(1) MEFERI Technologies Co., Ltd., uma empresa constituída sob as leis da China, com sede social em 5F, A5, Tianfu Software Park, No. 1129, Century City Road, High-tech Zone, 610000, Chengdu, Sichuan, RPChina (“MEFERI”, “Processador”, “Nós”, “Nos” ou “Nosso”); e

(2) O Cliente (“Cliente”, “Controlador” ou “Você”), a entidade legal que assinou ou usa os Serviços da MEFERI conforme definido abaixo e concordou com os principais termos de serviço da MEFERI ou outro contrato principal (“Contrato Principal”).

Este DPA constitui parte integrante do Contrato Principal e reflete o acordo das partes com relação ao Processamento de Dados Pessoais pela MEFERI em nome do Cliente em conexão com os Serviços.

Ao aceitar o Contrato Principal ou ao acessar ou usar os Serviços após este DPA ter sido disponibilizado, o Cliente celebra este DPA em seu próprio nome e, na medida exigida pela Lei de Proteção de Dados Aplicável, em nome e em representação de seus Usuários autorizados.

Se houver qualquer conflito entre este DPA e o Contrato Principal, este DPA prevalecerá na medida de tal conflito em relação ao Processamento de Dados Pessoais.

1. DEFINIÇÕES

1.1. “Contrato Principal” significa o contrato principal por escrito (que pode ser denominado Termos de Serviço, Termos Gerais de Serviço, Contrato Mestre de Serviços, Contrato de Serviço, Contrato de Assinatura ou similar) celebrado entre o Cliente e a MEFERI (ou uma Afiliada Contratante da MEFERI, conforme a Cláusula 18.4) para a prestação dos Serviços, incluindo quaisquer termos específicos do plano de serviço (como “MeCare (Nome do Plano): Termos Gerais de Serviço”) e quaisquer formulários de pedido ou declarações de serviço executados nos termos do mesmo. Este DPA é parte integrante do Contrato Principal.

1.2. “Lei de Proteção de Dados Aplicável” significa todas as leis e regulamentos aplicáveis ao Processamento de Dados Pessoais sob este DPA, incluindo, entre outros, o GDPR e quaisquer leis, regulamentos e legislação secundária nacionais de implementação, conforme alterados ou atualizados periodicamente.

1.3. “Controlador” tem o significado estabelecido no Artigo 4(7) do GDPR. Para os fins deste DPA, o Cliente é o Controlador.

1.4. “Titular dos dados” tem o significado estabelecido no Artigo 4(1) do RGPD.

1.5. “RGPD” significa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).

1.6. “Dados Pessoais” tem o significado estabelecido no Artigo 4(1) do RGPD e está limitado aos Dados Pessoais Processados pela MEFERI em nome do Cliente na prestação dos Serviços, conforme descrito no Apêndice 1.

1.7. “Violação de Dados Pessoais” tem o significado estabelecido no Artigo 4(12) do RGPD, especificamente uma violação de segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais do Cliente transmitidos, armazenados ou de outra forma Processados pela MEFERI.

1.8. “Processamento” tem o significado estabelecido no Artigo 4(2) do RGPD. “Processar” e “Processado” devem ser interpretados em conformidade.

1.9. “Processador” significa MEFERI Technologies Co., Ltd., (MEFERI) ou, quando aplicável conforme a Seção 18.4 deste DPA, a parte Afiliada Contratante da MEFERI no Contrato Principal com o Cliente.

1.10. “Serviços” significa os produtos e serviços fornecidos pela MEFERI ao Cliente nos termos do Contrato Principal, incluindo especificamente, mas não se limitando à Solução em Nuvem Shadowalk MDM/EMM da MEFERI, componentes hospedados em nuvem da solução CIAO Intelligent Shopper Assistant (ISA), na qual a MEFERI atua como processadora, e quaisquer serviços de suporte associados (incluindo, mas não se limitando a, serviços fornecidos sob um contrato de serviço MEFERI MeCare) nos quais a MEFERI Processa Dados Pessoais do Cliente. Para maior clareza, os Serviços não incluem implantações locais do software MEFERI em que o Processamento contínuo de Dados Pessoais é realizado exclusivamente no ambiente do Cliente, exceto quando a MEFERI acessa tais sistemas para suporte sob instrução do Cliente.

1.11. “Subprocessador” significa qualquer terceiro contratado pela MEFERI para Processar Dados Pessoais em nome do Cliente em conexão com os Serviços.

1.12. “Medidas Técnicas e Organizacionais” ou “MTOs” significa as medidas de segurança implementadas pela MEFERI para proteger Dados Pessoais, conforme descrito no Apêndice 2.

1.13. “Soluções de Parceiros Terceirizados” significa software ou serviços fornecidos por terceiros que podem ser integrados ou usados em conjunto com o hardware ou os Serviços da MEFERI, como soluções de pagamento (por exemplo, WorldLine “Tap on Mobile”) ou software de autodigitalização de varejo (por exemplo, 4MAX “Scan & Go”), onde o Cliente pode ter uma relação contratual direta com tal terceiro.

2. FUNÇÕES E RESPONSABILIDADES

2.1. Funções das Partes: O Cliente é o Controlador e a MEFERI é a Processadora dos Dados Pessoais do Cliente. Cada parte cumprirá suas respectivas obrigações sob a Legislação Aplicável de Proteção de Dados.

2.2. Obrigações do Cliente como Controlador: O Cliente declara e garante que:

a. Cumpriu e continuará a cumprir todas as disposições aplicáveis da Lei de Proteção de Dados Aplicável em relação ao seu Processamento de Dados Pessoais e quaisquer instruções de processamento que emitir à MEFERI;

b. É o único responsável pela exatidão, qualidade e legalidade dos Dados Pessoais e pelos meios pelos quais adquiriu os Dados Pessoais, incluindo a obtenção de todos os consentimentos necessários, o fornecimento de todas as notificações necessárias e a existência de uma base legal válida para o Processamento de Dados Pessoais pela MEFERI, de acordo com este DPA e o Contrato Principal; e

c. Suas instruções à MEFERI para o Processamento de Dados Pessoais deverão estar em conformidade com a Lei de Proteção de Dados Aplicável.

2.3. Obrigações da MEFERI como Processador: A MEFERI deverá:

a. Processar Dados Pessoais somente mediante instruções documentadas do Cliente, inclusive no que se refere a transferências de Dados Pessoais para um país terceiro ou uma organização internacional, a menos que seja exigido pela legislação da União ou do Estado-Membro à qual a MEFERI esteja sujeita; nesse caso, a MEFERI deverá informar o Cliente sobre essa exigência legal antes do Processamento, a menos que essa legislação proíba tal informação por motivos importantes de interesse público (Artigo 28(3)(a) do RGPD). O Contrato Principal e este DPA constituem instruções documentadas do Cliente à MEFERI para o Processamento de Dados Pessoais.

b. Informar imediatamente o Cliente se, na opinião da MEFERI, uma instrução infringe a Lei de Proteção de Dados Aplicável (Artigo 28(3) GDPR).

3. DETALHES DO PROCESSAMENTO

3.1. O objeto do Processamento, a duração do Processamento, a natureza e a finalidade do Processamento, os tipos de Dados Pessoais e as categorias de Titulares dos Dados estão definidos no Apêndice 1 (Detalhes do Processamento) deste DPA.

4. CONFIDENCIALIDADE

4.1. A MEFERI deverá garantir que o seu pessoal autorizado a Processar Dados Pessoais tenha se comprometido com a confidencialidade ou esteja sob uma obrigação legal de confidencialidade apropriada (Artigo 28(3)(b) GDPR).

5. SEGURANÇA DO PROCESSAMENTO

5.1. Considerando o estado da técnica, os custos de implementação e a natureza, o escopo, o contexto e as finalidades do Processamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas físicas, a MEFERI implementará e manterá Medidas Técnicas e Organizacionais apropriadas para garantir um nível de segurança adequado ao risco, conforme descrito no Apêndice 2 (Medidas Técnicas e Organizacionais) (Artigo 28(3)(c) e Artigo 32 do RGPD).

5.2. A MEFERI pode atualizar ou modificar os TOMs periodicamente, desde que tais atualizações e modificações não resultem em degradação material da segurança geral dos Serviços.

6. SUBPROCESSAMENTO

6.1. Autorização Geral: O Cliente concede à MEFERI autorização geral por escrito para contratar Subprocessadores para Processar Dados Pessoais em nome do Cliente em conexão com a prestação dos Serviços (Artigo 28(2) GDPR).

6.2. Subprocessadores Atuais e Notificação de Novos Subprocessadores: A MEFERI manterá uma lista de seus Subprocessadores atuais, que será disponibilizada ao Cliente mediante solicitação ou por meio de uma página da web designada (consulte o Apêndice 3). A MEFERI informará o Cliente sobre quaisquer alterações pretendidas relativas à adição ou substituição de outros Subprocessadores com pelo menos trinta (30) dias corridos de antecedência, dando assim ao Cliente a oportunidade de se opor a tais alterações.

6.3. Objeção a Novos Subprocessadores: Se o Cliente tiver uma base razoável para se opor ao uso de um novo Subprocessador pela MEFERI, o Cliente deverá notificar a MEFERI prontamente por escrito, no prazo de dez (10) dias úteis após o recebimento da notificação da MEFERI. Caso o Cliente se oponha, a MEFERI envidará esforços razoáveis para disponibilizar ao Cliente uma alteração nos Serviços ou recomendar uma alteração comercialmente razoável na configuração ou no uso dos Serviços pelo Cliente, a fim de evitar o Processamento de Dados Pessoais pelo novo Subprocessador objetado, sem onerar o Cliente de forma injustificada. Se a MEFERI não puder disponibilizar tal alteração dentro de um prazo razoável, que não excederá trinta (30) dias corridos, o Cliente poderá rescindir a parte aplicável dos Serviços que não puder ser fornecida pela MEFERI sem o uso do novo Subprocessador objetado, mediante notificação por escrito à MEFERI.

6.4. Obrigações do Subprocessador: A MEFERI deverá garantir que qualquer Subprocessador que contratar esteja sujeito a um contrato escrito ou outro ato legal sob a legislação da União ou do Estado-Membro que imponha obrigações de proteção de dados que sejam pelo menos equivalentes às impostas à MEFERI sob este DPA, particularmente fornecendo garantias suficientes para implementar medidas técnicas e organizacionais apropriadas de tal forma que o Processamento atenda aos requisitos da Lei de Proteção de Dados Aplicável (Artigo 28(4) GDPR).

6.5. Responsabilidade: A MEFERI permanecerá totalmente responsável perante o Cliente pelo cumprimento das obrigações de proteção de dados de seus Subprocessadores.

7. DIREITOS DO TITULAR DOS DADOS

7.1. Considerando a natureza do Processamento, a MEFERI auxiliará o Cliente implementando medidas técnicas e organizacionais adequadas, na medida do possível, para o cumprimento da obrigação do Cliente de responder às solicitações de exercício dos direitos do Titular dos Dados previstos no Capítulo III do RGPD (por exemplo, direito de acesso, retificação, apagamento, etc.) (Artigo 28(3)(e) do RGPD).

7.2. Caso a MEFERI receba uma solicitação diretamente de um Titular dos Dados referente aos Dados Pessoais do Cliente, a MEFERI notificará imediatamente o Cliente sobre tal solicitação e não responderá ao Titular dos Dados, exceto para confirmar que a solicitação se refere ao Cliente. O Cliente será responsável por responder a todas as solicitações do Titular dos Dados.

8. ASSISTÊNCIA AO CONTROLADOR

8.1. Considerando a natureza do Processamento e as informações disponíveis à MEFERI, a MEFERI prestará assistência razoável ao Cliente para garantir o cumprimento de suas obrigações nos termos dos Artigos 32 a 36 do RGPD (Segurança do Processamento, notificação de Violação de Dados Pessoais à autoridade supervisora, comunicação de uma Violação de Dados Pessoais ao Titular dos Dados, Avaliação de Impacto à Proteção de Dados e consulta prévia à autoridade supervisora) (Artigo 28(3)(f) do RGPD).

9. NOTIFICAÇÃO DE VIOLAÇÃO DE DADOS PESSOAIS

9.1. Notificação ao Cliente:

A MEFERI deverá notificar o Cliente sem demora injustificada e, em qualquer caso, no prazo de quarenta e oito (48) horas, após tomar conhecimento de uma Violação de Dados Pessoais que afete os Dados Pessoais do Cliente (Artigo 28(3)(f) e Artigo 33(2) GDPR).

9.2. Tal notificação deverá, na medida do possível, descrever:

a. A natureza da Violação de Dados Pessoais, incluindo, quando possível, as categorias e o número aproximado de Titulares de Dados envolvidos e as categorias e o número aproximado de registros de Dados Pessoais envolvidos;

b. O nome e os dados de contacto do Encarregado da Proteção de Dados da MEFERI ou de outro ponto de contacto onde possam ser obtidas mais informações;

c. As prováveis consequências da Violação de Dados Pessoais; e

d. As medidas tomadas ou propostas pela MEFERI para lidar com a Violação de Dados Pessoais, incluindo, quando apropriado, medidas para mitigar seus possíveis efeitos adversos.

9.3. Quando, e na medida em que, não for possível fornecer todas as informações ao mesmo tempo, as informações poderão ser fornecidas em fases, sem atrasos indevidos.

9.4. O Cliente é o único responsável por cumprir suas próprias obrigações de notificação de violação de dados, de acordo com a Lei de Proteção de Dados Aplicável. A notificação ou resposta da MEFERI a uma Violação de Dados Pessoais, nos termos desta Seção 9, não será interpretada como um reconhecimento por parte da MEFERI de qualquer falha ou responsabilidade com relação à Violação de Dados Pessoais.

10. EXCLUSÃO OU DEVOLUÇÃO DE DADOS

10.1. A critério do Cliente, a MEFERI excluirá ou devolverá todos os Dados Pessoais ao Cliente após o término da prestação dos Serviços relacionados ao Processamento, e excluirá as cópias existentes, a menos que a legislação da União ou de um Estado-Membro exija o armazenamento dos Dados Pessoais (Artigo 28(3)(g) do RGPD). Os prazos específicos de retenção e exclusão serão os estabelecidos no Contrato Principal ou conforme acordado de outra forma.

11. AUDITORIAS E INSPEÇÕES

11.1. A MEFERI disponibilizará ao Cliente todas as informações necessárias para demonstrar a conformidade com as obrigações estabelecidas no Artigo 28 do GDPR e permitir e contribuir para auditorias, incluindo inspeções, conduzidas pelo Cliente ou outro auditor mandatado pelo Cliente (Artigo 28(3)(h) GDPR).

11.2. Tais auditorias serão realizadas durante o horário comercial normal da MEFERI, mediante aviso prévio por escrito razoável, com prazo mínimo de trinta (30) dias corridos, e não interferirão injustificadamente nas atividades comerciais da MEFERI. O Cliente e a MEFERI deverão acordar mutuamente o escopo, o cronograma e a duração da auditoria.

11.3. O Cliente deverá garantir que qualquer auditor atue sob um acordo de confidencialidade por escrito. O Cliente arcará com seus próprios custos e quaisquer custos do seu auditor mandatado. Se a auditoria revelar uma violação material deste DPA pela MEFERI, a MEFERI arcará com os custos razoáveis da auditoria, até um limite mutuamente acordado.

11.4. Na medida permitida por lei, a MEFERI poderá cumprir suas obrigações de auditoria fornecendo ao Cliente certificações relevantes de um auditor independente terceirizado (por exemplo, ISO 27001, SOC 2 Tipo II), ou resumos das mesmas, sujeito às obrigações de confidencialidade apropriadas.

12. TRANSFERÊNCIAS INTERNACIONAIS DE DADOS

12.1. A MEFERI não transferirá Dados Pessoais para nenhum país fora do Espaço Econômico Europeu (EEE) ou para um país considerado adequado pela Comissão Europeia, nos termos do Artigo 45 do GDPR, sem garantir que salvaguardas apropriadas estejam em vigor, conforme exigido pelo Capítulo V do GDPR (por exemplo, celebrando Cláusulas Contratuais Padrão, conforme aprovado pela Comissão Europeia).

12.2. Os principais locais de processamento de dados para os Serviços, especificamente onde os Dados Pessoais do Cliente são hospedados pela MEFERI em sua infraestrutura de nuvem principal, estarão dentro do Espaço Econômico Europeu (EEE), utilizando a região eu-west-3 da Amazon Web Services (AWS) (Paris, França). Mais detalhes sobre subprocessadores, incluindo provedores de infraestrutura de nuvem e suas localizações, são fornecidos no Apêndice 3.

12.3. Caso a MEFERI realize uma transferência de Dados Pessoais para um Subprocessador em um país terceiro (ou seja, fora do EEE ou um país não considerado adequado pela Comissão Europeia) que não garanta um nível de proteção adequado, a MEFERI garantirá que tal transferência seja coberta por um mecanismo de transferência apropriado nos termos do Capítulo V do GDPR, como as Cláusulas Contratuais Padrão. Isso inclui transferências que podem ocorrer se a MEFERI utilizar serviços de um subprocessador cuja infraestrutura ou pessoal de suporte esteja localizado em tais países terceiros, mesmo que o local de processamento primário especificado em 12.2 esteja dentro do EEE.

13. USO DE SOLUÇÕES DE TERCEIROS PELA MEFERI

13.1. O Cliente reconhece que o hardware ou os Serviços da MEFERI podem ser usados em conjunto com Soluções de Parceiros Terceiros (por exemplo, soluções de processamento de pagamentos em dispositivos CIAO, software específico de gestão de varejo).

13.2. Caso o Cliente opte por utilizar tais Soluções de Parceiros Terceirizados, o Cliente poderá firmar um contrato direto com os provedores de tais soluções. Nesses casos, o provedor terceirizado poderá atuar como Controlador ou Processador dos Dados Pessoais que trata em conexão com seus serviços, conforme determinado pelo contrato do Cliente com o terceiro.

13.3. Este APD rege apenas o Processamento de Dados Pessoais pela MEFERI como Processadora para o Cliente. Não se aplica às atividades de Processamento conduzidas por provedores de Soluções de Parceiros Terceirizados com os quais o Cliente tenha um relacionamento direto, a menos que tal provedor atue como Subprocessador da MEFERI, nos termos da Seção 6 deste APD.

14. RESPONSABILIDADE E INDENIZAÇÃO

14.1. A responsabilidade de cada parte sob este DPA estará sujeita às limitações e exclusões de responsabilidade estabelecidas no Contrato Principal.

14.2. O Cliente deverá indenizar e isentar a MEFERI de todas as reivindicações, ações, reivindicações de terceiros, perdas, danos e despesas (incluindo honorários advocatícios razoáveis) incorridos pela MEFERI decorrentes de qualquer violação, pelo Cliente, de suas obrigações sob este DPA ou a Lei de Proteção de Dados Aplicável.

15. PRAZO E RESCISÃO

15.1. Este DPA entrará em vigor na data de vigência do Contrato Principal e permanecerá em vigor até a rescisão ou expiração do Contrato Principal, ou até que a MEFERI cesse o Processamento de Dados Pessoais em nome do Cliente, o que ocorrer por último.

15.2. As obrigações de confidencialidade, exclusão/devolução de dados e quaisquer disposições que, por sua natureza, devam sobreviver à rescisão, sobreviverão à rescisão ou expiração deste DPA.

16. ALTERAÇÕES A ESTE DPA

16.1. A MEFERI pode alterar este DPA periodicamente, publicando a versão alterada em seu site ou notificando o Cliente de outra forma.

16.2. Caso a MEFERI realize uma alteração substancial neste DPA, a MEFERI notificará o Cliente com antecedência razoável sobre a alteração (por exemplo, por e-mail para o contato designado pelo Cliente ou por meio de uma notificação dentro dos Serviços). O uso contínuo dos Serviços pelo Cliente após esse período de notificação constituirá aceitação do DPA alterado. Caso o Cliente se oponha a uma alteração substancial, poderá rescindir o Contrato Principal de acordo com seus termos.

17. LEI APLICÁVEL E RESOLUÇÃO DE DISPUTAS

17.1. Lei Aplicável: Este DPA será regido e interpretado de acordo com as leis estipuladas como lei aplicável no Contrato Principal celebrado entre o Cliente e a entidade MEFERI parte desse Contrato Principal (“Entidade MEFERI Contratante”).

17.2. Resolução de Disputas:

a. As Partes se esforçarão para resolver qualquer disputa, controvérsia ou reivindicação decorrente ou relacionada a este DPA, sua interpretação, validade, violação ou rescisão (“Disputa”) amigavelmente por meio de negociações de boa-fé entre seus representantes autorizados. b. Se uma Disputa não puder ser resolvida por meio de negociação dentro de trinta (30) dias corridos a partir da notificação por escrito de uma Parte iniciando as negociações, tal Disputa será resolvida de acordo com o mecanismo de resolução de disputas (por exemplo, arbitragem ou processos judiciais) e foro conforme especificado no Contrato Principal. c. Caso o Contrato Principal preveja arbitragem:

i. Tal arbitragem será o mecanismo principal para resolução de Disputas sob este DPA. ii. Salvo disposição em contrário no Contrato Principal, ou se o Contrato Principal não mencionar as especificidades da arbitragem para assuntos relacionados a este DPA, as Partes concordam que qualquer Disputa poderá ser submetida à arbitragem administrada por uma instituição de arbitragem mutuamente acordada e reconhecida internacionalmente (como o Tribunal de Arbitragem Internacional de Shenzhen (SCIA), o Centro Internacional de Arbitragem de Cingapura (SIAC) ou o Centro Internacional de Arbitragem de Hong Kong (HKIAC), ou uma instituição apropriada dentro da União Europeia se a Entidade MEFERI Contratante for uma afiliada sediada na UE). iii. A arbitragem será conduzida em inglês. A sede ou local legal da arbitragem será conforme especificado no Contrato Principal ou, se não especificado ou se um local diferente for mutuamente acordado para uma Disputa específica, um local escolhido por mútuo acordo entre as Partes, ou na ausência de tal acordo dentro de um prazo razoável, pela Entidade MEFERI Contratante. iv. A sentença arbitral será final e vinculativa para ambas as Partes, sujeita a quaisquer direitos de apelação permitidos pelas leis da sede da arbitragem por injustiça processual ou falta de jurisdição.

d. Se o Contrato Principal especificar litígio judicial, os tribunais nele especificados terão jurisdição, sujeito à Seção 17.3 abaixo.

17.3. Considerações obrigatórias sobre a lei de proteção de dados: a. Não obstante qualquer outra disposição neste DPA ou no Contrato Principal, quando a Lei de Proteção de Dados Aplicável (incluindo, mas não se limitando ao GDPR) conceder ao Titular dos Dados direitos obrigatórios de intentar ações perante os tribunais de sua residência habitual ou local de trabalho, ou do local onde uma suposta infração ocorreu, ou de apresentar uma reclamação a uma autoridade supervisora, tais direitos não serão prejudicados pelos termos deste DPA. b. Quando o GDPR for aplicável, a MEFERI e o Cliente garantirão que qualquer escolha de lei ou jurisdição aplicável não impeça os Titulares dos Dados de se beneficiarem de quaisquer disposições obrigatórias da lei do Estado-Membro da União Europeia em que residem.

17.4. Execução Contínua: Enquanto a Disputa estiver pendente, as Partes continuarão a cumprir suas respectivas obrigações sob este DPA na medida do possível, a menos que o DPA ou o Contrato Principal sejam rescindidos.

18. INFORMAÇÕES DE CONTATO / PROTEÇÃO DE DADOS

18.1. Processador: MEFERI Technologies Co., Ltd. Endereço: 5F, A5, Tianfu Software Park, No. 1129, Century City Road, Zona de Alta Tecnologia, 610000, Chengdu, Sichuan, República Popular da China

– E-mail para consultas sobre proteção de dados: legal@meferi.com

18.2. Consultas sobre proteção de dados e DPO (para MEFERI Technologies Co., Ltd.): Todas as consultas relacionadas à proteção de dados sob este DPA devem ser direcionadas ao endereço de e-mail especificado para MEFERI Technologies Co., Ltd. na Seção 18.1 acima.

18.3. Representante da UE para MEFERI Technologies Co., Ltd. (de acordo com o Artigo 27 GDPR): Nome do Representante da UE: MEFERI Poland Sp. z oo Endereço: Ul. Modelarska 18/2, 40-142 Katowice, Polônia E-mail para consultas sobre proteção de dados da UE (para Titulares de Dados e Autoridades de Supervisão na UE sobre processamento pela MEFERI Technologies Co., Ltd.): polônia@meferi.com

18.4. Processamento por Afiliadas da MEFERI: Quando o Cliente celebra um Contrato Principal com uma afiliada da MEFERI Technologies Co., Ltd. (por exemplo, MEFERI Poland Sp. z oo) (“Afiliada Contratante da MEFERI”), e tal Afiliada Contratante da MEFERI atua como Processadora de Dados Pessoais sob esse Contrato Principal:

a) Este DPA será aplicável às atividades de processamento realizadas pelo Afiliado Contratante MEFERI, e todas as referências a “MEFERI” ou “Processador” aqui contidas serão consideradas como referências a tal Afiliado Contratante MEFERI.

b) As informações de contato para consultas sobre proteção de dados relacionadas ao processamento por tal Afiliada Contratante da MEFERI serão conforme especificado no Contrato Principal ou conforme comunicado pela Afiliada Contratante da MEFERI ao Cliente. Para a MEFERI Poland Sp. z oo, os dados de contato são: Endereço: Ul. Modelarska 18/2, 40-142 Katowice, Polônia.

E-mail: polônia@meferi.com

Telefone: +48 734-143-579

c) A lei aplicável e a resolução de disputas para este DPA em tais casos serão determinadas pelo Contrato Principal com o Afiliado MEFERI Contratante.

19. ACORDO INTEGRAL

19.1. Este DPA, incluindo seus Apêndices, constitui o acordo integral entre as partes com relação ao objeto deste instrumento e substitui todos os acordos, propostas ou representações anteriores e contemporâneos, escritos ou verbais, relativos ao seu objeto.

EM TESTEMUNHO DO QUE, as partes reconhecem sua concordância com este Contrato de Processamento de Dados a partir da Data Efetiva do Contrato Principal ou do uso dos Serviços pelo Cliente.

—

APÊNDICE 1

DETALHES DO PROCESSAMENTO

Este Apêndice 1 faz parte do DPA e descreve o Processamento de Dados Pessoais pela MEFERI em nome do Cliente.

A. LISTA DE PARTES

Controlador(es) / Cliente(s):

A pessoa jurídica que celebrou o Contrato Principal com a MEFERI para a prestação dos Serviços. O Cliente determina as finalidades e os meios do Processamento de Dados Pessoais.

Processador(es) / MEFERI:

MEFERI Technologies Co., Ltd., ou, quando aplicável conforme a Seção 18.4 deste DPA, a parte Afiliada da MEFERI Contratante do Contrato Principal com o Cliente, fornecendo os Serviços ao Cliente.

B. DESCRIÇÃO DO PROCESSAMENTO

1. Objeto do Tratamento:

O Processamento de Dados Pessoais no contexto do fornecimento, manutenção, suporte e melhoria dos Serviços MEFERI assinados pelo Cliente sob o Contrato Principal, incluindo, mas não se limitando a, MEFERI Shadowalk MDM/EMM Cloud Solution e componentes hospedados na nuvem da solução CIAO Intelligent Shopper Assistant (ISA).

2. Duração do Processamento:

Durante o prazo do Contrato Principal entre a MEFERI e o Cliente, e até que todos os Dados Pessoais sejam excluídos ou devolvidos de acordo com a Seção 10 do DPA.

3. Natureza e finalidade do processamento:

– Para a Solução em Nuvem MEFERI Shadowalk MDM/EMM: Permitir que o Cliente gerencie, proteja, monitore e ofereça suporte remotamente à sua frota de dispositivos móveis. Isso inclui provisionamento de dispositivos, gerenciamento de configuração, gerenciamento de aplicativos, aplicação de políticas de segurança, rastreamento de dispositivos (se habilitado pelo Cliente), diagnóstico remoto e geração de relatórios sobre o status e o uso dos dispositivos para o Cliente.

– Para os Componentes de Nuvem ISA MEFERI e CIAO (onde MEFERI é o Processador): Facilitar a operação da solução de assistente de compras inteligente para o Cliente (varejista). Isso pode incluir autenticação de usuário, gerenciamento de listas de compras, processamento de informações de produtos, dados de interação com o cliente (para análises fornecidas ao varejista) e integração com serviços de terceiros, conforme orientação do Cliente.

– Contratos de serviço MeCare: Para os serviços MeCare da MEFERI (onde a MEFERI atua como processadora): Para fornecer serviços contratados de suporte, manutenção, reparo, monitoramento e gerenciamento de dispositivos, conforme descrito nos “MeCare (nome do plano): Termos gerais de serviço” aplicáveis e no Guia de serviços de suporte MeCare, que podem envolver o acesso, a coleta ou o processamento de dados pessoais armazenados ou transmitidos pelos dispositivos do cliente, ou fornecidos pelo cliente no curso da prestação do serviço.

– Para Serviços de Suporte: Para fornecer suporte técnico, solução de problemas, manutenção e atualizações para os Serviços, o que pode envolver o acesso a Dados Pessoais processados dentro dos Serviços ou nos sistemas do Cliente mediante solicitação e instrução do Cliente.

– Cumprir as instruções documentadas do Cliente, conforme estabelecido neste DPA e no Contrato Principal.

– Para cumprir com as obrigações legais aplicáveis.

4. Categorias de titulares de dados:

– Funcionários, contratados e usuários autorizados do Cliente: Indivíduos que administram ou usam os Serviços em nome do Cliente (por exemplo, administradores de TI que usam o Shadowalk, funcionários do varejo que gerenciam ou usam o CIAO).

– Usuários finais dos dispositivos gerenciados pelo Cliente (para Shadowalk): Indivíduos (por exemplo, funcionários do Cliente) que usam computadores móveis ou outros dispositivos gerenciados pelo Cliente por meio da solução Shadowalk.

– Clientes do Cliente (compradores) (para CIAO, se MEFERI processar seus Dados Pessoais em um backend de nuvem em nome do Cliente varejista): Indivíduos que usam os dispositivos CIAO ISA na loja do varejista.

5. Tipos de Dados Pessoais Processados:

Os tipos específicos de Dados Pessoais Processados dependerão dos Serviços utilizados pelo Cliente e de como o Cliente configura e utiliza esses Serviços. Os Dados Pessoais podem incluir:

– Conta de usuário e informações de contato: Nome, endereço de e-mail, nome de usuário, senhas, número de telefone, cargo, departamento, ID do funcionário, função/permissões dentro dos Serviços (se aplicável para administração de serviços pelo Cliente).

– Informações do dispositivo (para Shadowalk): Identificadores do dispositivo (por exemplo, número de série, IMEI, endereço MAC, UDID), modelo do dispositivo, versão do sistema operacional, endereço IP, informações de rede, configurações do dispositivo, aplicativos instalados, dados de localização do dispositivo (se habilitado pelo Cliente).

– Dados de uso e registro (para Shadowalk e nuvem CIAO): registros do sistema, trilhas de auditoria, registros de atividades, dados de desempenho, dados de diagnóstico relacionados ao uso dos Serviços.

– Dados do comprador (para CIAO, se aplicável): detalhes da conta do comprador (por exemplo, ID de fidelidade, e-mail se fornecido pelo comprador para registro por meio do aplicativo do varejista no CIAO), listas de compras, histórico de leitura de produtos, dados de interação com o dispositivo CIAO.

– Dados de suporte: informações fornecidas pelo Cliente durante interações de suporte, incluindo detalhes de contato, descrição de problemas, detalhes de configuração do sistema e quaisquer Dados Pessoais contidos em logs ou arquivos compartilhados com a MEFERI para solução de problemas.

– Quaisquer outros Dados Pessoais que o Cliente (ou seus usuários autorizados ou Titulares dos Dados) optar por enviar aos Serviços.

6. Categorias especiais de dados pessoais (se houver):

A MEFERI não pretende Processar quaisquer Categorias Especiais de Dados Pessoais (conforme definido no Artigo 9 do GDPR) em nome do Cliente. O Cliente não deverá carregar, fornecer ou instruir a MEFERI a Processar quaisquer Categorias Especiais de Dados Pessoais, a menos que expressamente acordado por escrito com a MEFERI e sujeito às salvaguardas adequadas. Caso o Cliente forneça tais dados sem acordo prévio, o Cliente será o único responsável por garantir uma base legal válida para tal Processamento.

—

APÊNDICE 2

SEGURANÇA TÉCNICA E ORGANIZACIONAL MEASURES (TOMS)

Este Apêndice 2 descreve as Medidas Técnicas e Organizacionais implementadas pela MEFERI para garantir um nível apropriado de segurança para o Processamento de Dados Pessoais. A MEFERI pode atualizar essas medidas periodicamente, desde que tais atualizações não degradem materialmente a segurança geral dos Serviços.

1. Políticas e Governança de Segurança da Informação:

a. A MEFERI mantém políticas e procedimentos internos projetados para proteger Dados Pessoais.

b. As responsabilidades pela segurança da informação são definidas e alocadas.

c. Avaliações de risco regulares são conduzidas para identificar e mitigar ameaças aos Dados Pessoais.

2. Segurança de Pessoal:

a. Funcionários e contratados com acesso a Dados Pessoais estão sujeitos a obrigações de confidencialidade.

b. Treinamento de conscientização sobre segurança é fornecido ao pessoal relevante em relação às suas responsabilidades de proteção de dados e segurança.

c. Verificações de antecedentes podem ser realizadas para pessoal em funções sensíveis, quando permitido pela lei aplicável.

3. Controle de acesso físico:

a. Existem medidas para impedir o acesso físico não autorizado às instalações e instalações da MEFERI onde os Dados Pessoais podem ser Processados (por exemplo, escritórios).

b. Isso inclui perímetros de segurança, sistemas de controle de acesso, vigilância e registro de acesso físico, quando apropriado.

c. Para os data centers usados pela MEFERI para os Serviços (ou seja, aqueles de seu principal provedor de serviços de nuvem, Amazon Web Services – AWS), a MEFERI conta com as robustas medidas de segurança física implementadas pela AWS.

4. Controle de Acesso ao Sistema (Acesso Lógico):

a. O acesso aos sistemas de TI que processam Dados Pessoais é restrito ao pessoal autorizado.

b. São utilizados IDs de usuário exclusivos e mecanismos de autenticação fortes (por exemplo, senhas complexas, autenticação multifator quando apropriado e viável).

c. Os direitos de acesso são concedidos com base no princípio do menor privilégio (controle de acesso baseado em função).

d. São realizadas revisões regulares dos direitos de acesso.

e. Protocolos seguros são usados para acesso remoto.

5. Controle de acesso a dados:

a. Existem medidas para garantir que as pessoas autorizadas a usar um sistema de processamento de dados possam acessar apenas os Dados Pessoais aos quais seu direito de acesso se refere, de acordo com suas funções e responsabilidades atribuídas.

b. Os Dados Pessoais não são lidos, copiados, modificados ou removidos sem autorização durante o Processamento, uso e após o armazenamento, exceto quando necessário para a prestação dos Serviços ou conforme instruído pelo Cliente.

c. A segregação de tarefas e dados é implementada quando apropriado.

6. Controle de Transmissão:

a. Os Dados Pessoais são protegidos contra leitura, cópia, modificação ou remoção não autorizadas durante transmissão ou transporte eletrônico.

b. Tecnologias de criptografia (por exemplo, Transport Layer Security – TLS/Secure Sockets Layer – SSL para dados em trânsito) são usadas para proteger Dados Pessoais transmitidos por redes públicas.

c. Métodos seguros são usados para a transferência de mídia física contendo Dados Pessoais, caso ocorra alguma transferência desse tipo.

7. Controle de entrada:

a. São implementadas medidas para garantir que seja possível verificar e estabelecer posteriormente se e por quem os Dados Pessoais foram inseridos, modificados ou removidos dos sistemas de processamento de dados (por exemplo, por meio de registros de auditoria).

b. Recursos de registro e auditoria são implementados para atividades críticas do sistema relacionadas ao Processamento de Dados Pessoais.

8. Backup e recuperação de dados:

a. Backups regulares dos Dados Pessoais Processados nos Serviços são realizados para garantir a disponibilidade e a integridade dos dados.

b. Os procedimentos de backup e recuperação são definidos e testados periodicamente.

c. Os backups são armazenados com segurança.

9. Controle de disponibilidade e resiliência:

a. Os sistemas são projetados e configurados para garantir a disponibilidade dos Dados Pessoais e a resiliência dos sistemas e serviços de processamento.

b. Isso inclui medidas como redundância, tolerância a falhas e recursos de recuperação de desastres, aproveitando principalmente a infraestrutura do principal provedor de serviços de nuvem da MEFERI (Amazon Web Services – AWS).

10. Segregação de dados:

a. Os Dados Pessoais do Cliente são logicamente segregados dos dados de outros clientes da MEFERI dentro dos Serviços.

11. Desenvolvimento de software seguro (para plataformas de nuvem da MEFERI):

a. Práticas e princípios de codificação seguros são incorporados ao ciclo de vida de desenvolvimento de software da MEFERI para suas plataformas de nuvem.

b. Testes de segurança (por exemplo, varredura de vulnerabilidades, testes de penetração) são conduzidos conforme apropriado para os Serviços.

c. Existem procedimentos para identificar, avaliar e corrigir vulnerabilidades no software da MEFERI.

12. Gerenciamento de Incidentes:

a. A MEFERI mantém um plano de resposta a incidentes e procedimentos para detectar, responder e se recuperar de incidentes de segurança, incluindo violações de dados pessoais.

b. Os incidentes são investigados, documentados e ações corretivas apropriadas são tomadas.

c. Planos de comunicação são estabelecidos para notificações internas e externas, conforme exigido pela Lei de Proteção de Dados Aplicável e este DPA.

13. Gestão de Subprocessadores:

a. A devida diligência é realizada antes de envolver Subprocessadores para garantir que eles possam fornecer um nível adequado de proteção de dados.

b. Existem acordos contratuais com Subprocessadores que impõem obrigações de proteção de dados que são pelo menos equivalentes às impostas à MEFERI sob este DPA.

14. Monitoramento e registro:

a. Os sistemas que processam Dados Pessoais são monitorados quanto a eventos de segurança e anomalias, quando apropriado e viável.

b. Os registros relevantes são coletados e revisados conforme necessário para detectar, investigar e responder a incidentes de segurança.

15. Criptografia:

a. A criptografia de Dados Pessoais em repouso é implementada quando apropriado e tecnicamente viável (por exemplo, para armazenamento de banco de dados contendo Dados Pessoais sensíveis).

b. A criptografia de Dados Pessoais em trânsito por redes públicas é implementada usando protocolos padrão do setor (por exemplo, TLS).

*(O Cliente reconhece que as Medidas de Segurança estão sujeitas a progresso e desenvolvimento técnico e que a MEFERI pode atualizar ou modificar as Medidas de Segurança de tempos em tempos, desde que tais atualizações e modificações não resultem na degradação da segurança geral dos Serviços adquiridos pelo Cliente.)*

—

APÊNDICE 3

SUBPROCESSADORES

O Cliente fornece autorização geral à MEFERI para usar as categorias de Subprocessadores listadas abaixo. A MEFERI manterá uma lista atualizada de seus Subprocessadores específicos, que será disponibilizada ao Cliente por meio da publicação em uma página da web designada no site da MEFERI. https://meferi.com/en/us/legal/subprocessors ). e fornecerá esta lista ao Cliente mediante solicitação por escrito ao contato de Proteção de Dados da MEFERI (por exemplo, legal@meferi.com ).

Categorias de Subprocessadores e Finalidade:

1. Provedores de infraestrutura em nuvem: – Subprocessador e especificações para hospedagem principal de serviços fornecidos ao cliente sob o contrato principal:

– Entidade: Amazon Web Services EMEA SARL (ou a entidade contratante da AWS relevante para serviços fornecidos no EEE).

– Objetivo: Fornecer infraestrutura de computação em nuvem subjacente (servidores, armazenamento, rede, bancos de dados) para hospedar os Serviços da MEFERI (por exemplo, Shadowalk Cloud, backend CIAO Cloud) fornecidos ao Cliente sob o Contrato Principal.

– Local de processamento de dados pessoais do cliente (hospedagem primária): a região principal da AWS para processamento de dados pessoais do cliente sob este DPA é eu-west-3 (Paris, França) dentro do Espaço Econômico Europeu (EEE).

– Salvaguardas da Transferência de Dados: A AWS fornece um Adendo de Processamento de Dados (APD) que inclui Cláusulas Contratuais Padrão (CCPs) para reger as transferências de dados pessoais, que se aplicam caso quaisquer dados sejam processados pela AWS ou transferidos pela AWS para locais fora do EEE que não estejam abrangidos por uma decisão de adequação. O cliente pode consultar o Adendo de Processamento de Dados da AWS em  https://d1.awsstatic.com/legal/aws-dpa/aws-dpa.pdf e informações sobre a conformidade com o RGPD da AWS em  https://aws.amazon.com/compliance/gdpr-center/

– Observação sobre CDNs (se aplicável): Se a MEFERI utilizar o AWS CloudFront ou serviços de rede de distribuição de conteúdo (CDN) semelhantes para aprimorar o desempenho dos Serviços, cópias de determinados dados (normalmente ativos estáticos ou conteúdo em cache, que podem ou não incluir Dados Pessoais, dependendo da configuração) poderão ser temporariamente armazenadas em cache em pontos de presença da AWS em todo o mundo. No entanto, o armazenamento autorizado e o processamento primário dos Dados Pessoais do Cliente para os Serviços permanecerão na região da AWS especificada acima (eu-west-3). A MEFERI garantirá que quaisquer Dados Pessoais do Cliente distribuídos via CDN sejam tratados em conformidade com os requisitos do GDPR.

– Outros Provedores de Infraestrutura em Nuvem para Serviços fornecidos ao Cliente sob o Contrato Principal:

– Atualmente, a MEFERI não utiliza outros provedores de infraestrutura de nuvem de terceiros para hospedagem primária ou fornecimento direto dos Serviços definidos no Contrato Principal, além do que está descrito acima.

2. Provedores de serviços de comunicação:

– Finalidade: Facilitar comunicações essenciais ao Cliente ou seus usuários autorizados em conexão com o fornecimento e uso dos Serviços (por exemplo, entrega de e-mail para notificações de serviço, redefinições de senha, alertas de segurança e entrega de SMS para alertas críticos ou códigos de autenticação de dois fatores).

– Subprocessadores específicos utilizados:

– Para comunicações por e-mail:

– Entidade: Amazon Web Services EMEA SARL (utilizando Amazon Simple Email Service – SES).

– Finalidade específica do MEFERI: Para enviar notificações por e-mail transacionais e relacionadas ao serviço aos usuários autorizados do Cliente (por exemplo, alertas de conta, redefinições de senha, atualizações de serviço, informações críticas de segurança) em conexão com os Serviços.

– Local do Processamento: A infraestrutura de envio de e-mails está localizada principalmente nas regiões da AWS que a MEFERI utiliza para seus Serviços (por exemplo, configurada para enviar de uma região do EEE, como eu-west-1 Irlanda ou eu-west-3 Paris, quando viável). O processamento de quaisquer Dados Pessoais (como endereços de e-mail e conteúdo de e-mails) via SES é regido pelo Adendo de Processamento de Dados da AWS.

– Garantias de Transferência de Dados: Cobertas pelo Adendo de Processamento de Dados da Amazon Web Services, que inclui Cláusulas Contratuais Padrão. Disponível

no: https://d1.awsstatic.com/legal/aws-dpa/aws-dpa.pdf.

– Para comunicações por SMS:

– Entidade: Twilio Inc.

– Finalidade específica do MEFERI: Para enviar notificações por SMS aos usuários autorizados do Cliente como parte dos Serviços, como para alertas críticos ou entrega de códigos de autenticação de dois fatores (2FA), se tais recursos estiverem habilitados e forem usados pelo Cliente.

– Natureza dos Dados Processados: Normalmente inclui números de telefone de usuários autorizados do Cliente e o conteúdo das mensagens SMS (por exemplo, códigos de autenticação, texto de alerta).

– Local de processamento: principalmente EUA.

– Garantias de Transferência de Dados: As transferências de Dados Pessoais são regidas pelo Adendo de Processamento de Dados da Twilio, que incorpora Cláusulas Contratuais Padrão (CCPs). O cliente pode consultar o APD da Twilio em: https://www.twilio.com/legal/data-protection-addendum.

– Outros provedores de serviços de comunicação:

– Atualmente, a MEFERI não utiliza outros provedores de serviços de comunicação terceirizados para o processamento de Dados Pessoais do Cliente nos termos deste APD, além do descrito acima para e-mail e SMS. Caso recursos específicos que exijam outros tipos de serviços de comunicação sejam introduzidos e aceitos pelo Cliente, a MEFERI atualizará esta lista e notificará o Cliente de acordo com a Seção 6.2 deste APD.

3. Provedores de análise e monitoramento de desempenho de serviços:

– Finalidade: Monitorar o desempenho, identificar erros e analisar padrões de uso dos Serviços da MEFERI (por exemplo, Shadowalk Cloud, backend CIAO Cloud) para manter e aprimorar a estabilidade, a funcionalidade e a experiência do usuário do serviço. Os dados processados por esses provedores para os Serviços da MEFERI são normalmente pseudonimizados, agregados ou consistem em dados técnicos/operacionais. A MEFERI não utiliza esses provedores para analisar o conteúdo específico dos Dados Pessoais do Cliente nos Serviços, a menos que explicitamente instruído ou acordado com o Cliente para fins de suporte ou solução de problemas.

– Subprocessadores específicos utilizados:

– Entidade: Functional Software, Inc. (fazendo negócios como Sentry).

– Finalidade específica do MEFERI: Para rastreamento de erros em tempo real, diagnósticos e monitoramento de desempenho dentro dos serviços baseados em nuvem do MEFERI (Shadowalk Cloud, backend do CIAO Cloud) para ajudar a identificar e resolver problemas técnicos.

– Natureza dos Dados Processados: Normalmente inclui mensagens de erro, rastreamentos de pilha, informações do dispositivo/navegador, endereços IP (que a MEFERI pode configurar para serem anonimizados ou não armazenados, quando viável dentro das capacidades da Sentry) e outros metadados operacionais relacionados a eventos de serviço. A MEFERI configura sua integração com a Sentry para minimizar a captura de Dados Pessoais do Cliente.

– Local de processamento: principalmente EUA.

– Garantias de Transferência de Dados: As transferências são regidas pelo Adendo de Processamento de Dados da Sentry, que incorpora Cláusulas Contratuais Padrão. Disponível em: https://sentry.io/legal/dpa/

– Análise de sites e portais (MEFERI como Controlador):

– Para análises relacionadas ao site corporativo da MEFERI (por exemplo, meferi.com) e outros portais públicos de propriedade da MEFERI, onde a MEFERI atua como Controladora de Dados, os detalhes dos provedores de análise (como o Google Analytics) e do processamento de dados estão descritos na Política de Privacidade geral da MEFERI. Esses provedores não são listados aqui como subprocessadores sob este DPA, a menos que também processem Dados Pessoais do Cliente em nome da MEFERI no contexto dos Serviços prestados ao Cliente.

4. Ferramentas de suporte e atendimento ao cliente:

– Objetivo: Gerenciar consultas de suporte ao cliente, fornecer serviços de helpdesk e facilitar a comunicação relacionada ao suporte aos Serviços da MEFERI.

– Ferramentas específicas utilizadas:

– A MEFERI utiliza seu portal de suporte ao cliente e sistema de tickets proprietários, acessíveis em support.meferi.com. Este sistema é desenvolvido e mantido pela MEFERI e está hospedado na infraestrutura de nuvem da MEFERI, fornecida pela Amazon Web Services (AWS), conforme detalhado na Seção 1 (“Provedores de Infraestrutura de Nuvem”) deste Apêndice.

– Os Dados Pessoais enviados pelos usuários autorizados do Cliente por meio deste portal de suporte (por exemplo, detalhes de contato, conteúdo da consulta) são processados dentro deste sistema operado pela MEFERI.

– A MEFERI não utiliza atualmente provedores terceirizados de Software como Serviço (SaaS) para sua plataforma de suporte ao cliente, onde os Dados Pessoais do Cliente são processados sob este DPA. – Processamento de Dados e Consentimento do Usuário no Portal de Suporte:

– Os usuários que acessam support.meferi.com estão sujeitos aos termos da Política de Privacidade da MEFERI e a qualquer Contrato de Usuário aplicável ao portal de suporte, que regem a coleta e o uso de Dados Pessoais enviados diretamente pelos usuários ao portal pela MEFERI.

– Envolvimento futuro de provedores terceirizados:

– Se a MEFERI optar por contratar provedores de ferramentas de suporte ou atendimento ao cliente de terceiros no futuro para processar Dados Pessoais do Cliente, esta lista será atualizada e o Cliente será notificado de acordo com a Seção 6.2 deste DPA.

5. Subcontratados técnicos (por exemplo, para desenvolvimento especializado, manutenção ou testes de segurança):

– Atualmente, a MEFERI executa serviços técnicos especializados, desenvolvimento de software, manutenção de sistemas e testes de segurança para seus Serviços (como a solução em nuvem MEFERI Shadowalk MDM/EMM e componentes hospedados na nuvem da solução CIAO Intelligent Shopper Assistant (ISA)) usando principalmente seu pessoal interno.

– Atualmente, a MEFERI não contrata subcontratados técnicos terceirizados em uma capacidade que os obrigue a processar Dados Pessoais do Cliente em nome da MEFERI sob este DPA.

– Caso a MEFERI decida no futuro contratar tais subcontratados técnicos que processarão Dados Pessoais do Cliente, a MEFERI atualizará esta lista de Subprocessadores e notificará o Cliente de acordo com a Seção 6.2 deste DPA, garantindo que qualquer contratação esteja em conformidade com os requisitos de subprocessamento estabelecidos neste DPA, incluindo a implementação de salvaguardas de transferência de dados apropriadas, quando necessário.

6. Centros de Serviços de Reparo Autorizados e Provedores de Logística:

– Objetivo: Fornecer serviços de reparo, diagnóstico, reforma e logística relacionados a dispositivos para produtos MEFERI sob contratos de serviço aplicáveis (como planos de serviço MeCare) ou termos de garantia.

– Entidade/Categoria: Centros de serviço terceirizados autorizados ou parceiros de logística contratados pela MEFERI ou suas afiliadas para executar reparos e manuseio de dispositivos MEFERI. (A MEFERI mantém uma rede desses provedores autorizados; os detalhes específicos do provedor para um determinado reparo podem depender da localização do Cliente e da natureza da solicitação de serviço).

– Natureza dos Dados Processados: Podem incluir:

– Informações de contato dos representantes do Cliente que coordenam o reparo (nome, e-mail, número de telefone, endereço de entrega).

– Identificadores do dispositivo (número de série, modelo).

– Descrição do problema fornecida pelo Cliente.

Potencialmente, quaisquer Dados Pessoais restantes em dispositivos enviados para reparo, se não forem excluídos ou protegidos pelo Cliente antes do envio. A MEFERI instrui os Clientes a fazer backup e/ou excluir os Dados Pessoais dos dispositivos antes de enviá-los para reparo, e a responsabilidade da MEFERI pela perda desses dados é limitada de acordo com o Contrato Principal ou os termos de serviço aplicáveis. No entanto, na medida em que tais dados sejam acessados pela central de reparo durante o diagnóstico ou reparo, eles serão tratados como Dados Pessoais do Cliente.

– Localização da equipe de processamento: Os centros de serviços de reparo podem estar localizados em várias regiões do mundo, incluindo o EEE, a República Popular da China ou outros países, dependendo da localização do cliente e da rede de serviços da MEFERI. A MEFERI fornecerá informações sobre a localização do centro de reparo específico mediante solicitação ou como parte do processo de RMA, quando possível.

– Medidas de Proteção de Dados: Todos os centros de serviços de reparo autorizados e provedores de logística que podem acessar os Dados Pessoais do Cliente estão sujeitos a acordos por escrito com a MEFERI (ou a afiliada contratante da MEFERI) que incluem obrigações de confidencialidade e termos de processamento de dados que impõem requisitos de proteção de dados pelo menos equivalentes aos estabelecidos neste DPA. Para qualquer transferência de Dados Pessoais do Cliente para tais provedores localizados fora do Espaço Econômico Europeu (EEE) em um país não considerado adequado pela Comissão Europeia, a MEFERI garante que os mecanismos de transferência apropriados, de acordo com o Capítulo V do GDPR, como as Cláusulas Contratuais Padrão (CCPs), estejam em vigor. O acesso aos Dados Pessoais em dispositivos é limitado ao necessário para diagnóstico e reparo.