Contrato de Processamento de Dados (DPA) da Ultralytics
Analise o Acordo de Processamento de Dados da Ultralytics, que abrange o tratamento de dados pessoais, medidas de segurança e conformidade com as leis de proteção de dados da UE e do Reino Unido.
Este Acordo de Processamento de Dados ("DPA") é incorporado e faz parte (i) dos Termos de Serviço da Ultralytics e/ou (ii) de qualquer formulário de pedido, contrato empresarial ou outro acordo escrito aplicável que faça referência a este DPA (cada um, o "Acordo") entre o cliente ("Cliente", "você") e a Ultralytics, Inc. ("Ultralytics", "Empresa", "nós").
Este DPA reflete o acordo das partes com relação a:
- (A) Termos de Controlador para Processador: o Processamento de Dados Pessoais do Cliente pela Ultralytics como Processador (ou sub-processador onde o Cliente é um Processador) em nome do Cliente em conexão com os Serviços; e
- (B) Termos de Controlador para Controlador: o Processamento de Dados Pessoais do Controlador por cada parte como um Controlador independente, apenas na extensão descrita na Seção 10.
Este DPA permanece em vigor durante a vigência do Acordo e enquanto a Ultralytics Processar Dados Pessoais do Cliente em nome do Cliente.
Este DPA aplica-se exclusivamente ao Processamento de Dados Pessoais do Cliente pela Ultralytics dentro da Plataforma Ultralytics. Para evitar dúvidas, este DPA não se aplica ao uso, implementação ou operação dos modelos de código aberto YOLO da Ultralytics pelo Cliente fora da Plataforma Ultralytics, o que é conduzido sob responsabilidade exclusiva do Cliente.
A Ultralytics pode atualizar este DPA periodicamente para refletir mudanças na lei, orientação regulatória ou nos Serviços, entrando em vigor na data publicada, desde que as atualizações não reduzam materialmente as proteções de privacidade para os Dados Pessoais do Cliente sem o acordo do Cliente (exceto quando exigido pela lei aplicável).
Link to this sectionDefinições#
"Afiliada" significa qualquer entidade que direta ou indiretamente controla, é controlada por, ou está sob controle comum com uma parte, onde "controle" significa a propriedade de mais de 50% dos direitos de voto.
"Salvaguardas Apropriadas" significa aquele(s) mecanismo(s) legalmente exequível(eis) para transferências de Dados Pessoais conforme permitido pelas Leis de Proteção de Dados aplicáveis, especialmente, mas não limitado ao Artigo 46 do GDPR.
"Sub-Processador" significa qualquer Processador contratado pela Ultralytics ou suas Afiliadas para Processar Dados Pessoais do Cliente em nome da Ultralytics em conexão com os Serviços.
"Dados da Conta da Empresa" significa dados pessoais relacionados ao relacionamento da Empresa com o Cliente, incluindo os nomes ou informações de contato de indivíduos autorizados pelo Cliente para acessar a conta do Cliente e informações de faturamento de indivíduos que o Cliente associou à sua conta. Os Dados da Conta da Empresa também incluem quaisquer dados que a Empresa possa precisar coletar com o objetivo de gerenciar seu relacionamento com o Cliente, verificação de identidade ou conforme exigido por leis e regulamentos aplicáveis.
"Dados de Uso da Empresa" significa dados de uso dos Serviços coletados e processados pela Empresa em conexão com a prestação dos Serviços, incluindo, sem limitação, dados usados para identificar a origem e o destino de uma comunicação, registros de atividades e dados usados para otimizar e manter o desempenho dos Serviços, e para investigar e prevenir o uso indevido do sistema.
"Dados do Cliente" significa quaisquer dados, conteúdo, materiais, arquivos ou informações (incluindo datasets, imagens, vídeos, anotações, rótulos, metadados, entradas e saídas de modelos e outros conteúdos) que o Cliente ou seus usuários autorizados carregam, enviam através, transmitem para, ou de outra forma disponibilizam para Processamento em conexão com os Serviços, incluindo quaisquer dados gerados para o Cliente através do uso dos Serviços pelo Cliente.
"Violação de Dados Pessoais do Cliente" significa uma quebra de segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais do Cliente Processados pela Ultralytics ou seus Sub-Processadores em conexão com os Serviços. A Violação de Dados Pessoais do Cliente não inclui tentativas ou atividades sem sucesso que não comprometam os Dados Pessoais do Cliente (por exemplo, tentativas de login sem sucesso, varreduras de porta, ataques de negação de serviço ou outros ataques a firewalls ou sistemas em rede).
"Leis de Proteção de Dados" significa todas as leis aplicáveis relacionadas à privacidade e proteção de dados que se aplicam ao Processamento de Dados Pessoais por uma parte sob o Acordo, incluindo (conforme aplicável) o GDPR, UK GDPR, Swiss FADP, ePrivacy/PECR, CCPA/CPRA e outras leis de privacidade estaduais dos EUA aplicáveis.
"GDPR" significa o Regulamento (UE) 2016/679; "UK GDPR" significa o GDPR conforme incorporado na lei do Reino Unido; "Swiss FADP" significa a Lei Federal Suíça sobre Proteção de Dados (conforme revisada). "Instruções" significa as instruções documentadas do Cliente para a Ultralytics sobre o Processamento de Dados Pessoais do Cliente, conforme descrito na Seção 2.2.
"SCCs" significa as cláusulas contratuais padrão da UE (Decisão 2021/914); "UK Addendum" significa o Adendo de Transferência Internacional de Dados do ICO. Outros termos capitalizados possuem os significados atribuídos nas Leis de Proteção de Dados e/ou no Acordo.
"Serviços" significa os serviços e funcionalidades disponibilizados pela Ultralytics ao Cliente sob o Acordo, incluindo a Plataforma Ultralytics e qualquer suporte, administração e documentação relacionados, conforme descrito mais detalhadamente no Acordo.
"Plataforma Ultralytics" significa o ambiente de software como serviço baseado em nuvem da Ultralytics, através do qual os Clientes podem carregar, gerenciar, anotar e versionar datasets; treinar, avaliar, comparar, exportar e implementar modelos de visão computacional; gerenciar projetos e usuários; e acessar recursos e suporte relacionados, e através do qual a Ultralytics Processa Dados Pessoais do Cliente em nome do Cliente de acordo com este DPA.
"Modelos de Código Aberto YOLO da Ultralytics" significam os modelos de visão computacional de código aberto e código-fonte relacionado disponibilizados pela Ultralytics sob licenças de código aberto aplicáveis, que os Clientes podem baixar, implementar, hospedar e operar de forma independente em seus próprios ambientes. Para fins de clareza, onde os Clientes implementam ou usam Modelos de Código Aberto YOLO da Ultralytics fora da Plataforma Ultralytics, a Ultralytics não Processa Dados Pessoais em nome do Cliente sob este DPA.
Link to this sectionResponsabilidades do Cliente#
2.1 Conformidade com as Leis. O Cliente é responsável por cumprir as Leis de Proteção de Dados em conexão com seu Processamento de Dados Pessoais e seu uso dos Serviços, incluindo fornecer os avisos necessários e obter quaisquer consentimentos e autorizações exigidos.
2.2 Instruções. O Acordo (incluindo este DPA), juntamente com a configuração e uso dos Serviços pelo Cliente de acordo com o Acordo, constituem as Instruções completas do Cliente para a Ultralytics para o Processamento de Dados Pessoais do Cliente. O Cliente pode fornecer Instruções adicionais durante o prazo, desde que sejam consistentes com o Acordo e os Serviços. Se a Ultralytics acreditar razoavelmente que as Instruções adicionais exigem mudanças materiais ou geram encargos, as partes discutirão de boa fé.
2.3 Dados Proibidos. A menos que expressamente acordado por escrito pelas partes (incluindo acordo sobre salvaguardas adicionais exigidas pelas Leis de Proteção de Dados aplicáveis), o Cliente não deve fornecer, enviar através, ou de outra forma disponibilizar para a Ultralytics quaisquer Categorias Especiais de Dados Pessoais sob o Artigo 9 do GDPR (ou equivalente), ou dados relacionados a condenações criminais ou ofensas sob o Artigo 10 do GDPR.
A título de ilustração e sem limitação, Dados Proibidos incluem:
- números de identificação emitidos pelo governo (como números de passaporte, números de identidade nacional ou números de segurança social);
- informações de saúde ou médicas, incluindo identificadores biométricos usados com o objetivo de identificar exclusivamente uma pessoa física;
- informações sobre a origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, ou filiação sindical de um indivíduo;
- dados genéticos ou dados biométricos processados com o objetivo de identificar exclusivamente uma pessoa física;
- dados pessoais relacionados a crianças, quando restringidos pelas Leis de Proteção de Dados aplicáveis;
- e dados relacionados a condenações criminais, suposta conduta criminosa ou atividades de aplicação da lei.
Além disso, os Serviços também não se destinam a processar outros dados que exijam proteção reforçada sob as Leis de Proteção de Dados aplicáveis, como dados de cartão de pagamento, números de conta bancária ou geolocalização precisa. O Cliente é o único responsável por garantir que datasets, imagens, vídeos, anotações, rótulos, metadados ou outros conteúdos carregados ou processados através dos Serviços não incluam Dados Proibidos. Qualquer Processamento de Dados Proibidos em violação desta Seção constitui uma violação material deste DPA.
2.4 Dados Inapropriados; Indenização. O Cliente é o único responsável pela legalidade dos Dados Pessoais do Cliente fornecidos à Ultralytics e por garantir que sejam apropriados para os Serviços. O Cliente defenderá e indenizará a Ultralytics de e contra quaisquer reclamações de terceiros decorrentes do fornecimento de Dados Pessoais pelo Cliente aos Serviços em violação do Acordo, deste DPA ou das Leis de Proteção de Dados aplicáveis.
Link to this sectionObrigações da Ultralytics como Processador#
3.1 Limitação de Finalidade. A Ultralytics Processará os Dados Pessoais do Cliente apenas (a) para fornecer os Serviços de acordo com o Acordo e o Anexo A, (b) de acordo com as Instruções do Cliente e (c) conforme exigido pela lei aplicável. A Ultralytics não usará Dados Pessoais do Cliente ou Dados do Cliente para treinar, melhorar ou desenvolver modelos gerais ou comercialmente disponíveis da Ultralytics, exceto quando expressamente instruída pelo Cliente por escrito ou através dos Serviços.
3.2 Conflito de Leis. Se a Ultralytics tomar conhecimento de que não pode Processar Dados Pessoais do Cliente de acordo com as Instruções devido a um requisito legal, a Ultralytics (na extensão permitida por lei) notificará o Cliente e, quando necessário, suspenderá o Processamento afetado (exceto o armazenamento seguro) até que o Cliente emita Instruções em conformidade.
3.3 Confidencialidade de Pessoal. A Ultralytics garantirá que as pessoas autorizadas a processar Dados Pessoais do Cliente estejam vinculadas por obrigações de confidencialidade. O Cliente concorda que a Ultralytics pode divulgar Dados Pessoais do Cliente aos seus consultores profissionais e auditores conforme razoavelmente necessário em conexão com o desempenho do Acordo/DPA, sujeito a obrigações de confidencialidade.
3.4 Sub-processamento. A Ultralytics pode contratar Sub-Processadores de acordo com a Seção 5 e permanece responsável pelo desempenho deles de obrigações equivalentes.
3.5 Exclusão / Devolução. Após a rescisão dos Serviços, a Ultralytics excluirá ou devolverá os Dados Pessoais do Cliente de acordo com o Acordo e o Anexo A, a menos que a retenção seja exigida por lei. A certificação de exclusão sob as SCCs será fornecida mediante solicitação do Cliente.
Link to this sectionDireitos do Titular dos Dados (ou Consumidor)#
4.1 Solicitação do Titular dos Dados (ou Consumidor). A Ultralytics deve, na medida legalmente permitida, notificar o Cliente no contato principal na conta sem atraso indevido se a Ultralytics receber uma solicitação de um Titular de Dados (ou Consumidor) para exercer o direito do Titular de Dados (ou Consumidor) de acesso (ou divulgação), direito à retificação, restrição de Processamento, eliminação (ou exclusão ou o "direito ao esquecimento"), portabilidade de dados, objeção ao Processamento, ou seu direito de não ser sujeito a uma tomada de decisão individual automatizada ("Solicitação do Titular de Dados (ou Consumidor)").
4.2 Assistência. Levando em conta a natureza do Processamento, a Ultralytics fornecerá assistência razoável ao Cliente para responder a solicitações para exercer os direitos do Titular dos Dados sob as Leis de Proteção de Dados, na medida em que o Cliente não possa cumprir a solicitação usando a funcionalidade do Serviço disponível.
4.3 DPIA; Consulta Prévia. Levando em conta a natureza do Processamento e as informações disponíveis para a Ultralytics, a Ultralytics fornecerá assistência razoável ao Cliente com (i) avaliações de impacto sobre a proteção de dados e (ii) consulta e/ou cooperação do Cliente com autoridades supervisoras, em cada caso onde exigido pelas Leis de Proteção de Dados e onde o Cliente não tiver acesso a informações relevantes. Exceto quando exigido pelas Leis de Proteção de Dados ou em conexão com uma Violação de Dados Pessoais do Cliente, o Cliente não deverá solicitar tal assistência mais de uma vez em qualquer período de doze (12) meses. O Cliente reembolsará os custos e despesas razoáveis da Ultralytics incorridos no fornecimento de tal assistência, quando permitido por lei.
Link to this sectionSub-Processadores#
5.1 Autorização Geral. O Cliente concede à Ultralytics uma autorização geral por escrito para contratar Sub-Processadores para Processar Dados Pessoais do Cliente para os Serviços.
5.2 Lista e Aviso. Uma lista dos Subprocessadores atuais está disponível em Ultralytics Sub-Processor List (a "Lista"). A Ultralytics fornecerá um mecanismo para subscrever notificações de atualizações da Lista e fornecerá aviso sobre novos Subprocessadores com pelo menos dez (10) dias de antecedência antes de autorizá-los a Processar Dados Pessoais do Cliente. O Cliente é responsável por subscrever tais notificações onde estiverem disponíveis; se o Cliente não subscrever, reconhece que poderá não receber aviso prévio através desse mecanismo. Em todos os casos, as atualizações da Lista constituirão aviso de alterações aos Subprocessadores. O Cliente reconhece que certos Subprocessadores são essenciais para fornecer os Serviços e que objetar ao uso de um subprocessador pode impedir a Empresa de oferecer os Serviços ao Cliente.
Para clareza, as Afiliadas da Ultralytics envolvidas na prestação dos Serviços, incluindo a Ultralytics Ltd (UK) e a Ultralytics AI Spain, S.L., podem atuar como Sub-Processadores intragrupo onde Processam Dados Pessoais do Cliente em nome da Ultralytics Inc. em conexão com os Serviços.
5.3 Objeção a Novos Sub-Processadores. O Cliente pode objetar por escrito à contratação de um novo Sub-processador por motivos razoáveis de proteção de dados de acordo com a Seção 5.2. Se a Ultralytics não puder abordar razoavelmente a objeção do Cliente, o Cliente pode descontinuar o Serviço afetado por aviso por escrito, sem desonerar o Cliente de quaisquer taxas acumuladas antes de tal descontinuação.
5.4 Repasse de Obrigações (Flow-down). A Ultralytics contratará Sub-Processadores apenas após conduzir uma diligência razoável baseada em risco para avaliar se o Sub-processador é capaz de fornecer um nível apropriado de proteção para os Dados Pessoais do Cliente de acordo com as Leis de Proteção de Dados aplicáveis, e monitorará periodicamente os Sub-Processadores como parte de seu programa de gerenciamento de fornecedores. A Ultralytics garantirá que seus Sub-Processadores estejam sujeitos a obrigações de proteção de dados que sejam materialmente equivalentes a, ou mais protetoras do que, aquelas estabelecidas neste DPA. Mediante solicitação do Cliente, a Ultralytics fornecerá cópias (que podem ser editadas por confidencialidade) dos termos de proteção de dados relevantes do Sub-processador conforme exigido sob as SCCs.
Link to this sectionSegurança#
6.1 Medidas. Levando em conta o estado da arte, a natureza, o escopo, o contexto e as finalidades do Processamento, e o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas físicas, a Ultralytics implementará e manterá medidas técnicas e organizacionais apropriadas para garantir um nível de segurança apropriado a esse risco, de acordo com as Leis de Proteção de Dados aplicáveis, incluindo o Artigo 32 do GDPR. Essas medidas são descritas no Anexo C, que a Ultralytics pode atualizar periodicamente, desde que qualquer atualização não reduza materialmente o nível geral de proteção para os Dados Pessoais do Cliente.
6.2 Responsabilidades do Cliente. Não obstante o acima exposto, o Cliente reconhece que, exceto conforme expressamente previsto neste DPA, o Cliente é responsável por seu uso seguro dos Serviços, incluindo salvaguardar suas credenciais de autenticação de conta, configurar controles de acesso apropriadamente e garantir que seus usuários acessem e usem os Serviços de uma maneira consistente com as Leis de Proteção de Dados aplicáveis e os recursos de segurança disponibilizados pela Ultralytics.
Link to this sectionAuditorias do Cliente e Demonstração de Conformidade#
7.1 Documentação. Mediante solicitação razoável, a Ultralytics disponibilizará informações razoavelmente necessárias para demonstrar conformidade com este DPA (incluindo relatórios de auditoria ou certificações de terceiros atuais, quando disponíveis). A Ultralytics manterá registros suficientes para demonstrar conformidade com este DPA e reterá tais registros por um período razoável após a rescisão (por exemplo, três (3) anos), a menos que um período mais longo seja exigido por lei.
7.2 Auditoria. Onde as Leis de Proteção de Dados exigirem e a documentação for insuficiente, o Cliente pode, mediante aviso prévio por escrito razoável e por conta do Cliente, solicitar uma auditoria ou inspeção dos sistemas e processos relevantes da Ultralytics. Qualquer auditoria ou inspeção desse tipo será conduzida apenas após acordo mútuo por escrito entre as partes sobre o escopo, momento e duração da auditoria, bem como qualquer taxa de reembolso razoável para o tempo e recursos da Ultralytics gastos em conexão com a auditoria. Qualquer auditoria conduzida nos termos desta Seção deve:
- (a) ocorrer não mais do que uma vez em qualquer período de doze (12) meses;
- (b) ocorrer durante o horário comercial normal da Ultralytics;
- (c) estar sujeita a controles razoáveis de confidencialidade, segurança e proteção; e
- (d) estar limitada a sistemas e registros razoavelmente relevantes para o Processamento de Dados Pessoais do Cliente.
O Cliente notificará prontamente a Ultralytics de qualquer não conformidade material identificada durante uma auditoria para permitir à Ultralytics uma oportunidade razoável de abordar tais descobertas.
Link to this sectionViolações de Dados Pessoais#
8.1 Aviso. A Ultralytics notificará o Cliente sem atraso indevido, mas não mais do que 72 horas após tomar conhecimento de uma Violação de Dados Pessoais do Cliente.
8.2 Assistência. A Ultralytics fornecerá assistência razoável para as notificações exigidas do Cliente aos reguladores e aos Titulares de Dados afetados, levando em conta as informações disponíveis para a Ultralytics.
8.3 Sem Admissão. A notificação de violação não constitui uma admissão de culpa ou responsabilidade. A obrigação de notificação de violação não se aplica na medida em que uma Violação de Dados Pessoais do Cliente seja causada por ações ou omissões do Cliente ou de seus usuários.
Link to this sectionTransferências (UE/Reino Unido/Suíça)#
9.1 Transferências Internacionais. O Cliente reconhece que as operações de processamento primário da Ultralytics podem ocorrer nos Estados Unidos e em outros locais conforme necessário para fornecer os Serviços.
Para clareza, os Dados Pessoais do Cliente também podem ser transferidos entre a Ultralytics Inc. e suas Afiliadas (incluindo a Ultralytics Ltd (UK) e a Ultralytics AI Spain, S.L.) onde tais Afiliadas atuam como Sub-Processadores em conexão com os Serviços. Onde tais transferências se qualificam como transferências internacionais sob as Leis de Proteção de Dados aplicáveis, elas estarão sujeitas a Salvaguardas Apropriadas, incluindo as SCCs (Módulo 3, onde aplicável) ou outros mecanismos de transferência válidos.
Onde a transferência de Dados Pessoais do Cliente para um país que não foi reconhecido como fornecendo um nível adequado de proteção de dados for necessária, tais transferências serão feitas sujeitas a Salvaguardas Apropriadas de acordo com as Leis de Proteção de Dados aplicáveis, incluindo, quando aplicável, as SCCs e o UK Addendum conforme incorporados neste DPA.
9.2 SCCs da UE. Para transferências de Dados Pessoais do Cliente sujeitas ao GDPR para um país terceiro sem adequação, as partes incorporam as SCCs da UE. O Módulo Dois (Controlador→Processador) aplica-se onde o Cliente é um Controlador; o Módulo Três (Processador→Sub-Processador) aplica-se onde o Cliente é um Processador. Os anexos das SCCs são preenchidos usando o Anexo B (Anexo I/III) e o Anexo C (Anexo II).
9.3 UK Addendum. Para transferências sujeitas ao UK GDPR, as partes incorporam o UK Addendum, preenchido por referência ao Anexo B/C e à seleção do mecanismo de transferência aplicável.
9.4 Suíça. Para transferências suíças, as SCCs da UE aplicam-se com as modificações suíças padrão (referências ao GDPR incluem o Swiss FADP; FDPIC como autoridade competente, etc.), preenchidas por referência aos Anexos.
9.5 Solicitações de Acesso Governamental. A Ultralytics tratará solicitações legalmente vinculativas para Dados Pessoais do Cliente de forma consistente com a lei aplicável e as SCCs, incluindo (onde legalmente permitido) aviso ao Cliente e cooperação razoável.
Link to this sectionTermos de Controlador para Controlador (Conta Ultralytics / Uso / Operações de Segurança)#
10.1 Escopo. Esta Seção aplica-se ao Processamento de Dados Pessoais do Controlador por cada parte como um Controlador independente (não controladores conjuntos), incluindo o Processamento de Dados da Conta da Empresa e Dados de Uso da Empresa pela Ultralytics.
10.2 Obrigações do Controlador Independente. Cada parte deverá:
- (a) Processar Dados Pessoais do Controlador em conformidade com as Leis de Proteção de Dados;
- (b) implementar segurança apropriada; e
- (c) responder a comunicações regulatórias relacionadas ao seu próprio Processamento.
10.3 Processamento do Controlador pela Ultralytics. A Ultralytics Processa Dados da Conta da Empresa e Dados de Uso da Empresa como um Controlador para: administração de conta, faturamento, monitoramento de segurança e prevenção de abuso, verificação de identidade, conformidade legal, auditorias/contabilidade e operações de serviço (incluindo desempenho e confiabilidade). Tal Processamento é descrito na Política de Privacidade da Ultralytics. Nada neste DPA deve ser interpretado como criando uma relação de controlador conjunto entre as partes.
Para evitar dúvidas, a Ultralytics e suas Afiliadas podem processar dados de contato comercial limitados (como nomes, endereços de e-mail corporativos e detalhes de contato profissional) no contexto de prospecção comercial, demonstrações, parcerias e atividades de gerenciamento de relacionamento com o cliente como Controladores independentes.
Link to this sectionTermos da Califórnia (CCPA/CPRA)#
11.1 Provedor de Serviços / Processador. Na extensão em que a CCPA/CPRA se aplica e a Ultralytics Processa Dados Pessoais do Cliente em nome do Cliente, a Ultralytics atua como um "provedor de serviços" e/ou "processador", e não "venderá" ou "compartilhará" tais informações pessoais.
11.2 Uso Limitado. A Ultralytics não reterá, usará ou divulgará Dados Pessoais do Cliente fora da finalidade comercial direta de fornecer os Serviços, exceto conforme permitido pela CCPA/CPRA.
11.3 Discriminação. As Partes não devem discriminar um Consumidor porque ele exerceu seus direitos.
Link to this sectionDisposições Gerais#
12.1 Limitação de Responsabilidade. As limitações e exclusões no Acordo aplicam-se a este DPA, exceto conforme proibido por lei ou pelas SCCs/UK Addendum.
12.2 Divisibilidade. Caso qualquer disposição deste DPA seja inválida ou inexequível, o restante deste DPA permanecerá válido e em vigor. A disposição inválida ou inexequível será (i) alterada conforme necessário para garantir sua validade e exequibilidade, enquanto preserva as intenções das Partes o mais próximo possível ou, se isso não for possível, (ii) interpretada de uma maneira como se a parte inválida ou inexequível nunca tivesse sido contida nela.
12.3 Execução deste DPA. Este DPA é incorporado e faz parte do Acordo. O Cliente celebra este DPA (incluindo, onde aplicável, as SCCs da UE e o UK Addendum) ao:
- (a) aceitar ou concordar em ficar vinculado ao Acordo (incluindo ao clicar em "Eu concordo" ou mecanismo similar aos Termos de Serviço),
- (b) executar um formulário de pedido, declaração de trabalho ou outro acordo escrito que incorpore ou faça referência ao Acordo, ou
- (c) usar ou continuar a usar os Serviços após este DPA ser disponibilizado pela Empresa.
O Cliente declara e garante que o indivíduo que aceita o Acordo e/ou usa os Serviços em nome do Cliente tem autoridade para vincular o Cliente e, onde aplicável, suas Afiliadas.
12.4 Contato. Solicitações de privacidade: privacy@ultralytics.com; DPO: dpo@ultralytics.com; avisos legais: legal@ultralytics.com.
Link to this sectionPartes; Afiliadas#
O Cliente celebra este DPA em nome de si mesmo e de suas Afiliadas que são usuários autorizados dos Serviços sob o Acordo e são Controladores/Processadores de Dados Pessoais do Cliente ("Afiliadas Permitidas"). O Cliente declara que tem autoridade para vincular as Afiliadas Permitidas.
Link to this sectionAnexo A: Detalhes do Processamento de Dados Pessoais#
Natureza: A Ultralytics fornece um software baseado em nuvem e serviços relacionados que permitem aos Clientes acessar e usar produtos e recursos da Ultralytics, incluindo treinamento de modelo, inferência, gerenciamento de dataset, fluxos de trabalho de implementação e suporte e administração relacionados ("Serviços"), conforme descrito no Acordo.
Para clareza, os Serviços incluem a Plataforma Ultralytics, através da qual a Ultralytics Processa Dados Pessoais do Cliente em nome do Cliente de acordo com este DPA. Separadamente, a Ultralytics também disponibiliza modelos de código aberto YOLO da Ultralytics, que os Clientes podem implementar e operar de forma independente em seus próprios ambientes. Onde os Clientes implementam ou usam modelos YOLO da Ultralytics fora da Plataforma Ultralytics, a Ultralytics não Processa Dados Pessoais em nome do Cliente, e os Clientes são os únicos responsáveis por implementar medidas técnicas e organizacionais apropriadas, determinar as finalidades e meios de Processamento e garantir a conformidade com as Leis de Proteção de Dados aplicáveis em conexão com tal implementação e uso.
Finalidade: A Ultralytics processa Dados Pessoais do Cliente em nome do Cliente para as seguintes finalidades:
- fornecer, operar, proteger e dar suporte aos Serviços de acordo com o Contrato e com as Instruções documentadas do Cliente;
- cumprir outras instruções razoáveis documentadas fornecidas pelo Cliente, quando tais instruções forem consistentes com o Contrato e com este DPA;
- responder a solicitações iniciadas pelo Cliente ou por seus usuários autorizados no uso dos Serviços (incluindo solicitações de suporte ao cliente);
- monitorar, prevenir e detectar incidentes de segurança, fraude, abuso e uso indevido dos serviços; e
- cumprir as obrigações legais aplicáveis.
A Ultralytics não usará Dados Pessoais do Cliente para treinar ou melhorar os modelos gerais da Ultralytics, exceto conforme expressamente instruído pelo Cliente por escrito ou por meio dos Serviços. Para fins de clareza, a Ultralytics pode usar Dados de Uso da Empresa e dados agregados ou desidentificados (quando permitido) para operar, proteger e melhorar os Serviços.
Onde o Cliente optar por compartilhar conjuntos de dados, modelos ou outros conteúdos por meio de recursos comunitários ou públicos dos Serviços, tal compartilhamento constitui uma instrução documentada do Cliente. O Cliente permanece como o único responsável por garantir que possui todos os direitos necessários e bases legais para disponibilizar tais dados a outros usuários.
Duração do Processamento: A Ultralytics processará Dados Pessoais do Cliente durante a vigência do Contrato e pelo tempo necessário para fornecer os Serviços de acordo com as Instruções do Cliente. Após o término ou expiração do Contrato, a Ultralytics excluirá ou devolverá os Dados Pessoais do Cliente de acordo com o Contrato e este DPA, a menos que a retenção adicional seja exigida pela lei aplicável. Para fins de clareza, quando a Ultralytics processa Dados Pessoais do Controlador (incluindo Dados da Conta da Empresa e Dados de Uso da Empresa) como um Controlador independente sob a Seção 10, tal processamento ocorrerá pelos períodos estabelecidos na Política de Privacidade da Ultralytics.
Categorias de Titulares dos Dados: Os Dados Pessoais do Cliente podem estar relacionados às seguintes categorias de Titulares dos Dados, conforme determinado e controlado pelo Cliente:
- Funcionários, contratados, agentes e representantes do Cliente;
- Usuários e administradores autorizados do Cliente;
- e usuários finais, clientes ou outros indivíduos do Cliente cujos Dados Pessoais o Cliente decida enviar aos Serviços.
Categorias de Dados Pessoais: Os Dados Pessoais do Cliente podem incluir as seguintes categorias de Dados Pessoais, na medida em que sejam enviados ou disponibilizados através dos Serviços pelo ou em nome do Cliente:
- Dados de conta e identidade do usuário, como nome, endereço de e-mail, nome de usuário/ID de usuário, nome da organização e função/permissões do usuário (por exemplo, administrador/usuário).
- Dados de uso e dispositivo/técnicos, como endereço IP, identificadores de dispositivo e atributos do sistema (por exemplo, tipo de dispositivo, sistema operacional, tipo de navegador), arquivos de log, registros de data e hora, eventos de autenticação, histórico de acesso e (quando aplicável) aplicativos instalados ou detalhes de configuração coletados como parte de fluxos de trabalho de segurança ou de dispositivos corporativos.
- Conteúdo e entradas fornecidos pelo Cliente, como prompts gerados pelo usuário, comentários, anotações, metadados ou rótulos de conjuntos de dados e qualquer outro conteúdo que o Cliente carregue ou envie por meio dos Serviços (incluindo imagens/vídeo/áudio ou outros arquivos), mas apenas na medida em que tal conteúdo contenha Dados Pessoais.
- Dados de suporte e comunicações, como comunicações de suporte ao cliente, relatórios de problemas, informações de solução de problemas e detalhes de contato administrativo.
As categorias de Dados Pessoais processados podem incluir ainda aquelas descritas na Política de Privacidade da Ultralytics.
Dados Sensíveis ou Categorias Especiais de Dados: Os Serviços não são projetados ou destinados a processar Categorias Especiais de Dados Pessoais (conforme definido no Artigo 9 do GDPR ou equivalente sob as Leis de Proteção de Dados aplicáveis) ou Dados Pessoais relacionados a condenações e infrações penais (Artigo 10 do GDPR), e o Cliente está proibido de fornecer tais dados, a menos que expressamente acordado por escrito com a Ultralytics e sujeito a salvaguardas adicionais.
Link to this sectionAnexo B: Informações do Anexo I e Anexo III (SCCs da UE e Adendo do Reino Unido)#
O seguinte inclui as informações exigidas pelo Anexo I e Anexo III dos SCCs da UE, e Tabela 1, Anexo 1A e Anexo 1B do Adendo do Reino Unido.
1. As Partes
Exportador(es) de dados:
- Nome: Nome da entidade legal do Cliente
- Nome Comercial (se diferente): [Opcional]
- Endereço: Endereço registrado do Cliente
- Número de Registro Oficial (se houver): [Opcional]
- Nome, cargo e detalhes de contato da pessoa responsável: Nome, Cargo, E-mail
- Atividades relevantes para os dados transferidos sob estas Cláusulas: Uso dos Serviços sob o Contrato, incluindo a transferência de Dados Pessoais do Cliente para a Ultralytics para processamento em conexão com os Serviços, conforme descrito no Contrato, neste DPA e no Anexo A.
- Assinatura e data: Por execução/aceitação do Contrato/DPA
- Função (controlador/processador): Controlador
Importador(es) de dados:
- Nome: Ultralytics Inc.
- Nome Comercial (se diferente): N/A
- Endereço e informações de contato: 5001 Judicial Way, Frederick, MD, 21703, Estados Unidos; privacy@ultralytics.com
- Número de Registro Oficial (se houver): 6755919
- Atividades relevantes para os dados transferidos sob estas Cláusulas: Processamento de Dados Pessoais do Cliente em nome do Cliente para fornecer, operar, proteger, manter e dar suporte aos Serviços, e conforme descrito de outra forma no Contrato, neste DPA e no Anexo A.
- Assinatura e data: Por execução/aceitação do Contrato/DPA
- Função (controlador/processador): Conforme descrito na Seção 3 do DPA.
2. Descrição da Transferência
| Campo | Detalhes |
|---|---|
| Titulares dos Dados | Conforme descrito no Anexo A do DPA |
| Categorias de Dados Pessoais | Conforme descrito no Anexo A do DPA |
| Dados Pessoais de Categoria Especial (se aplicável) | Conforme descrito no Anexo A do DPA |
| Natureza do Processamento | Conforme descrito no Anexo A do DPA |
| Finalidades do Processamento | Conforme descrito no Anexo A do DPA |
| Duração do Processamento e Retenção (ou os critérios para determinar tal período) | Conforme descrito no Anexo A do DPA |
| Frequência da transferência | Conforme necessário para fornecer e cumprir todas as obrigações e direitos com relação aos Dados Pessoais conforme fornecido no Contrato ou DPA |
| Destinatários dos Dados Pessoais Transferidos para o Importador de Dados | A Empresa manterá uma lista de Subprocessadores em: Ultralytics Sub-Processor List |
Subprocessadores intragrupo:
Ultralytics Ltd (Reino Unido) - suporte de engenharia, suporte ao cliente, assistência na integração e interações comerciais (incluindo demonstrações e parcerias)
Ultralytics AI Spain, S.L. (Espanha) - suporte de engenharia, interações comerciais e atividades voltadas ao cliente, envolvendo processamento limitado de dados de contato comercial
3. Autoridade Supervisora Competente
A autoridade supervisora deve ser a autoridade supervisora do Exportador de Dados, conforme determinado de acordo com a Cláusula 13 dos SCCs da UE. A autoridade supervisora para fins do Adendo do Reino Unido será o Gabinete do Comissário de Informação do Reino Unido.
Link to this sectionAnexo C: Medidas de Segurança Técnicas e Organizacionais#
O seguinte inclui as informações exigidas pelo Anexo II dos SCCs da UE e Anexo II do Adendo do Reino Unido.
| Medida de Segurança Técnica e Organizacional | Detalhes |
|---|---|
| Medidas de pseudonimização e criptografia de dados pessoais | Os Dados Pessoais do Cliente são protegidos por meio de criptografia em trânsito usando conexões seguras padrão da indústria (TLS) entre componentes da plataforma e endpoints externos. Os dados armazenados em serviços em nuvem beneficiam-se da criptografia em repouso gerenciada pelo provedor de nuvem e controles de gerenciamento de chaves seguras. |
| Medidas para garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento | A Ultralytics mantém compromissos de Segurança, Confidencialidade e Disponibilidade para seus Serviços, incluindo configuração de sistema projetada para restringir acesso não autorizado, detecção e monitoramento de intrusão, verificação de vulnerabilidade e testes de penetração, criptografia em trânsito e em repouso, e controles de retenção/descarte de dados. A Plataforma Ultralytics opera usando serviços em nuvem gerenciados com disponibilidade. Nossos provedores de infraestrutura como serviço (IaaS) suportam a resiliência do banco de dados por meio de replicação e alta disponibilidade. A Ultralytics também garante que as medidas técnicas e organizacionais (TOMs) dos Subprocessadores a jusante atendam ou excedam os padrões estabelecidos neste contrato. |
| Medidas para garantir a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais de maneira oportuna no caso de um incidente físico ou técnico | Os dados do Cliente dentro da Plataforma Ultralytics são copiados usando serviços nativos do provedor de nuvem. Os backups são monitorados e as exceções são investigadas e remediadas. Os dados de backup são criptografados em repouso e em trânsito, e o acesso é restrito a pessoal autorizado. O planejamento de continuidade de negócios e recuperação de desastres inclui objetivos de ponto de recuperação (RPOs), objetivos de tempo de recuperação (RTOs) e funções e responsabilidades definidas. |
| Processos para testar, avaliar e medir regularmente a eficácia das medidas técnicas e organizacionais a fim de garantir a segurança do processamento | A Ultralytics realiza varreduras regulares de vulnerabilidade no sistema e na rede e testes de penetração no ambiente de produção. O gerenciamento de vulnerabilidades inclui varredura de dependências e práticas de desenvolvimento seguro integradas aos pipelines de CI/CD, e as vulnerabilidades identificadas são priorizadas e remediadas com base na gravidade e no risco. Além disso, a Ultralytics conduz avaliação de risco anual e Revisão da Gestão como parte da prática padrão do ISMS. |
| Medidas para identificação e autorização de usuários | A Plataforma Ultralytics usa um provedor de autenticação e identidade, suportando autenticação de usuário e gerenciamento de sessão. O acesso a sistemas de engenharia (incluindo repositórios de código-fonte) é restrito a pessoal autorizado e regido por permissões baseadas em função, proteções de ramificação e revisões necessárias. O acesso interno segue um modelo de privilégio mínimo e controles de acesso baseados em função. |
| Medidas para a proteção de dados durante a transmissão | O ingresso na rede para a Plataforma Ultralytics é restrito a conexões HTTPS (TLS) seguras por meio de endpoints de frontend designados. As comunicações internas entre componentes da plataforma e serviços de armazenamento são criptografadas em trânsito usando TLS. |
| Medidas para a proteção de dados durante o armazenamento | Para a Plataforma Ultralytics, os dados do Cliente são armazenados em serviços em nuvem gerenciados e criptografados com redundância e suporte a backup. Os serviços em nuvem gerenciados fornecem criptografia integrada, backups automatizados, armazenamento redundante e alta disponibilidade. A criptografia gerenciada pelo provedor de nuvem é aplicada aos dados em repouso. |
| Medidas para garantir a segurança física dos locais nos quais os dados pessoais são processados | A Plataforma Ultralytics é hospedada usando provedores de serviços em nuvem terceirizados. As proteções físicas e ambientais para os data centers de hospedagem são operadas pelas organizações Subprocessadoras relevantes. A Ultralytics analisa relatórios de atestação da organização Subprocessadora e realiza análise de risco pelo menos anualmente. |
| Medidas para garantir o registro de eventos | A Ultralytics aproveita o log nativo da nuvem para monitoramento, solução de problemas e investigações de incidentes. A disponibilidade da plataforma e os alertas relacionados à segurança são comunicados internamente por meio de comunicações internas e e-mail, e externamente por meio de uma página de status hospedada. Além disso, a Ultralytics analisa regularmente o acesso a aplicativos, ferramentas e recursos que processam ou armazenam Dados do Cliente. |
| Medidas para garantir a configuração do sistema, incluindo configuração padrão | A Ultralytics mantém processos de gerenciamento de mudanças documentados que regem as mudanças na Plataforma Ultralytics e na base de código do modelo Ultralytics YOLO, incluindo iniciação de mudança, documentação, padrões de desenvolvimento, teste, revisão e aprovação antes da liberação ou implantação. As mudanças são rastreadas no controle de versão com revisão por pares e validação do pipeline de CI/CD. |
| Medidas para governança e gestão interna de TI e segurança de TI | A Ultralytics mantém políticas e procedimentos de segurança alinhados aos compromissos de serviço e requisitos internos de conformidade, com revisão anual das principais políticas e procedimentos. Os funcionários devem reconhecer as políticas por meio de uma ferramenta dedicada de Governança, Risco e Conformidade (GRC) e são obrigados a concluir treinamento anual de conscientização de segurança e treinamento de privacidade, com treinamento de codificação segura para funções de engenharia. Os riscos são documentados em um registro de risco centralizado e formalmente revisados pelo menos anualmente. |
| Medidas para certificação/garantia de processos e produtos | A Ultralytics confia em serviços gerenciados de terceiros (incluindo organizações de subserviço) e analisa seus relatórios SOC 2 anualmente como parte dos controles de monitoramento. A devida diligência do fornecedor é baseada em risco, e os fornecedores são classificados em níveis (Crítico/Alto/Médio/Baixo), com salvaguardas contratuais e reavaliações periódicas. |
| Medidas para garantir a minimização de dados | A Ultralytics processa dados do Cliente de acordo com os contratos do cliente e os requisitos de proteção de dados aplicáveis, e limita o Processamento ao que é necessário para fornecer e dar suporte aos Serviços (incluindo gerenciamento de conjunto de dados, anotação, treinamento de modelo, avaliação e funcionalidade relacionada da plataforma). O uso de código aberto do Ultralytics YOLO é gerenciado pelo cliente e a Ultralytics não processa cargas de trabalho de inferência para clientes nesse contexto. |
| Medidas para garantir a qualidade dos dados | A Ultralytics usa práticas controladas de desenvolvimento e implantação projetadas para suportar integridade e confiabilidade, incluindo revisão por pares, testes automatizados, fluxos de trabalho de CI/CD e gerenciamento de mudanças controlado para a Plataforma e lançamentos de código aberto. |
| Medidas para garantir a retenção limitada de dados | A Ultralytics aplica compromissos de retenção e descarte de dados como parte de seus compromissos de serviço. Os dados do Cliente para a Plataforma são copiados usando serviços gerenciados, e a exclusão/devolução é tratada de acordo com os contratos do cliente e a lei aplicável. |
| Medidas para garantir a responsabilidade (accountability) | A Ultralytics mantém um plano de resposta a incidentes e procedimentos documentados para identificar, relatar, gerenciar e rastrear incidentes de segurança e privacidade, incluindo comunicações para relatórios externos de vulnerabilidade via security@ultralytics.com. Os incidentes são documentados e tratados com o envolvimento da Engenharia, Jurídico e da gestão executiva, conforme exigido pela gravidade. |
| Medidas para permitir a portabilidade de dados e garantir a exclusão | Os Dados Pessoais do Cliente enviados à Plataforma Ultralytics podem ser excluídos pelo Cliente e/ou mediante solicitação do Cliente, de acordo com o Contrato e este DPA. Quando a exclusão for necessária, a Ultralytics agirá de acordo com as instruções do Cliente e os requisitos legais aplicáveis. (A portabilidade é suportada na medida em que o Cliente pode exportar ou recuperar seus Dados do Cliente dos Serviços, conforme aplicável.) Os modelos de código aberto do Ultralytics YOLO são implantados pelo Cliente dentro de seu ambiente dedicado, garantindo total controle de governança de dados. |
| Medidas técnicas e organizacionais dos Subprocessadores | A Ultralytics usa um programa de gerenciamento de fornecedores baseado em risco para integração e monitoramento de provedores de serviços terceirizados, incluindo revisão de atestados de conformidade e requisitos contratuais de segurança e proteção de dados. A Ultralytics também monitora as Organizações de Subserviço e analisa seus relatórios SOC 2 anualmente. A Ultralytics também celebra Acordos de Processamento de Dados com seus Subprocessadores com obrigações de proteção de dados substancialmente semelhantes às contidas neste DPA. |
Link to this sectionAnexo D: Adendo do Reino Unido#
Adendo de Transferência Internacional de Dados às Cláusulas Contratuais Padrão da Comissão da UE
Link to this sectionParte 1: Tabelas#
Tabela 1: Partes
| Campo | Exportador | Importador |
|---|---|---|
| Data de Início | Este Adendo do Reino Unido terá a mesma data de vigência que o DPA | Este Adendo do Reino Unido terá a mesma data de vigência que o DPA |
| Detalhes das Partes | Cliente | Empresa |
| Contato Principal | Consulte o Anexo B deste DPA | Consulte o Anexo B deste DPA |
Tabela 2: SCCs Selecionadas, Módulos e Cláusulas Selecionadas
| Campo | Detalhes |
|---|---|
| SCCs da UE | A versão das SCCs aprovadas da UE às quais este Adendo do Reino Unido é anexado, conforme definido no DPA e preenchido pelas Seções 6.2 e 6.3 do DPA. |
Tabela 3: Informações do Apêndice
"Informações do Apêndice" significa as informações que devem ser fornecidas para os módulos selecionados, conforme estabelecido no Apêndice das SCCs aprovadas da UE (exceto as Partes), e que para este Adendo do Reino Unido estão estabelecidas em:
| Anexo | Referência |
|---|---|
| Anexo 1A: Lista de Partes | Conforme a Tabela 1 acima |
| Anexo 2B: Descrição da Transferência | Consulte o Anexo B deste DPA |
| Anexo II: Medidas técnicas e organizacionais, incluindo medidas técnicas e organizacionais para garantir a segurança dos dados | Consulte o Anexo C deste DPA |
| Anexo III: Lista de Subprocessadores (apenas Módulos 2 e 3) | Consulte o Anexo B deste DPA |
Tabela 4: Término deste Adendo do Reino Unido quando as SCCs aprovadas do Reino Unido mudarem
Nota: Esta disposição permite que a parte selecionada (se houver) rescinda o Adendo do Reino Unido se o ICO alterar o Adendo aprovado do Reino Unido, o que resulta diretamente em um aumento substancial, desproporcional e demonstrável em (a) seus custos diretos de cumprimento de suas obrigações sob o Adendo do Reino Unido ou (b) seu risco sob o Adendo do Reino Unido.
| Campo | Seleção |
|---|---|
| Término deste Adendo do Reino Unido quando o Adendo aprovado do Reino Unido mudar | x Importador x Exportador ☐ Nenhuma das Partes |
Link to this sectionEntrada em vigor deste Adendo do Reino Unido#
Cada parte concorda em estar vinculada aos termos e condições estabelecidos neste Adendo do Reino Unido, em troca de a outra parte também concordar em estar vinculada a este Adendo do Reino Unido.
Embora o Anexo 1A e a Cláusula 7 das SCCs aprovadas da UE exijam a assinatura das Partes, para fins de realização de transferências fora do Reino Unido, as Partes podem celebrar este Adendo do Reino Unido de qualquer maneira que os torne juridicamente vinculativos para as Partes e permita que os titulares dos dados exerçam seus direitos conforme estabelecido neste Adendo do Reino Unido. A celebração deste Adendo do Reino Unido terá o mesmo efeito que a assinatura das SCCs aprovadas da UE e de qualquer parte das SCCs aprovadas da UE.
Link to this sectionInterpretação deste Adendo do Reino Unido#
Onde este Adendo do Reino Unido utiliza termos que são definidos nas SCCs aprovadas da UE, esses termos terão o mesmo significado que nas SCCs aprovadas da UE. Além disso, os seguintes termos têm os seguintes significados:
| Termo | Definição |
|---|---|
| Adendo do Reino Unido | significa este Adendo de Transferência Internacional de Dados incorporando as SCCs da UE, anexado ao DPA como Anexo D. |
| SCCs da UE | significa a(s) versão(ões) das SCCs aprovadas da UE às quais este Adendo do Reino Unido é anexado, conforme definido na Tabela 2, incluindo as Informações do Apêndice |
| Informações do Apêndice | serão conforme estabelecido na Tabela 3 |
| Salvaguardas Apropriadas | significa o padrão de proteção sobre os dados pessoais e dos direitos dos titulares dos dados, que é exigido pelas Leis de Proteção de Dados do Reino Unido ao realizar uma transferência fora do Reino Unido com base em cláusulas padrão de proteção de dados sob o Artigo 46(2)(d) do UK GDPR. |
| Adendo Aprovado do Reino Unido | significa o modelo de Adendo emitido pelo ICO e apresentado ao Parlamento de acordo com a s119A da Lei de Proteção de Dados de 2018 em 2 de fevereiro de 2022, conforme possa ser revisado sob a Seção 18 do Adendo do Reino Unido. |
| SCCs Aprovadas da UE | significa as cláusulas contratuais padrão aprovadas pela Comissão Europeia na Decisão da Comissão 2021/914 datada de 4 de junho de 2021, para transferências de dados pessoais para países não reconhecidos de outra forma como oferecendo um nível adequado de proteção para dados pessoais pela Comissão Europeia (conforme alteradas e atualizadas periodicamente). |
| ICO | significa o Information Commissioner's Office. |
| Transferência ex-Reino Unido | terá a mesma definição estabelecida no DPA. |
| Reino Unido | significa o Reino Unido da Grã-Bretanha e Irlanda do Norte |
| Leis de Proteção de Dados do Reino Unido | significa todas as leis relacionadas à proteção de dados, processamento de dados pessoais, privacidade e/ou comunicações eletrônicas em vigor periodicamente no Reino Unido, incluindo o UK GDPR e a Lei de Proteção de Dados de 2018. |
| UK GDPR | terá a definição estabelecida no DPA. |
O Adendo do Reino Unido deve ser sempre interpretado de uma maneira que seja consistente com as Leis de Proteção de Dados do Reino Unido e de modo a cumprir a obrigação das Partes de fornecer as Salvaguardas Apropriadas.
Se as disposições incluídas no Adendo do Reino Unido alterarem as SCCs aprovadas da UE de qualquer maneira que não seja permitida sob as SCCs aprovadas da UE ou o Adendo aprovado do Reino Unido, tal(is) alteração(ões) não será(ão) incorporada(s) no Adendo do Reino Unido e a disposição equivalente das SCCs aprovadas da UE tomará seu lugar.
Se houver qualquer inconsistência ou conflito entre as Leis de Proteção de Dados do Reino Unido e o Adendo do Reino Unido, as Leis de Proteção de Dados do Reino Unido serão aplicadas.
Se o significado do Adendo do Reino Unido não estiver claro ou houver mais de um significado, aplica-se o significado que mais se alinhe com as Leis de Proteção de Dados do Reino Unido.
Quaisquer referências à legislação (ou disposições específicas da legislação) significam essa legislação (ou disposição específica) conforme possa mudar com o tempo. Isso inclui onde essa legislação (ou disposição específica) tenha sido consolidada, reeditada e/ou substituída após a entrada em vigor do Adendo do Reino Unido.
Link to this sectionHierarquia#
Embora a Cláusula 5 das SCCs aprovadas da UE estabeleça que as SCCs aprovadas da UE prevalecem sobre todos os acordos relacionados entre as partes, as partes concordam que, para transferências fora do Reino Unido, a hierarquia na Seção 10 abaixo prevalecerá.
Quando houver qualquer inconsistência ou conflito entre o Adendo aprovado do Reino Unido e as SCCs da UE (conforme aplicável), o Adendo aprovado do Reino Unido substitui as SCCs da UE, exceto onde (e na medida em que) os termos inconsistentes ou conflitantes das SCCs da UE proporcionem maior proteção aos titulares dos dados, caso em que esses termos substituirão o Adendo aprovado do Reino Unido.
Quando este Adendo do Reino Unido incorpora SCCs da UE que foram celebradas para proteger transferências fora da UE sujeitas ao GDPR, então as partes reconhecem que nada no Adendo do Reino Unido impacta essas SCCs da UE.
Link to this sectionIncorporação e Alterações nas SCCs da UE#
Este Adendo do Reino Unido incorpora as SCCs da UE que são alteradas na medida necessária para que:
- juntas, elas operem para transferências de dados feitas pelo exportador de dados para o importador de dados, na medida em que as Leis de Proteção de Dados do Reino Unido se apliquem ao processamento do exportador de dados ao fazer essa transferência de dados, e elas forneçam Salvaguardas Apropriadas para essas transferências de dados;
- As Seções 9 a 11 acima substituem a Cláusula 5 (Hierarquia) das SCCs da UE; e
- o Adendo do Reino Unido (incluindo as SCCs da UE incorporadas nele) é (1) regido pelas leis da Inglaterra e País de Gales e (2) qualquer disputa decorrente dele é resolvida pelos tribunais da Inglaterra e País de Gales.
A menos que as partes tenham concordado com alterações alternativas que atendam aos requisitos da Seção 12 deste Adendo do Reino Unido, as disposições da Seção 15 deste Adendo do Reino Unido serão aplicadas.
Nenhuma alteração às SCCs aprovadas da UE, exceto para atender aos requisitos da Seção 12 deste Adendo do Reino Unido, poderá ser feita.
As seguintes alterações às SCCs da UE (para fins da Seção 12 deste Adendo do Reino Unido) são feitas:
- Referências às "Cláusulas" significam este Adendo do Reino Unido, incorporando as SCCs da UE;
- Na Cláusula 2, exclua as palavras: "e, com relação a transferências de dados de controladores para processadores e/ou processadores para processadores, cláusulas contratuais padrão nos termos do Artigo 28(7) do Regulamento (UE) 2016/679";
- A Cláusula 6 (Descrição da(s) transferência(s)) é substituída por: "Os detalhes da(s) transferência(s) e, em particular, as categorias de dados pessoais que são transferidos e a(s) finalidade(s) para a(s) qual(is) são transferidos são aqueles especificados no Anexo I.B, onde as Leis de Proteção de Dados do Reino Unido se aplicam ao processamento do exportador de dados ao realizar essa transferência.";
- A Cláusula 8.7(i) do Módulo 1 é substituída por: "é para um país que se beneficia de regulamentos de adequação nos termos da Seção 17A do UK GDPR que abrange a transferência subsequente";
- A Cláusula 8.8(i) dos Módulos 2 e 3 é substituída por: "a transferência subsequente é para um país que se beneficia de regulamentos de adequação nos termos da Seção 17A do UK GDPR que abrange a transferência subsequente;"
- Referências ao "Regulamento (UE) 2016/679", "Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados)" e "esse Regulamento" são todas substituídas por "Leis de Proteção de Dados do Reino Unido". Referências a Artigo(s) específico(s) do "Regulamento (UE) 2016/679" são substituídas pelo Artigo ou Seção equivalente das Leis de Proteção de Dados do Reino Unido;
- Referências ao Regulamento (UE) 2018/1725 são removidas;
- Referências a "União Europeia", "União", "UE", "Estado-Membro da UE", "Estado-Membro" e "UE ou Estado-Membro" são todas substituídas por "Reino Unido";
- A referência à "Cláusula 12(c)(i)" na Cláusula 10(b)(i) do Módulo um é substituída por "Cláusula 11(c)(i)";
- A Cláusula 13(a) e a Parte C do Anexo I não são utilizadas;
- A "autoridade supervisora competente" e a "autoridade supervisora" são ambas substituídas pelo "Comissário de Informação";
- Na Cláusula 16(e), o subseção (i) é substituído por: "o Secretário de Estado estabelece regulamentos nos termos da Seção 17A da Lei de Proteção de Dados de 2018 que abrangem a transferência de dados pessoais aos quais estas cláusulas se aplicam;";
- A Cláusula 17 é substituída por: "Estas Cláusulas são regidas pelas leis da Inglaterra e País de Gales";
- A Cláusula 18 é substituída por: "Qualquer disputa decorrente destas Cláusulas será resolvida pelos tribunais da Inglaterra e País de Gales." Um titular de dados também pode iniciar processos judiciais contra o exportador de dados e/ou importador de dados perante os tribunais de qualquer país do Reino Unido. As partes concordam em submeter-se à jurisdição de tais tribunais."; e
- As notas de rodapé das SCCs aprovadas da UE não fazem parte do Adendo do Reino Unido, exceto as notas de rodapé 8, 9, 10 e 11.
Link to this sectionAlterações ao Adendo do Reino Unido#
As partes podem concordar em alterar as Cláusulas 17 e/ou 18 das SCCs da UE para se referirem às leis e/ou tribunais da Escócia ou Irlanda do Norte.
Se as partes desejarem alterar o formato das informações incluídas na Parte 1: Tabelas do Adendo aprovado do Reino Unido, elas podem fazê-lo concordando com a alteração por escrito, desde que a alteração não reduza as Salvaguardas Apropriadas.
Periodicamente, o ICO pode emitir um Adendo aprovado do Reino Unido revisado que:
- faz alterações razoáveis e proporcionais ao Adendo aprovado do Reino Unido, incluindo a correção de erros no Adendo aprovado do Reino Unido; e/ou
- reflete alterações nas Leis de Proteção de Dados do Reino Unido.
O Adendo aprovado do Reino Unido revisado especificará a data de início a partir da qual as alterações ao Adendo aprovado do Reino Unido são efetivas e se as partes precisam revisar este Adendo do Reino Unido, incluindo as Informações do Apêndice. Este Adendo do Reino Unido é automaticamente alterado conforme estabelecido no Adendo aprovado do Reino Unido revisado a partir da data de início especificada.
Se o ICO emitir um Adendo aprovado do Reino Unido revisado sob a Seção 18 deste Adendo do Reino Unido, se uma parte tiver como resultado direto das alterações no Adendo aprovado do Reino Unido um aumento substancial, desproporcional e demonstrável em:
- seus custos diretos de cumprimento de suas obrigações sob o Adendo do Reino Unido; e/ou
- seu risco sob o Adendo do Reino Unido,
e em qualquer caso, ela tenha primeiro tomado medidas razoáveis para reduzir esses custos ou riscos de modo que não sejam substanciais e desproporcionais, então essa parte pode encerrar este Adendo do Reino Unido ao final de um período de aviso prévio razoável, fornecendo aviso por escrito por esse período à outra parte antes da data de início do Adendo aprovado do Reino Unido revisado.
As partes não precisam do consentimento de terceiros para fazer alterações neste Adendo do Reino Unido, mas quaisquer alterações devem ser feitas de acordo com seus termos.