADAS. Se o Fornecedor processar registros de chamadas, o Fornecedor estabelecerá controlesrigorosos para o processamento de registros de chamadas que contenham dados Altamente Restritos ou Dados Pessoais.O acesso aos registros de chamadas e seu processamento serão limitados apenas aos Representantes necessários parafornecer as Soluções, e de acordo com a Legislação Aplicável. O Fornecedor manterá um registro gravado de todos osacessos feitos aos registros de chamadas. O Fornecedor excluirá todos os registros de chamadas que contenham DadosPessoais logo que for razoavelmente possível após os registros terem servido ao seu propósito e dentro dos prazos
estabelecidos pelas Leis de Privacidade e padrões de segurança aplicáveis; porém, em qualquer hipótese, em até 90 dias (21 dias na região EMEA - Europa, Oriente Médio e África), a menos que seja aprovado de outra forma por escrito pelo Privacy Office (Gabinete para Assuntos de Privacidade) da Dell. O Fornecedor registrará apenas uma pequena amostra do volume de chamadas e dentro dos períodos exigidos pelas Leis de Privacidade. No caso de registros que contenham informações de cartão de pagamento ou outros dados Altamente Restritos, o Fornecedor armazenará os registros de chamadas no formato de fluxo de voz (e não na forma de arquivos de dados), a menos que todos os dados de cartão de pagamento sejam removidos dos registros ou tornados ilegíveis/inaudíveis no momento da gravação do registro.
12. DADOS DO CANADÁ. Se o Fornecedor processar Dados Pessoais relativos a pessoas localizadas no Canadá no curso dofornecimento de Soluções, o Fornecedor e a Dell concordam com as obrigações e exigências adicionais desta Seção 12. OFornecedor não tomará nenhuma medida nem cometerá omissões que façam com que a Dell esteja em contravençãorelativamente ao Personal Information Protection and Electronic Documents Act (Lei de Proteção de Informações Pessoaise Documentos Eletrônicos do Canadá), conforme as emendas ou aditamentos feitos ocasionalmente, e quaisquer outras leisfederais ou provinciais do Canadá que regulem o processamento de Dados Pessoais. O Fornecedor manterá todos os dados,bancos de dados ou outros registros que contenham Dados Pessoais processados com relação às Soluções, logicamenteisolados e separados de quaisquer informações, dados, bancos de dados ou outros registros processados pelo Fornecedorpara si mesmo ou para terceiros. O Fornecedor designará e identificará para a Dell um indivíduo responsável pela supervisãodos Dados Pessoais. A Dell poderá ser solicitada a divulgar, sem notificação ou consentimento prévio, InformaçõesConfidenciais do Fornecedor a autoridades com relação a qualquer investigação, auditoria ou consulta relativa às Soluções.O Fornecedor não transferirá, removerá nem transmitirá quaisquer Dados Pessoais das instalações do Fornecedor sem oexpresso consentimento da Dell e sem usar tecnologia segura e apropriada para proteger tais informações enquanto emtrânsito. Se o Fornecedor for contatado por uma pessoa com uma solicitação, consulta ou reclamação referente aos seusDados Pessoais relacionados às Soluções, o Fornecedor encaminhará prontamente essa pessoa à Dell.
13. CONTRATOS SUPLEMENTARES AO DPA.
13.1. Cláusulas Contratuais Padrão da UE. Se o Fornecedor processar Dados Pessoais relativos a pessoas localizadas naUnião Europeia no curso do fornecimento de Soluções, o Fornecedor e a Dell concordam com, e o Fornecedor cumprirá com, as Cláusulas Contratuais Padrão da UE, incluindo os Anexos 1 e 2 apensos ao presente.
13.2. Conformidade com a HIPAA. Se o Fornecedor acessar, manter, for exposto a, ou tomar ciência das, “Informações de Saúde Protegidas”, conforme definido no Código de Regulamentos Federais dos EUA - C.F.R., Título 45, § 164.501, de participantes do Comprehensive Welfare Benefits Plan (Plano Abrangente de Previdência e Benefícios) da Dell Inc. no curso do fornecimento de Soluções, o Fornecedor e a Dell concordam pelo presente com, e o Fornecedor cumprirá com, o Contrato de Subcontratação da HIPPA - EUA e o Contrato de Associação Comercial da HIPAA.
13.3. Autoridade. O FORNECEDOR DECLARA EXPRESSAMENTE À DELL QUE O FORNECEDOR, INCLUINDO QUALQUER REPRESENTANTE DO FORNECEDOR QUE ACEITE ESTE DPA EM SEU NOME, ESTÁ AUTORIZADO A VINCULAR O FORNECEDOR ÀS CLÁUSULAS CONTRATUAIS PADRÃO DA UE, INCLUINDO OS ANEXOS 1 E 2 DO PRESENTE, AO CONTRATO DE SUBCONTRATAÇÃO E AO CONTRATO DE ASSOCIAÇÃO COMERCIAL DA HIPAA.
14. DIREITOS DE SUBSIDIÁRIAS DA DELL. Nenhum dispositivo deste DPA conferirá quaisquer benefícios ou direitos aqualquer pessoa física ou jurídica que não sejam as partes descritas neste DPA. Nas situações em que as Soluções incluíremo Processamento, pelo Pessoal do Fornecedor, de Dados da Dell em nome de subsidiárias diretas e indiretas da Dell, cadasubsidiária direta e indireta da Dell poderá pôr em vigor os termos deste DPA como beneficiário terceiro com relação aoFornecedor, a respeito de seus Dados da Dell, como se fosse uma parte deste DPA e/ou de quaisquer Contratos deFornecedor.
15. AUDITORIAS. O Fornecedor permitirá que a Dell ou seu designado (a) audite o cumprimento deste DPA por parte doFornecedor; (b) inspecione quaisquer Dados Pessoais em custódia ou posse do Fornecedor; e (c) responda prontamente atodas as consultas da Dell a respeito da manipulação de Dados Pessoais por parte do Fornecedor.
16. INDENIZAÇÃO. O Fornecedor indenizará e defenderá a Dell e os diretores, administradores, funcionários, representantes eagentes da Dell com relação a todas e quaisquer reivindicações, ações, demandas e trâmites legais e todas asresponsabilidades, danos, perdas, decisões, conciliações autorizadas, custos, multas, penalidades e despesas, incluindohonorários advocatícios cabíveis decorrentes de, ou relacionados com (a) violação deste DPA por parte do Fornecedor; (b)falha do Fornecedor em cumprir com o PCI DSS; ou (c) violação de quaisquer Leis de Privacidade por parte do Fornecedor.
17. DISPOSIÇÕES GERAIS. As obrigações do Fornecedor, de acordo com este DPA, sobreviverão à rescisão ou expiração doDPA, NDA e do Contrato de Fornecedor. As intimações serão feitas por escrito e encaminhadas ao Endereço paraNotificação estipulado no Contrato de Fornecedor. Será presumida a devida entrega e vigência de notificação por escritofeita por fac-símile, correio expresso ou carta registrada e enviada ao Endereço para Notificação da Dell ou ao Endereçopara Notificação do Fornecedor (ou para os indivíduos e endereços substitutos que foram notificados adequadamente àoutra parte). Todas as outras comunicações, entregas ou notificações comerciais por escrito entre o Fornecedor e a Dellexigidas ou permitidas por, ou pertencentes a, este DPA, entrarão em vigor quando recebidas. O Fornecedor não cederánem transferirá este DPA, no todo ou em parte, seja voluntariamente, por contrato ou por fusão (independentemente de essaparte ser a entidade sobrevivente ou ausente), venda de ações ou ativos, consolidação, dissolução, por meio de ação oudecisão governamental, ou por outra forma, sem o consentimento prévio por escrito da Dell. Qualquer tentativa de ceder outransferir este DPA de outra forma diferente do acordado nesta Seção será nula e sem efeito. A Dell pode ceder o DPA semo consentimento do Fornecedor. Nenhuma sub-rogação de qualquer termo ou condição é válida a menos que seja por escritoe assinada pelos representantes autorizados de ambas as partes, e limitada à situação específica para a qual é fornecida.Nenhuma emenda ou modificação neste DPA será válida, a menos que seja estipulada por escrito e faça referência
específica a este DPA, e seja assinada pelos representantes autorizados de ambas as partes. Nenhuma outra ação ou omissão constituirá uma sub-rogação de quaisquer direitos. Este DPA estabelece o acordo integral entre as partes em relação aos assuntos deste instrumento, e substitui todos os acordos ou entendimentos prévios ou contemporâneos entre as partes, sejam escritos ou verbais. No desempenho das responsabilidades do Fornecedor de acordo com este DPA, fica entendido e acordado que o Fornecedor atuará sempre como contratado independente e que o Fornecedor não é parceiro, associado nem funcionário da Dell. Fica expressamente acordado que o Fornecedor, em nenhuma hipótese e para nenhuma finalidade, será considerado agente, seja de forma ostensiva ou aparente, ou servidor da Dell, e as partes concordam em tomar toda e qualquer medida cabível solicitada pela Dell para informar tal fato ao público e a outros que utilizem os serviços profissionais do Fornecedor. Cada uma das partes do presente concorda em assinar quaisquer documentos que possam ser exigidos ocasionalmente pela outra parte para implementar ou cumprir as obrigações dessa parte de acordo com este DPA, a Legislação de Privacidade ou a Legislação Aplicável. As partes concordam em tomar as medidas cabíveis necessárias para alterar este DPA ocasionalmente conforme seja necessário para que a Dell cumpra com a Legislação de Privacidade e a Legislação Aplicável. Interpretação. Qualquer ambiguidade neste DPA será resolvida em favor de um significado que permita que a Dell cumpra com a Legislação de Privacidade e a Lei Aplicável.
CLÁUSULAS CONTRATUAIS PADRÃO DA UE
Essas Cláusulas são anexadas a, e formam parte do, Contrato de Proteção de Dados (“DPA”) entre a Dell e o Fornecedor.
Para os fins das Cláusulas Contratuais Padrão da UE, o nome da organização exportadora de dados é Dell Products, uma sociedade de responsabilidade ilimitada constituída de acordo com as leis da Irlanda, registrada sob o número 191034 e cuja sede se localiza em 70 Sir John Rogerson’s Quay, Dublin 2, Ireland, juntamente com todas as outras entidades do grupo Dell (conforme definido abaixo), sendo que cada entidade da Dell tem o direito de pôr em vigor os termos dessas Cláusulas Contratuais Padrão na forma de um beneficiário terceiro com relação ao importador de dados a respeito de quaisquer dados pessoais que sejam processados por tal entidade da Dell como controlador, como se tal entidade da Dell estivesse solenizando seu próprio conjunto distinto de Cláusulas Contratuais Padrão com o importador de dados.
Entidade do grupo Dell significa uma parte ou qualquer empreendimento comercial que em todo momento esteja no controle de, seja controlada por, ou esteja sob controle comum em relação à Dell Products. “Controle” significa, com relação a uma empresa, o poder de uma pessoa assegurar, direta ou indiretamente, que os assuntos da empresa são conduzidos de acordo com osdesejos ou orientações dessa pessoa. “No controle de”, “controlado(a) por” e “sob controle comum” devem ser interpretadosconformemente.
1) CLÁUSULA 1 DEFINIÇÕES. Para as finalidades das Cláusulas:
a) ‘dados pessoais’, ‘categorias especiais de dados’, ‘processo/processamento’, ‘controlador’, ‘processador’,‘titular dos dados’ e ‘autoridade supervisionadora’ terão o mesmo significado descrito na Diretiva 95/46/EC doParlamento Europeu e do Conselho, de 24 de outubro de 1995, sobre a proteção de pessoas físicas com relação aoprocessamento de dados pessoais e sobre a livre movimentação de tais dados;
b) "o exportador de dados" significa o controlador que transfere os dados pessoais;
c) "o importador de dados" significa o processador que concorda em receber, do exportador de dados, dados pessoaisdestinados a processamento em seu nome após a transferência de acordo com suas instruções e os termos destasCláusulas, e que não está sujeito a um sistema de país terceiro, e que garanta proteção adequada dentro do significadodo Artigo 25(1) da Diretiva 95/46/EC;
d) "o subprocessador" significa qualquer processador contratado pelo importador de dados ou por qualquer outrosubprocessador do importador de dados que concorde em receber, do importador de dados ou de qualquer outrosubprocessador do importador de dados, dados pessoais exclusivamente destinados a atividades de processamento aserem executadas em nome do exportador de dados após a transferência de acordo com suas instruções, os termosdas Cláusulas e os termos do subcontrato por escrito;
e) "a legislação de proteção de dados aplicável" significa a legislação que protege os direitos e liberdades fundamentaisdos indivíduos e, em particular, seu direito à privacidade com relação ao processamento de dados pessoais aplicáveisa um controlador de dados no País Membro no qual o exportador de dados está estabelecido;
f) "medidas técnicas e organizacionais de segurança" significa as medidas que objetivam a proteção de dadospessoais contra destruição acidental ou ilícita, ou então perda, alteração, divulgação ou acesso não autorizadoacidentais, em particular nos casos em que o processamento envolve a transmissão de dados por uma rede, e contratodas as outras formas ilícitas de processamento.
2) CLÁUSULA 2 DETALHES DA TRANSFERÊNCIA. Os detalhes da transferência e em particular as categorias especiais dedados pessoais, onde aplicável, são especificados no Anexo 1, que forma uma parte integrante das Cláusulas.
3) CLÁUSULA 3 CLÁUSULA DE BENEFICIÁRIO TERCEIRO
1. O titular dos dados pode pôr em vigor, com relação ao exportador de dados, esta Cláusula, a Cláusula 4(b) até (i), aCláusula 5(a) até (e) e (g) até (j), a Cláusula 6(1) e (2), a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 a 12 comobeneficiário terceiro.
2. O titular dos dados pode pôr em vigor, com relação ao importador de dados, esta Cláusula, a Cláusula 5(a) a (e) e (g),a Cláusula 6, a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 a 12, nos casos em que o exportador de dados tenha, combase nos fatos, desaparecido ou cessado de existir legalmente, a menos que qualquer entidade sucessora tenhaassumido a totalidade das obrigações legais do exportador de dados por contrato ou de pleno direito, cujo resultadoseja a tomada dos direitos e obrigações do exportador de dados, em cujo caso o titular dos dados poderá pôr em vigortais cláusulas com relação a tal entidade.
3. O titular dos dados pode pôr em vigor, com relação ao subprocessador, esta Cláusula, a Cláusula 5(a) a (e) e (g), aCláusula 6, a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 a 12, nos casos em que tanto o exportador quanto o importadorde dados tenham, com base nos fatos, desaparecido ou cessado de existir legalmente, ou tenham se tornadoinsolventes, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações legais do exportadorde dados por contrato ou de pleno direito, cujo resultado seja a tomada dos direitos e obrigações do exportador dedados, em cujo caso o titular dos dados poderá pôr em vigor tais cláusulas com relação a tal entidade. Tal obrigação deterceiro do subprocessador será limitada a suas próprias operações de processamento de acordo com as Cláusulas.
4. As partes não se opõem a que um titular dos dados seja representado por uma associação ou outro órgão caso o titulardos dados assim o deseje expressamente, e se for permitido pela legislação nacional.
4) CLÁUSULA 4 OBRIGAÇÕES DO EXPORTADOR DE DADOS. O exportador de dados concorda e garante:
a) que o processamento, incluindo a transferência propriamente dita, dos dados pessoais, foi e continuará sendo realizadade acordo com os dispositivos relevantes da legislação de proteção de dados aplicável (e, onde for o caso, conformetenha sido notificado às autoridades competentes do País Membro em que o exportador de dados está estabelecido), eque ele não viola os dispositivos relevantes desse País;
b) que foi instruído, e enquanto durarem os serviços de processamento de dados pessoais, será instruído ao importadorde dados o processamento dos dados pessoais transferidos somente em nome do exportador de dados, e de acordocom a legislação de proteção de dados e as Cláusulas aplicáveis;
c) que o importador de dados fornecerá garantias suficientes a respeito das medidas técnicas e organizacionais desegurança especificadas no Anexo 2 a estas Cláusulas;
d) que, após a avaliação das exigências da legislação de proteção de dados aplicável, as medidas de segurança sãoapropriadas para proteger dados pessoais contra destruição acidental ou ilícita, ou então perda, alteração, divulgaçãoou acesso não autorizado acidentais, em particular nos casos em que o processamento envolve a transmissão de dadospor uma rede, e contra todas as outras formas ilícitas de processamento, e que essas medidas garantem um nível desegurança proporcional aos riscos apresentados pelo processamento e pela natureza dos dados a serem protegidos, eem observação à tecnologia de ponta e ao custo de sua implementação;
e) que ele garantirá o cumprimento das medidas de segurança;
f) que, se a transferência envolver categorias especiais de dados, o titular dos dados foi informado ou será informadoantes, ou logo que possível depois da transferência, que seus dados podem ser transmitidos para um país terceiro quenão fornece proteção adequada dentro do significado da Diretiva 95/46/EC;
g) que encaminhará qualquer notificação recebida do importador de dados ou qualquer subprocessador de acordo com aCláusula 5(b) e a Cláusula 8(3) à autoridade supervisionadora de proteção de dados se o exportador de dados decidircontinuar a transferência ou cancelar a suspensão;
h) que disponibilizará aos titulares dos dados, mediante solicitação, uma cópia das Cláusulas, com a exceção do Anexo 2,e uma descrição resumida das medidas de segurança, bem como uma cópia de qualquer contrato de serviços desubprocessamento que tenha de ser feito de acordo com as Cláusulas, a menos que as Cláusulas ou o contratocontenham informações comerciais, em cujo caso ele poderá remover tais informações comerciais;
i) que, na hipótese de subprocessamento, a atividade de subprocessamento será realizada, de acordo com a Cláusula11, por um subprocessador que forneça pelo menos o mesmo nível de proteção para os dados pessoais e os direitosdo titular dos dados oferecidos pelo importador de dados, de acordo com as Cláusulas; e
j) que ele garante o cumprimento da Cláusula 4(a) a (i).
5) CLÁUSULA 5 OBRIGAÇÕES DO IMPORTADOR DE DADOS. O importador de dados concorda e garante:
a) que processará os dados pessoais somente em nome do exportador de dados e em cumprimento de suas instruções edas Cláusulas; se ele não puder garantir tal cumprimento por quaisquer que sejam os motivos, ele concorda em informarprontamente ao exportador de dados sobre essa incapacidade de cumprimento, em cujo caso o exportador de dadosterá o direito de suspender a transferência de dados e/ou de rescindir o contrato;
b) que ele não tem motivos que o levem a acreditar que a legislação aplicável a ele o impeça de seguir as instruçõesrecebidas do exportador de dados e de cumprir as obrigações previstas no contrato, e que, na hipótese de uma alteraçãonessa legislação que possa ter efeito substancialmente adverso nas garantias e obrigações previstas nas Cláusulas,ele notificará prontamente a alteração ao exportador de dados logo que tome ciência do fato, em cujo caso o exportadorde dados terá o direito de suspender a transferência de dados e/ou de rescindir o contrato;
c) que ele implementou as medidas técnicas e organizacionais de segurança especificadas no Anexo 2 antes de processaros dados pessoais transferidos;
d) que ele notificará prontamente o exportador de dados sobre:
i) qualquer exigência legalmente obrigatória para divulgação dos dados pessoais proveniente de uma autoridaderesponsável pela manutenção da lei, a menos que seja de outra forma proibido, tal como uma proibição prevista nodireito penal, no sentido de preservar a confidencialidade de uma investigação para fins de manutenção da lei;
ii) qualquer acesso acidental ou não autorizado; e
iii) qualquer solicitação recebida diretamente dos titulares dos dados sem responder a essa solicitação, a menos quetenha sido de outra forma autorizado a fazê-lo;
e) que lidará pronta e adequadamente com quaisquer consultas do exportador de dados relativas ao processamento dosdados pessoais sujeitos à transferência e que seguirá as determinações da autoridade supervisionadora com relaçãoao processamento dos dados transferidos;
f) que, mediante solicitação do exportador de dados, submeterá suas instalações de processamento de dados à auditoriadas atividades de processamento coberta pelas Cláusulas, a ser realizada pelo exportador de dados ou por órgãofiscalizador composto de membros independentes e de posse das qualificações profissionais necessárias, sujeito a um
dever de confidencialidade, selecionado pelo exportador de dados, se aplicável, em acordo com a autoridade supervisionadora;
g) que vai disponibilizar ao titular dos dados, mediante solicitação, uma cópia das Cláusulas, ou de qualquer contrato desubprocessamento existente, a menos que as Cláusulas ou contrato contenham informações comerciais, em cujo casoele poderá remover tais informações comerciais, com a exceção do Anexo 2, que será substituído por uma descriçãoresumida das medidas de segurança, nos casos em que o titular dos dados não possa obter uma cópia junto aoexportador de dados;
h) que, na eventualidade de subprocessamento, ele informou previamente o exportador de dados e obteve seuconsentimento prévio por escrito;
i) que os serviços de processamento por parte do subprocessador serão efetuados de acordo com a Cláusula 11(Subprocessamento);
j) que enviará prontamente ao exportador de dados uma cópia de qualquer contrato de subprocessamento que eleexecutar de acordo com as Cláusulas.
6) CLÁUSULA 6 RESPONSABILIDADE
1. As partes concordam que qualquer titular de dados que tenha sofrido dano como resultado de violação das obrigaçõesmencionadas na Cláusula 3 ou na Cláusula 11 cometida por qualquer parte ou subprocessador tem o direito de recebercompensação do exportador de dados pelo dano sofrido.
2. Se um titular de dados não puder propor um pedido de compensação, de acordo com o parágrafo 1, ao exportador dedados, como resultado de uma violação do exportador de dados ou de seu subprocessador, de qualquer uma de suasobrigações mencionadas na Cláusula 3 ou na Cláusula 11, pelo fato de o exportador de dados ter supostamentedesaparecido ou cessado de existir legalmente ou de ter se tornado insolvente, o importador de dados concorda que otitular dos dados poderá reclamar junto ao importador de dados como se fosse o exportador de dados, a menos quequalquer entidade sucessora tenha assumido a totalidade das obrigações legais do exportador de dados por contratoou de pleno direito, em cujo caso o titular dos dados poderá exigir seus direitos a tal entidade.
O importador de dados não pode basear-se em uma violação de obrigações por parte de um subprocessador paraevadir-se de suas próprias responsabilidades.
3. Se um titular de dados não puder fazer uma reivindicação ao exportador de dados ou ao importador de dadosreferenciada nos parágrafos 1 e 2, como resultado de uma violação, por parte do subprocessador, de qualquer uma desuas obrigações mencionadas na Cláusula 3 ou na Cláusula 11, pelo fato de o exportador de dados e o importador dedados terem supostamente desaparecido ou cessado de existir legalmente ou de terem se tornado insolventes, osubprocessador concorda que o titular dos dados poderá reclamar junto ao subprocessador de dados com relação àssuas próprias operações de processamento de acordo com as Cláusulas como se ele fosse o exportador de dados ouo importador de dados, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações legaisdo exportador de dados ou do importador de dados por contrato ou de pleno direito, em cujo caso o titular dos dadospoderá exigir seus direitos a tal entidade. A responsabilidade do subprocessador será limitada às suas própriasoperações de processamento, de acordo com as Cláusulas.
7) CLÁUSULA 7 MEDIAÇÃO E JURISDIÇÃO
1. O importador de dados concorda que, se o titular dos dados reivindicar direitos de beneficiário terceiro e/ou pedircompensação por danos de acordo com as Cláusulas, o importador de dados aceitará a decisão do titular dos dados:
a. de encaminhar a questão para mediação, por uma pessoa independente ou, quando aplicável, pela autoridadesupervisionadora;
b. de encaminhar a questão à justiça do País Membro no qual o exportador de dados esteja estabelecido.
2. As partes concordam que a opção feita pelo titular dos dados não prejudicará seus direitos materiais ou processuais debuscar os recursos legais de acordo com outras provisões da legislação nacional ou internacional.
8) CLÁUSULA 8 COOPERAÇÃO COM AUTORIDADES SUPERVISIONADORAS
1. O exportador de dados concorda em depositar uma cópia deste contrato junto à autoridade supervisionadora se elaassim o solicitar, ou se tal depósito for exigido de acordo com a legislação de proteção de dados aplicável.
2. As partes concordam que a autoridade supervisionadora tem o direito de conduzir uma auditoria do importador de dados, e de qualquer subprocessador, que tenha o mesmo âmbito e esteja sujeita às mesmas condições que se aplicariam auma auditoria do exportador de dados de acordo com a legislação de proteção de dados aplicável.
3. O importador de dados informará prontamente ao exportador de dados sobre a existência de legislação aplicável aopróprio ou a qualquer subprocessador que impeça a condução de uma auditoria do importador de dados, ou de qualquersubprocessador, de acordo com o parágrafo 2. Em tal caso, o exportador de dados terá o direito de tomar as medidasprevistas na Cláusula 5(b).
9) CLÁUSULA 9 LEI APLICÁVEL. As Cláusulas serão regidas pela legislação do País Membro em que o exportador de dadosestiver estabelecido.
10) CLÁUSULA 10 VARIAÇÃO DO CONTRATO. As partes se obrigam a não modificar as Cláusulas. Isso não impede que aspartes incluam cláusulas sobre questões relativas a negócios onde for necessário, desde que não contradigam as Cláusulas.
11) CLÁUSULA 11 SUBPROCESSAMENTO
1. O importador de dados não subcontratará nenhuma de suas operações de processamento executadas em nome doexportador de dados de acordo com as Cláusulas, sem o consentimento prévio por escrito do exportador de dados. Noscasos em que o importador de dados subcontrate suas obrigações de acordo com as Cláusulas, com o consentimento doexportador de dados, ele fará isso somente por meio de contrato por escrito com o subprocessador, o qual imponha aosubprocessador as mesmas obrigações impostas ao importador de dados de acordo com as Cláusulas. Nos casos em queo subprocessador não cumpra suas obrigações de proteção de dados de acordo com tal contrato por escrito, o importadorde dados permanecerá integralmente responsável, perante o exportador de dados, pelo cumprimento das obrigações dosubprocessador, de acordo com tal contrato.
2. O contrato prévio por escrito entre o importador de dados e o subprocessador também preverá uma cláusula de beneficiárioterceiro, conforme estabelecido na Cláusula 3, para os casos em que o titular dos dados não possa propor um pedido decompensação referido no parágrafo 1 da Cláusula 6 ao exportador de dados ou ao importador de dados pelo fato de elesterem supostamente desaparecido ou cessado de existir legalmente ou de terem se tornado insolventes, e nenhuma entidadesucessora tenha assumido a totalidade das obrigações legais do exportador de dados ou do importador de dados por contratoou de pleno direito. Tal obrigação de terceiro do subprocessador será limitada a suas próprias operações de processamentode acordo com as Cláusulas.
3. As provisões relativas a aspectos de proteção de dados para subprocessamento constantes do contrato mencionado noparágrafo 1 serão regidas pela legislação do País Membro no qual o exportador de dados esteja estabelecido.
4. O exportador de dados manterá uma lista de contratos de subprocessamento executados de acordo com as Cláusulas enotificados pelo importador de dados, de acordo com a Cláusula 5(j), a qual será atualizada pelo menos uma vez por ano. Alista ficará disponível à autoridade supervisionadora de proteção de dados do exportador de dados.
12) CLÁUSULA 12 OBRIGAÇÃO APÓS O TÉRMINO DOS SERVIÇOS DE PROCESSAMENTO DE DADOS PESSOAIS
1. As partes concordam que, ao término do fornecimento de serviços de processamento de dados, o importador de dados e osubprocessador, a critério do exportador de dados, devolverão todos os dados pessoais transferidos e as cópias dos mesmosao exportador de dados ou destruirão todos os dados pessoais e certificarão ao exportador de dados que o fizeram, a menosque alguma legislação imposta ao importador de dados o impeça de devolver ou destruir todos ou parte dos dados pessoaistransferidos. Nesse caso, o importador de dados certifica que garantirá a confidencialidade dos dados pessoais transferidose não processará ativamente de forma alguma os dados pessoais transferidos.
2. O importador de dados e o subprocessador garantem que, mediante a solicitação do exportador de dados e/ou da autoridadesupervisionadora, eles submeterão suas instalações de processamento de dados a uma auditoria das medidas mencionadasno parágrafo 1.
ANEXO 1 ÁS CLÁUSULAS CONTRATUAIS PADRÃO
Essas Cláusulas são anexadas a, e formam parte do, Contrato de Proteção de Dados (“DPA”) entre a Dell e o Fornecedor. Este anexo é parte integrante das Cláusulas. Os Países Membros podem preencher ou especificar, de acordo com seus procedimentos internos, quaisquer informações adicionais necessárias a serem contidas neste Anexo.
EXPORTADOR DE DADOS. O exportador de dados é identificado no início das Cláusulas e é um fornecedor de produtos e serviços de TI. O exportador de dados indicou o importador de dados para fornecer determinados produtos e/ou serviços conforme especificado no Contrato de Fornecedor. Para facilitar o fornecimento desses produtos e serviços, o exportador de dados concederá ao importador de dados acesso aos dados pessoais descritos abaixo.
IMPORTADOR DE DADOS. O importador de dados é um signatário das Cláusulas e um fornecedor de produtos e/ou serviços. O importador de dados será o destinatário de dados pessoais que serão exportados pelo exportador de dados para o importador de dados conforme descrito abaixo.
TITULARES DOS DADOS. Os dados pessoais transferidos podem ser concernentes às seguintes categorias de titulares de dados:
Funcionários e parceiros antigos, atuais e em potencial;
Clientes antigos, atuais e em potencial;
Conselheiros, consultores, fornecedores, contratados, subcontratados e agentes antigos, atuais e em potencial;
Reclamantes, correspondentes e consulentes
Beneficiários, pais, responsáveis.
CATEGORIAS DE DADOS. Os dados pessoais dos titulares de dados transferidos podem ser concernentes às seguintes categorias de dados:
1. Detalhes de contato (que podem incluir detalhes de contato como nome, endereço, endereço de e-mail, telefone e fax einformações associadas de fuso horário local);
2. Detalhes de emprego (que podem incluir nome da empresa, cargo, nível, dados demográficos e de localização);
3. Informações de sistemas de TI (que podem incluir ID e senha de usuário, nome do computador, nome do domínio,endereço IP e informações de rastreamento de padrão de uso do software, isto é, cookies);
4. Dados de conteúdo e transmissão de e-mail do titular dos dados, os quais sejam disponibilizados de forma incidental paraprover consultoria, suporte e serviços de tecnologia da informação (o acesso incidental pode incluir acesso ao conteúdo decomunicações por e-mail e dados relativos ao envio, roteamento e entrega de e-mails);
5. Detalhes de bens ou serviços fornecidos aos, ou para o benefício dos, titulares dos dados;
6. Detalhes financeiros (por exemplo, detalhes bancários, de crédito e pagamento).
CATEGORIAS ESPECIAIS DE DADOS (SE APROPRIADO). Dados pessoais que revelem origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, pareceres, associações ou atividades sindicais, arquivos de seguridade social e dados relativos a saúde (inclusive condição de saúde física ou mental), vida sexual e informações relativas a delitos ou supostos delitos criminais e quaisquer trâmites legais, e incluirão categorias especiais de dados conforme definido no Artigo 8 da Diretiva 95/46/EC.
OPERAÇÕES DE PROCESSAMENTO. Os dados pessoais transferidos podem estar sujeitos às seguintes atividades de processamento: Qualquer operação relativa a dados pessoais, independentemente do meio e dos procedimentos aplicados, em particular a obtenção, coleta, registro, organização, armazenamento, retenção, uso, correção, adaptação, alteração, divulgação, disseminação ou de outra forma a disponibilização, alinhamento, combinação, recuperação, consulta, arquivamento, transmissão, bloqueio, apagamento ou destruição de dados, a operação e manutenção de sistemas, gerenciamento e geração de relatórios de gerenciamento, geração de relatórios financeiros, gerenciamento de risco, funções legais, de auditoria e conformidade, e incluirão "processamento", que terá o significado dado a tal termo na Diretiva.
ANEXO 2 ÀS CLÁUSULAS CONTRATUAIS PADRÃO Visão Geral da Segurança das Informações do Importador de Dados
Essas Cláusulas são anexadas a, e formam parte do, Contrato de Proteção de Dados (“DPA”) entre a Dell e o Fornecedor. Este Anexo 2 define uma descrição das medidas técnicas e organizacionais de segurança implementadas pelo importador de dados de acordo com as Cláusulas 4(d) e 5(c). O importador de dados leva a sério a segurança das informações e esta abordagem é seguida em seu processamento e transferências de dados pessoais. A visão geral da segurança das informações se aplica aos controles corporativos do importador de dados para salvaguardar dados pessoais que sejam processados e transferidos entre as empresas do grupo do importador de dados. O programa de segurança das informações do importador de dados permite que a força de trabalho compreenda suas responsabilidades. Algumas soluções de cliente podem ter salvaguardas alternativas delineadas na especificação de serviço conforme acordado com cada cliente.
PRÁTICAS DE SEGURANÇA. O importador de dados possui práticas e padrões de segurança de informações corporativas implementadas que se destinam a salvaguardar o ambiente corporativo do importador de dados e a atingir os objetivos do negócio nas seguintes áreas: (1) segurança das informações, (2) gerenciamento de sistemas e ativos, (3) desenvolvimento e (4) governança. Essas práticas e padrões são aprovados pela diretoria executiva do importador de dados e são periodicamente revistas e atualizadas quando necessário. O importador de dados manterá um programa apropriado de segurança de informações e privacidade de dados, incluindo políticas e procedimentos para restrições de acesso físico e lógico, classificação de dados, direitos de acesso, programas de credenciamento, retenção de registros, privacidade de dados, segurança das informações e o tratamento de dados pessoais e confidenciais em todo o seu ciclo de vida. As principais políticas devem ser revistas pelo menos uma vez por ano.
SEGURANÇA ORGANIZACIONAL O cumprimento dessas práticas e padrões é de responsabilidade dos indivíduos de toda a organização do importador de dados. Para facilitar a adesão da empresa a essas práticas e padrões, a função de Segurança das Informações do importador de dados (“SI”) tem a responsabilidade pelas seguintes atividades:
1. Estratégia de segurança – a função de SI orienta os rumos da segurança do importador de dados. A função de SI trabalhapara garantir a conformidade com políticas, padrões e regulamentos relacionados à segurança, e para gerar conscientização e fornecer treinamento aos usuários. A função de SI também executa avaliações de risco e atividades de gerenciamento derisco, além de administrar os requisitos contratuais de segurança.
2. Engenharia de segurança – a função de SI gerencia testes, projetos e implementações de soluções de segurança parapermitir a adoção de controles de segurança em todo o ambiente.
3. Operações de segurança – a função de SI gerencia o suporte a soluções de segurança, monitora e verifica o ambiente eos ativos, e gerencia a resposta a incidentes.
4. Investigações judiciais – a função de SI trabalha com Operações de Segurança, o Departamento Jurídico, o Gabinete dePrivacidade Global e os Recursos Humanos para realizar investigações, inclusive eDiscovery e eForensics.
5. Consultoria e testes de segurança – a função de SI trabalha com desenvolvedores de software para estabelecer asmelhores práticas de segurança, realiza consultas de desenvolvimento e arquitetura de aplicativos para projetos de softwaree executa testes de garantia.
CLASSIFICAÇÃO E CONTROLE DE ATIVOS. A prática do importador de dados é controlar e gerenciar informações fundamentais e ativos físicos, lógicos e de software. Exemplos dos ativos que o importador de dados pode controlar incluem:
ativos de informações, como bancos de dados identificados, planos de recuperação de desastres, planos decontinuidade do negócio, classificação de dados e informações arquivadas
ativos de software, como aplicativos identificados e software de sistema
ativos físicos, como servidores identificados, desktops/laptops, fitas de backup/arquivamento, impressoras eequipamento de comunicação.
Os ativos são classificados com base na importância para o negócio, a fim de determinar os requisitos de confidencialidade. As diretrizes do setor para manipulação de dados pessoais estabelecem a estrutura das salvaguardas técnicas, organizacionais e físicas. Essas salvaguardas podem incluir controles como gerenciamento de acesso, criptografia, registro e monitoramento, e destruição de dados.
TRIAGEM, TREINAMENTO E SEGURANÇA DE FUNCIONÁRIOS
1. Triagem/verificações de antecedentes: Nos casos cabíveis e apropriados, como parte do processo deemprego/recrutamento, o importador de dados realizará triagens/verificações de antecedentes nos funcionários (as quaisvariam de um país para outro com base nas leis e regulamentos locais), nos casos em que tais funcionários tenham acessoa redes, sistemas ou instalações do importador de dados.
2. Identificação: O importador de dados exigirá que todos os funcionários forneçam prova de identificação e qualquerdocumentação adicional que possa ser necessária com base no país de contratação ou se for exigido por outras entidadesou clientes de importação de dados para quem o funcionário esteja fornecendo serviços.
3. Treinamento: O programa de treinamento anual de conformidade do importador de dados inclui uma exigência de que osfuncionários façam um curso de conscientização sobre proteção de dados e segurança de informações e passem por umaavaliação no final do curso. O curso de conscientização sobre segurança também pode fornecer materiais específicos paradeterminados cargos.
4. Confidencialidade: O importador de dados garantirá que seus funcionários sejam legalmente obrigados a proteger e mantera confidencialidade de quaisquer dados pessoais que eles manipulem, de acordo com os contratos padrão.
CONTROLES DE ACESSO FÍSICO E SEGURANÇA AMBIENTAL
1. Programa de Segurança Física: O importador de dados usará várias abordagens tecnológicas e operacionais em seuprograma de segurança física para atenuar riscos à segurança até o limite razoavelmente exequível. A equipe de segurançado importador de dados trabalha o mais próximo possível de cada local para determinar a implantação de medidasapropriadas a fim de impedir que pessoas não autorizadas obtenham acesso a sistemas dentro dos quais dados pessoaissejam processados e para monitorar continuamente quaisquer alterações na infraestrutura física, na empresa e nas ameaçasconhecidas. Ela também monitora medidas de melhores práticas usadas por outras empresas do setor e selecionacriteriosamente abordagens que atendam tanto às peculiaridades da prática de negócios quanto às expectativas doimportador de dados. O importador de dados avalia sua abordagem em termos de segurança considerando elementos decontrole que incluam arquiteturas, operações e sistemas.
2. Controles de Acesso Físico: Os controles de acesso físico/medidas de segurança nas instalações do importador de dadosdestinam-se a cumprir os seguintes requisitos:
(a) o acesso aos prédios, instalações e outros locais de trabalho do importador de dados serão controlados e baseados nasnecessidades do negócio, na sensibilidade dos ativos e na função e relacionamento dos indivíduos com o importadorde dados. Somente pessoas associadas ao importador de dados receberão acesso às instalações e recursos físicos doimportador de dados de forma coerente com sua função e responsabilidades na organização;
(b) as instalações relevantes do importador de dados são protegidas por um sistema de controle de acesso. O acesso atais instalações é concedido somente por meio de cartão ativado;
(c) todas as pessoas que precisem de acesso às instalações e/ou recursos receberão credenciais exclusivas de acessofísico (por exemplo, um crachá ou cartão de acesso atribuído a um indivíduo) fornecidas pela função de SI. Os indivíduosque receberem credenciais exclusivas de acesso físico são instruídos a não permitir ou capacitar outros indivíduos aacessarem as instalações ou recursos do importador de dados usando suas credenciais exclusivas (ou seja, impedir"caronas"). É possível emitir credenciais temporárias (válidas por até 14 dias) para indivíduos que não tenhamidentidades ativas quando for necessário (i) para o acesso a uma instalação específica e (ii) para necessidades válidasna empresa. As credenciais exclusivas são intransferíveis e, se um indivíduo não puder apresentar suas credenciaismediante solicitação, ele poderá ter sua entrada negada nas instalações do importador de dados ou ser convidado asair das instalações. Em acessos com recepcionistas, os indivíduos são solicitados a apresentar ao representante dasegurança, na entrada, uma identificação válida com foto ou credenciais válidas. Os indivíduos que tiverem perdido ouextraviado suas credenciais ou outro tipo de identificação serão solicitados a entrar por um acesso com recepcionista ereceberão um crachá temporário de um representante da segurança;
(d) os funcionários são treinados regularmente e lembrados para estar sempre de posse de suas credenciais, armazenarseus laptops, dispositivos portáteis e documentos em local seguro (especialmente durante viagens) e fazer logout ouencerrar o sistema de seus computadores quando não estiverem em suas mesas;
(e) os visitantes que precisarem de acesso às instalações do importador de dados deverão utilizar uma entrada principalou com recepcionista. Os visitantes devem registrar sua data e hora de chegada, o horário de saída do prédio e o nomeda pessoa visitada. Os visitantes devem apresentar alguma forma de identificação atualizada emitida por órgãogovernamental para validar sua identidade. Para impedir o acesso a, ou a divulgação de, informações proprietárias daempresa, é vedado o acesso de visitantes não acompanhados a áreas restritas ou controladas;
(f) as instalações restritas do importador de dados usam monitoramento por circuito interno de televisão, guardas desegurança e outras medidas físicas quando apropriado e permitido por lei;
(g) recipientes trancados para fragmentação são fornecidos na maioria dos locais de trabalho para permitir a destruiçãosegura de informações confidenciais/dados pessoais;
(h) para os principais centros de dados do importador de dados, há disponibilidade de guardas de segurança, sistemas dealimentação ininterrupta (UPS) e geradores, além de padrões de controle de alterações;
(i) para projetos de implantação de desenvolvimento e infraestrutura de software, a função de SI usa um processo deavaliação de risco e um programa de classificação de dados para gerenciar o risco proveniente de tais atividades.
GERENCIAMENTO DE MUDANÇAS. A organização de TI gerencia as alterações feitas na infraestrutura, sistemas e aplicativos corporativos por meio de um programa centralizado de gerenciamento de mudanças, que pode incluir testes, análise de impacto no negócio e aprovação da gerência quando apropriado. Todos os desenvolvimentos relevantes de aplicativos e sistemas adotam um processo aprovado de gerenciamento de mudanças.
INCIDENTES DE SEGURANÇA E PLANO DE RESPOSTA
1. Plano de resposta a incidentes de segurança: O importador de dados mantém uma política de resposta a incidentes desegurança, além de planos e procedimentos relacionados que atendam às medidas tomadas pelo importador de dados naeventualidade de perda de controle, roubo, divulgação não autorizada, acesso não autorizado ou aquisição não autorizadade dados pessoais. Essas medidas podem incluir análise de incidentes, contenção, resposta, remediação, geração derelatórios e a volta às operações normais.
2. Controles de resposta: Existem controles implementados para proteger contra, e para apoiar a detecção de, uso maliciosode ativos e software malicioso e para comunicar incidentes em potencial à função de SI do importador de dados ao Servicedesk, a fim de que se tomem as medidas apropriadas. Os controles podem incluir, entre outros: políticas e padrões desegurança de informações; acesso restrito; ambientes designados para desenvolvimento e teste; detecção de vírus emservidores, desktops e notebooks; verificação de vírus em anexos de e-mail; verificações de conformidade de sistemas;monitoramento preventivo e resposta a invasões; regras de firewall; registro e alertas sobre eventos-chave; procedimentosde tratamento de informações baseados no tipo de dados; segurança de aplicativos e redes de e-commerce (comércioeletrônico); e verificação de vulnerabilidade de sistemas e aplicativos. Controles adicionais podem ser implementados combase no risco.
CONTROLE E CRIPTOGRAFIA DE TRANSMISSÃO DE DADOS. O importador de dados, até o limite de seu controle sobre quaisquer transmissões ou transferências eletrônicas de dados pessoais, tomará todas as medidas cabíveis para garantir que tais transmissões ou transferências não possam ser lidas, copiadas, alteradas ou removidas sem a autorização adequada durante as transmissões ou transferências. Em particular, o importador de dados:
1. implementará práticas de criptografia de padrão industrial na transmissão de dados pessoais. Os métodos de criptografiade padrão industrial usados pelo importador de dados incluem Secure Sockets Layer (SSL), Transport Layer Security (TLS),um programa de secure shell como SSH, e/ou Internet Protocol Security (IPSec);
2. se for tecnicamente viável, criptografará todos os dados pessoais, incluindo, em particular, quaisquer dados pessoaissensíveis ou informações confidenciais, ao transmitir ou transferir esses dados em qualquer rede pública ou em qualquerrede que não seja de propriedade do importador de dados e mantida por ele. A política do importador de dados reconheceque a criptografia é ineficaz, a menos que a chave de criptografia fique inacessível a indivíduos não autorizados e que eleinstrua a equipe a nunca fornecer uma chave de criptografia pelo mesmo canal do documento criptografado;
3. para aplicativos voltados à Internet que possam manipular dados pessoais sensíveis e/ou oferecer integração em temporeal com sistemas em uma rede que contenha tais informações (incluindo rede central do importador de dados), um WebApplication Firewall (WAF) poderá ser usado para fornecer uma camada adicional de verificação de entrada de dados eatenuação de ataques. O WAF será configurado para atenuar potenciais vulnerabilidades, como ataques por injeção,estouros de buffer, manipulação de cookie e outros métodos de ataque comuns.
CONTROLES DE ACESSO AO SISTEMA. O acesso aos sistemas do importador de dados está restrito a usuários autorizados. O acesso é concedido com base em procedimentos formais destinados a garantir a concessão das aprovações adequadas, de forma a impedir o acesso de indivíduos não autorizados. Tais procedimentos incluem:
1. controles de admissão (isto é, medidas para impedir que pessoas não autorizadas usem sistemas de processamento dedados):
(a) o acesso é fornecido com base na segregação de funções e no princípio do menor privilégio para reduzir o risco de usoindevido, intenção ou outro;
(b) o acesso a sistemas de TI será concedido somente quando um usuário for registrado com um nome de usuário e senhaválidos;
(c) o importador de dados tem uma política de senha implantada que requer senhas fortes para login do usuário nos laptopsdistribuídos, proíbe o compartilhamento de senhas, proíbe o uso de senhas que também sejam usadas para funçõesalheias ao trabalho e aconselha os usuários quanto ao que fazer na eventualidade de que sua senha ou outrascredenciais de login sejam perdidas, roubadas ou comprometidas;
(d) obrigatoriedade de alterações periódicas das senhas;
(e) bloqueio automático de computadores e acesso renovado ao PC somente após novo registro com um nome de usuárioe senha válidos;
(f) a classificação de dados e usuários determina o tipo de autenticação que deve ser usado por cada sistema;
(g) os recursos de acesso remoto e computação sem fio são restritos e requerem a implementação de salvaguardas deusuários e sistemas, bem como autenticação de usuários.
2. controles de acesso (isto é, medidas para impedir o acesso não autorizado a sistemas):
(a) a autorização de acesso é emitida com relação à área de trabalho específica designada ao indivíduo (isto é, a funçãono trabalho);
(b) ajuste de autorizações de acesso no caso de alterações na área de trabalho, ou no caso de rescisão do contrato detrabalho do funcionário por algum motivo;
(c) concessão, remoção e revisão de privilégios de administrador com os controles adicionais apropriados e somente sefor necessário para dar suporte ao(s) sistema(s) em questão;
(d) registros de eventos dos principais dispositivos e sistemas são coletados e reportados de forma centralizada quandoacontecem exceções, para permitir a resposta ao incidente e a realização de investigações jurídicas.
CONTROLE DE ACESSO A DADOS. O importador de dados aplica os controles estipulados abaixo com relação ao acesso e uso de dados pessoais:
1. a equipe é instruída a usar somente o volume mínimo de dados pessoais necessário aos fins comerciais relevantes doimportador de dados
2. a equipe é instruída a não ler, copiar, modificar nem remover dados pessoais, a menos que seja necessário para realizarsuas tarefas de trabalho;
3. o uso de dados pessoais por terceiros é regido por termos e condições contratuais entre o terceiro e o importador de dadosque impõe limites ao uso de dados pessoais por parte do terceiro e restringe tal uso ao estritamente necessário para que oterceiro forneça serviços;
CONTROLE DE SEPARAÇÃO. Quando for exigido por lei, o importador de dados garantirá que os dados pessoais coletados para finalidades diversas poderão ser processados separadamente. O importador de dados também garantirá que haja separação entre os sistemas de teste e produção.
CONTROLE DE DISPONIBILIDADE. O importador de dados protege dados pessoais de destruição ou perda acidental, seguindo estes controles:
1. os dados pessoais são retidos de acordo com o contrato do cliente ou, na ausência deste, com a política e as práticas degerenciamento de registros, bem como com os requisitos legais de retenção;
2. os dados pessoais em cópia impressa são descartados em um recipiente de descarte seguro ou em uma fragmentadora depapel de corte cruzado, de modo que as informações não possam mais ser decifradas;
3. os dados pessoais eletrônicos são fornecidos à equipe de Gerenciamento de Ativos de TI para o descarte adequado;
4. há medidas técnicas apropriadas implementadas, incluindo, entre outras: instalação de software antivírus em sistemas;proteção à rede por meio de firewall; segmentação da rede; uso de filtragem de conteúdo/proxies; alimentação ininterrupta;geração regular de backups; espelhamento de disco rígido quando necessário; sistema de segurança contra incêndios;sistemas de proteção contra vazamentos de água quando necessário; planos de emergência; e salas de servidoresrefrigeradas.
CONTROLE DE ENTRADA DE DADOS. O importador de dados tem, sempre que for apropriado, medidas destinadas a verificar se e por quem os dados pessoais foram inseridos em sistemas de processamento de dados, ou se tais dados foram modificados ou removidos. O acesso a aplicativos relevantes é registrado.
DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS. As vulnerabilidades de terceiros divulgadas publicamente são analisadas quanto à sua aplicabilidade no ambiente do importador de dados. Com base no risco para o negócio e para os clientes do importador de dados, existem prazos de remediação predeterminados Além disso, a detecção e a avaliação de vulnerabilidades são executadas em aplicativos novos e fundamentais, e na infraestrutura, com base no risco. As análises e os verificadores de código são usados no ambiente de desenvolvimento antes da produção para detectar, de forma proativa, vulnerabilidades de codificação com base no risco. Esses processos permitem a identificação proativa de vulnerabilidades, bem como a conformidade necessária.
CONFORMIDADE. Os departamentos de segurança das informações, jurídico, de privacidade e de conformidade trabalham juntos para identificar leis e regulamentos regionais que possam ser aplicáveis ao importador de dados. Esses requisitos cobrem áreas como propriedade intelectual do importador de dados e de seus clientes, licenças de software, proteção de informações pessoais de funcionários e clientes, procedimentos de proteção e manipulação de dados, transmissão de dados além-fronteiras, procedimentos financeiros e operacionais, controles regulatórios de exportação na área de tecnologia e requisitos jurídicos. Mecanismos como o programa de segurança de informações, o conselho executivo de privacidade, auditorias/avaliações internas e externas, consultoria jurídica interna e externa, avaliação de controles internos, testes internos de invasão e avaliações de vulnerabilidade, gerenciamento de contratos, conscientização sobre segurança, consultoria de segurança, análises de exceções de políticas e gerenciamento, tudo isso se combina para conduzir à conformidade com esses requisitos.
CONTRATO DE SUBCONTRATAÇÃO da HIPAA para os EUA
A Dell Inc. e suas subsidiárias diretas e indiretas em todo o mundo (“Dell” ou “Associado Comercial”) e o Fornecedor, sua empresa controladora e suas subsidiárias diretas e indiretas em todo o mundo (“Subcontratado”) celebraram um contrato, de acordo com o qual a Dell compra produtos do Fornecedor e o Fornecedor realiza serviços em nome da Dell (“Contrato de Fornecedor”). Esse Contrato de Subcontratação da HIPAA (“Contrato da HIPAA”) é anexado ao, e faz parte do, Contrato de Proteção de Dados (“DPA”) entre a Dell e o Subcontratado.
1. DECLARAÇÃO DE FINALIDADE. A DELL ESTÁ ENVOLVIDA NO FORNECIMENTO DE DETERMINADOS SERVIÇOSAOS SEUS CLIENTES. COM RELAÇÃO A ESSE ENVOLVIMENTO, A DELL CELEBROU CONTRATOS DE ASSOCIAÇÃOCOMERCIAL COM ALGUNS DE SEUS CLIENTES, CONFORME EXIGIDO PELAS REGRAS DE PRIVACIDADE ESEGURANÇA DA LEI DE PORTABILIDADE E RESPONSABILIDADE DE SEGUROS DE SAÚDE - HEALTH INSURANCEPORTABILITY AND ACCOUNTABILITY ACT - DE 1996 (“HIPAA”). A DELL AGORA ESTÁ CELEBRANDO ESTECONTRATO DA HIPAA COM O SUBCONTRATADO COM RELAÇÃO À SUBCONTRATAÇÃO, POR PARTE DA DELL, DETODO OU PARTE DO DESEMPENHO DE TAIS SERVIÇOS AO SUBCONTRATADO, DE ACORDO COM O(S)CONTRATO(S) DE FORNECEDOR. AS PARTES RECONHECEM QUE O SUBCONTRATADO PODERÁ SERRESPONSÁVEL POR INSTALAÇÕES OU SISTEMAS QUE ALOJEM OU CONTENHAM INFORMAÇÕES PROTEGIDASDE SAÚDE (PHI), E/OU POSSAM ESTAR EXPOSTAS A ATIVIDADES DE, CRIAR, RECEBER, MANTER, TRANSMITIROU TOMAR CIÊNCIA DE PHI NO DESEMPENHO DOS SERVIÇOS PREVISTOS NO(S) CONTRATO(S) DEFORNECEDOR ENTRE A DELL E O SUBCONTRATADO. ESTE CONTRATO DA HIPAA CONSTITUI AS GARANTIAS POR ESCRITO EXIGIDAS PELAS REGRAS DA HIPAA COM RELAÇÃO ÀS ATIVIDADES DO SUBCONTRATADO DE ACORDOCOM ESTE CONTRATO DA HIPAA E O(S) CONTRATO(S) DE FORNECEDOR.
2. ORDEM DE PRECEDÊNCIA. Na hipótese de que algum dispositivo deste Contrato da HIPAA seja contrário a algumdispositivo de um Contrato de Fornecedor, o dispositivo deste Contrato da HIPAA terá a precedência. Qualquer ambiguidadenos termos deste Contrato da HIPAA será resolvida de forma a permitir que a Dell e os Clientes da Dell estejam emconformidade com a HIPAA. Nada neste Contrato da HIPAA alterará ou modificará quaisquer termos do(s) Contrato(s) deFornecedor que proíbam o Subcontratado de manter subcontratados ou agentes para auxiliar no desempenho de Serviçospara a Dell.
3. DEFINIÇÕES. Os termos iniciados com maiúsculas não especificamente definidos neste Contrato da HIPAA têm ossignificados estabelecidos no DPA, no NDA ou no Contrato de Fornecedor aplicável.
3.1. "Violação" tem o significado estipulado no Código de Regulamentos Federais dos EUA - C.F.R., Título 45, § 164.402.
3.2. “Entidade Coberta” tem o significado estipulado no Código de Regulamentos Federais dos EUA - C.F.R., Título 45,§ 160.103.
3.3. “Clientes” significa clientes da Dell que sejam Entidades Cobertas de acordo com a HIPAA.
3.4. "Agregação de Dados" tem o significado estipulado no Código de Regulamentos Federais dos EUA - C.F.R., Título45, § 164.501.
3.5. “Conjunto de Registros Designados” tem o significado estipulado no Código de Regulamentos Federais dos EUA -C.F.R., Título 45, Seção 164.501.
3.6. “Descoberta” significa “descoberta”, conforme tal termo é descrito no Código de Regulamentos Federais dos EUA -C.F.R., Título 45, § 164.410(a)(2).
3.7. “ePHI” significa "Informações Eletrônicas Protegidas de Saúde", conforme definido no Código de RegulamentosFederais dos EUA - C.F.R., Título 45, § 160.103 que sejam criadas, recebidas, mantidas ou transmitidas pelo Subcontratado provenientes da Dell ou dos Clientes da Dell ou em seu nome, de acordo com o(s) Contrato(s) de Fornecedor.
3.8. “Regra de Notificação de Violação da HIPAA” significa a Notificação no Caso de Violação de Informações Protegidas de Saúde Não Asseguradas, conforme estipulado no Código de Regulamentos Federais dos EUA - C.F.R., Título 45, Parte 164, Subparte D.
3.9. “Regra de Privacidade da HIPAA” significa os padrões, exigências e especificações promulgadas pelo Código de Regulamentos Federais dos EUA - C.F.R., Título 45, Seção 160, subpartes A e E promulgados de acordo com a HIPAA.
3.10. “Regra de Segurança HIPAA” significa os padrões, exigências e especificações promulgados pelo Secretário no Código de Regulamentos Federais dos EUA - C.F.R., Título 45, Seção 164, subparte C promulgados de acordo com a HIPAA.
3.11. “Regras da HIPAA” significa a Regra de Privacidade da HIPAA, as Regras de Segurança HIPAA, a Regra de Notificação de Violação, conforme tais regras possam, periodicamente, ser emendadas.
3.12. “Indivíduo” tem o significado estipulado no Código de Regulamentos Federais dos EUA - C.F.R., Título 45, § 160.103.
3.13. “PHI” significa “Informações Protegidas de Saúde”, conforme definido no Código de Regulamentos Federais dos EUA - C.F.R., Título 45, § 164.501 que sejam criadas, recebidas, mantidas ou transmitidas pelo Subcontratado provenientesda Dell ou de Clientes da Dell ou em seu nome, de acordo com o(s) Contrato(s) de Fornecedor.
3.14. “Exigido por Lei” tem o significado estipulado no Código de Regulamentos Federais dos EUA - C.F.R., Título 45, § 164.103.
3.15. "Secretário" tem o significado estipulado no Código de Regulamentos Federais dos EUA - C.F.R., Título 45, § 160.103.
3.16. “Incidente de Segurança” tem o significado estipulado no Código de Regulamentos Federais dos EUA - C.F.R., Título 45, § 164.304.
3.17. "Vender" ou "Venda" significa uma divulgação de PHI pelo Subcontratado, na qual o Subcontratado receba direta ou indiretamente remuneração do, ou em nome do, destinatário de tal PHI em troca de tal PHI, mas não inclui nenhum tipo de divulgação de PHI descrito no Código de Regulamentos Federais dos EUA - C.F.R., Título 45, § 164.502(a)(5)(ii)(B)(2).
3.18. "Informações Protegidas de Saúde Não Asseguradas" tem o significado descrito no Código de Regulamentos Federais dos EUA - C.F.R., Título 45, § 164.402.
4. OBRIGAÇÕES DO SUBCONTRATADO. O Subcontratado concorda:
4.1. em não usar ou de outra forma divulgar PHI que não sejam as estritamente necessárias para desempenhar suasobrigações com a Dell de acordo com o(s) Contrato(s) de Fornecedor e conforme expressamente permitido por este Contrato da HIPAA ou de acordo com as exigências da Lei. Tal uso, divulgação ou solicitação de PHI utilizará um conjunto de dados limitado se for viável ou, de outra forma, o mínimo de PHI necessário para cumprir a finalidade pretendida para o uso, divulgação ou solicitação;
4.2. em lançar mão de salvaguardas cabíveis e apropriadas para impedir o uso ou divulgação de PHI de qualquer forma que não seja a permitida por este Contrato da HIPAA, de forma coerente com os princípios e obrigações aplicáveis estipulados nas Regras da HIPAA;
4.3. em comunicar à Dell por escrito qualquer uso ou divulgação de PHI não previsto por este Contrato da HIPAA do qual tome ciência, até 24 horas após tomar ciência de tal uso ou divulgação. Além disso, o Subcontratado comunicará à Dell por escrito, até 24 horas após a Descoberta, qualquer aquisição, acesso, uso ou divulgação de Informações Protegidas de Saúde Não Asseguradas, a menos que tal evento seja excluído da definição de Violação que consta no Código de Regulamentos Federais dos EUA - C.F.R., Título 45, § 164.402(1). Qualquer comunicação incluirá a identificação (se for conhecida) de cada indivíduo cujas Informações Protegidas de Saúde Não Asseguradas, segundo a crença do Associado Comercial, foram, ou supostamente foram, acessadas, adquiridas ou divulgadas, todas as outras informações exigidas de acordo com o Código de Regulamentos Federais dos EUA - C.F.R., Título 45, § 164.410(c) e quaisquer outras informações solicitadas arrazoadamente pela Dell ou pelo Cliente aplicável. Quando do recebimento de tal comunicação, a Dell então conduzirá, ou fará com que o Subcontratado conduza, sob orientação da Dell, uma avaliação de risco para determinar se tal aquisição, acesso, uso ou divulgação comprometeu a segurança ou privacidade das Informações Protegidas de Saúde Não Asseguradas, com base nos fatores especificados na definição de Violação que consta no Código de Regulamentos Federais dos EUA - C.F.R., Título 45, § 164.402(2). Se o Subcontratado acreditar, com base em tal avaliação de risco, que a aquisição, acesso, uso ou divulgação resulta emuma probabilidade remota de que as Informações Protegidas de Saúde Não Asseguradas tenham sidocomprometidas, ele fornecerá à Dell todas as informações que apoiem tal conclusão;
4.4. em garantir, de acordo com o disposto em 164.502(e)(1)(ii) e 164.504(e)(2)(ii)(D), que quaisquer agentes ou subcontratados que criem, recebam, mantenham ou transmitam PHI concordem em fornecer garantias cabíveis, evidenciadas em contrato por escrito, que tais agentes ou subcontratados seguirão substancialmente as mesmas restrições e condições que se apliquem ao Subcontratado com relação a tais informações;
4.5. dentro do limite em que (se for o caso) o Subcontratado mantenha um Conjunto de Registros Designado, em disponibilizar para a Dell PHI mantidas pelo Subcontratado em um Conjunto de Registros Designado, conforme seja necessário para que os Clientes da Dell cumpram sua obrigação de conceder a um indivíduo o direito de acesso para inspecionar e obter uma cópia de suas PHI, conforme estabelecido no Código de Regulamentos Federais dos EUA - C.F.R., Título 45, § 164.524. Se for especificamente solicitado pela Dell ou pelo Cliente aplicável, o Subcontratado:
(a) Cópias Eletrônicas. Transmitirá cópias das PHI em um formato eletrônico diretamente a uma pessoa designadapelo Indivíduo.
(b) Cópias em Papel. Fará cópias das PHI em papel e fornecerá tais cópias diretamente à pessoa designada peloIndivíduo.
4.6. dentro do limite em que (se for o caso) o Subcontratado mantenha um Conjunto de Registros Designado, em disponibilizar para a Dell PHI mantidas pelo Subcontratado em um Conjunto de Registros Designado, conforme seja necessário para que os Clientes da Dell cumpram sua obrigação de corrigir PHI, conforme estabelecido no Código de Regulamentos Federais dos EUA - C.F.R., Título 45, 164.526;
4.7. em disponibilizar para a Dell informações relativas a divulgações de PHI pelo Subcontratado, para as quais seja exigida uma prestação de contas de acordo com o Código de Regulamentos Federais dos EUA - C.F.R., Título 45, Seção 164.528, de forma que os Clientes da Dell possam atender às suas exigências de fornecer uma prestação de contas de divulgações para Indivíduos, de acordo com o disposto no Código de Regulamentos Federais dos EUA - C.F.R., Título 45,164.528;
4.8. em disponibilizar suas práticas internas, livros e registros relativos ao cumprimento de suas obrigações de acordo com este Contrato da HIPAA e ao uso e divulgação de PHI pelo Subcontratado, ao Secretário, para fins de determinar o cumprimento da Dell ou de Clientes da Dell das Regras da HIPAA, e em fornecer tais materiais à Dell ou ao Cliente da Dell mediante solicitação;
4.9. de acordo com o disposto no Código de Regulamentos Federais dos EUA - C.F.R., Título 45, § 164.502(a)(4)(i), em divulgar PHI quando solicitado pelo Secretário de acordo com a subparte C da parte 160 da HIPAA;
4.10. quando da rescisão deste Contrato da HIPAA por qualquer motivo, se for viável, em devolver, ou a critério da Dell destruir, todas as PHI que o Subcontratado ainda mantenha em qualquer forma, e em não guardar cópias de tais informações, ou, se tal devolução ou destruição não for viável, o Subcontratado (i) fornecerá à Dell notificação das condições que inviabilizam a devolução ou destruição, (ii) estenderá as proteções deste Contrato da HIPAA às PHI, e (iii) limitará os usos e divulgações posteriores às finalidades que tornam inviável a devolução ou destruição das PHI.Se a Dell optar pela destruição de tais PHI, em certificar à Dell por escrito que tal destruição ocorreu;
4.11. Com relação a ePHI, em:
(a) implementar salvaguardas administrativas, físicas e técnicas que protejam de forma cabível e apropriada aconfidencialidade, integridade e disponibilidade das ePHI, conforme exigido pela Regra de Segurança, incluindoas salvaguardas administrativas, físicas e técnicas aplicáveis descritas no Código de Regulamentos Federais dosEUA - C.F.R., Título 45, §§ 164.308, 164.310, 164.312, 164.314 e no Código de Regulamentos Federais dosEUA - C.F.R., Título 45, § 164.316 com relação a ePHI para impedir o uso ou divulgação de ePHI que não sejamos previstos neste Contrato da HPAA, desde que, contudo, o Subcontratado criptografe ePHI em trânsito e inativosde acordo com a Seção 3(f) do DPA, a menos que (A) o Subcontratado (1) determine que tal criptografia não érazoável e apropriada, por meio de uma avaliação de risco conduzida e documentada pelo Subcontratado deacordo com os dispositivos da HIPAA aplicáveis e (B) forneça uma cópia de tal documentação à Dell; e (C) a Dellforneça ao Subcontratado uma aprovação por escrito para não usar criptografia.
(b) garantir, de acordo com o disposto no Código de Regulamentos Federais dos EUA - C.F.R., Título 45, §§164.504(e)(2)(ii)(D), 164.308(b)(2) e (3) e 164.314(a)(2)(iii), que qualquer agente, incluindo um subcontratado,que crie, receba, mantenha ou transmita ePHI concorde, evidenciado por contrato escrito, em implementarsalvaguardas razoáveis e apropriadas para proteger tais ePHI de forma coerente com as exigências descritas nacláusula (i) desta Seção 3(j); e
(c) comunicar à Dell qualquer Incidente de Segurança que afete ePHI, do qual tome ciência;
4.12. em não Vender PHI;
4.13. em atenuar, até o limite exequível, qualquer efeito deletério que seja de conhecimento do Subcontratado, decorrente do uso ou divulgação de PHI pelo Subcontratado, em violação deste Contrato da HIPAA;
4.14. em não realizar atividades de Agregação de Dados nem desidentificar PHI, a menos que seja especificamente solicitado por escrito pela Dell;
4.15. em reembolsar a Dell pelos custos incorridos em responder a (inclusive fornecer notificações e serviços de monitoramento de crédito), remediar e/ou minimizar danos causados por uma Violação de Informações Protegidas de Saúde Não Asseguradas ou por um Incidente de Segurança ocasionado pela falha do Subcontratado em cumprir suas obrigações de acordo com este Contrato da HIPAA, o DPA, o NDA ou o Contrato de Fornecedor, ou pelo uso ou divulgação de PHI pelo Subcontratado não previsto por este Contrato da HIPAA, e pelos custos incorridos pela Dell para acompanhar uma queixa de um Indivíduo ou órgão regulador com relação ao disposto acima; e
4.16. em responder por quaisquer (i) modificações, restrições, irregularidades ou revogações ou outra forma de cessação da efetividade de qualquer consentimento, autorização ou permissão relativa ao uso ou divulgação de PHI; e (ii) acordos que a Dell ou o Cliente aplicável faça ou limitações nas práticas de privacidade aplicáveis do Cliente que(A) restrinjam o uso ou divulgação das PHI de acordo com o Código de Regulamentos Federais dos EUA - C.F.R.,Título 45, § 164.522(a) ou com o Código de Regulamentos Federais dos EUA - C.F.R., Título 45, § 164.520, ou (B)requeiram comunicação confidencial sobre PHI, de acordo com o Código de Regulamentos Federais dos EUA - C.F.R., Título 45, § 164.522(b), em cada caso, de acordo com a cláusula (i) ou (ii), até o limite em que tais modificações,irregularidades, revogações, cessações, restrições, obrigações de comunicação confidencial ou limitações afetem osusos e divulgações de PHI permitidas ou necessárias do Subcontratado especificados neste Contrato da HIPAA(coletivamente, "Restrições"), desde que a Dell ou o Cliente aplicável notifique o Subcontratado sobre as Restriçõesque o Subcontratado deve seguir.
5. PRAZO E RESCISÃO. Com relação a cada Contrato de Fornecedor, o prazo deste Contrato da HIPAA será o mesmo queo prazo de tal Contrato de Fornecedor. Mediante o conhecimento da Dell a respeito de uma violação substancial desteContrato da HIPAA por parte do Subcontratado, ou o conhecimento do Subcontratado de tal violação, que será prontamentedivulgada à Dell, a Dell poderá, a seu critério, dar uma oportunidade para que o Subcontratado retifique ou cesse a violaçãono prazo de até 30 (trinta) dias úteis após tal notificação. Se o Subcontratado não retificar ou cessar a violação dentro de talperíodo à satisfação da Dell, ou a Dell a seu próprio critério não fornecer tal oportunidade, a Dell terá o direito de rescindirimediatamente este Contrato da HIPAA e o(s) Contrato(s) que forem objeto de tal violação, mediante notificação por escritoao Subcontratado. Na hipótese de que a rescisão desse(s) Contrato(s) não seja viável a critério da Dell, o Subcontratado poreste instrumento reconhece que a Dell terá o direito de comunicar a violação ao Secretário.
6. SUBCONTRATADOS. O Subcontratado reconhece que, até o limite exigido pela HIPAA (por exemplo, segundo o Códigode Regulamentos Federais dos EUA - C.F.R., Título 45, §§ 160.102(b), 160.300, 164.104(b), 164.302, e 164.500(c)), ospadrões e exigências da Regra de Privacidade da HIPAA, a Regra de Segurança HIPAA e a Regra de Notificação de Violação da HIPAA se aplicarão ao Subcontratado.
7. INDENIZAÇÃO. O Subcontratado indenizará e defenderá a Dell e os diretores, administradores, funcionários, representantes e agentes da Dell com relação a todas e quaisquer reivindicações, ações, demandas e trâmites legais e todas asresponsabilidades danos, perdas, decisões, conciliações autorizadas, custos, multas, penalidades e despesas, incluindohonorários advocatícios cabíveis decorrentes de, ou relacionados com, resultantes de, ou relativos aos atos ou omissões do
Subcontratado com relação a uma violação das garantias, direitos e obrigações do Subcontratado de acordo com este Contrato da HIPAA ou da violação, por parte do Subcontratado, das Regras da HIPAA.
CONTRATO DE ASSOCIAÇÃO COMERCIAL
A Dell Inc. e suas subsidiárias diretas e indiretas em todo o mundo, na qualidade de Responsável pelo Plano (“Responsável pelo Plano”) do Comprehensive Welfare Benefits Plan (Plano Abrangente de Previdência e Benefícios) da Dell Inc. (“Plano”), contratou o Fornecedor para prover determinados serviços profissionais, de consultoria ou de outra natureza ao Plano (os “Serviços”) de acordo com um contrato (o “Contrato de Fornecedor”). Este Contrato de Associação Comercial (“Contrato BAA”) é anexado ao, e faz parte do, Contrato de Proteção de Dados (“DPA”) entre a Dell e o Fornecedor.
1. DECLARAÇÃO DE FINALIDADE. Como o Fornecedor pode acessar, reter, ser exposto a, ou ficar ciente de, informaçõesde saúde confidenciais de participantes do Plano no desempenho dos Serviços, as partes concordam em proteger aconfidencialidade de tais informações de acordo com as leis e regulamentos federais e estaduais, incluindo, entre outras,informações protegidas pela Lei de Portabilidade e Responsabilidade de Seguros de Saúde - Health Insurance Portabilityand Accountability Act - de 1996 (“HIPAA”), pela Lei de Tecnologia da Informação em Saúde Clínica e Econômica - HealthInformation Technology for Economic and Clinical Health Act (“Lei HITECH”), e pelos respectivos regulamentos promulgados(“Regulamentos HIPAA”), incluindo, conforme emendados periodicamente, (a) os padrões, exigências e especificaçõespromulgadas pelo Secretário no Código de Regulamentos Federais dos EUA - C.F.R., Título 45, Parte 164 subpartes A e E(“Regra de Privacidade”); (b) os padrões de segurança publicados em 20 de fevereiro de 2003, no Registro Federal 8334et. seq. (Código de Regulamentos Federais dos EUA - C.F.R., Título 45, Partes 160, 162 e 164) (“Regra de SegurançaHIPAA”); e (c) os padrões, exigências e especificações de notificação de violações instituídos pelo Subtítulo D da Lei HITECH e suas respectivas regulamentações promulgadas pelo Secretário no Código de Regulamentos Federais dos EUA - C.F.R.,Título 45, Parte 164 Subparte D, como parte da regra coletiva final (“Regra Coletiva”) (coletivamente, “Regra de Notificaçãode Violação”); e (d) os padrões, exigências e especificações de aplicação promulgados pelo Secretário no Código deRegulamentos Federais dos EUA - C.F.R., Título 45, Parte 160 subpartes C, D e E (“Regra de Aplicação”).
2. DEFINIÇÕES. Os termos em maiúsculas não especificamente definidos neste Contrato BAA têm os significadosestabelecidos no DPA, no NDA, no Contrato de Fornecedor aplicável ou nos Regulamentos da HIPAA.
2.1. “Violação” significa a aquisição, acesso, uso ou divulgação de PHI de forma não permitida pela Regra de Privacidadeque comprometa a segurança ou privacidade das PHI, conforme definido e sujeito às exceções estipuladas no Código de Regulamentos Federais dos EUA - C.F.R., Título 45, § 164.402.
2.2. “Descoberta”, em relação à descoberta de uma Violação, tem o significado descrito na Lei HITECH ou outra lei aplicável, incluindo o Código de Regulamentos Federais dos EUA - C.F.R., Título 45, § 164.410(a)(2).
2.3. “ePHI” significa “Informações Eletrônicas Protegidas de Saúde”, conforme definido na Regra de Segurança HIPAA, que são criadas, recebidas, mantidas ou transmitidas pelo Plano ou em seu interesse.
2.4. “Regra de Segurança HIPAA” significa os Padrões de Segurança publicados no Código de Regulamentos Federais dos EUA - C.F.R., Título 45, Partes 160, 162 e 164, e conforme possam ser emendados periodicamente.
2.5. “Lei HITECH” significa os Dispositivos de Privacidade da Lei de Tecnologia da Informação em Saúde Clínica e Econômica - Health Information Technology for Economic and Clinical Health Act, Seções 13400 et seq. instituída em 17 de fevereiro de 2009 e as respectivas regulamentações que incluem, entre outros, os regulamentos de “Notificação de Violação de Informações Protegidas de Saúde Não Asseguradas” publicados em 24 de agosto de 2009 no Reg. Federal 74 42740 et seq. e conforme possam ser emendados periodicamente.
2.6. “Indivíduo” tem o mesmo significado que o termo “indivíduo” no Código de Regulamentos Federais dos EUA - C.F.R., Título 45, § 160.103 e inclui uma pessoa que se qualifica como representante pessoal, de acordo com o Código de Regulamentos Federais dos EUA - C.F.R., Título 45, § 164.502 (g).
2.7. “Legislação” significa todas as Leis Federais e Estaduais aplicáveis e todas as regulamentações relevantes nesse âmbito.
2.8. “PHI” tem o mesmo significado que o termo “Informações Protegidas de Saúde” no Código de Regulamentos Federais dos EUA - C.F.R., Título 45, § 160.103, limitado às informações criadas, recebidas, mantidas ou transmitidas pelo Fornecedor com base no Plano ou em seu interesse.
2.9. “Secretário” significa o Secretário do Departamento de Serviços Humanos e de Saúde ou seu designado
2.10. “Subcontratado” significa uma pessoa ou entidade a quem o Fornecedor delega uma função, atividade ou serviço diferente daquele que está dentro da capacidade de um membro da força de trabalho do Fornecedor.
3. CONFIDENCIALIDADE. O Fornecedor reconhece a natureza sensível e confidencial das PHI e concorda (a) que tais PHIserão usadas ou divulgadas, incluindo os usos e divulgações inerentes ao desempenho dos Serviços que são listadosgenericamente no Demonstrativo B anexo ao presente, unicamente conforme exigido ou permitido de acordo com esteContrato BAA e de acordo com a Legislação ou conforme exigido por ela; e (b) que o Fornecedor usará salvaguardascabíveis destinadas a garantir que a transmissão, manipulação, tratamento, armazenamento e uso de tais PHI peloFornecedor preservarão a confidencialidade das PHI, de acordo com a Legislação, incluindo os Regulamentos da HIPAA.
4. RESPONSABILIDADES DO FORNECEDOR
4.1. Registros. O Fornecedor manterá registros precisos de todas as transações feitas com relação a este Contrato BAA.O Fornecedor reconhece e concorda em cumprir com suas obrigações como Associado Comercial de acordo com os Regulamentos da HIPAA e todas as outras Leis.
4.2. Prestação de Contas. O Plano reconhece sua obrigação, como Entidade Coberta de acordo com a Regra de Privacidade, de fornecer uma prestação de contas das divulgações a um Indivíduo de acordo com o Código de Regulamentos Federais dos EUA - C.F.R., Título 45, 164.528. De acordo com este Contrato BAA e somente com relação a PHI, o Fornecedor concorda em (i) documentar e disponibilizar ao Plano, mediante solicitação, todas as
divulgações de PHI que estejam sujeitas a uma prestação de contas segundo a Regra de Privacidade e a Lei HITECH, (ii) receber e processar solicitações de Indivíduos para prestações de contas, (iii) fornecer prestações de contas aIndivíduos e (iv) suspender o fornecimento de uma prestação de contas, quando aplicável. O Fornecedor manterá asinformações necessárias para fazer uma prestação de contas por um período de 6 (seis) anos contados a partir dadata da divulgação, a menos que seja de outra forma exigido de acordo com a Lei HITECH e os Regulamentos daHIPAA.
4.3. Divulgação. O Fornecedor concorda em comunicar ao Plano, dentro de um prazo razoável seguinte à Descoberta, qualquer uso ou divulgação de informações de que tenha ciência ou deva ter ciência de que seja diferente do permitido neste Contrato BAA. Até o limite aplicável, o Fornecedor seguirá as exigências de divulgação encontradas na seção 5 deste Contrato BAA com relação às Violações de PHI Não Asseguradas.
4.4. Subcontratados. O Fornecedor garantirá que quaisquer agentes, incluindo quaisquer Subcontratados, que criem, recebam, mantenham ou transmitam quaisquer PHI em nome do Fornecedor, concordam por escrito com as mesmas restrições, condições e requisitos relativos ao uso ou divulgação de PHI conforme exigido por este Contrato BAA e não usarão ou divulgarão PHI de nenhuma forma que viole a Regra de Privacidade ou qualquer outro dispositivo legal, exceto conforme estabelecido neste Contrato BAA. O Fornecedor concorda ainda em garantir que qualquer tal agente, incluindo um Subcontratado, a quem ele forneça EPHI, concorda em implementar salvaguardas cabíveis e apropriadas para proteger tais informações, de acordo com a seção 4(t) deste Contrato BAA. Na hipótese de que o Fornecedor descubra um padrão de atividade ou prática de seu Subcontratado que constitua um rompimento ou violação substancial da obrigação do Subcontratado de acordo com seu Contrato de Fornecedor, e segundo o disposto no Código de Regulamentos Federais dos EUA - C.F.R., Título 45, § 164.504(e)(1)(iii) e a Regra Coletiva, o Fornecedor tomará as medidas cabíveis para retificar ou cessar o rompimento ou violação, conforme aplicável, e se tais etapas não forem bem-sucedidas, rescindir o contrato com o Subcontratado, se for viável.
4.5. Limitações. O Fornecedor concorda em limitar qualquer solicitação, uso e divulgação de PHI, até o limite exequível, ao Conjunto de Dados Limitado ou, se necessário, ao volume mínimo de PHI requerido para os fins da solicitação, uso ou divulgação, em cumprimento à Lei HITECH e a quaisquer regulamentos ou determinações promulgadas para esse efeito. As partes concordam que o termo “mínimo necessário” será interpretado de acordo com a Regra de Privacidade, a Lei HITECH e qualquer determinação emitida pelo Secretário.
4.6. Emendas. O Plano reconhece sua obrigação na qualidade de Entidade Coberta, de acordo com a Regra de Privacidade, de emendar as PHI de um Indivíduo de acordo com o Código de Regulamentos Federais dos EUA - C.F.R., Título 45, 164.526. De acordo com este Contrato BAA e com relação à Informações de Saúde Protegidas, oFornecedor concorda em cumprir com o Código de Regulamentos Federais dos EUA - C.F.R., Título 45, § 164.526,incluindo, entre outros atos, conceder ou negar solicitações de emenda e fazer emendas nas Informações de SaúdeProtegidas, quando aplicável.
4.7. Subparte E Conformidade. Até o limite de responsabilidade do Fornecedor em cumprir uma ou mais obrigações do Plano de acordo com a Subparte E do Código de Regulamentos Federais dos EUA - C.F.R., Título 45, Parte 164, cumprir as exigências da Subparte E que se apliquem ao Plano no desempenho de tais obrigações.
4.8. Práticas e Registros. O Fornecedor concorda em disponibilizar ao Plano e ao Secretário suas práticas internas, livros e registros relativos ao uso e divulgação de Informações de Saúde Protegidas, incluindo políticas e procedimentos relacionados às Informações de Saúde Protegidas, recebidas de, ou então criadas ou recebidas pelo Fornecedor no interesse do Plano, para a exclusiva finalidade de determinar a conformidade com os Regulamentos da HIPAA.
4.9. Confidencialidade. O Fornecedor e o Plano concordam em que todos os dispositivos de confidencialidade neste Contrato BAA sobreviverão à rescisão deste Contrato BAA.
4.10. Agregação de Dados. O Fornecedor proverá serviços de agregação de dados relativos às operações de assistência médica do Plano.
4.11. Uso de PHI. O Fornecedor não está proibido, de acordo com este Contrato BAA, de utilizar PHI para o devido gerenciamento e administração ou para cumprir suas responsabilidades jurídicas, se houver. Além disso, o Fornecedor não está proibido de divulgar PHI para seu devido gerenciamento e administração ou para cumprir suas responsabilidades jurídicas caso a divulgação seja exigida por Lei ou o Fornecedor obtenha garantias razoáveis, da pessoa a quem as informações forem divulgadas, de que a confidencialidade das mesmas será mantida e que elas serão usadas ou de outra forma divulgadas somente conforme exigido pela Legislação ou para atender aos fins para os quais foram divulgadas à pessoa. O Fornecedor exigirá ainda que a pessoa a quem as informações forem divulgadas informe ao Fornecedor sobre qualquer violação de confidencialidade ou descumprimento dos Regulamentos da HIPAA com relação a essas informações. Nesse caso, o Fornecedor notificará o Plano sobre quaisquer situações das quais esteja ciente nas quais a confidencialidade das informações tenha sido violada ou que a Regra de Privacidade tenha sido de outra forma descumprida.
4.12. Geração de relatórios. O Fornecedor não está proibido de usar PHI para comunicar violações da legislação às autoridades Federais e Estaduais competentes, de forma coerente com a Regra de Privacidade.
4.13. Acesso. O Plano reconhece sua obrigação, na qualidade de Entidade Coberta, de acordo com a Regra de Privacidade, de conceder a um Indivíduo o acesso às PHI desse Indivíduo, conforme o Código de Regulamentos Federais dos EUA - C.F.R., Título 45, 164.524. De acordo com este Contrato BAA e com relação a Informações de Saúde Protegidas, oFornecedor concorda em conceder ou negar solicitações de acesso e fornecer análises de negações de acesso,quando exigido pelo disposto no Código de Regulamentos Federais dos EUA - C.F.R., Título 45, § 164.524, e concederacesso aos Indivíduos. Na hipótese de o Fornecedor usar ou manter um Registro de Saúde Eletrônico com relação a
PHI de um Indivíduo, o Fornecedor, mediante solicitação, apresentará uma cópia eletrônica das PHI ao Indivíduo ou diretamente a um terceiro designado pelo Indivíduo de acordo com a data de cumprimento, conforme estabelecido na Lei HITECH e em qualquer diretriz emitida para esse efeito.
4.14. Atenuação. O Fornecedor concorda em atenuar, até o limite exequível, qualquer efeito deletério que seja de seu conhecimento, resultante de uso ou divulgação de PHI pelo Fornecedor, ou por seu Subcontratado, em violação das exigências deste Contrato BAA ou da Legislação Aplicável.
4.15. Disponibilidade do Plano. O Fornecedor concorda em disponibilizar ao Plano ou, mediante solicitação do Plano, ao Responsável pelo Plano, no prazo de até 3 (três) dias úteis após receber tal solicitação, PHI relevantes para que o Plano desempenhe funções de assistência médica de acordo com o Código de Regulamentos Federais dos EUA - C.F.R., Título 45, § 164.504(f), desde que as divulgações estejam sujeitas aos termos do Contrato de Fornecedor esejam coerentes com ele.
4.16. Autorizações. Com relação a PHI que o Fornecedor crie, receba, mantenha ou transmita no interesse do Plano, o Fornecedor será responsável por obter de um Indivíduo quaisquer autorizações necessárias para usar ou divulgar essas Informações de Saúde Protegidas do Indivíduo, de acordo com o Código de Regulamentos Federais dos EUA - C.F.R., Título 45, § 164.506 ou 164.508; desde que, todavia, o Responsável pelo Plano obtenha o consentimento ouautorização que possa ser necessário(a) de acordo com as leis e regulamentos federais ou estaduais aplicáveis antesdo recebimento, por parte do Responsável pelo Plano, de Informações de Saúde Privadas provenientes doFornecedor. O Fornecedor reconhece que a falha em obter uma autorização quando necessário antes da divulgaçãoconstitui violação deste Contrato BAA e deverá ser comunicada ao Plano de acordo com a seção 4(c) deste ContratoBAA.
4.17. Solicitações de Restrição. Com relação a PHI que o Fornecedor crie, receba, mantenha ou transmita no interesse do Plano, o Fornecedor será responsável por receber de um Indivíduo solicitações de restrição de acordo com o Código de Regulamentos Federais dos EUA - C.F.R., Título 45, § 164.522 e por negar ou concordar em cumprir tais solicitações. Se o Fornecedor concordar com uma restrição, o Fornecedor será responsável por usar e divulgar PHI de forma coerente com essa restrição. A falha em atuar de acordo com uma restrição acordada constitui violação deste Contrato BAA e deverá ser comunicada ao Plano de acordo com a seção 4(c) deste Contrato BAA. Se uma solicitação de restrição for feita diretamente ao Plano, o Plano encaminhará tal solicitação ao Fornecedor para destinação de acordo com esta subseção.
4.18. Comunicações Confidenciais. Com relação a PHI que o Fornecedor crie, receba, mantenha ou transmita no interesse do Plano, o Fornecedor será responsável por receber de um Indivíduo solicitações de comunicações confidenciais e agir de acordo, em cumprimento ao disposto no Código de Regulamentos Federais dos EUA - C.F.R., Título 45, § 164.522. Se o Fornecedor concordar em acomodar uma solicitação de comunicações confidenciais, o Fornecedor será responsável por aderir a essa acomodação. A falha em atuar de acordo com uma acomodação que tenha sido concedida constitui violação deste Contrato BAA e deverá ser comunicada ao Plano, segundo a seção 4(c) deste Contrato BAA. Se uma solicitação de comunicações confidenciais for feita diretamente ao Plano, o Plano encaminhará o Indivíduo ao Fornecedor via serviço de atendimento ao cliente.
4.19. Desidentificar. O Fornecedor pode desidentificar todas e quaisquer PHI, desde que o Fornecedor desidentifique as informações de acordo com a HIPAA. As informações desidentificadas não constituem Informações de Saúde Protegidas, e podem ser usadas pelo Fornecedor ou por uma entidade afiliada para criar bancos de dados, análises estatísticas ou outros estudos comparativos.
4.20. Salvaguardas. Sem limitação de outros dispositivos deste Contrato BAA, o Fornecedor concorda em (i) implementar salvaguardas administrativas, físicas e técnicas que protejam de forma razoável e apropriada a confidencialidade, integridade e disponibilidade de EPHI que ele crie, receba, mantenha ou transmita no interesse do Plano conforme exigido pela Regra de Segurança HIPAA; e (ii) garantir que qualquer Subcontratado a quem ele forneça EPHI concorde por escrito em implementar salvaguardas razoáveis e apropriadas para proteger tais informações. O Fornecedor apresentará ao Plano tais informações relativas a essas salvaguardas mediante solicitação periódica do Plano.
4.21. Incidentes de Segurança. O Fornecedor concorda em comunicar prontamente ao Plano qualquer Incidente de Segurança do qual tome ciência.
5. RESPONSABILIDADES DO FORNECEDOR RELATIVAS A PHI NÃO ASSEGURADAS
5.1. Proteção de PHI. A menos que seja inviável de acordo com as circunstâncias, o Associado Comercial concorda emimplementar, de maneira razoável e apropriada, as tecnologias e metodologias especificadas pela Lei HITECH, pelo Secretário ou por outra Legislação para tornar PHI que o Fornecedor crie, receba, mantenha ou transmita no interesse do Plano inutilizáveis, ilegíveis ou indecifráveis a indivíduos não autorizados, garantindo assim a segurança das PHI. Além disso, a menos que seja inviável de acordo com as circunstâncias, o Fornecedor garantirá que qualquer agente, incluindo, entre outros, Subcontratados ou fornecedores a quem ele apresente PHI do Plano, implementará de forma razoável e apropriada as tecnologias e metodologias especificadas pela Lei HITECH, pelo Secretário ou por outra Legislação para tornar PHI do Plano inutilizáveis, ilegíveis ou indecifráveis a indivíduos não autorizados.
5.2. Notificação de Violação. Com relação a quaisquer PHI Não Asseguradas, o Fornecedor comunicará ao Plano qualquer Violação (conforme definido na Regra Coletiva) descoberta pelo Fornecedor, ou por qualquer um dos Subcontratados do Fornecedor, no prazo de até 24 (vinte e quatro) após a Descoberta.
(a) O comunicado deverá incluir (ou ser complementado continuamente à medida que as informações se tornaremdisponíveis, com): (i) a identificação de todos os Indivíduos cujas PHI Não Asseguradas foram ou supostamenteforam violadas; (ii) uma breve descrição da Violação, incluindo o tipo de Violação (por exemplo, roubo, perda,
descarte impróprio, pirataria), local da Violação (por exemplo, laptop, desktop, papel), como a Violação ocorreu, a data em que ocorreu a Violação e a data em que a Violação foi descoberta; (iii) uma descrição do tipo de PHI Não Asseguradas envolvidas (por exemplo, número de seguridade social, diagnóstico, explicação de benefícios etc.), incluindo o tipo de mídia, mas não as PHI Violadas propriamente ditas, a menos que seja solicitado pelo Plano; (iv) uma descrição das salvaguardas implantadas antes da Violação (por exemplo, firewalls, filtragem de pacotes, sessões seguras do navegador, autenticação forte); (v) uma descrição das medidas tomadas em resposta à Violação (por exemplo, salvaguardas adicionais, atenuação, sanções, políticas e procedimentos); (vi) todas as outras informações solicitadas de forma cabível pelo Plano para permitir que o Plano execute e documente uma avaliação de risco de acordo com a Regra de Notificação de Violação e (vii) todas as outras informações cabíveis necessárias para fornecer notificação aos Indivíduos, ao Secretário e/ou à mídia.
(b) A exclusivo critério do Plano, o Plano poderá delegar ao Fornecedor a responsabilidade de determinar (e fornecerevidência ao Plano) de que tal incidente não é uma Violação, incluindo a exigência de executar uma avaliação derisco para determinar se ocorreu uma probabilidade remota de comprometimento, conforme disposto na Regrade Notificação de Violação. Na hipótese de que o Plano delegue essa obrigação ao Fornecedor, sem demorainjustificada, e em qualquer hipótese no prazo máximo de 30 (trinta) dias corridos após a Descoberta, oFornecedor apresentará ao Plano notificação por escrito da Violação e uma cópia da avaliação de risco que estimese ocorreu uma probabilidade remota de comprometimento.
(c) A exclusivo critério do Plano, o Plano poderá delegar ao Fornecedor a responsabilidade de fornecer quaisquernotificações que o Plano determinar que sejam exigidas pela Regra de Notificação de Violação, incluindonotificações aos Indivíduos, ao Secretário e/ou à mídia. Antes de enviar tais notificações, o Fornecedorapresentará uma cópia dos modelos de carta de notificação para aprovação pelo Plano. Todas as notificaçõesseguirão os elementos estabelecidos pela Regra de Notificação de Violação e serão enviadas dentro de prazosestabelecidos pela Regra de Notificação de Violação. Na hipótese de que o Plano delegue essas obrigações aoFornecedor e na eventualidade de uma Violação, sem demora injustificada, e em qualquer hipótese dentro doprazo máximo de 60 (sessenta) dias corridos após a Descoberta, o Fornecedor apresentará ao Plano evidênciade que foram feitas todas as notificações necessárias, inclusive quaisquer notificações da mídia ou do Secretário.
(d) O Fornecedor arcará com todos os custos cabíveis incorridos com relação à ocorrência de uma Violação oupotencial Violação, incluindo, entre outros, despesas relativas ao fornecimento de quaisquer notificações que oPlano, ou conforme aplicável o Fornecedor, determine que sejam necessárias de acordo com a Regra deNotificação de Violação, independentemente de quem faça as notificações, se o Fornecedor ou o Plano.
6. RESPONSABILIDADES DO PLANO. O Plano concorda em retificar documentos do Plano de modo a incluir dispositivosespecíficos para restringir o uso ou divulgação de PHI e a garantir salvaguardas adequadas de procedimentos e mecanismosde prestação de contas para tais usos ou divulgações, de acordo com a Regra de Privacidade.
7. PRAZO E RESCISÃO.
7.1. Prazo. A vigência deste Contrato BAA continuará até a rescisão do Contrato de Fornecedor ou até que seja de outraforma rescindido de acordo com este Contrato BAA.
7.2. Rescisão e Alteração nos Termos da Lei. Este Contrato BAA será rescindido imediatamente na hipótese de que umContrato de Associação Comercial da HIPAA não se aplique mais ou seja exigido de acordo com a Legislação atual. Se, de acordo com parecer do advogado do Plano, o Plano determinar razoavelmente que os termos deste Contrato BAA provavelmente serão interpretados como estando em flagrante violação ou descumprimento de quaisquer Leis Aplicáveis, as partes negociarão de boa fé a alteração deste Contrato BAA de modo a cumprir tais Leis. Se as partes não puderem acordar razoavelmente quanto a tal alteração, então este Contrato BAA e o Contrato de Fornecedor, se houver, serão rescindidos.
7.3. Rescisão pelo Plano. O Plano poderá rescindir este Contrato BAA se ele determinar arrazoadamente que o Fornecedor violou uma disposição essencial deste Contrato BAA, os Regulamentos da HIPAA ou qualquer outra Legislação Aplicável, após conceder 30 (trinta) dias para que o Fornecedor retifique a violação em colaboração com o Plano ou cesse a violação; desde que, entretanto, na hipótese de que a rescisão deste Contrato BAA não seja viável a critério exclusivo do Plano, o Fornecedor por este instrumento reconheça que o Plano terá o direito de rescindir imediatamente este Contrato BAA e o Contrato de Fornecedor, se houver, e comunique a violação ao Secretário, não obstante qualquer outro dispositivo deste Contrato BAA em contrário.
7.4. Direito de Remediar. Na hipótese de que o Fornecedor viole este Contrato BAA ou qualquer dispositivo da Regra de Privacidade e não remedie a violação no prazo de até 30 (trinta) dias, o Plano se reservará o direito de remediar tal violação. O Fornecedor colaborará com quaisquer tais esforços empreendidos pelo Plano. A remediação da violação não limita a capacidade de o Plano rescindir imediatamente este Contrato BAA e o Contrato de Fornecedor, se houver.
7.5. Medida Liminar. O Fornecedor reconhece e concorda que os termos deste Contrato BAA e os Regulamentos da HIPAA são necessariamente de natureza única e extraordinária, e que a perda decorrente de uma violação dos mesmos não pode ser reparada de forma razoável e adequada por meio de compensação financeira, pois tal violação pode fazer com que o Plano sofra um prejuízo irreparável. Dessa forma, se o Fornecedor não cumprir os termos do Contrato de Fornecedor, os Regulamentos da HIPAA ou outra Legislação Aplicável, e exceto conforme de outra forma disposto no presente, o Plano ou qualquer um de seus sucessores ou cessionários terá direito a medida liminar ou outra medida extraordinária, sendo tal medida liminar ou outra medida extraordinária cumulativa com relação a, mas não limitativa de, quaisquer outras remediações que possam estar disponíveis para o Plano, seus sucessores ou cessionários, sendo que tal medida não implica em necessidade de prestar caução.
7.6. Efeito da Rescisão. Quando da rescisão ou expiração deste Contrato BAA, o Fornecedor devolverá ou destruirá todas as PHI criadas, recebidas, mantidas ou transmitidas pelo Fornecedor no interesse do Plano, as quais o Fornecedor mantenha em qualquer forma, e não reterá cópias de tais informações até o limite de viabilidade de tal ação e se ela não for proibida por outra Legislação Aplicável. Este disposto se aplica a todos os Subcontratados ou agentes do Fornecedor que estejam de posse de PHI em nome do Fornecedor e/ou do Plano. Na hipótese de que o Plano tenha apurado que a devolução ou destruição de tais informações não é viável ou permissível, o Fornecedor concorda em continuar a cumprir com todos os dispositivos deste Contrato BAA com relação aos usos, armazenamento e divulgação de tais PHI enquanto o Fornecedor mantiver tais PHI em seu poder.
7.7. Usos e Divulgações Gerais Permitidos. Salvo conforme limitado em contrário neste Contrato BAA, o Fornecedor pode usar ou divulgar PHI para executar funções, atividades ou serviços para o, ou no interesse do Plano, conforme especificado no Contrato de Fornecedor, desde que tal uso ou divulgação não viole os Regulamentos da HIPAA ou outra Legislação, se for executado(a) pelo próprio Plano.
8. INDENIZAÇÃO. Cada parte indenizará e defenderá a outra parte contra todas as reivindicações, danos, perdas, decisões,custos e despesas (incluindo honorários advocatícios) decorrentes da negligência ou desvio de conduta da parteindenizadora no uso, divulgação ou armazenamento de PHI e/ou na violação deste Contrato BAA por tal parte.
