view in:

OBRIGAÇÕES GLOBAIS DE PRIVACIDADE

ÚLTIMA ATUALIZAÇÃO: 21 de novembro de 2022
1. INTRODUÇÃO
  1. Estas obrigações globais de privacidade ("Obrigações Globais de Privacidade") estabelecem certas obrigações de proteção de dados que esperamos que nossos fornecedores e outros parceiros (denominados, em conjunto, "Parceiros") cumpram em relação ao fornecimento de produtos e serviços para nós. Estas Obrigações Globais de Privacidade integram e são complementares a qualquer contrato que tenhamos celebrado com nossos Parceiros a que estas Obrigações Globais de Privacidade sejam incorporadas ("Contrato").
  2. As diferentes seções dessas Obrigações Globais de Privacidade se aplicam a depender de nosso relacionamento com o Parceiro. Cada seção indica em que circunstâncias é aplicável.
2. DEFINIÇÕES
  1. Esta seção se aplica a todos os Parceiros.
  2. Para os fins destas Obrigações Globais de Privacidade, os seguintes termos terão os seguintes significados:
    1. "Controlador" significa uma pessoa física ou jurídica que, individualmente ou em conjunto com outras, determine as finalidades e os meios do Tratamento de Dados Pessoais.
    2. "Cliente", "nós", "nos" e "nosso" significam: (i) a entidade Warner Bros. Discovery identificada no Contrato e que é parte do Contrato; e (ii) qualquer afiliada ou subsidiária que controle, seja controlada pela entidade Warner Bros. Discovery mencionada no Contrato ou, ainda, esteja sob seu controle comum.
    3. "Legislação de Proteção de Dados" significa qualquer constituição, lei, estatuto, tratado, regra, regulamento, portaria, código e diretriz federal, estadual, provincial, local, municipal, estrangeiro(a), internacional, multinacional ou outro(a) emitido(a) por autoridades reguladoras competentes para interpretá-lo(a) ou aplicá-lo(a), referente ao tratamento de dados pessoais, privacidade, proteção de dados (proteção de Dados Pessoais) ou segurança cibernética, conforme eventualmente alterado(a).
    4. "Titular de Dados" significa o indivíduo ao qual se refiram os Dados Pessoais.
    5. "Solicitação de Titular de Dados" significa uma solicitação de um Titular de Dados para obter informações, acesso, retificação, exclusão, restrição, portabilidade, objeção, restrição de venda, eliminação e quaisquer outras solicitações análogas.
    6. "Descrição do Tratamento" significa a descrição dos Dados Pessoais Tratadas pelo Parceiro sob o Contrato.
    7. "EEE" significa o Espaço Econômico Europeu.
    8. "Transferência de Dados do EEE" significa uma transferência de Dados Pessoais sujeitos ao GDPR para um país ou território fora do EEE que não foi considerado adequado pela Comissão da União Europeia.
    9. "Cláusulas Contratuais Padrão do EEE" (SCC) significam cláusulas contratuais padrão referentes à transferência de dados pessoais para países terceiros nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho adotadas pela decisão da Comissão Europeia de 04 de junho de 2021 C (2021) 3972, disponíveis em https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=en;
    10. "GDPR" significa o Regulamento (da UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 (Regulamento Geral de Proteção de Dados).
    11. "Obrigações de Segurança da Informação" significam quaisquer obrigações de segurança da informação aplicáveis anexadas ao Contrato ou que de outra forma façam parte do Contrato.
    12. "Outra Transferência de Dados" significa uma transferência de Dados Pessoais: (i) sujeita às leis de um país que restrinja a transferência de Dados Pessoais a outro país que não seja considerado adequado para receber tais Dados Pessoais (um "País Limitador"); e (ii) que não seja uma Transferência de Dados do EEE ou uma Transferência de Dados do Reino Unido.
    13. "Dados Pessoais" significam qualquer informação relacionada a uma pessoa física identificada ou identificável, incluindo qualquer informação definida como "informações de identificação pessoal", "informações pessoais", "dados pessoais" ou termos semelhantes, conforme definidos na Legislação de Proteção de Dados, limitados aos Dados Pessoais Tratadas pelo Parceiro em conexão com o Contrato;
    14. "Tratamento" ou "Tratar" significa qualquer operação ou conjunto de operações realizadas sobre Dados Pessoais, seja por meios automáticos ou não, incluindo a coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, consulta, uso, divulgação por transmissão, transferência, disseminação ou disponibilização, alinhamento ou combinação, restrição, exclusão ou destruição de Dados Pessoais.
    15. "Operador" significa uma pessoa física ou jurídica que Trate Dados Pessoais em nome do Controlador.
    16. "Incidente de Segurança" significa: (i) qualquer interrupção grave das operações de Tratamento do Parceiro; (ii) qualquer aquisição, perda, acesso, uso, uso indevido, perda de acesso ou perda de uso não autorizado(a) de Dados Pessoais (incluindo perda de qualquer meio de armazenamento em que sejam armazenados os Dados Pessoais); ou (iii) qualquer violação de segurança resultante em destruição, perda, alteração, uso, uso indevido, divulgação não autorizada ou acesso acidental ou ilegal em relação aos Dados Pessoais.
    17. "Dados Pessoais Sensíveis" significam Dados Pessoais que revelem raça, etnia; opiniões políticas; crenças religiosas ou filosóficas; filiação sindical; saúde física ou mental; vida sexual ou orientação sexual; o Tratamento de dados genéticos, dados biométricos com o objetivo de identificar exclusivamente um Titular de Dados; Dados Pessoais relacionadas a antecedentes criminais, crimes ou medidas de segurança relacionadas; número de identificação emitido pelo governo; credenciais da contas; números de contas financeiras, incluindo números de cartões de pagamento; dados precisos de geolocalização; conteúdos de comunicações não direcionadas ao Parceiro ou Cliente; e subconjuntos de Dados Pessoais que sejam considerados "sigilosos" ou requeiram proteções aprimoradas de acordo com as Legislações de Proteção de Dados aplicáveis.
    18. "Serviços" têm o significado indicado no Contrato ou, se não estiverem definidos pelo Contrato, significam os produtos ou serviços fornecidos a nós pelo Parceiro de acordo com o Contrato.
    19. "Suboperador" significa uma pessoa física ou jurídica que Trate Dados Pessoais em nome de um Operador.
    20. "Transferência de Dados do Reino Unido" significa uma transferência de Dados Pessoais sujeita ao GDPR do Reino Unido para um país ou território fora do Reino Unido que não foi considerado adequado pelo Secretário de Estado do Reino Unido.
    21. "GDPR do Reino Unido" significa o GDPR, conforme faz parte das leis da Inglaterra, País de Gales, Escócia e Irlanda do Norte, em virtude da Seção 3 da Lei da União Europeia (Revogada) de 2018.
    22. "Adendo das SCC do Reino Unido" significa o modelo de adendo emitido pelo “Information Commissioner’s Office - ICO” [Gabinete do Comissário de Informação] do Reino Unido e apresentado ao Parlamento de acordo com a s119A da Lei de Proteção de Dados de 2018 em 02 de fevereiro de 2022, conforme revista na Seção 18; e disponível em https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.
3. TERMOS PARA TODOS OS PARCEIROS
  1. Esta seção se aplica a todos os Parceiros.
  2. Cumprimento da lei. O Parceiro cumprirá todas as Legislações de Proteção de Dados aplicáveis e fornecerá proteções de privacidade apropriadas para cumprir suas obrigações a esse respeito. O Parceiro notificará a Cliente pelo e-mail wmprivacy@warnermedia.com se verificar que não pode mais cumprir suas obrigações previstas na Legislação de Proteção de Dados. A Cliente terá direito de tomar as medidas cabíveis para eliminar e remediar qualquer Tratamento não autorizado de Dados Pessoais por parte do Parceiro.
  3. Segurança. O Parceiro implementará e manterá medidas técnicas e organizacionais apropriadas e adequadas para proteger os Dados Pessoais. As medidas de segurança do Parceiro devem se destinar a: (i) garantir a confidencialidade, disponibilidade e integridade dos Dados Pessoais; (ii) proteger contra quaisquer ameaças ou riscos previstos à segurança ou integridade dos Dados Pessoais; e (iii) proteger contra tratamento não autorizado.
  4. Comunicações com terceiros. Caso o Parceiro receba qualquer comunicação de um indivíduo, órgão regulador, órgão governamental ou outros terceiros a respeito de:
    1. Tratamento de Dados Pessoais pelo Parceiro em conexão com o Contrato; ou
    2. Tratamento de Dados Pessoais pela Cliente.

    O Parceiro notificará imediatamente (a menos que seja vedado por lei) a Cliente (pelo e-mail wmprivacy@warnermedia.com), informando todos os detalhes dessa comunicação e fornecerá toda a cooperação razoavelmente solicitada pela Cliente para responder a tal comunicação. O Parceiro não responderá a comunicações desse cunho diretamente sem autorização prévia da Cliente, a menos que obrigado por lei a fazê-lo.
  5. Respostas a solicitações e incidentes. O Parceiro não fará, sem obter aprovação prévia por escrito da Cliente, menção ao nome da Cliente (incluindo qualquer subsidiária ou afiliada da Cliente) em nenhuma: (i) resposta a um Titular dos Dados; (ii) divulgação pública referente ao Tratamento; (iii) notificação de um Incidente de Segurança; ou (iv) divulgação a uma autoridade de proteção de dados ou outro órgão legal relacionado ao Tratamento.
  6. Vigência e subsistência.
    1. Observada a Seção 3.6(b), as disposições dessas Obrigações Globais de Privacidade serão encerradas quando o Parceiro deixar de Tratar Dados Pessoais em conexão com o Contrato.
    2. Não obstante a Seção 3.6(a), as Seções 3.4, 3.5 e 3.7 subsistirão à extinção ou término do Contrato e destas Obrigações Globais de Privacidade.
  7. Traduções. Em caso de conflito entre a versão em inglês destas Obrigações Globais de Privacidade e outra versão em qualquer outro idioma, a versão em inglês prevalecerá.
  8. Inexistência de limitação de responsabilidade. Para fins de elucidação, as responsabilidades das partes de acordo com estas Obrigações Globais de Privacidade não ficarão sujeitas a nenhuma limitação ou exclusão de responsabilidade contida no Contrato.
4. TERMOS PARA OPERADORES
  1. Esta seção se aplica na medida em que:
    1. o Parceiro Tratar qualquer Dado Pessoal como um Operador em nome da Cliente; ou
    2. o Contrato declarar expressamente que esta seção é aplicável.
  2. Instruções. O Parceiro só Tratará Dados Pessoais de acordo com as instruções documentadas da Cliente (a menos que seja necessário tratar tais Dados Pessoais com base em uma exigência legal ao qual o Parceiro esteja sujeito, hipótese em que o Parceiro deverá informar a Cliente da exigência legal antes de iniciar esse Tratamento, a menos que a exigência legal proíba informar a Cliente). As instruções documentadas da Cliente são para Tratar Dados Pessoais: (i) conforme necessário para que o Parceiro preste Serviços e cumpra quaisquer outras obrigações sob o Contrato; e (ii) conforme eventualmente indicado de outra forma pela Cliente por escrito. O Parceiro informará imediatamente a Cliente se, no entender do Parceiro, uma orientação ou instrução da Cliente infringir a Legislação de Proteção de Dados aplicável.
  3. Descrição do Tratamento. Uma descrição do assunto e duração do Tratamento, a natureza e finalidade do Tratamento, o tipo de Dado Pessoal e as categorias de Titulares dos Dados são definidos na Descrição do Tratamento.
  4. Restrição de uso. O Parceiro não deverá: (i) vender Dados Pessoais ou revelá-los de outra forma em troca de contraprestação monetária ou outra contraprestação valiosa; (ii) Tratar Dados Pessoais para nenhuma finalidade que não seja especificamente para a execução dos Serviços, muito menos em desacordo com as instruções da Cliente; (iii) Tratar Dados Pessoais fora do relacionamento comercial direto entre o Parceiro e a Cliente; ou (iv) combinar os Dados Pessoais com informações pessoais recebidas de outras pessoas ou em nome de outras pessoas ou, ainda, coletadas de consumidores. O Parceiro certifica que compreende e cumprirá as restrições desta seção.
  5. Solicitações de Titulares de Dados. O Parceiro notificará imediatamente a Cliente a respeito de quaisquer Solicitações de Titulares de Dados ou comunicações de, ou em nome de, Titulares de Dados relacionadas aos Dados Pessoais tratados pelo Parceiro em relação aos Serviços, sem responder ao Titular de Dados, exceto para confirmar o recebimento da comunicação ou Solicitação do Titular de Dados (salvo se exigido de forma diversa pela Legislação de Proteção de Dados ou como instruído pela Cliente). O Parceiro fornecerá assistência à Cliente como necessário para permitir que ela responda às Solicitações do Titular de Dados, incluindo o fornecimento de medidas técnicas e organizacionais apropriadas e quaisquer recursos e funcionalidades do produto necessários. O Parceiro oferecerá essa assistência prontamente e, em qualquer caso, dentro de 5 (cinco) dias, a partir da solicitação do Titular de Dados ou da solicitação de assistência da Cliente. Nos casos apropriados, e mediante solicitação razoável da Cliente, o Parceiro fornecerá assistência à Cliente para informar os indivíduos sobre o Tratamento de Dados Pessoais, inclusive fornecendo ou direcionando os Titulares de Dados aplicáveis a uma política de privacidade ou aviso de privacidade que esteja em conformidade com a Legislação de Proteção de Dados. O Parceiro manterá e fornecerá à Cliente acesso razoável a registros completos e corretos das Solicitações do Titular de Dados em relação aos quais o Parceiro oferecer assistência.
  6. Sigilo de funcionários. O Parceiro garantirá que cada um de seus funcionários esteja sujeito a obrigações de sigilo aplicáveis aos Dados Pessoais.
  7. Segurança. O Parceiro implementará e manterá os procedimentos e práticas de segurança da informação estabelecidos nas Obrigações de Segurança da Informação.
  8. Auditoria e assistência. Não obstante quaisquer disposições de auditoria nas Obrigações de Segurança da Informação, o Parceiro deverá:
    1. fornecer à Cliente as informações e assistência que possam ser razoavelmente solicitadas para confirmar a conformidade do Parceiro com essas Obrigações Globais de Privacidade, incluindo assistência para preencher avaliações de impacto de proteção de dados e para consultar autoridades de proteção de dados. O Parceiro ainda oferecerá a assistência razoavelmente necessária para que a Cliente cumpra a Legislação de Proteção de Dados; e:
    2. por instrução da Cliente, submeter à auditoria seu programa de proteção de dados e suas instalações de Tratamento de Dados Pessoais quanto à sua conformidade com estas Obrigações Globais de Privacidade e/ou com as Legislações de Proteção de Dados aplicáveis. A auditoria poderá ser realizada pela Cliente ou por um representante nomeado em seu nome, desde que o representante celebre um acordo de confidencialidade aceitável ao Parceiro. A Cliente notificará com antecedência razoável e conduzirá qualquer auditoria durante o horário comercial normal, sem interromper as operações do Parceiro sem motivo razoável. Para fins de elucidação, esta disposição não exigirá que o Parceiro conceda a nenhuma Cliente acesso às informações confidenciais de outros clientes do Parceiro.
  9. Incidentes de Segurança. O Parceiro informará imediatamente e, em todas as hipóteses, em até 48 (quarenta e oito) horas após tomar conhecimento, a Cliente e a linha direta do WarnerMedia Security Operations Center [Centro de Operações de Segurança da WarnerMedia] pelo telefone (001)404-827-1900 e pelo e-mail cybersecurity@WarnerMedia.com na eventualidade de qualquer Incidente de Segurança real ou suspeita razoável de um Incidente de Segurança. Por instrução da Cliente, o Parceiro oferecerá todas as informações e assistência razoavelmente exigidas pela Cliente para investigar, mitigar e responder a um Incidente de Segurança, incluindo, no mínimo, qualquer informação ou assistência exigida pela Legislação de Proteção de Dados aplicável ou necessária para que a Cliente forneça quaisquer notificações do Incidente de Segurança. O Parceiro obriga-se a consultar a Cliente antes de fazer qualquer declaração pública ou notificação a uma autoridade de proteção de dados ou ao Titular de Dados sobre um Incidente de Segurança. O Parceiro será responsável e pagará à Cliente, mediante demanda, por todos os custos, responsabilidades, perdas, danos e despesas (incluindo honorários advocatícios) incorridos pela Cliente em decorrência ou relacionado a um Incidente de Segurança que afete os Dados Pessoais Tratados pelo Parceiro, seus afiliados, cessionários ou Suboperadores.
  10. Subtratamento. O Parceiro pode contratar ou permitir que um Suboperador trate Dados Pessoais em seu nome, desde que o Parceiro:
    1. celebre um contrato por escrito com cada Suboperador que imponha obrigações não menos protetoras do que aquelas contidas nas disposições destas Obrigações Globais de Privacidade aplicáveis ao Parceiro;
    2. execute o devido processo de due diligence (auditoria) para garantir que cada Suboperador possa atuar conforme necessário para que o Parceiro cumpra suas obrigações sob as disposições destas Obrigações Globais de Privacidade aplicáveis ao Parceiro;
    3. notifique a Cliente com antecedência e por escrito sobre qualquer novo Suboperador que o Parceiro se proponha a contratar. A Cliente terá 30 (trinta) dias a partir do recebimento de tal notificação para se opor à contratação do novo Suboperador pelo Parceiro. Se a Cliente não apresentar objeção dentro desse prazo, o Parceiro poderá permitir que o Suboperador Trate Dados Pessoais. Se a Cliente apresentar objeção ao uso de um Suboperador, o Parceiro abordará imediatamente as objeções da Cliente dentro de 10 (dez) dias após o recebimento. Se o Parceiro não puder resolver a objeção da Cliente satisfatoriamente à Cliente dentro desse prazo de 10 (dez) dias, a Cliente terá a opção de rescindir imediatamente o Contrato sem penalidade a qualquer momento, mediante notificação por escrito ao Parceiro. O Parceiro não permitirá que o novo Suboperador Trate Dados Pessoais durante (i) 30 (trinta) dias após a notificação de sua intenção de usar um novo Suboperador, ou (ii) qualquer período em que a objeção da Cliente ao uso de um Suboperador permaneça sem uma solução satisfatória à Cliente; e:
    4. permaneça totalmente responsável por todo o Tratamento de Dados Pessoais realizado por cada Suboperador.
  11. Descarte ou devolução. Após a rescisão ou término do Contrato ou conforme instruído de outra forma pela Cliente, o Parceiro deverá, conforme instrução da Cliente: (i) devolver à Cliente uma cópia completa dos Dados Pessoais Tratados em conexão com o Contrato, na forma e no formato razoavelmente estipulados pelas partes; e (ii) descartar com segurança os Dados Pessoais (incluindo todas as cópias) em seu poder ou sob seu controle que houverem sido Tratados em conexão com o Contrato.
5. TERMOS PARA CONTROLADORES
  1. Esta seção se aplica na medida em que:
    1. o Parceiro determinar independentemente os propósitos e meios de Tratamento de quaisquer Dados Pessoais Tratados por ele em conexão com o Contrato; ou
    2. o Contrato declarar expressamente que esta seção é aplicável.
  2. Aviso e transparência. O Parceiro deve ter em vigor e manter uma política de privacidade clara e visível que informe os Titulares de Dados (cujos Dados Pessoais sejam Tratados pelo Parceiro em conexão com o Contrato) sobre como o Parceiro Trata seus Dados Pessoais e que cumpra todas as leis aplicáveis.
  3. Incidentes de Segurança. O Parceiro notificará prontamente a Cliente pertinente a respeito de qualquer Incidente de Segurança real ou de qualquer suspeita razoável de Incidente de Segurança que afete os Dados Pessoais Tratados em conexão com o Contrato, e fornecerá imediatamente à Cliente informações sobre a natureza do Incidente de Segurança, os Dados Pessoais afetados, a resposta do Parceiro ao Incidente de Segurança e suas medidas de atenuação.
6. TRANSFERÊNCIAS INTERNACIONAIS
  1. Esta seção se aplica aos Parceiros quando ocorrer uma Transferência de Dados do EEE, uma Transferência de Dados do Reino Unido ou outra Transferência de Dados.
  2. Transferências de Dados (Operadores). Este parágrafo se aplica quando a Seção 4 (Termos para Operadores) for aplicável.
    1. Transferências de Dados do EEE. Se e na medida em que os Dados Pessoais Tratados pelo Parceiro estiverem sujeitos a uma Transferência de Dados do EEE, as Cláusulas Contratuais Padrão do EEE serão incorporadas a este documento por referência e devem ser aplicadas da seguinte forma:
      1. Aplicação. O Parceiro atuará como importador de dados e a Cliente atuará como exportadora de dados;
      2. Integração. Para os fins da Cláusula 7, Seção I, aplica-se a cláusula opcional de integração de novas partes;
      3. Módulos. É aplicável o MÓDULO DOIS (transferência do controlador ao operador);
      4. Instruções. Para efeitos da Cláusula 8.1 da Seção II (Módulo Dois), as instruções ao importador de dados constituirão instruções de Tratamento de Dados Pessoais conforme necessário para a prestação dos Serviços e/ou o fornecimento dos produtos oferecidos pelo Parceiro e conforme porventura especificado de acordo com o Contrato;
      5. Suboperadores. Para efeitos da Cláusula 9 da Seção II (Módulo Dois), aplica-se a Opção 2 (sendo que o prazo para o importador de dados informar o exportador de dados a respeito de quaisquer alterações pretendidas será de 30 (trinta) dias de antecedência);
      6. Reparação. Para fins da Cláusula 11 da Seção II, a redação opcional não é aplicável;
      7. Escolha de lei. Para os fins das Cláusulas 17 e 18 da Seção IV, na medida permitida pela Legislação de Proteção de Dados aplicável, as partes concordam que suas respectivas obrigações sob as Cláusulas Contratuais Padrão do EEE serão regidas pela(s) lei(s) da República da Irlanda e estarão sujeitas à jurisdição dos foros da República da Irlanda;
      8. Preenchimento da Parte A do Anexo I. A Parte A do Anexo I (Lista de partes) é considerada neste ato completa com: (i) os dados da Cliente (como exportadora de dados); e (ii) os dados do Parceiro (como importador de dados), em cada caso, conforme disposto no Contrato;
      9. Preenchimento da Parte B do Anexo I. A Parte B do Anexo I (Descrição da transferência) das Cláusulas Contratuais Padrão do EEE é considerada neste ato completa com as informações fornecidas na Descrição do Tratamento;
      10. Preenchimento da Parte C do Anexo I. Com relação à Parte C do Anexo I (Autoridade Supervisora Competente) das Cláusulas Contratuais Padrão do EEE, na medida permitida pela Legislação de Proteção de Dados aplicável, as partes selecionam a autoridade de proteção de dados da República da Irlanda;
      11. Preenchimento do Anexo II. O Anexo II das Cláusulas Contratuais Padrão do EEE (as medidas técnicas e organizacionais, incluindo medidas técnicas e organizacionais para garantir a segurança de dados) é considerado neste ato completo com as disposições constantes das Obrigações de Segurança da Informação; e
      12. Conflitos de termos. Em caso de qualquer discrepância ou conflito entre as Cláusulas Contratuais Padrão do EEE e esta seção, as disposições serão interpretadas da maneira que ofereça a maior proteção aos Titulares de Dados.
    2. Interpretação das Cláusulas Contratuais Padrão do EEE para Países Limitadores. Se a divulgação de Dados Pessoais pela Cliente ao Parceiro resultar em Outra Transferência de Dados, as Cláusulas Contratuais Padrão do EEE serão incorporadas neste ato por referência e serão aplicáveis como disposto acima neste parágrafo desta Seção 6, à exceção de que: (i) referências nas Cláusulas Contratuais Padrão do EEE a "UE", "União", "Estado-Membro da UE" ou "Estado-Membro" serão uma alusão a esse País Limitador; (ii) referências ao "Regulamento (UE) 2016/679" ou "esse Regulamento" serão uma alusão à Legislação de Proteção de Dados desse País Limitador, e referências a disposições ou artigos específicos do GDPR devem ser substituídas pela disposição ou artigo equivalente mais próximo(a) da Legislação de Proteção de Dados do País Limitador; (iii) "autoridade supervisora" significará a autoridade de proteção de dados desse País Limitador; (iv) referências a "Cláusulas" significam este parágrafo, pois ele incorpora e modifica as Cláusulas.
    3. Transferências de Dados do Reino Unido. Se e na medida em que os Dados Pessoais Tratados pelo Parceiro estiverem sujeitos a uma Transferência de Dados do Reino Unido, o Adendo das SCC do Reino Unido será incorporado a este documento por referência e deve ser aplicado da seguinte forma:
      1. Preenchimento da Tabela 1. A Tabela 1 do Adendo das SCC do Reino Unido é considerada completa com os dados da Cliente (como exportadora de dados) e os dados do Parceiro (como importador de dados), conforme disposto no Contrato. A "data de início" é a data de início, data de entrada em vigor ou data equivalente do Contrato. O "contato principal" da Cliente é o "Chief Privacy Officer" [Diretor de Privacidade] ou o representante desse indivíduo que pode ser contatado pelo e-mail wmprivacy@warnermedia.com e o "contato principal" do Parceiro será comunicado à Cliente de tempos em tempos, incluindo o cargo específico do contato e o endereço de e-mail.
      2. Preenchimento das Tabelas 2 e 3. A Tabela 2 do Adendo das SCC do Reino Unido é considerada completa selecionando "as SCCs aprovadas da União Europeia, incluindo as Informações do Apêndice e apenas com os seguintes módulos, cláusulas ou disposições opcionais das SCCs aprovadas da União Europeia, em vigor para os fins deste Adendo". Para os fins da Tabela 2 e da Tabela 3 do Adendo das SCC do Reino Unido, as "SCCs aprovadas da União Europeia" são consideradas completas conforme estabelecido acima neste parágrafo da Seção 6.
      3. Preenchimento da Tabela 4. A Tabela 4 do Adendo das SCC do Reino Unido é considerada completa selecionando "nenhuma parte".
      4. Conflitos de termos. Em caso de qualquer discrepância ou conflito entre o Adendo das SCC do Reino Unido e estas Obrigações Globais de Privacidade, o Adendo das SCC do Reino Unido prevalecerá.
  3. Transferências de Dados (Controladores). Este parágrafo se aplica quando a Seção 5 (Termos para Controladores) for aplicável.
    1. Transferências de Dados do EEE. Se e na medida em que os Dados Pessoais Tratados pelo Parceiro estiverem sujeitos a uma Transferência de Dados do EEE, as Cláusulas Contratuais Padrão do EEE serão incorporadas a este documento por referência e devem ser aplicadas da seguinte forma:
      1. Aplicação. O Parceiro atuará como importador de dados e a Cliente atuará como exportadora de dados.
      2. Integração. Para os fins da Cláusula 7 da Seção I, aplica-se a cláusula opcional de integração de novas partes.
      3. Módulos. É aplicável o MÓDULO UM (transferência de controlador para controlador).
      4. Reparação. Para fins da Cláusula 11 da Seção II, a redação opcional não é aplicável.
      5. Escolha de lei. Para os fins das Cláusulas 17 e 18 da Seção IV, na medida permitida pela Legislação de Proteção de Dados aplicável, as partes concordam que suas respectivas obrigações sob as Cláusulas Contratuais Padrão do EEE serão regidas pela(s) lei(s) da República da Irlanda e estarão sujeitas à jurisdição dos foros da República da Irlanda.
      6. Preenchimento da Parte A do Anexo I. A Parte A do Anexo I (Lista de partes) é considerada neste ato completa com: (i) os dados da Cliente (como exportadora de dados); e (ii) os dados do Parceiro (como importador de dados), em cada caso, conforme disposto no Contrato.
      7. Preenchimento da Parte B do Anexo I. A Parte B do Anexo I (Descrição da transferência) das Cláusulas Contratuais Padrão do EEE é considerada neste ato completa com as informações fornecidas na Descrição do Tratamento.
      8. Preenchimento da Parte C do Anexo I. Com relação à Parte C do Anexo I (Autoridade Supervisora Competente) das Cláusulas Contratuais Padrão do EEE, na medida permitida pela Legislação de Proteção de Dados aplicável, as partes selecionam a autoridade de proteção de dados da República da Irlanda.
      9. Preenchimento do Anexo II. O Anexo II das Cláusulas Contratuais Padrão do EEE (as medidas técnicas e organizacionais, incluindo medidas técnicas e organizacionais para garantir a segurança de dados) é considerado neste ato completo com as disposições constantes das Obrigações de Segurança da Informação.
      10. Conflitos de termos. Em caso de qualquer discrepância ou conflito entre as Cláusulas Contratuais Padrão do EEE e esta seção, as disposições serão interpretadas da maneira que ofereça a maior proteção aos Titulares de Dados.
    2. Interpretação das Cláusulas Contratuais Padrão do EEE para Países Limitadores. Se a divulgação de Dados Pessoais pela Cliente ao Parceiro resultar em Outra Transferência de Dados, as Cláusulas Contratuais Padrão do EEE serão incorporadas neste ato por referência e serão aplicáveis como disposto acima neste parágrafo desta Seção 6, à exceção de que: (i) referências nas Cláusulas Contratuais-Padrão do EEE a "UE", "União", "Estado-Membro da UE" ou "Estado-Membro" serão uma alusão a esse País Limitador; (ii) referências ao "Regulamento (UE) 2016/679" ou "esse Regulamento" serão uma alusão à Legislação de Proteção de Dados desse País Limitador, e referências a disposições ou artigos específicos do GDPR devem ser substituídas pela disposição ou artigo equivalente da Legislação de Proteção de Dados do País Limitador; (iii) "autoridade supervisora" significará a autoridade de proteção de dados desse País Limitador; (iv) referências a "Cláusulas" significam esta seção, pois ela incorpora e modifica as Cláusulas.
    3. Transferências de Dados do Reino Unido. Se e na medida em que os Dados Pessoais Tratados pelo Parceiro estiverem sujeitos a uma Transferência de Dados do Reino Unido, o Adendo das SCC do Reino Unido será incorporado a este documento por referência e deve ser aplicado da seguinte forma:
      1. Preenchimento da Tabela 1. A Tabela 1 do Adendo das SCC do Reino Unido é considerada completa com os dados da Cliente (como exportadora de dados) e os dados do Parceiro (como importador de dados), conforme disposto no Contrato. A "data de início" é a data de início, data de entrada em vigor ou data equivalente do Contrato. O "contato principal" da Cliente é o "Chief Privacy Officer" [Diretor de Privacidade] ou o representante desse indivíduo que pode ser contatado pelo e-mail wmprivacy@warnermedia.com e o "contato principal" do Parceiro será comunicado à Cliente de tempos em tempos, incluindo o cargo específico e o endereço de e-mail do contato.
      2. Preenchimento das Tabelas 2 e 3. A Tabela 2 do Adendo das SCC do Reino Unido é considerada completa selecionando "as SCCs aprovadas da União Europeia, incluindo as Informações do Apêndice e apenas com os seguintes módulos, cláusulas ou disposições opcionais das SCCs aprovadas da União Europeia, em vigor para os fins deste Adendo". Para os fins da Tabela 2 e da Tabela 3 do Adendo das SCC do Reino Unido, as "SCCs aprovadas da União Europeia" são consideradas completas conforme estabelecido acima neste parágrafo da Seção 6.
      3. Preenchimento da Tabela 4. A Tabela 4 do Adendo das SCC do Reino Unido é considerada completa selecionando "nenhuma parte".
      4. Conflitos de termos. Em caso de qualquer discrepância ou conflito entre o Adendo das SCC do Reino Unido e esta seção, o Adendo das SCC do Reino Unido prevalecerá.
  4. Disposições adicionais sobre transferências internacionais. Este parágrafo se aplica se e na medida em que os Dados Pessoais Tratados pelo Parceiro estiverem sujeitos a uma Transferência de Dados do EEE, a uma Transferência de Dados do Reino Unido ou Outra Transferência.
    Medidas complementares
    1. As partes reconhecem e concordam que o julgamento do Tribunal de Justiça da União Europeia na ação C-311/18 esclarece que medidas complementares podem ser necessárias para garantir que Dados Pessoais sujeitos a uma Transferência do EEE ou Transferência do Reino Unido recebam um nível de proteção basicamente equivalente às proteções que recebe quando tratadas em seu território de origem (além das salvaguardas contidas nas Cláusulas Contratuais Padrão do EEE). Consequentemente, as partes concordaram com as medidas estabelecidas nas Seções 6.4 (b) a (g) a seguir como sendo medidas complementares para ajudar a garantir essa equivalência básica.
    2. Se o Parceiro tomar conhecimento de uma solicitação ou demanda de uma autoridade policial, regulatória, judicial ou governamental (uma "Autoridade") para obter acesso ou cópia de alguns ou todos os Dados Pessoais Tratados em conexão com o Contrato, seja de forma voluntária ou obrigatória, o Parceiro deverá:
      1. notificar imediatamente a Cliente sobre a solicitação dessa Autoridade;
      2. quando for aplicável a Seção 4 (Termos para Operadores), informar à Autoridade que o Parceiro é um Operador de Dados Pessoais e que a Cliente não o autorizou a divulgar esses Dados Pessoais à Autoridade;
      3. informar à Autoridade que todas e quaisquer solicitações ou demandas de acesso a esses Dados Pessoais devem ser notificadas ou dirigidas à Cliente (como o Controlador) por escrito; e
      4. observada a Seção 6.4(c), não fornecerá à Autoridade acesso a esses Dados Pessoais, a menos e até que autorizado por escrito pela Cliente.
    3. Não obstante a Seção 6.4(b)(iv), o Parceiro poderá, sem a autorização prévia por escrito da Cliente, divulgar Dados Pessoais a uma Autoridade após o recebimento de solicitação ou demanda dessa Autoridade, desde que (a menos que seja proibido por lei):
      1. o Parceiro forneça à Cliente aviso prévio razoável dessa solicitação ou demanda para oferecer à Cliente oportunidade razoável de contestar ou buscar uma medida cautelar ou outro recurso apropriado;
      2. o Parceiro coopere razoavelmente com a Cliente, à custa da Cliente, para que a Cliente possa contestar ou buscar uma medida cautelar ou outro recurso apropriado; e
      3. em qualquer circunstância, o Parceiro divulgue apenas a parte dos Dados Pessoais que for obrigado por lei a divulgar.
    4. Se o Parceiro divulgar Dados Pessoais a uma Autoridade, o Parceiro só divulgará tais Dados Pessoais na medida em que o Parceiro seja obrigado por lei a fazê-lo e somente de acordo com o processo legal aplicável.
    5. O Parceiro não divulgará intencionalmente Dados Pessoais em massa ou de maneira indiscriminada além do necessário e proporcional em uma sociedade democrática.
    6. O Parceiro deve estabelecer, manter e cumprir uma política por escrito que regulamente solicitações de Dados Pessoais por Autoridades que, no mínimo, proíba:
      1. a divulgação em massa ou indiscriminada de Dados Pessoais relacionados a Titulares de Dados na Europa; e
      2. divulgação de Dados Pessoais relacionados a Titulares de Dados na Europa a uma Autoridade sem intimação, mandado, despacho, decreto, citação ou outra ordem juridicamente vinculante que obrigue a divulgação desses Dados Pessoais.
    7. O Parceiro deve implementar e manter, de acordo com as boas práticas da indústria, medidas para proteger os Dados Pessoais contra interceptação (inclusive no trânsito entre a Cliente e o Parceiro e entre diferentes sistemas e serviços). Isso inclui ter e manter uma proteção de rede para negar a invasores a capacidade de interceptar dados e criptografar dados durante o trânsito para impedir a leitura de dados por invasores.
      Disposições adicionais de transferência de dados
    8. O Parceiro obriga-se a cooperar de boa-fé para firmar documentos adicionais e aplicar proteções adicionais, ou restringir o tratamento a determinados territórios, conforme a Cliente julgar necessário para efetuar as Transferências do EEE, Transferências do Reino Unido ou Outras Transferências (conforme aplicável).
    9. Se o Parceiro, a qualquer momento, Tratar Dados Pessoais originários de qualquer país que restrinja a transferência de Dados Pessoais a outra jurisdição que não seja considerada adequada para receber tais Dados Pessoais, então o Parceiro, por instrução da Cliente:
      1. tomará todas as medidas necessárias e celebrará os acordos que possam ser necessários com base na Legislação de Proteção de Dados aplicável desse país para tornar legítimo qualquer Tratamento; e:
      2. garantirá um nível adequado de proteção aos Dados Pessoais da Cliente.
    10. Se qualquer autoridade competente de proteção de dados considerar inválido o mecanismo de transferência de dados empregado pelas partes, ou se qualquer autoridade competente de proteção de dados ou lei aplicável exigir que transferências de Dados Pessoais sejam suspensas ou restritas a uma jurisdição específica, será facultado à Cliente, a seu critério, exigir que o Parceiro cesse o Tratamento de Dados Pessoais e o Parceiro cooperará com a Cliente de boa-fé para facilitar o uso de um mecanismo alternativo de transferência de dados, celebrar documentos adicionais, aplicar proteções adicionais ou restringir o tratamento a determinadas jurisdições.
7. INDENIZAÇÃO
  1. Esta seção se aplica a todos os Parceiros.
  2. Além de quaisquer obrigações de indenização do Parceiro previstas no Contrato, o Parceiro defenderá, manterá indene e isentará a Cliente em relação a todas e quaisquer reivindicações de terceiros, ações, custos, responsabilidades, perdas, danos e despesas (incluindo honorários advocatícios) incorridos pela Cliente em decorrência ou a respeito de: (i) um Incidente de Segurança; ou (ii) uma violação deste Adendo pelo Parceiro ou afiliados do Parceiro, Suboperadores (incluindo Suboperadores nomeados pelos afiliados do Parceiro) e cessionários, incluindo, sem limitação, uma reivindicação ou ação de uma autoridade de proteção de dados ou Titular de Dados.
VOLTAR