{"id":3865,"date":"2025-08-14T14:23:55","date_gmt":"2025-08-14T11:23:55","guid":{"rendered":"https:\/\/meferi.pontima.ru\/?page_id=3865"},"modified":"2025-11-01T11:49:20","modified_gmt":"2025-11-01T10:49:20","slug":"data-processing-agreement","status":"publish","type":"page","link":"https:\/\/meferi.com\/pt\/support-services\/legal-center\/data-processing-agreement\/","title":{"rendered":"Processamento de Dados"},"content":{"rendered":"
<\/div><\/div><\/div>
\r\n\t
\r\n\t\t
\r\n\t\t\t

Processamento de Dados<\/span><\/h1>\n
Este Contrato de Processamento de Dados (\u201cDPA\u201d) \u00e9 celebrado entre:<\/div>\n
\n
\n


(1) MEFERI Technologies Co., Ltd., uma empresa constitu\u00edda sob as leis da China, com sede social em 5F, A5, Tianfu Software Park, No. 1129, Century City Road, High-tech Zone, 610000, Chengdu, Sichuan, RPChina (\u201cMEFERI\u201d, \u201cProcessador\u201d, \u201cN\u00f3s\u201d, \u201cNos\u201d ou \u201cNosso\u201d); e

(2) O Cliente (\u201cCliente\u201d, \u201cControlador\u201d ou \u201cVoc\u00ea\u201d), a entidade legal que assinou ou usa os Servi\u00e7os da MEFERI conforme definido abaixo e concordou com os principais termos de servi\u00e7o da MEFERI ou outro contrato principal (\u201cContrato Principal\u201d).

Este DPA constitui parte integrante do Contrato Principal e reflete o acordo das partes com rela\u00e7\u00e3o ao Processamento de Dados Pessoais pela MEFERI em nome do Cliente em conex\u00e3o com os Servi\u00e7os.

Ao aceitar o Contrato Principal ou ao acessar ou usar os Servi\u00e7os ap\u00f3s este DPA ter sido disponibilizado, o Cliente celebra este DPA em seu pr\u00f3prio nome e, na medida exigida pela Lei de Prote\u00e7\u00e3o de Dados Aplic\u00e1vel, em nome e em representa\u00e7\u00e3o de seus Usu\u00e1rios autorizados.

Se houver qualquer conflito entre este DPA e o Contrato Principal, este DPA prevalecer\u00e1 na medida de tal conflito em rela\u00e7\u00e3o ao Processamento de Dados Pessoais.

1. DEFINI\u00c7\u00d5ES

1.1. \u201cContrato Principal\u201d significa o contrato principal por escrito (que pode ser denominado Termos de Servi\u00e7o, Termos Gerais de Servi\u00e7o, Contrato Mestre de Servi\u00e7os, Contrato de Servi\u00e7o, Contrato de Assinatura ou similar) celebrado entre o Cliente e a MEFERI (ou uma Afiliada Contratante da MEFERI, conforme a Cl\u00e1usula 18.4) para a presta\u00e7\u00e3o dos Servi\u00e7os, incluindo quaisquer termos espec\u00edficos do plano de servi\u00e7o (como \u201cMeCare (Nome do Plano): Termos Gerais de Servi\u00e7o\u201d) e quaisquer formul\u00e1rios de pedido ou declara\u00e7\u00f5es de servi\u00e7o executados nos termos do mesmo. Este DPA \u00e9 parte integrante do Contrato Principal.

1.2. \u201cLei de Prote\u00e7\u00e3o de Dados Aplic\u00e1vel\u201d significa todas as leis e regulamentos aplic\u00e1veis ao Processamento de Dados Pessoais sob este DPA, incluindo, entre outros, o GDPR e quaisquer leis, regulamentos e legisla\u00e7\u00e3o secund\u00e1ria nacionais de implementa\u00e7\u00e3o, conforme alterados ou atualizados periodicamente.

1.3. \u201cControlador\u201d tem o significado estabelecido no Artigo 4(7) do GDPR. Para os fins deste DPA, o Cliente \u00e9 o Controlador.

1.4. \u201cTitular dos dados\u201d tem o significado estabelecido no Artigo 4(1) do RGPD.

1.5. \u201cRGPD\u201d significa o Regulamento (UE) 2016\/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo \u00e0 prote\u00e7\u00e3o das pessoas singulares no que diz respeito ao tratamento de dados pessoais e \u00e0 livre circula\u00e7\u00e3o desses dados e que revoga a Diretiva 95\/46\/CE (Regulamento Geral sobre a Prote\u00e7\u00e3o de Dados).

1.6. \u201cDados Pessoais\u201d tem o significado estabelecido no Artigo 4(1) do RGPD e est\u00e1 limitado aos Dados Pessoais Processados pela MEFERI em nome do Cliente na presta\u00e7\u00e3o dos Servi\u00e7os, conforme descrito no Ap\u00eandice 1.

1.7. \u201cViola\u00e7\u00e3o de Dados Pessoais\u201d tem o significado estabelecido no Artigo 4(12) do RGPD, especificamente uma viola\u00e7\u00e3o de seguran\u00e7a que leva \u00e0 destrui\u00e7\u00e3o acidental ou ilegal, perda, altera\u00e7\u00e3o, divulga\u00e7\u00e3o n\u00e3o autorizada ou acesso a Dados Pessoais do Cliente transmitidos, armazenados ou de outra forma Processados pela MEFERI.

1.8. \u201cProcessamento\u201d tem o significado estabelecido no Artigo 4(2) do RGPD. \u201cProcessar\u201d e \u201cProcessado\u201d devem ser interpretados em conformidade.

1.9. \u201cProcessador\u201d significa MEFERI Technologies Co., Ltd., (MEFERI) ou, quando aplic\u00e1vel conforme a Se\u00e7\u00e3o 18.4 deste DPA, a parte Afiliada Contratante da MEFERI no Contrato Principal com o Cliente.

1.10. \u201cServi\u00e7os\u201d significa os produtos e servi\u00e7os fornecidos pela MEFERI ao Cliente nos termos do Contrato Principal, incluindo especificamente, mas n\u00e3o se limitando \u00e0 Solu\u00e7\u00e3o em Nuvem Shadowalk MDM\/EMM da MEFERI, componentes hospedados em nuvem da solu\u00e7\u00e3o CIAO Intelligent Shopper Assistant (ISA), na qual a MEFERI atua como processadora, e quaisquer servi\u00e7os de suporte associados (incluindo, mas n\u00e3o se limitando a, servi\u00e7os fornecidos sob um contrato de servi\u00e7o MEFERI MeCare) nos quais a MEFERI Processa Dados Pessoais do Cliente. Para maior clareza, os Servi\u00e7os n\u00e3o incluem implanta\u00e7\u00f5es locais do software MEFERI em que o Processamento cont\u00ednuo de Dados Pessoais \u00e9 realizado exclusivamente no ambiente do Cliente, exceto quando a MEFERI acessa tais sistemas para suporte sob instru\u00e7\u00e3o do Cliente.

1.11. \u201cSubprocessador\u201d significa qualquer terceiro contratado pela MEFERI para Processar Dados Pessoais em nome do Cliente em conex\u00e3o com os Servi\u00e7os.

1.12. \u201cMedidas T\u00e9cnicas e Organizacionais\u201d ou \u201cMTOs\u201d significa as medidas de seguran\u00e7a implementadas pela MEFERI para proteger Dados Pessoais, conforme descrito no Ap\u00eandice 2.

1.13. \u201cSolu\u00e7\u00f5es de Parceiros Terceirizados\u201d significa software ou servi\u00e7os fornecidos por terceiros que podem ser integrados ou usados em conjunto com o hardware ou os Servi\u00e7os da MEFERI, como solu\u00e7\u00f5es de pagamento (por exemplo, WorldLine \u201cTap on Mobile\u201d) ou software de autodigitaliza\u00e7\u00e3o de varejo (por exemplo, 4MAX \u201cScan & Go\u201d), onde o Cliente pode ter uma rela\u00e7\u00e3o contratual direta com tal terceiro.

2. FUN\u00c7\u00d5ES E RESPONSABILIDADES

2.1. Fun\u00e7\u00f5es das Partes: O Cliente \u00e9 o Controlador e a MEFERI \u00e9 a Processadora dos Dados Pessoais do Cliente. Cada parte cumprir\u00e1 suas respectivas obriga\u00e7\u00f5es sob a Legisla\u00e7\u00e3o Aplic\u00e1vel de Prote\u00e7\u00e3o de Dados.

2.2. Obriga\u00e7\u00f5es do Cliente como Controlador: O Cliente declara e garante que:

a. Cumpriu e continuar\u00e1 a cumprir todas as disposi\u00e7\u00f5es aplic\u00e1veis da Lei de Prote\u00e7\u00e3o de Dados Aplic\u00e1vel em rela\u00e7\u00e3o ao seu Processamento de Dados Pessoais e quaisquer instru\u00e7\u00f5es de processamento que emitir \u00e0 MEFERI;

b. \u00c9 o \u00fanico respons\u00e1vel pela exatid\u00e3o, qualidade e legalidade dos Dados Pessoais e pelos meios pelos quais adquiriu os Dados Pessoais, incluindo a obten\u00e7\u00e3o de todos os consentimentos necess\u00e1rios, o fornecimento de todas as notifica\u00e7\u00f5es necess\u00e1rias e a exist\u00eancia de uma base legal v\u00e1lida para o Processamento de Dados Pessoais pela MEFERI, de acordo com este DPA e o Contrato Principal; e

c. Suas instru\u00e7\u00f5es \u00e0 MEFERI para o Processamento de Dados Pessoais dever\u00e3o estar em conformidade com a Lei de Prote\u00e7\u00e3o de Dados Aplic\u00e1vel.

2.3. Obriga\u00e7\u00f5es da MEFERI como Processador: A MEFERI dever\u00e1:

a. Processar Dados Pessoais somente mediante instru\u00e7\u00f5es documentadas do Cliente, inclusive no que se refere a transfer\u00eancias de Dados Pessoais para um pa\u00eds terceiro ou uma organiza\u00e7\u00e3o internacional, a menos que seja exigido pela legisla\u00e7\u00e3o da Uni\u00e3o ou do Estado-Membro \u00e0 qual a MEFERI esteja sujeita; nesse caso, a MEFERI dever\u00e1 informar o Cliente sobre essa exig\u00eancia legal antes do Processamento, a menos que essa legisla\u00e7\u00e3o pro\u00edba tal informa\u00e7\u00e3o por motivos importantes de interesse p\u00fablico (Artigo 28(3)(a) do RGPD). O Contrato Principal e este DPA constituem instru\u00e7\u00f5es documentadas do Cliente \u00e0 MEFERI para o Processamento de Dados Pessoais.

b. Informar imediatamente o Cliente se, na opini\u00e3o da MEFERI, uma instru\u00e7\u00e3o infringe a Lei de Prote\u00e7\u00e3o de Dados Aplic\u00e1vel (Artigo 28(3) GDPR).

3. DETALHES DO PROCESSAMENTO

3.1. O objeto do Processamento, a dura\u00e7\u00e3o do Processamento, a natureza e a finalidade do Processamento, os tipos de Dados Pessoais e as categorias de Titulares dos Dados est\u00e3o definidos no Ap\u00eandice 1 (Detalhes do Processamento) deste DPA.

4. CONFIDENCIALIDADE

4.1. A MEFERI dever\u00e1 garantir que o seu pessoal autorizado a Processar Dados Pessoais tenha se comprometido com a confidencialidade ou esteja sob uma obriga\u00e7\u00e3o legal de confidencialidade apropriada (Artigo 28(3)(b) GDPR).

5. SEGURAN\u00c7A DO PROCESSAMENTO

5.1. Considerando o estado da t\u00e9cnica, os custos de implementa\u00e7\u00e3o e a natureza, o escopo, o contexto e as finalidades do Processamento, bem como o risco de probabilidade e gravidade vari\u00e1veis para os direitos e liberdades das pessoas f\u00edsicas, a MEFERI implementar\u00e1 e manter\u00e1 Medidas T\u00e9cnicas e Organizacionais apropriadas para garantir um n\u00edvel de seguran\u00e7a adequado ao risco, conforme descrito no Ap\u00eandice 2 (Medidas T\u00e9cnicas e Organizacionais) (Artigo 28(3)(c) e Artigo 32 do RGPD).

5.2. A MEFERI pode atualizar ou modificar os TOMs periodicamente, desde que tais atualiza\u00e7\u00f5es e modifica\u00e7\u00f5es n\u00e3o resultem em degrada\u00e7\u00e3o material da seguran\u00e7a geral dos Servi\u00e7os.

6. SUBPROCESSAMENTO

6.1. Autoriza\u00e7\u00e3o Geral: O Cliente concede \u00e0 MEFERI autoriza\u00e7\u00e3o geral por escrito para contratar Subprocessadores para Processar Dados Pessoais em nome do Cliente em conex\u00e3o com a presta\u00e7\u00e3o dos Servi\u00e7os (Artigo 28(2) GDPR).

6.2. Subprocessadores Atuais e Notifica\u00e7\u00e3o de Novos Subprocessadores: A MEFERI manter\u00e1 uma lista de seus Subprocessadores atuais, que ser\u00e1 disponibilizada ao Cliente mediante solicita\u00e7\u00e3o ou por meio de uma p\u00e1gina da web designada (consulte o Ap\u00eandice 3). A MEFERI informar\u00e1 o Cliente sobre quaisquer altera\u00e7\u00f5es pretendidas relativas \u00e0 adi\u00e7\u00e3o ou substitui\u00e7\u00e3o de outros Subprocessadores com pelo menos trinta (30) dias corridos de anteced\u00eancia, dando assim ao Cliente a oportunidade de se opor a tais altera\u00e7\u00f5es.

6.3. Obje\u00e7\u00e3o a Novos Subprocessadores: Se o Cliente tiver uma base razo\u00e1vel para se opor ao uso de um novo Subprocessador pela MEFERI, o Cliente dever\u00e1 notificar a MEFERI prontamente por escrito, no prazo de dez (10) dias \u00fateis ap\u00f3s o recebimento da notifica\u00e7\u00e3o da MEFERI. Caso o Cliente se oponha, a MEFERI envidar\u00e1 esfor\u00e7os razo\u00e1veis para disponibilizar ao Cliente uma altera\u00e7\u00e3o nos Servi\u00e7os ou recomendar uma altera\u00e7\u00e3o comercialmente razo\u00e1vel na configura\u00e7\u00e3o ou no uso dos Servi\u00e7os pelo Cliente, a fim de evitar o Processamento de Dados Pessoais pelo novo Subprocessador objetado, sem onerar o Cliente de forma injustificada. Se a MEFERI n\u00e3o puder disponibilizar tal altera\u00e7\u00e3o dentro de um prazo razo\u00e1vel, que n\u00e3o exceder\u00e1 trinta (30) dias corridos, o Cliente poder\u00e1 rescindir a parte aplic\u00e1vel dos Servi\u00e7os que n\u00e3o puder ser fornecida pela MEFERI sem o uso do novo Subprocessador objetado, mediante notifica\u00e7\u00e3o por escrito \u00e0 MEFERI.

6.4. Obriga\u00e7\u00f5es do Subprocessador: A MEFERI dever\u00e1 garantir que qualquer Subprocessador que contratar esteja sujeito a um contrato escrito ou outro ato legal sob a legisla\u00e7\u00e3o da Uni\u00e3o ou do Estado-Membro que imponha obriga\u00e7\u00f5es de prote\u00e7\u00e3o de dados que sejam pelo menos equivalentes \u00e0s impostas \u00e0 MEFERI sob este DPA, particularmente fornecendo garantias suficientes para implementar medidas t\u00e9cnicas e organizacionais apropriadas de tal forma que o Processamento atenda aos requisitos da Lei de Prote\u00e7\u00e3o de Dados Aplic\u00e1vel (Artigo 28(4) GDPR).

6.5. Responsabilidade: A MEFERI permanecer\u00e1 totalmente respons\u00e1vel perante o Cliente pelo cumprimento das obriga\u00e7\u00f5es de prote\u00e7\u00e3o de dados de seus Subprocessadores.

7. DIREITOS DO TITULAR DOS DADOS

7.1. Considerando a natureza do Processamento, a MEFERI auxiliar\u00e1 o Cliente implementando medidas t\u00e9cnicas e organizacionais adequadas, na medida do poss\u00edvel, para o cumprimento da obriga\u00e7\u00e3o do Cliente de responder \u00e0s solicita\u00e7\u00f5es de exerc\u00edcio dos direitos do Titular dos Dados previstos no Cap\u00edtulo III do RGPD (por exemplo, direito de acesso, retifica\u00e7\u00e3o, apagamento, etc.) (Artigo 28(3)(e) do RGPD).

7.2. Caso a MEFERI receba uma solicita\u00e7\u00e3o diretamente de um Titular dos Dados referente aos Dados Pessoais do Cliente, a MEFERI notificar\u00e1 imediatamente o Cliente sobre tal solicita\u00e7\u00e3o e n\u00e3o responder\u00e1 ao Titular dos Dados, exceto para confirmar que a solicita\u00e7\u00e3o se refere ao Cliente. O Cliente ser\u00e1 respons\u00e1vel por responder a todas as solicita\u00e7\u00f5es do Titular dos Dados.

8. ASSIST\u00caNCIA AO CONTROLADOR

8.1. Considerando a natureza do Processamento e as informa\u00e7\u00f5es dispon\u00edveis \u00e0 MEFERI, a MEFERI prestar\u00e1 assist\u00eancia razo\u00e1vel ao Cliente para garantir o cumprimento de suas obriga\u00e7\u00f5es nos termos dos Artigos 32 a 36 do RGPD (Seguran\u00e7a do Processamento, notifica\u00e7\u00e3o de Viola\u00e7\u00e3o de Dados Pessoais \u00e0 autoridade supervisora, comunica\u00e7\u00e3o de uma Viola\u00e7\u00e3o de Dados Pessoais ao Titular dos Dados, Avalia\u00e7\u00e3o de Impacto \u00e0 Prote\u00e7\u00e3o de Dados e consulta pr\u00e9via \u00e0 autoridade supervisora) (Artigo 28(3)(f) do RGPD).

9. NOTIFICA\u00c7\u00c3O DE VIOLA\u00c7\u00c3O DE DADOS PESSOAIS

9.1. Notifica\u00e7\u00e3o ao Cliente:

A MEFERI dever\u00e1 notificar o Cliente sem demora injustificada e, em qualquer caso, no prazo de quarenta e oito (48) horas, ap\u00f3s tomar conhecimento de uma Viola\u00e7\u00e3o de Dados Pessoais que afete os Dados Pessoais do Cliente (Artigo 28(3)(f) e Artigo 33(2) GDPR).

9.2. Tal notifica\u00e7\u00e3o dever\u00e1, na medida do poss\u00edvel, descrever:

a. A natureza da Viola\u00e7\u00e3o de Dados Pessoais, incluindo, quando poss\u00edvel, as categorias e o n\u00famero aproximado de Titulares de Dados envolvidos e as categorias e o n\u00famero aproximado de registros de Dados Pessoais envolvidos;

b. O nome e os dados de contacto do Encarregado da Prote\u00e7\u00e3o de Dados da MEFERI ou de outro ponto de contacto onde possam ser obtidas mais informa\u00e7\u00f5es;

c. As prov\u00e1veis consequ\u00eancias da Viola\u00e7\u00e3o de Dados Pessoais; e

d. As medidas tomadas ou propostas pela MEFERI para lidar com a Viola\u00e7\u00e3o de Dados Pessoais, incluindo, quando apropriado, medidas para mitigar seus poss\u00edveis efeitos adversos.

9.3. Quando, e na medida em que, n\u00e3o for poss\u00edvel fornecer todas as informa\u00e7\u00f5es ao mesmo tempo, as informa\u00e7\u00f5es poder\u00e3o ser fornecidas em fases, sem atrasos indevidos.

9.4. O Cliente \u00e9 o \u00fanico respons\u00e1vel por cumprir suas pr\u00f3prias obriga\u00e7\u00f5es de notifica\u00e7\u00e3o de viola\u00e7\u00e3o de dados, de acordo com a Lei de Prote\u00e7\u00e3o de Dados Aplic\u00e1vel. A notifica\u00e7\u00e3o ou resposta da MEFERI a uma Viola\u00e7\u00e3o de Dados Pessoais, nos termos desta Se\u00e7\u00e3o 9, n\u00e3o ser\u00e1 interpretada como um reconhecimento por parte da MEFERI de qualquer falha ou responsabilidade com rela\u00e7\u00e3o \u00e0 Viola\u00e7\u00e3o de Dados Pessoais.

10. EXCLUS\u00c3O OU DEVOLU\u00c7\u00c3O DE DADOS

10.1. A crit\u00e9rio do Cliente, a MEFERI excluir\u00e1 ou devolver\u00e1 todos os Dados Pessoais ao Cliente ap\u00f3s o t\u00e9rmino da presta\u00e7\u00e3o dos Servi\u00e7os relacionados ao Processamento, e excluir\u00e1 as c\u00f3pias existentes, a menos que a legisla\u00e7\u00e3o da Uni\u00e3o ou de um Estado-Membro exija o armazenamento dos Dados Pessoais (Artigo 28(3)(g) do RGPD). Os prazos espec\u00edficos de reten\u00e7\u00e3o e exclus\u00e3o ser\u00e3o os estabelecidos no Contrato Principal ou conforme acordado de outra forma.

11. AUDITORIAS E INSPE\u00c7\u00d5ES

11.1. A MEFERI disponibilizar\u00e1 ao Cliente todas as informa\u00e7\u00f5es necess\u00e1rias para demonstrar a conformidade com as obriga\u00e7\u00f5es estabelecidas no Artigo 28 do GDPR e permitir e contribuir para auditorias, incluindo inspe\u00e7\u00f5es, conduzidas pelo Cliente ou outro auditor mandatado pelo Cliente (Artigo 28(3)(h) GDPR).

11.2. Tais auditorias ser\u00e3o realizadas durante o hor\u00e1rio comercial normal da MEFERI, mediante aviso pr\u00e9vio por escrito razo\u00e1vel, com prazo m\u00ednimo de trinta (30) dias corridos, e n\u00e3o interferir\u00e3o injustificadamente nas atividades comerciais da MEFERI. O Cliente e a MEFERI dever\u00e3o acordar mutuamente o escopo, o cronograma e a dura\u00e7\u00e3o da auditoria.

11.3. O Cliente dever\u00e1 garantir que qualquer auditor atue sob um acordo de confidencialidade por escrito. O Cliente arcar\u00e1 com seus pr\u00f3prios custos e quaisquer custos do seu auditor mandatado. Se a auditoria revelar uma viola\u00e7\u00e3o material deste DPA pela MEFERI, a MEFERI arcar\u00e1 com os custos razo\u00e1veis da auditoria, at\u00e9 um limite mutuamente acordado.

11.4. Na medida permitida por lei, a MEFERI poder\u00e1 cumprir suas obriga\u00e7\u00f5es de auditoria fornecendo ao Cliente certifica\u00e7\u00f5es relevantes de um auditor independente terceirizado (por exemplo, ISO 27001, SOC 2 Tipo II), ou resumos das mesmas, sujeito \u00e0s obriga\u00e7\u00f5es de confidencialidade apropriadas.

12. TRANSFER\u00caNCIAS INTERNACIONAIS DE DADOS

12.1. A MEFERI n\u00e3o transferir\u00e1 Dados Pessoais para nenhum pa\u00eds fora do Espa\u00e7o Econ\u00f4mico Europeu (EEE) ou para um pa\u00eds considerado adequado pela Comiss\u00e3o Europeia, nos termos do Artigo 45 do GDPR, sem garantir que salvaguardas apropriadas estejam em vigor, conforme exigido pelo Cap\u00edtulo V do GDPR (por exemplo, celebrando Cl\u00e1usulas Contratuais Padr\u00e3o, conforme aprovado pela Comiss\u00e3o Europeia).

12.2. Os principais locais de processamento de dados para os Servi\u00e7os, especificamente onde os Dados Pessoais do Cliente s\u00e3o hospedados pela MEFERI em sua infraestrutura de nuvem principal, estar\u00e3o dentro do Espa\u00e7o Econ\u00f4mico Europeu (EEE), utilizando a regi\u00e3o eu-west-3 da Amazon Web Services (AWS) (Paris, Fran\u00e7a). Mais detalhes sobre subprocessadores, incluindo provedores de infraestrutura de nuvem e suas localiza\u00e7\u00f5es, s\u00e3o fornecidos no Ap\u00eandice 3.

12.3. Caso a MEFERI realize uma transfer\u00eancia de Dados Pessoais para um Subprocessador em um pa\u00eds terceiro (ou seja, fora do EEE ou um pa\u00eds n\u00e3o considerado adequado pela Comiss\u00e3o Europeia) que n\u00e3o garanta um n\u00edvel de prote\u00e7\u00e3o adequado, a MEFERI garantir\u00e1 que tal transfer\u00eancia seja coberta por um mecanismo de transfer\u00eancia apropriado nos termos do Cap\u00edtulo V do GDPR, como as Cl\u00e1usulas Contratuais Padr\u00e3o. Isso inclui transfer\u00eancias que podem ocorrer se a MEFERI utilizar servi\u00e7os de um subprocessador cuja infraestrutura ou pessoal de suporte esteja localizado em tais pa\u00edses terceiros, mesmo que o local de processamento prim\u00e1rio especificado em 12.2 esteja dentro do EEE.

13. USO DE SOLU\u00c7\u00d5ES DE TERCEIROS PELA MEFERI

13.1. O Cliente reconhece que o hardware ou os Servi\u00e7os da MEFERI podem ser usados em conjunto com Solu\u00e7\u00f5es de Parceiros Terceiros (por exemplo, solu\u00e7\u00f5es de processamento de pagamentos em dispositivos CIAO, software espec\u00edfico de gest\u00e3o de varejo).

13.2. Caso o Cliente opte por utilizar tais Solu\u00e7\u00f5es de Parceiros Terceirizados, o Cliente poder\u00e1 firmar um contrato direto com os provedores de tais solu\u00e7\u00f5es. Nesses casos, o provedor terceirizado poder\u00e1 atuar como Controlador ou Processador dos Dados Pessoais que trata em conex\u00e3o com seus servi\u00e7os, conforme determinado pelo contrato do Cliente com o terceiro.

13.3. Este APD rege apenas o Processamento de Dados Pessoais pela MEFERI como Processadora para o Cliente. N\u00e3o se aplica \u00e0s atividades de Processamento conduzidas por provedores de Solu\u00e7\u00f5es de Parceiros Terceirizados com os quais o Cliente tenha um relacionamento direto, a menos que tal provedor atue como Subprocessador da MEFERI, nos termos da Se\u00e7\u00e3o 6 deste APD.

14. RESPONSABILIDADE E INDENIZA\u00c7\u00c3O

14.1. A responsabilidade de cada parte sob este DPA estar\u00e1 sujeita \u00e0s limita\u00e7\u00f5es e exclus\u00f5es de responsabilidade estabelecidas no Contrato Principal.

14.2. O Cliente dever\u00e1 indenizar e isentar a MEFERI de todas as reivindica\u00e7\u00f5es, a\u00e7\u00f5es, reivindica\u00e7\u00f5es de terceiros, perdas, danos e despesas (incluindo honor\u00e1rios advocat\u00edcios razo\u00e1veis) incorridos pela MEFERI decorrentes de qualquer viola\u00e7\u00e3o, pelo Cliente, de suas obriga\u00e7\u00f5es sob este DPA ou a Lei de Prote\u00e7\u00e3o de Dados Aplic\u00e1vel.

15. PRAZO E RESCIS\u00c3O

15.1. Este DPA entrar\u00e1 em vigor na data de vig\u00eancia do Contrato Principal e permanecer\u00e1 em vigor at\u00e9 a rescis\u00e3o ou expira\u00e7\u00e3o do Contrato Principal, ou at\u00e9 que a MEFERI cesse o Processamento de Dados Pessoais em nome do Cliente, o que ocorrer por \u00faltimo.

15.2. As obriga\u00e7\u00f5es de confidencialidade, exclus\u00e3o\/devolu\u00e7\u00e3o de dados e quaisquer disposi\u00e7\u00f5es que, por sua natureza, devam sobreviver \u00e0 rescis\u00e3o, sobreviver\u00e3o \u00e0 rescis\u00e3o ou expira\u00e7\u00e3o deste DPA.

16. ALTERA\u00c7\u00d5ES A ESTE DPA

16.1. A MEFERI pode alterar este DPA periodicamente, publicando a vers\u00e3o alterada em seu site ou notificando o Cliente de outra forma.

16.2. Caso a MEFERI realize uma altera\u00e7\u00e3o substancial neste DPA, a MEFERI notificar\u00e1 o Cliente com anteced\u00eancia razo\u00e1vel sobre a altera\u00e7\u00e3o (por exemplo, por e-mail para o contato designado pelo Cliente ou por meio de uma notifica\u00e7\u00e3o dentro dos Servi\u00e7os). O uso cont\u00ednuo dos Servi\u00e7os pelo Cliente ap\u00f3s esse per\u00edodo de notifica\u00e7\u00e3o constituir\u00e1 aceita\u00e7\u00e3o do DPA alterado. Caso o Cliente se oponha a uma altera\u00e7\u00e3o substancial, poder\u00e1 rescindir o Contrato Principal de acordo com seus termos.

17. LEI APLIC\u00c1VEL E RESOLU\u00c7\u00c3O DE DISPUTAS

17.1. Lei Aplic\u00e1vel: Este DPA ser\u00e1 regido e interpretado de acordo com as leis estipuladas como lei aplic\u00e1vel no Contrato Principal celebrado entre o Cliente e a entidade MEFERI parte desse Contrato Principal (\u201cEntidade MEFERI Contratante\u201d).

17.2. Resolu\u00e7\u00e3o de Disputas:

a. As Partes se esfor\u00e7ar\u00e3o para resolver qualquer disputa, controv\u00e9rsia ou reivindica\u00e7\u00e3o decorrente ou relacionada a este DPA, sua interpreta\u00e7\u00e3o, validade, viola\u00e7\u00e3o ou rescis\u00e3o (\u201cDisputa\u201d) amigavelmente por meio de negocia\u00e7\u00f5es de boa-f\u00e9 entre seus representantes autorizados. b. Se uma Disputa n\u00e3o puder ser resolvida por meio de negocia\u00e7\u00e3o dentro de trinta (30) dias corridos a partir da notifica\u00e7\u00e3o por escrito de uma Parte iniciando as negocia\u00e7\u00f5es, tal Disputa ser\u00e1 resolvida de acordo com o mecanismo de resolu\u00e7\u00e3o de disputas (por exemplo, arbitragem ou processos judiciais) e foro conforme especificado no Contrato Principal. c. Caso o Contrato Principal preveja arbitragem:

i. Tal arbitragem ser\u00e1 o mecanismo principal para resolu\u00e7\u00e3o de Disputas sob este DPA. ii. Salvo disposi\u00e7\u00e3o em contr\u00e1rio no Contrato Principal, ou se o Contrato Principal n\u00e3o mencionar as especificidades da arbitragem para assuntos relacionados a este DPA, as Partes concordam que qualquer Disputa poder\u00e1 ser submetida \u00e0 arbitragem administrada por uma institui\u00e7\u00e3o de arbitragem mutuamente acordada e reconhecida internacionalmente (como o Tribunal de Arbitragem Internacional de Shenzhen (SCIA), o Centro Internacional de Arbitragem de Cingapura (SIAC) ou o Centro Internacional de Arbitragem de Hong Kong (HKIAC), ou uma institui\u00e7\u00e3o apropriada dentro da Uni\u00e3o Europeia se a Entidade MEFERI Contratante for uma afiliada sediada na UE). iii. A arbitragem ser\u00e1 conduzida em ingl\u00eas. A sede ou local legal da arbitragem ser\u00e1 conforme especificado no Contrato Principal ou, se n\u00e3o especificado ou se um local diferente for mutuamente acordado para uma Disputa espec\u00edfica, um local escolhido por m\u00fatuo acordo entre as Partes, ou na aus\u00eancia de tal acordo dentro de um prazo razo\u00e1vel, pela Entidade MEFERI Contratante. iv. A senten\u00e7a arbitral ser\u00e1 final e vinculativa para ambas as Partes, sujeita a quaisquer direitos de apela\u00e7\u00e3o permitidos pelas leis da sede da arbitragem por injusti\u00e7a processual ou falta de jurisdi\u00e7\u00e3o.

d. Se o Contrato Principal especificar lit\u00edgio judicial, os tribunais nele especificados ter\u00e3o jurisdi\u00e7\u00e3o, sujeito \u00e0 Se\u00e7\u00e3o 17.3 abaixo.

17.3. Considera\u00e7\u00f5es obrigat\u00f3rias sobre a lei de prote\u00e7\u00e3o de dados: a. N\u00e3o obstante qualquer outra disposi\u00e7\u00e3o neste DPA ou no Contrato Principal, quando a Lei de Prote\u00e7\u00e3o de Dados Aplic\u00e1vel (incluindo, mas n\u00e3o se limitando ao GDPR) conceder ao Titular dos Dados direitos obrigat\u00f3rios de intentar a\u00e7\u00f5es perante os tribunais de sua resid\u00eancia habitual ou local de trabalho, ou do local onde uma suposta infra\u00e7\u00e3o ocorreu, ou de apresentar uma reclama\u00e7\u00e3o a uma autoridade supervisora, tais direitos n\u00e3o ser\u00e3o prejudicados pelos termos deste DPA. b. Quando o GDPR for aplic\u00e1vel, a MEFERI e o Cliente garantir\u00e3o que qualquer escolha de lei ou jurisdi\u00e7\u00e3o aplic\u00e1vel n\u00e3o impe\u00e7a os Titulares dos Dados de se beneficiarem de quaisquer disposi\u00e7\u00f5es obrigat\u00f3rias da lei do Estado-Membro da Uni\u00e3o Europeia em que residem.

17.4. Execu\u00e7\u00e3o Cont\u00ednua: Enquanto a Disputa estiver pendente, as Partes continuar\u00e3o a cumprir suas respectivas obriga\u00e7\u00f5es sob este DPA na medida do poss\u00edvel, a menos que o DPA ou o Contrato Principal sejam rescindidos.

18. INFORMA\u00c7\u00d5ES DE CONTATO \/ PROTE\u00c7\u00c3O DE DADOS

18.1. Processador: MEFERI Technologies Co., Ltd. Endere\u00e7o: 5F, A5, Tianfu Software Park, No. 1129, Century City Road, Zona de Alta Tecnologia, 610000, Chengdu, Sichuan, Rep\u00fablica Popular da China

\u2013 E-mail para consultas sobre prote\u00e7\u00e3o de dados: legal@meferi.com<\/a>

18.2. Consultas sobre prote\u00e7\u00e3o de dados e DPO (para MEFERI Technologies Co., Ltd.): Todas as consultas relacionadas \u00e0 prote\u00e7\u00e3o de dados sob este DPA devem ser direcionadas ao endere\u00e7o de e-mail especificado para MEFERI Technologies Co., Ltd. na Se\u00e7\u00e3o 18.1 acima.

18.3. Representante da UE para MEFERI Technologies Co., Ltd. (de acordo com o Artigo 27 GDPR): Nome do Representante da UE: MEFERI Poland Sp. z oo Endere\u00e7o: Ul. Modelarska 18\/2, 40-142 Katowice, Pol\u00f4nia E-mail para consultas sobre prote\u00e7\u00e3o de dados da UE (para Titulares de Dados e Autoridades de Supervis\u00e3o na UE sobre processamento pela MEFERI Technologies Co., Ltd.): poland@meferi.com<\/a>

18.4. Processamento por Afiliadas da MEFERI: Quando o Cliente celebra um Contrato Principal com uma afiliada da MEFERI Technologies Co., Ltd. (por exemplo, MEFERI Poland Sp. z oo) (\u201cAfiliada Contratante da MEFERI\u201d), e tal Afiliada Contratante da MEFERI atua como Processadora de Dados Pessoais sob esse Contrato Principal:

a) Este DPA ser\u00e1 aplic\u00e1vel \u00e0s atividades de processamento realizadas pelo Afiliado Contratante MEFERI, e todas as refer\u00eancias a \u201cMEFERI\u201d ou \u201cProcessador\u201d aqui contidas ser\u00e3o consideradas como refer\u00eancias a tal Afiliado Contratante MEFERI.

b) As informa\u00e7\u00f5es de contato para consultas sobre prote\u00e7\u00e3o de dados relacionadas ao processamento por tal Afiliada Contratante da MEFERI ser\u00e3o conforme especificado no Contrato Principal ou conforme comunicado pela Afiliada Contratante da MEFERI ao Cliente. Para a MEFERI Poland Sp. z oo, os dados de contato s\u00e3o: Endere\u00e7o: Ul. Modelarska 18\/2, 40-142 Katowice, Pol\u00f4nia.

E-mail: poland@meferi.com<\/a>

Telefone: +48 734-143-579

c) A lei aplic\u00e1vel e a resolu\u00e7\u00e3o de disputas para este DPA em tais casos ser\u00e3o determinadas pelo Contrato Principal com o Afiliado MEFERI Contratante.

19. ACORDO INTEGRAL

19.1. Este DPA, incluindo seus Ap\u00eandices, constitui o acordo integral entre as partes com rela\u00e7\u00e3o ao objeto deste instrumento e substitui todos os acordos, propostas ou representa\u00e7\u00f5es anteriores e contempor\u00e2neos, escritos ou verbais, relativos ao seu objeto.

EM TESTEMUNHO DO QUE, as partes reconhecem sua concord\u00e2ncia com este Contrato de Processamento de Dados a partir da Data Efetiva do Contrato Principal ou do uso dos Servi\u00e7os pelo Cliente.

\u2014

AP\u00caNDICE 1<\/strong>

DETALHES DO PROCESSAMENTO

Este Ap\u00eandice 1 faz parte do DPA e descreve o Processamento de Dados Pessoais pela MEFERI em nome do Cliente.

A. LISTA DE PARTES

Controlador(es) \/ Cliente(s):

A pessoa jur\u00eddica que celebrou o Contrato Principal com a MEFERI para a presta\u00e7\u00e3o dos Servi\u00e7os. O Cliente determina as finalidades e os meios do Processamento de Dados Pessoais.

Processador(es) \/ MEFERI:

MEFERI Technologies Co., Ltd., ou, quando aplic\u00e1vel conforme a Se\u00e7\u00e3o 18.4 deste DPA, a parte Afiliada da MEFERI Contratante do Contrato Principal com o Cliente, fornecendo os Servi\u00e7os ao Cliente.

B. DESCRI\u00c7\u00c3O DO PROCESSAMENTO

1. Objeto do Tratamento:

O Processamento de Dados Pessoais no contexto do fornecimento, manuten\u00e7\u00e3o, suporte e melhoria dos Servi\u00e7os MEFERI assinados pelo Cliente sob o Contrato Principal, incluindo, mas n\u00e3o se limitando a, MEFERI Shadowalk MDM\/EMM Cloud Solution e componentes hospedados na nuvem da solu\u00e7\u00e3o CIAO Intelligent Shopper Assistant (ISA).

2. Dura\u00e7\u00e3o do Processamento:

Durante o prazo do Contrato Principal entre a MEFERI e o Cliente, e at\u00e9 que todos os Dados Pessoais sejam exclu\u00eddos ou devolvidos de acordo com a Se\u00e7\u00e3o 10 do DPA.

3. Natureza e finalidade do processamento:

\u2013 Para a Solu\u00e7\u00e3o em Nuvem MEFERI Shadowalk MDM\/EMM: Permitir que o Cliente gerencie, proteja, monitore e ofere\u00e7a suporte remotamente \u00e0 sua frota de dispositivos m\u00f3veis. Isso inclui provisionamento de dispositivos, gerenciamento de configura\u00e7\u00e3o, gerenciamento de aplicativos, aplica\u00e7\u00e3o de pol\u00edticas de seguran\u00e7a, rastreamento de dispositivos (se habilitado pelo Cliente), diagn\u00f3stico remoto e gera\u00e7\u00e3o de relat\u00f3rios sobre o status e o uso dos dispositivos para o Cliente.

\u2013 Para os Componentes de Nuvem ISA MEFERI e CIAO (onde MEFERI \u00e9 o Processador): Facilitar a opera\u00e7\u00e3o da solu\u00e7\u00e3o de assistente de compras inteligente para o Cliente (varejista). Isso pode incluir autentica\u00e7\u00e3o de usu\u00e1rio, gerenciamento de listas de compras, processamento de informa\u00e7\u00f5es de produtos, dados de intera\u00e7\u00e3o com o cliente (para an\u00e1lises fornecidas ao varejista) e integra\u00e7\u00e3o com servi\u00e7os de terceiros, conforme orienta\u00e7\u00e3o do Cliente.

\u2013 Contratos de servi\u00e7o MeCare: Para os servi\u00e7os MeCare da MEFERI (onde a MEFERI atua como processadora): Para fornecer servi\u00e7os contratados de suporte, manuten\u00e7\u00e3o, reparo, monitoramento e gerenciamento de dispositivos, conforme descrito nos \u201cMeCare (nome do plano): Termos gerais de servi\u00e7o\u201d aplic\u00e1veis e no Guia de servi\u00e7os de suporte MeCare, que podem envolver o acesso, a coleta ou o processamento de dados pessoais armazenados ou transmitidos pelos dispositivos do cliente, ou fornecidos pelo cliente no curso da presta\u00e7\u00e3o do servi\u00e7o.

\u2013 Para Servi\u00e7os de Suporte: Para fornecer suporte t\u00e9cnico, solu\u00e7\u00e3o de problemas, manuten\u00e7\u00e3o e atualiza\u00e7\u00f5es para os Servi\u00e7os, o que pode envolver o acesso a Dados Pessoais processados dentro dos Servi\u00e7os ou nos sistemas do Cliente mediante solicita\u00e7\u00e3o e instru\u00e7\u00e3o do Cliente.

\u2013 Cumprir as instru\u00e7\u00f5es documentadas do Cliente, conforme estabelecido neste DPA e no Contrato Principal.

\u2013 Para cumprir com as obriga\u00e7\u00f5es legais aplic\u00e1veis.

4. Categorias de titulares de dados:

\u2013 Funcion\u00e1rios, contratados e usu\u00e1rios autorizados do Cliente: Indiv\u00edduos que administram ou usam os Servi\u00e7os em nome do Cliente (por exemplo, administradores de TI que usam o Shadowalk, funcion\u00e1rios do varejo que gerenciam ou usam o CIAO).

\u2013 Usu\u00e1rios finais dos dispositivos gerenciados pelo Cliente (para Shadowalk): Indiv\u00edduos (por exemplo, funcion\u00e1rios do Cliente) que usam computadores m\u00f3veis ou outros dispositivos gerenciados pelo Cliente por meio da solu\u00e7\u00e3o Shadowalk.

\u2013 Clientes do Cliente (compradores) (para CIAO, se MEFERI processar seus Dados Pessoais em um backend de nuvem em nome do Cliente varejista): Indiv\u00edduos que usam os dispositivos CIAO ISA na loja do varejista.

5. Tipos de Dados Pessoais Processados:

Os tipos espec\u00edficos de Dados Pessoais Processados depender\u00e3o dos Servi\u00e7os utilizados pelo Cliente e de como o Cliente configura e utiliza esses Servi\u00e7os. Os Dados Pessoais podem incluir:

\u2013 Conta de usu\u00e1rio e informa\u00e7\u00f5es de contato: Nome, endere\u00e7o de e-mail, nome de usu\u00e1rio, senhas, n\u00famero de telefone, cargo, departamento, ID do funcion\u00e1rio, fun\u00e7\u00e3o\/permiss\u00f5es dentro dos Servi\u00e7os (se aplic\u00e1vel para administra\u00e7\u00e3o de servi\u00e7os pelo Cliente).

\u2013 Informa\u00e7\u00f5es do dispositivo (para Shadowalk): Identificadores do dispositivo (por exemplo, n\u00famero de s\u00e9rie, IMEI, endere\u00e7o MAC, UDID), modelo do dispositivo, vers\u00e3o do sistema operacional, endere\u00e7o IP, informa\u00e7\u00f5es de rede, configura\u00e7\u00f5es do dispositivo, aplicativos instalados, dados de localiza\u00e7\u00e3o do dispositivo (se habilitado pelo Cliente).

\u2013 Dados de uso e registro (para Shadowalk e nuvem CIAO): registros do sistema, trilhas de auditoria, registros de atividades, dados de desempenho, dados de diagn\u00f3stico relacionados ao uso dos Servi\u00e7os.

\u2013 Dados do comprador (para CIAO, se aplic\u00e1vel): detalhes da conta do comprador (por exemplo, ID de fidelidade, e-mail se fornecido pelo comprador para registro por meio do aplicativo do varejista no CIAO), listas de compras, hist\u00f3rico de leitura de produtos, dados de intera\u00e7\u00e3o com o dispositivo CIAO.

\u2013 Dados de suporte: informa\u00e7\u00f5es fornecidas pelo Cliente durante intera\u00e7\u00f5es de suporte, incluindo detalhes de contato, descri\u00e7\u00e3o de problemas, detalhes de configura\u00e7\u00e3o do sistema e quaisquer Dados Pessoais contidos em logs ou arquivos compartilhados com a MEFERI para solu\u00e7\u00e3o de problemas.

\u2013 Quaisquer outros Dados Pessoais que o Cliente (ou seus usu\u00e1rios autorizados ou Titulares dos Dados) optar por enviar aos Servi\u00e7os.

6. Categorias especiais de dados pessoais (se houver):

A MEFERI n\u00e3o pretende Processar quaisquer Categorias Especiais de Dados Pessoais (conforme definido no Artigo 9 do GDPR) em nome do Cliente. O Cliente n\u00e3o dever\u00e1 carregar, fornecer ou instruir a MEFERI a Processar quaisquer Categorias Especiais de Dados Pessoais, a menos que expressamente acordado por escrito com a MEFERI e sujeito \u00e0s salvaguardas adequadas. Caso o Cliente forne\u00e7a tais dados sem acordo pr\u00e9vio, o Cliente ser\u00e1 o \u00fanico respons\u00e1vel por garantir uma base legal v\u00e1lida para tal Processamento.

\u2014

AP\u00caNDICE 2<\/strong>

SEGURAN\u00c7A T\u00c9CNICA E ORGANIZACIONAL MEASURES (TOMS)

Este Ap\u00eandice 2 descreve as Medidas T\u00e9cnicas e Organizacionais implementadas pela MEFERI para garantir um n\u00edvel apropriado de seguran\u00e7a para o Processamento de Dados Pessoais. A MEFERI pode atualizar essas medidas periodicamente, desde que tais atualiza\u00e7\u00f5es n\u00e3o degradem materialmente a seguran\u00e7a geral dos Servi\u00e7os.

1. Pol\u00edticas e Governan\u00e7a de Seguran\u00e7a da Informa\u00e7\u00e3o:

a. A MEFERI mant\u00e9m pol\u00edticas e procedimentos internos projetados para proteger Dados Pessoais.

b. As responsabilidades pela seguran\u00e7a da informa\u00e7\u00e3o s\u00e3o definidas e alocadas.

c. Avalia\u00e7\u00f5es de risco regulares s\u00e3o conduzidas para identificar e mitigar amea\u00e7as aos Dados Pessoais.

2. Seguran\u00e7a de Pessoal:

a. Funcion\u00e1rios e contratados com acesso a Dados Pessoais est\u00e3o sujeitos a obriga\u00e7\u00f5es de confidencialidade.

b. Treinamento de conscientiza\u00e7\u00e3o sobre seguran\u00e7a \u00e9 fornecido ao pessoal relevante em rela\u00e7\u00e3o \u00e0s suas responsabilidades de prote\u00e7\u00e3o de dados e seguran\u00e7a.

c. Verifica\u00e7\u00f5es de antecedentes podem ser realizadas para pessoal em fun\u00e7\u00f5es sens\u00edveis, quando permitido pela lei aplic\u00e1vel.

3. Controle de acesso f\u00edsico:

a. Existem medidas para impedir o acesso f\u00edsico n\u00e3o autorizado \u00e0s instala\u00e7\u00f5es e instala\u00e7\u00f5es da MEFERI onde os Dados Pessoais podem ser Processados (por exemplo, escrit\u00f3rios).

b. Isso inclui per\u00edmetros de seguran\u00e7a, sistemas de controle de acesso, vigil\u00e2ncia e registro de acesso f\u00edsico, quando apropriado.

c. Para os data centers usados pela MEFERI para os Servi\u00e7os (ou seja, aqueles de seu principal provedor de servi\u00e7os de nuvem, Amazon Web Services \u2013 AWS), a MEFERI conta com as robustas medidas de seguran\u00e7a f\u00edsica implementadas pela AWS.

4. Controle de Acesso ao Sistema (Acesso L\u00f3gico):

a. O acesso aos sistemas de TI que processam Dados Pessoais \u00e9 restrito ao pessoal autorizado.

b. S\u00e3o utilizados IDs de usu\u00e1rio exclusivos e mecanismos de autentica\u00e7\u00e3o fortes (por exemplo, senhas complexas, autentica\u00e7\u00e3o multifator quando apropriado e vi\u00e1vel).

c. Os direitos de acesso s\u00e3o concedidos com base no princ\u00edpio do menor privil\u00e9gio (controle de acesso baseado em fun\u00e7\u00e3o).

d. S\u00e3o realizadas revis\u00f5es regulares dos direitos de acesso.

e. Protocolos seguros s\u00e3o usados para acesso remoto.

5. Controle de acesso a dados:

a. Existem medidas para garantir que as pessoas autorizadas a usar um sistema de processamento de dados possam acessar apenas os Dados Pessoais aos quais seu direito de acesso se refere, de acordo com suas fun\u00e7\u00f5es e responsabilidades atribu\u00eddas.

b. Os Dados Pessoais n\u00e3o s\u00e3o lidos, copiados, modificados ou removidos sem autoriza\u00e7\u00e3o durante o Processamento, uso e ap\u00f3s o armazenamento, exceto quando necess\u00e1rio para a presta\u00e7\u00e3o dos Servi\u00e7os ou conforme instru\u00eddo pelo Cliente.

c. A segrega\u00e7\u00e3o de tarefas e dados \u00e9 implementada quando apropriado.

6. Controle de Transmiss\u00e3o:

a. Os Dados Pessoais s\u00e3o protegidos contra leitura, c\u00f3pia, modifica\u00e7\u00e3o ou remo\u00e7\u00e3o n\u00e3o autorizadas durante transmiss\u00e3o ou transporte eletr\u00f4nico.

b. Tecnologias de criptografia (por exemplo, Transport Layer Security \u2013 TLS\/Secure Sockets Layer \u2013 SSL para dados em tr\u00e2nsito) s\u00e3o usadas para proteger Dados Pessoais transmitidos por redes p\u00fablicas.

c. M\u00e9todos seguros s\u00e3o usados para a transfer\u00eancia de m\u00eddia f\u00edsica contendo Dados Pessoais, caso ocorra alguma transfer\u00eancia desse tipo.

7. Controle de entrada:

a. S\u00e3o implementadas medidas para garantir que seja poss\u00edvel verificar e estabelecer posteriormente se e por quem os Dados Pessoais foram inseridos, modificados ou removidos dos sistemas de processamento de dados (por exemplo, por meio de registros de auditoria).

b. Recursos de registro e auditoria s\u00e3o implementados para atividades cr\u00edticas do sistema relacionadas ao Processamento de Dados Pessoais.

8. Backup e recupera\u00e7\u00e3o de dados:

a. Backups regulares dos Dados Pessoais Processados nos Servi\u00e7os s\u00e3o realizados para garantir a disponibilidade e a integridade dos dados.

b. Os procedimentos de backup e recupera\u00e7\u00e3o s\u00e3o definidos e testados periodicamente.

c. Os backups s\u00e3o armazenados com seguran\u00e7a.

9. Controle de disponibilidade e resili\u00eancia:

a. Os sistemas s\u00e3o projetados e configurados para garantir a disponibilidade dos Dados Pessoais e a resili\u00eancia dos sistemas e servi\u00e7os de processamento.

b. Isso inclui medidas como redund\u00e2ncia, toler\u00e2ncia a falhas e recursos de recupera\u00e7\u00e3o de desastres, aproveitando principalmente a infraestrutura do principal provedor de servi\u00e7os de nuvem da MEFERI (Amazon Web Services \u2013 AWS).

10. Segrega\u00e7\u00e3o de dados:

a. Os Dados Pessoais do Cliente s\u00e3o logicamente segregados dos dados de outros clientes da MEFERI dentro dos Servi\u00e7os.

11. Desenvolvimento de software seguro (para plataformas de nuvem da MEFERI):

a. Pr\u00e1ticas e princ\u00edpios de codifica\u00e7\u00e3o seguros s\u00e3o incorporados ao ciclo de vida de desenvolvimento de software da MEFERI para suas plataformas de nuvem.

b. Testes de seguran\u00e7a (por exemplo, varredura de vulnerabilidades, testes de penetra\u00e7\u00e3o) s\u00e3o conduzidos conforme apropriado para os Servi\u00e7os.

c. Existem procedimentos para identificar, avaliar e corrigir vulnerabilidades no software da MEFERI.

12. Gerenciamento de Incidentes:

a. A MEFERI mant\u00e9m um plano de resposta a incidentes e procedimentos para detectar, responder e se recuperar de incidentes de seguran\u00e7a, incluindo viola\u00e7\u00f5es de dados pessoais.

b. Os incidentes s\u00e3o investigados, documentados e a\u00e7\u00f5es corretivas apropriadas s\u00e3o tomadas.

c. Planos de comunica\u00e7\u00e3o s\u00e3o estabelecidos para notifica\u00e7\u00f5es internas e externas, conforme exigido pela Lei de Prote\u00e7\u00e3o de Dados Aplic\u00e1vel e este DPA.

13. Gest\u00e3o de Subprocessadores:

a. A devida dilig\u00eancia \u00e9 realizada antes de envolver Subprocessadores para garantir que eles possam fornecer um n\u00edvel adequado de prote\u00e7\u00e3o de dados.

b. Existem acordos contratuais com Subprocessadores que imp\u00f5em obriga\u00e7\u00f5es de prote\u00e7\u00e3o de dados que s\u00e3o pelo menos equivalentes \u00e0s impostas \u00e0 MEFERI sob este DPA.

14. Monitoramento e registro:

a. Os sistemas que processam Dados Pessoais s\u00e3o monitorados quanto a eventos de seguran\u00e7a e anomalias, quando apropriado e vi\u00e1vel.

b. Os registros relevantes s\u00e3o coletados e revisados conforme necess\u00e1rio para detectar, investigar e responder a incidentes de seguran\u00e7a.

15. Criptografia:

a. A criptografia de Dados Pessoais em repouso \u00e9 implementada quando apropriado e tecnicamente vi\u00e1vel (por exemplo, para armazenamento de banco de dados contendo Dados Pessoais sens\u00edveis).

b. A criptografia de Dados Pessoais em tr\u00e2nsito por redes p\u00fablicas \u00e9 implementada usando protocolos padr\u00e3o do setor (por exemplo, TLS).

*(O Cliente reconhece que as Medidas de Seguran\u00e7a est\u00e3o sujeitas a progresso e desenvolvimento t\u00e9cnico e que a MEFERI pode atualizar ou modificar as Medidas de Seguran\u00e7a de tempos em tempos, desde que tais atualiza\u00e7\u00f5es e modifica\u00e7\u00f5es n\u00e3o resultem na degrada\u00e7\u00e3o da seguran\u00e7a geral dos Servi\u00e7os adquiridos pelo Cliente.)*

\u2014

AP\u00caNDICE 3<\/strong>

SUBPROCESSADORES

O Cliente fornece autoriza\u00e7\u00e3o geral \u00e0 MEFERI para usar as categorias de Subprocessadores listadas abaixo. A MEFERI manter\u00e1 uma lista atualizada de seus Subprocessadores espec\u00edficos, que ser\u00e1 disponibilizada ao Cliente por meio da publica\u00e7\u00e3o em uma p\u00e1gina da web designada no site da MEFERI. https:\/\/meferi.com\/support-services\/legal-center\/sub-processor-list\/<\/a>. ...e fornecer\u00e1 esta lista ao Cliente mediante solicita\u00e7\u00e3o por escrito ao contato de Prote\u00e7\u00e3o de Dados da MEFERI (por exemplo, legal@meferi.com<\/a>).

Categorias de Subprocessadores e Finalidade:

1. Provedores de infraestrutura em nuvem: \u2013 Subprocessador e especifica\u00e7\u00f5es para hospedagem principal de servi\u00e7os fornecidos ao cliente sob o contrato principal:

\u2013 Entidade: Amazon Web Services EMEA SARL (ou a entidade contratante da AWS relevante para servi\u00e7os fornecidos no EEE).

\u2013 Objetivo: Fornecer infraestrutura de computa\u00e7\u00e3o em nuvem subjacente (servidores, armazenamento, rede, bancos de dados) para hospedar os Servi\u00e7os da MEFERI (por exemplo, Shadowalk Cloud, backend CIAO Cloud) fornecidos ao Cliente sob o Contrato Principal.

\u2013 Local de processamento de dados pessoais do cliente (hospedagem prim\u00e1ria): a regi\u00e3o principal da AWS para processamento de dados pessoais do cliente sob este DPA \u00e9 eu-west-3 (Paris, Fran\u00e7a) dentro do Espa\u00e7o Econ\u00f4mico Europeu (EEE).

\u2013 Salvaguardas da Transfer\u00eancia de Dados: A AWS fornece um Adendo de Processamento de Dados (APD) que inclui Cl\u00e1usulas Contratuais Padr\u00e3o (CCPs) para reger as transfer\u00eancias de dados pessoais, que se aplicam caso quaisquer dados sejam processados pela AWS ou transferidos pela AWS para locais fora do EEE que n\u00e3o estejam abrangidos por uma decis\u00e3o de adequa\u00e7\u00e3o. O cliente pode consultar o Adendo de Processamento de Dados da AWS em  https:\/\/d1.awsstatic.com\/legal\/aws-dpa\/aws-dpa.pdf <\/a>e informa\u00e7\u00f5es sobre a conformidade com o RGPD da AWS em  https:\/\/aws.amazon.com\/compliance\/gdpr-center\/<\/a>

\u2013 Observa\u00e7\u00e3o sobre CDNs (se aplic\u00e1vel): Se a MEFERI utilizar o AWS CloudFront ou servi\u00e7os de rede de distribui\u00e7\u00e3o de conte\u00fado (CDN) semelhantes para aprimorar o desempenho dos Servi\u00e7os, c\u00f3pias de determinados dados (normalmente ativos est\u00e1ticos ou conte\u00fado em cache, que podem ou n\u00e3o incluir Dados Pessoais, dependendo da configura\u00e7\u00e3o) poder\u00e3o ser temporariamente armazenadas em cache em pontos de presen\u00e7a da AWS em todo o mundo. No entanto, o armazenamento autorizado e o processamento prim\u00e1rio dos Dados Pessoais do Cliente para os Servi\u00e7os permanecer\u00e3o na regi\u00e3o da AWS especificada acima (eu-west-3). A MEFERI garantir\u00e1 que quaisquer Dados Pessoais do Cliente distribu\u00eddos via CDN sejam tratados em conformidade com os requisitos do GDPR.

\u2013 Outros Provedores de Infraestrutura em Nuvem para Servi\u00e7os fornecidos ao Cliente sob o Contrato Principal:

\u2013 Atualmente, a MEFERI n\u00e3o utiliza outros provedores de infraestrutura de nuvem de terceiros para hospedagem prim\u00e1ria ou fornecimento direto dos Servi\u00e7os definidos no Contrato Principal, al\u00e9m do que est\u00e1 descrito acima.

2. Provedores de servi\u00e7os de comunica\u00e7\u00e3o:

\u2013 Finalidade: Facilitar comunica\u00e7\u00f5es essenciais ao Cliente ou seus usu\u00e1rios autorizados em conex\u00e3o com o fornecimento e uso dos Servi\u00e7os (por exemplo, entrega de e-mail para notifica\u00e7\u00f5es de servi\u00e7o, redefini\u00e7\u00f5es de senha, alertas de seguran\u00e7a e entrega de SMS para alertas cr\u00edticos ou c\u00f3digos de autentica\u00e7\u00e3o de dois fatores).

\u2013 Subprocessadores espec\u00edficos utilizados:

\u2013 Para comunica\u00e7\u00f5es por e-mail:

\u2013 Entidade: Amazon Web Services EMEA SARL (utilizando Amazon Simple Email Service \u2013 SES).

\u2013 Finalidade espec\u00edfica do MEFERI: Para enviar notifica\u00e7\u00f5es por e-mail transacionais e relacionadas ao servi\u00e7o aos usu\u00e1rios autorizados do Cliente (por exemplo, alertas de conta, redefini\u00e7\u00f5es de senha, atualiza\u00e7\u00f5es de servi\u00e7o, informa\u00e7\u00f5es cr\u00edticas de seguran\u00e7a) em conex\u00e3o com os Servi\u00e7os.

\u2013 Local do Processamento: A infraestrutura de envio de e-mails est\u00e1 localizada principalmente nas regi\u00f5es da AWS que a MEFERI utiliza para seus Servi\u00e7os (por exemplo, configurada para enviar de uma regi\u00e3o do EEE, como eu-west-1 Irlanda ou eu-west-3 Paris, quando vi\u00e1vel). O processamento de quaisquer Dados Pessoais (como endere\u00e7os de e-mail e conte\u00fado de e-mails) via SES \u00e9 regido pelo Adendo de Processamento de Dados da AWS.

\u2013 Garantias de Transfer\u00eancia de Dados: Cobertas pelo Adendo de Processamento de Dados da Amazon Web Services, que inclui Cl\u00e1usulas Contratuais Padr\u00e3o. Dispon\u00edvel

no: https:\/\/d1.awsstatic.com\/legal\/aws-dpa\/aws-dpa.pdf.<\/a>

\u2013 Para comunica\u00e7\u00f5es por SMS:

\u2013 Entidade: Twilio Inc.

\u2013 Finalidade espec\u00edfica do MEFERI: Para enviar notifica\u00e7\u00f5es por SMS aos usu\u00e1rios autorizados do Cliente como parte dos Servi\u00e7os, como para alertas cr\u00edticos ou entrega de c\u00f3digos de autentica\u00e7\u00e3o de dois fatores (2FA), se tais recursos estiverem habilitados e forem usados pelo Cliente.

\u2013 Natureza dos Dados Processados: Normalmente inclui n\u00fameros de telefone de usu\u00e1rios autorizados do Cliente e o conte\u00fado das mensagens SMS (por exemplo, c\u00f3digos de autentica\u00e7\u00e3o, texto de alerta).

\u2013 Local de processamento: principalmente EUA.

\u2013 Garantias de Transfer\u00eancia de Dados: As transfer\u00eancias de Dados Pessoais s\u00e3o regidas pelo Adendo de Processamento de Dados da Twilio, que incorpora Cl\u00e1usulas Contratuais Padr\u00e3o (CCPs). O cliente pode consultar o APD da Twilio em: https:\/\/www.twilio.com\/legal\/data-protection-addendum.<\/a>

\u2013 Outros provedores de servi\u00e7os de comunica\u00e7\u00e3o:

\u2013 Atualmente, a MEFERI n\u00e3o utiliza outros provedores de servi\u00e7os de comunica\u00e7\u00e3o terceirizados para o processamento de Dados Pessoais do Cliente nos termos deste APD, al\u00e9m do descrito acima para e-mail e SMS. Caso recursos espec\u00edficos que exijam outros tipos de servi\u00e7os de comunica\u00e7\u00e3o sejam introduzidos e aceitos pelo Cliente, a MEFERI atualizar\u00e1 esta lista e notificar\u00e1 o Cliente de acordo com a Se\u00e7\u00e3o 6.2 deste APD.

3. Provedores de an\u00e1lise e monitoramento de desempenho de servi\u00e7os:

\u2013 Finalidade: Monitorar o desempenho, identificar erros e analisar padr\u00f5es de uso dos Servi\u00e7os da MEFERI (por exemplo, Shadowalk Cloud, backend CIAO Cloud) para manter e aprimorar a estabilidade, a funcionalidade e a experi\u00eancia do usu\u00e1rio do servi\u00e7o. Os dados processados por esses provedores para os Servi\u00e7os da MEFERI s\u00e3o normalmente pseudonimizados, agregados ou consistem em dados t\u00e9cnicos\/operacionais. A MEFERI n\u00e3o utiliza esses provedores para analisar o conte\u00fado espec\u00edfico dos Dados Pessoais do Cliente nos Servi\u00e7os, a menos que explicitamente instru\u00eddo ou acordado com o Cliente para fins de suporte ou solu\u00e7\u00e3o de problemas.

\u2013 Subprocessadores espec\u00edficos utilizados:

\u2013 Entidade: Functional Software, Inc. (fazendo neg\u00f3cios como Sentry).

\u2013 Finalidade espec\u00edfica do MEFERI: Para rastreamento de erros em tempo real, diagn\u00f3sticos e monitoramento de desempenho dentro dos servi\u00e7os baseados em nuvem do MEFERI (Shadowalk Cloud, backend do CIAO Cloud) para ajudar a identificar e resolver problemas t\u00e9cnicos.

\u2013 Natureza dos Dados Processados: Normalmente inclui mensagens de erro, rastreamentos de pilha, informa\u00e7\u00f5es do dispositivo\/navegador, endere\u00e7os IP (que a MEFERI pode configurar para serem anonimizados ou n\u00e3o armazenados, quando vi\u00e1vel dentro das capacidades da Sentry) e outros metadados operacionais relacionados a eventos de servi\u00e7o. A MEFERI configura sua integra\u00e7\u00e3o com a Sentry para minimizar a captura de Dados Pessoais do Cliente.

\u2013 Local de processamento: principalmente EUA.

\u2013 Garantias de Transfer\u00eancia de Dados: As transfer\u00eancias s\u00e3o regidas pelo Adendo de Processamento de Dados da Sentry, que incorpora Cl\u00e1usulas Contratuais Padr\u00e3o. Dispon\u00edvel em: https:\/\/sentry.io\/legal\/dpa\/<\/a>

\u2013 An\u00e1lise de sites e portais (MEFERI como Controlador):

\u2013 Para an\u00e1lises relacionadas ao site corporativo da MEFERI (por exemplo, meferi.com) e outros portais p\u00fablicos de propriedade da MEFERI, onde a MEFERI atua como Controladora de Dados, os detalhes dos provedores de an\u00e1lise (como o Google Analytics) e do processamento de dados est\u00e3o descritos na Pol\u00edtica de Privacidade geral da MEFERI. Esses provedores n\u00e3o s\u00e3o listados aqui como subprocessadores sob este DPA, a menos que tamb\u00e9m processem Dados Pessoais do Cliente em nome da MEFERI no contexto dos Servi\u00e7os prestados ao Cliente.<\/p>\n

4. Ferramentas de suporte e atendimento ao cliente:<\/p>\n

\u2013 <\/strong>Finalidade: Gerenciar solicita\u00e7\u00f5es de suporte ao cliente, fornecer servi\u00e7os de helpdesk e facilitar a comunica\u00e7\u00e3o relacionada ao suporte dos servi\u00e7os da MEFERI.<\/p>\n

\u2013 Subprocessadores espec\u00edficos utilizados:<\/p>\n