Ir para o conteúdo principal

Contratos e termos

Políticas e diretrizes

Marcas registradas e propriedade intelectual

Aquisição e fornecedores

Proteção de dados e privacidade

CONTRATO DE PROCESSAMENTO DE DADOS

Este Contrato de Processamento de Dados (“DPA”) é celebrado pelo Cliente e pela Zendesk, Inc. (“Zendesk”), uma “Parte” e, juntas, as “Partes”.

O Cliente e a Zendesk celebraram o Contrato sob o qual o Cliente recebe acesso e uso dos Serviços durante a Vigência da Assinatura. Este DPA é incorporado e faz parte do Contrato. Se você deseja assinar eletronicamente o DPA, clique aqui.

1. OBRIGAÇÕES GLOBAIS DE PRIVACIDADE DAS PARTES

  1. Propriedade dos Dados de Serviço. A Zendesk não reivindica qualquer direito de propriedade ou interesse sobre os Dados do Serviço processados sob este DPA e, entre as Partes, os Dados do Serviço pertencentes ao Cliente permanecem propriedade do Cliente.
  2. Dados Pessoais. As Partes concordam que a natureza, as finalidades, o assunto, a duração do processamento, as categorias de Dados Pessoais ou titulares de dados e os períodos de retenção aplicáveis estão descritos no Anexo I.
  3. Lei de Proteção de Dados Aplicável. A Zendesk e o Cliente concordam em cumprir suas respectivas obrigações da Legislação sobre proteção de dados aplicável.
  4. Obrigações da Zendesk. A Zendesk concorda em:

    1. processar os Dados Pessoais de acordo com as instruções documentadas do Cliente, a menos que permitido ou exigido de outra forma pela lei aplicável. A Zendesk informará o Cliente imediatamente se suas instruções de processamento violarem a Legislação sobre proteção de dados aplicável;

    2. não vender ou compartilhar Dados Pessoais;

    3. garantir que todos os funcionários e contratados estejam plenamente cientes de suas responsabilidades de proteger os Dados Pessoais nos termos deste DPA e tenham se comprometido com uma obrigação contratual ou estatutária apropriada de confidencialidade;

    4. notificar o Cliente se ele não puder mais cumprir suas obrigações nos termos da Legislação sobre proteção de dados aplicável e permitir que o Cliente tome medidas razoáveis e apropriadas para remediar o processamento não autorizado de Dados pessoais;

    5. implementar e manter medidas técnicas e organizacionais adequadas destinadas a proteger os Dados Pessoais contra destruição acidental ou ilegal, perda, alteração, divulgação ou acesso não autorizado, levando em conta a probabilidade e a gravidade dos riscos aos direitos de privacidade dos titulares dos dados, incluindo as medidas no Anexo II;

    6. notificar o Cliente sobre uma violação de dados pessoais confirmada sem atraso indevido e dentro de 48 horas, a menos que proibido por lei ou agência governamental; tomar as medidas apropriadas destinadas a mitigar a(s) causa(s) da violação de dados pessoais; e fornecer ao Cliente todas as informações necessárias, conforme exigido pela Legislação sobre proteção de dados aplicável;

    7. auxiliar de forma plausível o Cliente em sua obrigação de responder às solicitações dos titulares dos dados e, caso receba uma solicitação diretamente do titular, encaminhá-la ao Cliente, salvo se proibido por lei; e

    8. disponibilizar informações comercialmente razoáveis e assistência para permitir que o Cliente realize qualquer avaliação de impacto de proteção de dados ou consulta à autoridade supervisora, conforme exigido pela Legislação sobre proteção de dados aplicável.

  5. Obrigações do Cliente. O Cliente, como controlador de dados, determina quais Dados Pessoais são processados pelos Serviços. O Cliente é responsável por avaliar as medidas técnicas e organizacionais da Zendesk, conforme apropriado, para os tipos de Dados pessoais que o Cliente deseja processar pelo uso dos Serviços.

2. USO DE SUBPROCESSADORES

  1. Subprocessadores. O Cliente fornece sua autorização geral por escrito para que a Zendesk use Subprocessadores, desde que:

    1. A Zendesk permanece responsável perante o Cliente pelos atos ou omissões de seus Subprocessadores com relação ao processamento de Dados pessoais; e

    2. cada Subprocessador concorda em proteger os Dados Pessoais de acordo com os padrões consistentes com os requisitos deste DPA.

  2. Atualizações da Política de Subprocessadores. A Zendesk atualizará a Política de subprocessadores com quaisquer subprocessadores recém-nomeados pelo menos 30 dias antes da alteração. O Cliente pode se inscrever para receber notificações por e-mail sobre tais alterações.
  3. Objeções à Política de Subprocessadores. O Cliente pode se opor a qualquer Subprocessador recém-nomeado por motivos razoáveis relacionados à proteção de dados. Se o Cliente se opuser, ele informará a Zendesk por escrito, enviando um e-mail para privacy@zendesk.com no prazo de 30 dias após a atualização da Política de subprocessadores. Nesse caso, as Partes negociarão, de boa-fé, uma solução para a objeção do Cliente. Se as Partes não conseguirem chegar a uma resolução no prazo de 60 dias após o recebimento da objeção do Cliente pela Zendesk, a Zendesk, a seu exclusivo critério,:

    1. instruir o Subprocessador a não processar os Dados Pessoais do Cliente, e o DPA continuará inalterado, ou

    2. permitir que o Cliente rescinda qualquer parte afetada dos Serviços e forneça ao Cliente um reembolso proporcional das Taxas de Assinatura pagas antecipadamente pela parte afetada dos Serviços ainda não recebida na data de início de vigência da rescisão.

3. AUDITORIA

  1. Auditores Externos. A Zendesk usa auditores externos independentes e qualificados para verificar a adequação das medidas de proteção de dados e a conformidade com as obrigações previstas neste DPA (por exemplo, SOC 2 Tipo II ou ISO 27001).
  2. Relatório de Auditoria. Mediante solicitação por escrito do Cliente, a Zendesk fornecerá ao Cliente um Relatório de auditoria, sujeito às disposições de confidencialidade do Contrato.
  3. Assistência. Na medida em que os requisitos de auditoria do Cliente nos termos da Legislação sobre proteção de dados aplicável não forem razoavelmente satisfeitos por meio do Relatório de auditoria ou de outra documentação que a Zendesk disponibilizar de modo geral aos seus clientes, e o Cliente não tiver acesso às informações relevantes, a Zendesk auxiliará o Cliente de forma razoável.
  4. Auditoria. Se o Cliente não puder cumprir suas obrigações de auditoria nos termos da Legislação sobre proteção de dados aplicável por meio da assistência da Zendesk fornecida na Seção 3.3 e o Cliente tiver o direito de realizar uma auditoria nos termos da Legislação sobre proteção de dados aplicável, o Cliente poderá solicitar essa auditoria fornecendo uma notificação por escrito com pelo menos 30 dias de antecedência para privacy@zendesk.com. Essa auditoria pode ser realizada no máximo uma vez por ano, deve ser realizada durante o horário comercial normal com duração razoável, não deve interferir nas operações da Zendesk e deve ser realizada apenas na sede da Zendesk ou em um escritório comercial acordado. Essa auditoria não envolverá o acesso a dados relacionados a outros clientes da Zendesk nem a instalações ou sistemas protegidos de qualquer forma que viole os controles de segurança da Zendesk ou faça com que a Zendesk viole suas obrigações de confidencialidade com terceiros. Qualquer informação gerada em conexão com essa auditoria será considerada Informação confidencial da Zendesk e será imediatamente fornecida à Zendesk. O Cliente é responsável pelos custos e despesas relacionados a qualquer auditoria solicitada além do Relatório de Auditoria.

4. TRANSFERÊNCIAS INTERNACIONAIS DE DADOS

  1. Transferências Internacionais de Dados. O Cliente reconhece que é necessário para a execução dos Serviços que a Zendesk possa processar os Dados do Serviço globalmente, em conformidade com a Legislação sobre proteção de dados aplicável. Se a Zendesk transferir Dados pessoais de um país de origem para um país que não tenha recebido uma decisão de adequação do país de origem, as transferências aderirão a um ou mais dos seguintes Mecanismos de transferência, aplicáveis a todos os Dados pessoais e na seguinte ordem:

    1. um mecanismo de certificação válido;

    2. Regras Corporativas Vinculativas;

    3. CCSs.

  2. Mecanismos de Transferência. Mecanismos de transferência, seleções de cláusulas e requisitos específicos do país, se aplicável, são detalhados e incorporados por referência no Anexo III.
  3. Avaliação de Transferência de Dados. O Cliente reconhece que pode ser obrigado a realizar uma avaliação de transferência de dados, além de confiar nos Mecanismos de Transferência. A Zendesk fornecerá assistência razoável com esta avaliação mediante solicitação.
  4. Assinatura de Ligação. O Cliente reconhece que a assinatura do Contrato constitui uma assinatura vinculativa das SCCs e outros requisitos de assinatura declarados nos Termos específicos da região.

5. DEVOLUÇÃO E DESTRUIÇÃO DE DADOS PESSOAIS

Mediante solicitação por escrito do Cliente, a Zendesk disponibilizará os Dados do Serviço ao Cliente para exportação ou download, conforme disposto no Contrato. A Zendesk excluirá os Dados do Serviço de acordo com a Política de exclusão de dados do Serviço da Zendesk.

6. SERVIÇOS DE INOVAÇÃO

Todas as seções deste DPA aplicam-se aos Serviços de Inovação, exceto a Seção 3 (Auditoria), o Anexo II (Medidas Técnicas e Organizacionais de Segurança da Zendesk – Serviços Empresariais) e as Seções 1 e 2 do Anexo III (Regras Corporativas Vinculativas e Estrutura de Privacidade de Dados).

7. CONFLITOS

Salvo acordo em contrário, os termos deste DPA prevalecerão sobre quaisquer termos conflitantes no Contrato.

8. Definições

Todos os termos usados neste DPA terão os significados a eles atribuídos abaixo. Quando não definidos neste DPA, os termos “vender”, “compartilhar”, “processar”, “processar”, “processador”, “controlador”, “exportador de dados”, “importador de dados”, “titular dos dados”, “violação de dados pessoais” (e termos semelhantes) e “autoridade supervisora” terão o mesmo significado que na Legislação sobre proteção de dados aplicável. Quaisquer termos em maiúsculas não definidos de outra forma neste DPA são conforme definidos no Contrato.

“Lei de Proteção de Dados Aplicável” significa todas as leis e regulamentos de proteção de dados aplicáveis a cada parte em conexão com seu respectivo processamento de Dados Pessoais nos termos deste Contrato.

“Relatório de Auditoria” significa um resumo confidencial de qualquer relatório de certificação ou auditoria para Serviços Empresariais.

“Regras Corporativas Vinculativas” significam (a) Regras Corporativas Vinculantes da UE – Processador, para transferências de Dados Pessoais sujeitas ao GDPR, ou (b) Regras Corporativas Vinculativas do Reino Unido – Processador, para transferências de Dados Pessoais do Reino Unido.

“Programa de Recompensa por Bugs (Bug Bounty)” significa os termos disponíveis em: https://support.zendesk.com/hc/en-us/articles/115002853607-Zendesk-Bug-Bounty-Program.

Página da Web de Resiliência Empresarial https://support.zendesk.com/hc/en-us/articles/360022191434-Business-Continuity-and-Disaster-recovery.

“Dados Pessoais” significa quaisquer dados pessoais relacionados, direta ou indiretamente, a uma pessoa natural identificada ou identificável que estejam contidos nos Dados do Serviço.

“Página de Status” https://status.zendesk.com/.

“SCCs” significa cláusulas contratuais padrão aprovadas por uma autoridade supervisora como um Mecanismo de Transferência.

“Subprocessador” significa qualquer processador de dados terceirizado contratado pela Zendesk que receba e processe os Dados do Serviço de acordo com as instruções do Cliente (conforme comunicado pela Zendesk) e os termos de seu subcontrato por escrito com a Zendesk, conforme listado na Política de Subprocessadores.

“Política de Subprocessador” significa a política em: https://support.zendesk.com/hc/en-us/articles/4408883061530-Sub-processor-Policy.

“Mecanismo de Transferência” significa a estrutura(s) que regem o processamento internacional de Dados Pessoais descritos no Anexo III.

ANEXO I

Detalhes do processamento

Exportador de dados: Cliente

Informações do Contato: Fornecido no bloco de assinatura do DPA.

Função do exportador de dados: O cliente é um controlador (em relação à Zendesk)

Importador de dados: Zendesk, Inc.

Informações do Contato: Fornecido no bloco de assinatura DPA

Função do Importador de Dados: A Zendesk é uma processadora

  1. Natureza e finalidade do processamento: A Zendesk processará os Dados pessoais conforme especificado no Contrato e para os fins determinados pelo Cliente.
  2. Atividades de processamento: As atividades de processamento incluirão hospedagem e processamento de Dados Pessoais conforme especificamente instruído pelo Cliente de forma programática ou no Contrato.
  3. Duração do processamento e retenção: A Zendesk processará e reterá os Dados pessoais continuamente durante a Vigência da assinatura. A Zendesk exclui Dados pessoais de acordo com a Política de exclusão de dados de serviço da Zendesk.
  4. Titulares de dados: O Cliente pode, a seu critério exclusivo, enviar Dados Pessoais aos Serviços, que podem incluir, entre outros: funcionários (incluindo contratados e funcionários temporários), parentes de funcionários, clientes, clientes potenciais, prestadores de serviços, parceiros de negócios, fornecedores, Usuários Finais, consultores (todos pessoas físicas) do Cliente e qualquer pessoa(s) física autorizada pelo Cliente a usar os Serviços.
  5. Categorias de Dados Pessoais O Cliente pode processar qualquer categoria de Dados Pessoais a seu critério exclusivo usando os Serviços, que podem incluir, entre outros, as seguintes categorias de Dados Pessoais: nome e sobrenome, endereço de e-mail, cargo, cargo, empregador, informações de contato (empresa, e-mail, números de telefone, endereço físico), data de nascimento, sexo, comunicações (gravações de telefone, correio de voz, metadados) e informações de atendimento ao cliente.
  6. Categorias especiais de dados (se aplicável): Categorias sensíveis de dados que exigem tratamento especial nos termos da Legislação sobre proteção de dados aplicável podem ser incluídas nos Dados pessoais, a critério do Cliente.

ANEXO II

Medidas de segurança técnica e organizacional da Zendesk – Serviços corporativos

As medidas técnicas e organizacionais para proteger os Dados do Serviço para Serviços Corporativos estão contidas nas Medidas de Segurança Corporativa da Zendesk.

A Zendesk reserva-se o direito de atualizar seu programa de segurança de tempos em tempos, desde que, no entanto, qualquer atualização não reduza materialmente as proteções gerais neste Anexo II.

  1. Equipe e programa de segurança da informação: O programa de segurança da Zendesk inclui políticas e padrões documentados de salvaguardas administrativas, técnicas, físicas e organizacionais, que regem o tratamento dos Dados do Serviço em conformidade com a legislação aplicável. O programa de segurança foi projetado para proteger a confidencialidade e a integridade dos Dados do Serviço, adequados à natureza, escopo, contexto e finalidades do processamento e aos riscos envolvidos no processamento para os titulares dos dados. A Zendesk mantém uma equipe de segurança distribuída globalmente, disponível 24 horas por dia, 7 dias por semana, para responder a alertas e eventos de segurança.
  2. Certificações de segurança: A Zendesk detém as seguintes certificações relacionadas à segurança de auditores terceirizados independentes: SOC 2 Tipo II, ISO 27001:2013 ou ISO 27018:2014.
  3. Controles de acesso físico: A Zendesk toma medidas razoáveis, como pessoal de segurança e edifícios protegidos, para impedir que pessoas não autorizadas obtenham acesso físico aos Dados do Serviço e validar que terceiros que operam datacenters em nome da Zendesk estejam aderindo a esses controles.
  4. Controles de acesso ao sistema: A Zendesk toma medidas razoáveis para impedir que os Dados do Serviço sejam usados sem autorização. Esses controles variam com base na natureza do processamento realizado e podem incluir, entre outros controles, autenticação por meio de senhas e/ou autenticação de dois fatores, processos de autorização documentados, processos de gerenciamento de alterações documentados e/ou registro de acesso em vários níveis.
  5. Controles de acesso aos dados: A Zendesk toma medidas razoáveis para garantir que os Dados do Serviço sejam acessíveis e gerenciáveis apenas por funcionários devidamente autorizados, que o acesso direto à consulta ao banco de dados seja restrito e que os direitos de acesso ao aplicativo sejam estabelecidos e aplicados para garantir que as pessoas com direito a usar um sistema de processamento de dados tenham acesso apenas aos Dados do Serviço aos quais tenham privilégio de acesso; e que os Dados do Serviço não possam ser lidos, copiados, modificados ou removidos sem autorização no decorrer do processamento.
  6. Controles de transmissão: a Zendesk adota medidas plausíveis para garantir a capacidade de verificar e determinar para quais entidades os Dados do Serviço são transferidos por meio de instalações de transmissão de dados, de modo que os Dados do Serviço não possam ser lidos, copiados, modificados ou removidos sem autorização durante a transmissão ou transporte eletrônico. Os dados de serviço são criptografados em trânsito por redes públicas ao se comunicar com interfaces de usuário (UIs) e interface de programação de aplicativos (APIs) da Zendesk por meio de HTTPS/TLS padrão do setor (TLS 1.2 ou superior). Exceções à criptografia em trânsito podem incluir qualquer Produto de Terceiros que não suporte criptografia, ao qual o controlador de dados pode se vincular por meio dos Serviços Empresariais a seu critério. Os Dados de Serviço são criptografados em repouso pelo Subprocessador da Zendesk e pelo provedor de serviços gerenciados, Amazon Web Services Inc., por meio do AES-256.
  7. Controles de entrada: a Zendesk adota medidas razoáveis para viabilizar a verificação e identificação de se, por quem e quando os Dados de Serviço foram inseridos, modificados ou removidos em sistemas de processamento de dados, assegurando também que qualquer transferência de Dados de Serviço para um provedor de serviços terceirizado ocorra por meio de transmissão segura.
  8. Separação lógica: os dados provenientes de diferentes ambientes de clientes da Zendesk são segregados logicamente nos sistemas gerenciados pela Zendesk, de modo a garantir que os Dados de Serviço coletados por diferentes controladores permaneçam separados entre si.
  9. Ausência de backdoors: a Zendesk não incorporou nenhum backdoor ou outro método nos Serviços que permita a autoridades governamentais contornar suas medidas de segurança para obter acesso aos Dados de Serviço.
  10. Arquitetura e segurança de data centers: A Zendesk hospeda os dados de serviço nos data centers da AWS que atendem a normas como ISO 27001, PCI DSS Service Provider Level 1 e/ou SOC2. Os serviços de infraestrutura da AWS incluem fontes de energia de emergência, sistemas HVAC e equipamento de supressão de incêndios para ajudar a proteger os servidores e dados do Cliente. A segurança no local físico da AWS inclui vários recursos como vigias, cercas, sistema interno de segurança, tecnologia de detecção de invasores, entre outras medidas. Mais informações sobre os controles da AWS estão disponíveis em: https://aws.amazon.com/security.
  11. Arquitetura e segurança de rede: os sistemas da Zendesk são organizados em zonas proporcionais ao seu nível de segurança, considerando função, classificação da informação e risco. A arquitetura de segurança de rede da Zendesk consiste em múltiplas zonas, com sistemas mais sensíveis, como servidores de banco de dados, localizados nas zonas de maior confiança da Zendesk. Dependendo da zona, outros controles de acesso e monitoramento de segurança serão aplicados. Zonas desmilitarizadas (DMZs) são utilizadas entre a internet e internamente entre as diferentes zonas de confiança. A rede da Zendesk é protegida pelo uso dos principais serviços de segurança da AWS, auditorias regulares e tecnologias de inteligência de rede, que monitoram e/ou bloqueiam tráfego malicioso conhecido e ataques de rede. A Zendesk utiliza varreduras de segurança na rede para identificação rápida de sistemas potencialmente vulneráveis, além de um extenso programa interno de varredura e testes. A Zendesk também participa de vários programas de compartilhamento de inteligência sobre ameaças, monitorando as ameaças reportadas nessas redes e tomando ações baseadas no risco identificado. A Zendesk adota uma abordagem em múltiplas camadas para mitigação de ataques DDoS, utilizando defesas na borda da rede, além de ferramentas de escalonamento e proteção.
  12. Testes, monitoramento e registro de logs: anualmente, a Zendesk contrata especialistas externos em segurança para realizar um amplo teste de penetração nas redes de produção e corporativas da Zendesk. A Zendesk utiliza um sistema de Gerenciamento de Eventos e Incidentes de Segurança (SIEM), que coleta logs dos principais dispositivos de rede e sistemas hosts. O SIEM dispara alertas que notificam a equipe de segurança com base em eventos correlacionados para investigação e resposta. Os pontos de entrada e saída dos serviços são monitorados e equipados para detectar comportamentos anômalos, incluindo monitoramento contínuo 24 horas por dia, 7 dias por semana.
  13. Localização da hospedagem de dados: A Zendesk oferece aos Clientes a opção de escolher onde os Dados de Serviço serão hospedados caso o Cliente adquira o Complemento de Localização do Data Center (Data Center Location Add-On). Uma descrição completa dessa oferta está disponível em: https://support.zendesk.com/hc/en-us/articles/360053579674.
  14. Disponibilidade e continuidade: A Zendesk mantém uma Página de Status pública, que inclui detalhes sobre a disponibilidade do sistema, manutenções programadas, histórico de incidentes de serviço e eventos relevantes de segurança. O clustering de serviço e as redundâncias de rede da Zendesk eliminam pontos únicos de falha. Nosso rigoroso regime de backups e/ou a oferta do serviço aprimorado de Recuperação de Desastres (Enhanced Disaster Recovery) permitem fornecer um alto nível de disponibilidade, uma vez que os Dados de Serviço são replicados entre zonas disponíveis. O programa de Recuperação de Desastres da Zendesk garante que os Serviços Zendesk permaneçam disponíveis e possam ser facilmente recuperados em caso de desastre, por meio da construção de um ambiente técnico robusto. Detalhes adicionais estão disponíveis na Página de Resiliência de Negócios da Zendesk.
  15. Segurança de pessoas: A Zendesk realiza verificações antecedentes pré-emprego de todos os funcionários, incluindo a verificação de escolaridade e histórico profissional, em conformidade com as leis locais aplicáveis. Os funcionários recebem treinamento em segurança no momento da contratação e anualmente posteriormente. Além disso, todos são obrigados a assinar acordos escritos de confidencialidade para garantir a proteção dos dados.
  16. Gestão de fornecedores: A Zendesk conta com fornecedores terceirizados para fornecer determinados aspectos dos Serviços. A Zendesk realiza uma avaliação de risco de segurança de possíveis fornecedores.
  17. Bug Bounty: A Zendesk mantém um programa de recompensa por bugs para permitir que pesquisadores independentes de segurança relatem vulnerabilidades de segurança continuamente.

Medidas Técnicas e Organizacionais de Segurança da Zendesk – Serviços de Inovação

As medidas técnicas e organizacionais para proteger os Dados do Serviço nos Serviços de Inovação estão descritas nas Medidas de Segurança para Inovação da Zendesk.

O Programa de Segurança da Informação da Zendesk inclui políticas e normas documentadas que regem o manuseio dos Dados do Serviço em conformidade com a legislação aplicável, além de salvaguardas administrativas, técnicas e físicas destinadas a proteger a confidencialidade e integridade dos Dados do Serviço. A Zendesk reserva-se o direito de atualizar seu programa de segurança de tempos em tempos, desde que, no entanto, qualquer atualização não reduza materialmente as proteções gerais neste Anexo II.

  1. Controles de acesso físico: a Zendesk adota medidas plausíveis para evitar que pessoas não autorizadas tenham acesso físico aos Dados do Serviço.

  2. Controles de acesso ao sistema: A Zendesk toma medidas razoáveis para impedir que os Dados do Serviço sejam usados sem autorização.

  3. Controles de acesso aos dados: a Zendesk adota medidas plausíveis para impedir o uso dos Dados do Serviço sem autorização.

  4. Controles de transmissão: a Zendesk adota medidas plausíveis para garantir a capacidade de verificar e determinar para quais entidades os Dados do Serviço são transferidos por meio de instalações de transmissão de dados, de modo que os Dados do Serviço não possam ser lidos, copiados, modificados ou removidos sem autorização durante a transmissão ou transporte eletrônico.

  5. Controles de entrada: A Zendesk toma medidas razoáveis para garantir que seja possível verificar e estabelecer se e por quem os Dados do Serviço foram inseridos nos sistemas de processamento de dados, modificados ou removidos, e que qualquer transferência de Dados do Serviço para um provedor de serviços terceirizado seja feita por meio de uma transmissão segura.

  6. Separação lógica: os dados provenientes de diferentes ambientes de clientes da Zendesk são segregados logicamente nos sistemas gerenciados pela Zendesk, de modo a garantir que os Dados de Serviço coletados por diferentes controladores permaneçam separados entre si.

  7. Políticas de Segurança e Pessoal: a Zendesk possui e manterá um Programa de Segurança gerenciado para identificar riscos e implementar tecnologias preventivas, bem como tecnologias e processos para mitigação de ataques comuns. a Zendesk conta com uma equipe de segurança da informação dedicada em tempo integral, responsável por proteger suas redes, sistemas e serviços, além de desenvolver e ministrar treinamentos para os funcionários, em conformidade com as políticas de segurança da empresa.

ANEXO III

Mecanismos de Transferência e Termos Específicos por Região

A Zendesk utiliza diversos Mecanismos de Transferência que regem a transferência internacional de Dados Pessoais, dependendo da jurisdição dos Dados Pessoais processados. Termos adicionais específicos de privacidade, presentes nos Termos Específicos por Região, são incorporados conforme aplicável.

1. Regras Corporativas Vinculativas

A Zendesk, suas afiliadas e subprocessadores cumprem os requisitos das Regras Corporativas Vinculativas da Zendesk, que foram aprovadas pela Comissão de Proteção de Dados da Irlanda e pelo Escritório do Comissário de Informação do Reino Unido, estando disponíveis no Centro de Confiança da Zendesk em: https://www.zendesk.com/trust-center/.

2. Estrutura de Privacidade de Dados

A Zendesk está certificada para participar e cumprir com a EU-U.S. Data Privacy Framework (“EU-U.S. DPF”), a extensão do Reino Unido ao EU-U.S. DPF, e o Swiss-U.S. Data Privacy Framework (“Swiss-U.S. DPF”) (veja: https://www.dataprivacyframework.gov/s/). A Zendesk compromete-se a manter a auto-certificação de conformidade com o EU-U.S. DPF, a Extensão do Reino Unido ao EU-U.S. DPF, e Suíça-EUA. DPF, ou qualquer estrutura substituta, para os Serviços fornecidos nos termos do Contrato e deste DPA.

3. SCCs

  1. A Zendesk também utiliza as cláusulas contratuais padrão adotadas pela Comissão Europeia, conforme estabelecido no Anexo da Decisão Executiva 2021/914 da Comissão Europeia de 4 de junho de 2021, disponível em: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32021D0914 (“SCCs da UE”), bem como o Aditamento de Transferência Internacional de Dados do Reino Unido às Cláusulas Contratuais Padrão da Comissão Europeia, disponível em: https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf (“Aditamento do Reino Unido”). As partes reconhecem que as SCCs estão incorporadas a este DPA como se estivessem integralmente transcritas abaixo. Esses links podem ser atualizados periodicamente conforme atualizações de autoridades regulatórias e serão atualizados por meio de emenda a este DPA.

  2. Na medida em que as SCCs sejam publicadas e exigidas por uma autoridade supervisora que não sejam as EU SCCs, as partes as interpretarão de forma consistente com as seleções do subitem (e).

  3. Em caso de conflito ou ambiguidade, os termos das SCCs prevalecerão sobre o DPA e quaisquer outros termos entre a Zendesk e o Cliente.

  4. Quando as SCCs da UE forem reconhecidas por uma autoridade supervisora local como um Mecanismo de Transferência, se aplicarão a todos os Dados Pessoais sujeitos a essa autoridade e serão consideradas concluídas da forma especificada no subitem (e).

  5. SCCs da UE. Quando as SCCs da UE forem utilizadas como Mecanismo de Transferência, serão consideradas preenchidas da seguinte forma:

    1. O Módulo 2 (Controlador para Processador) se aplicará quando o Cliente for o controlador dos Dados de Serviço e a Zendesk for a processadora desses dados; o Módulo 3 (Processador para Processador) se aplicará quando tanto o Cliente quanto a Zendesk forem processadores dos Dados de Serviço;

    2. na Cláusula 7, a cláusula opcional de inclusão posterior (docking clause) não se aplicará;

    3. na Cláusula 9(a), será aplicada a Opção 2 – “Autorização Geral por Escrito”, com o prazo de notificação prévia sobre alterações de Subprocessadores conforme estipulado na seção “Uso de Subprocessadores” deste DPA;

    4. na Cláusula 11, a linguagem opcional não se aplicará;

    5. na Cláusula 17, será aplicada a Opção 1, sendo a lei aplicável aquela estipulada no Contrato, ou, na ausência de uma legislação de Estado-Membro da EEE aplicável, a lei da Irlanda, ou ainda, a lei do importador de dados caso nenhuma das anteriores seja aplicável;

    6. na Cláusula 18(b), as disputas serão resolvidas perante os tribunais conforme a seguinte ordem de precedência: (1) conforme estipulado no Contrato; (2) Dublin, Irlanda, se não houver legislação aplicável de Estado-Membro da EEE; (3) o país do Cliente com jurisdição sobre a sede do Cliente; (4) o endereço da sede registrada da Zendesk;

    7. os Anexos I.A e I.B e o Anexo II das SCCs da UE serão considerados preenchidos com as informações constantes dos Anexos I e II deste DPA; e

    8. no Anexo I.C das SCCs, a autoridade supervisora será aquela competente em relação ao exportador de dados. Quando o exportador de dados não estiver estabelecido no país local, mas ainda estiver dentro do escopo territorial da Lei de Proteção de Dados Aplicável, a autoridade supervisora competente será aquela localizada onde o exportador de dados tiver nomeado um representante. Caso o exportador não tenha nomeado um representante, a autoridade supervisora competente será a da Irlanda.

  6. Aditamento do Reino Unido. Quando o Aditamento do Reino Unido for aplicável, será considerado preenchido da seguinte forma:

    1. Tabela 1, considera-se preenchida com as informações constantes no Anexo I deste DPA, cujo conteúdo é desde já aceito pelas Partes;

    2. Tabela 2, as Partes selecionam a caixa que diz: “Cláusulas Contratuais Padrão da UE aprovadas, incluindo as Informações do Apêndice e com apenas os seguintes módulos, cláusulas ou disposições opcionais das Cláusulas Contratuais Padrão da UE aprovadas aplicadas para fins deste Aditamento”, e a tabela correspondente será considerada preenchida de acordo com as preferências das Partes descritas neste Anexo;

    3. Tabela 3, considera-se preenchida com as informações constantes nos Anexos I e II, bem como nas disposições da seção “Uso de Subprocessadores” deste DPA; e

    4. Tabela 4, as Partes concordam que nenhuma delas poderá rescindir o Aditamento do Reino Unido conforme estabelecido na Seção 19.