Complemento ao processamento de dados
Versão válida a partir de setembro de 2021
Ao aceitar os termos do Contrato referentes a este Adendo de Processamento de Dados (“DPA”), você (“Assinante”) concorda com os termos aqui estabelecidos, que são incorporados ao Contrato por referência.
CONSIDERANDOS
A Bentley e o Assinante, em nome próprio e de suas Afiliadas, firmaram um ou mais formulários de pedido, contratos e/ou acordos (“Acordo”) segundo os quais a Bentley concordou em licenciar software, produtos e/ou fornecer serviços ao Assinante, conforme descrito no Contrato (coletivamente, os “Serviços”).Os termos em letras maiúsculas usados, mas não definidos de outra forma neste DPA, terão o significado atribuído a eles no Contrato. Em caso de conflito entre os termos deste DPA e os termos do Contrato, os termos deste DPA prevalecerão com relação a tal conflito. O Contrato inclui quaisquer exposições, programações, anexos, declarações de trabalho ou outros anexos que façam parte ou tenham sido incorporados ao Contrato, incluindo este DPA.
Ao assinar o Contrato, o Assinante celebra este DPA em seu nome e, na medida exigida pelas Leis e Regulamentos de Proteção de Dados aplicáveis, em nome de suas Afiliadas, se e na medida em que a Bentley processar Dados Pessoais para os quais tais afiliados se qualificam como o Controlador. Apenas para fins deste DPA, e exceto onde indicado de outra forma, o termo “ Assinante ” incluirá Assinante e Afiliados.
No decorrer da prestação dos Serviços ao Assinante de acordo com o Contrato, a Bentley pode Processar Dados Pessoais em nome do Assinante, e as Partes concordam em cumprir as disposições a seguir com relação a quaisquer Dados Pessoais, cada uma agindo de forma razoável e de boa fé.
1. DEFINIÇÕES
“Afiliadas” significa qualquer entidade que direta ou indiretamente controle, seja controlada por ou esteja sob controle comum com a entidade em questão. "Controle", para efeitos desta definição, significa propriedade direta ou indireta ou controle de mais de 50% dos interesses de voto da entidade sujeita.
“CCPA” significa a Lei de Privacidade do Consumidor da Califórnia, Cal. Civ. Código § 1798.100 e seguintes, e seus regulamentos de implementação.
“Controlador” significa a entidade que determina as finalidades e os meios do Processamento de Dados Pessoais.
“Violação de dados” significa uma violação de segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais transmitidos, armazenados ou de alguma forma processados pela Bentley de acordo com o Contrato.
“Leis e regulamentos de proteção de dados” significa todas as leis e regulamentos, incluindo leis e regulamentos aplicáveis ao Processamento de Dados Pessoais sob o Contrato, conforme alterado de tempos em tempos. Para que não restem dúvidas, se as atividades de processamento da Bentley envolvendo Dados Pessoais não estiverem dentro do escopo de determinada lei de proteção de dados, tal lei não será aplicada a este DPA.
“Titular dos Dados” significa a pessoa identificada ou identificável a quem os Dados Pessoais dizem respeito.
“GDPR" significa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção de pessoas singulares no que diz respeito ao processamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral de Proteção de Dados), inclusive conforme implementado ou adotado de acordo com as leis do Reino Unido.
“Dados pessoais” significa qualquer informação relacionada a (i) uma pessoa física identificada ou identificável e, (ii) uma pessoa jurídica identificada ou identificável (onde tais informações são protegidas da mesma forma que dados pessoais ou informações de identificação pessoal sob as Leis e Regulamentos de Proteção de Dados aplicáveis).
“Processamento” significa qualquer operação ou conjunto de operações que sejam realizadas sobre Dados Pessoais, seja por meios automáticos ou não, como coleta, registro, empresa, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização de qualquer forma, alinhamento ou combinação, restrição, apagamento ou destruição.
“Processador” significa a entidade que Processa Dados Pessoais em nome do Controlador, incluindo, conforme aplicável, qualquer “prestador de serviços”, conforme o termo é definido pela CCPA.
“Assinante” significa a entidade que celebrou o Contrato em conjunto com suas Afiliadas (enquanto permanecerem Afiliadas).
"Cláusulas contratuais padrão da UE" significa as cláusulas contratuais padrão estabelecidas na Comissão de Implementação da Decisão (UE) 2021/914 de junho de 4 sobre as cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros de acordo com o Regulamento (UE) 2021/2016 do Parlamento Europeu e do Conselho, disponíveis aqui.
“Subprocessador" significa qualquer Processador envolvido pela Bentley ou pelas Afiliadas da Bentley em nome da Bentley.
“Autoridade supervisora" significa uma autoridade pública independente estabelecida por um Estado-Membro da UE de acordo com o GDPR ou, para o Reino Unido, o Gabinete do Comissário de Informações ("ICO").
2. PROCESSAMENTO DE DADOS PESSOAIS
2.1. Papéis das Partes .As partes reconhecem e concordam que, com relação ao Processamento de Dados Pessoais, o Assinante é o Controlador, a Bentley é o Processador e que a Bentley contratará Subprocessadores de acordo com os requisitos estabelecidos na Seção 5 “Subprocessadores” abaixo.
2.2. Processamento de Dados Pessoais do Assinante. O Assinante deverá, em seu uso dos Serviços, Processar Dados Pessoais de acordo com os requisitos das Leis e Regulamentos de Proteção de Dados, incluindo qualquer requisito aplicável para fornecer aviso aos Titulares dos Dados sobre o uso da Bentley como Processador. Para evitar dúvidas, as instruções do Assinante para o Processamento de Dados Pessoais devem cumprir as Leis e Regulamentos de Proteção de Dados. O Assinante é o único responsável pela precisão, qualidade e legalidade de (i) Dados Pessoais fornecidos à Bentley por ou em nome do Assinante, (ii) meios pelos quais o Assinante adquiriu os Dados Pessoais e (iii) Instruções que ele fornece à Bentley. O Assinante não deve fornecer ou disponibilizar à Bentley quaisquer Dados Pessoais que violem o Contrato ou que sejam de outra forma inadequados para a natureza dos Serviços e deve indenizar a Bentley de todas as reclamações e perdas relacionadas à violação das Leis e Regulamentos de Proteção de Dados aplicáveis por parte do Assinante.
2,3. Processamento de Dados Pessoais da Bentley. A Bentley tratará os Dados Pessoais como informações confidenciais e processará os Dados Pessoais em nome e somente de acordo com as instruções documentadas do Assinante, a menos que exigido de outra forma por um requisito legal ao qual a Bentley esteja sujeita, para os seguintes fins: (i) Processamento de acordo com o Contrato e formulário(s) de pedido; (ii) Processamento iniciado pelos usuários em seu uso dos Serviços; (iii) Processamento para cumprir outras instruções razoáveis documentadas fornecidas pelo Assinante (por exemplo, via e-mail) quando tais instruções forem consistentes com os termos do Contrato e (iv) Processamento em conformidade com as Leis e Regulamentos de Proteção de Dados. Caso a Bentley esteja sujeita a um requisito legal, a Bentley deverá informar o Assinante sobre esse requisito legal, a menos que tal lei o proíba.
O Assinante instrui a Bentley a Processar Dados Pessoais de acordo com o acima e como parte do uso dos Serviços pelo Assinante.
2.4. O papel da Bentley como provedor de serviços sob a CCPA.As partes reconhecem e concordam que a Bentley é uma prestadora de serviços para os fins da CCPA e está recebendo Dados Pessoais do Assinante de acordo com o Contrato para fins comerciais. A Bentley não venderá tais Dados Pessoais nem reterá, usará ou divulgará quaisquer Dados Pessoais fornecidos pelo Assinante de acordo com o Contrato, exceto conforme necessário para executar os Serviços ou de qualquer outra forma, conforme estabelecido no Contrato ou conforme permitido pela CCPA. Os termos “prestador de serviços” e “vender” são definidos na Seção 1798.140 da CCPA. A Bentley certifica que compreende as restrições desta seção.
2.5. Detalhes do Processamento.O objeto do Processamento de Dados Pessoais pela Bentley é a execução dos Serviços de acordo com o Contrato. A duração do processamento, a natureza e a finalidade do processamento, os tipos de dados pessoais e categorias de titulares de dados processados sob este DPA, bem como informações sobre a transferência de dados pessoais conforme exigido pelos Anexos I e II do padrão contratual da UE As cláusulas (se aplicável) são especificadas no Anexo 2 deste DPA.
3. DIREITOS DOS TITULARES DE DADOS
Solicitação do Titular dos Dados.A Bentley deverá, na medida legalmente permitida, notificar imediatamente o Assinante se a Bentley receber uma solicitação de um Titular dos Dados para exercer o direito de acesso do Titular dos Dados, direito de retificação, restrição de Processamento, apagamento (“direito de ser esquecido”), portabilidade de dados , opor-se ao Tratamento, ou o seu direito de não estar sujeito a uma tomada de decisão individual automatizada, sendo cada um desses pedidos um “Pedido do Titular dos Dados”. Considerando a natureza do Processamento, a Bentley auxiliará o Assinante por meio de medidas técnicas e organizacionais apropriadas, na medida do possível, para o cumprimento da obrigação do Assinante de responder a uma Solicitação do Titular dos Dados de acordo com as Leis e Regulamentos de Proteção de Dados.
4. PESSOAL DA BENTLEY
4.1. Confidencialidade. A Bentley deve garantir que seu pessoal envolvido no Processamento de Dados Pessoais seja informado sobre a natureza confidencial dos Dados Pessoais, tenha recebido treinamento adequado sobre suas responsabilidades e tenha assinado acordos de confidencialidade por escrito. A Bentley deve garantir que tais obrigações de confidencialidade sobrevivam ao término do contrato de trabalho.
4.2. Limitação de Acesso. A Bentley deve garantir que o acesso da Bentley a Dados Pessoais seja limitado ao pessoal que executa os Serviços, de acordo com o Contrato.
4.3. Encarregado da Proteção de Dados. A Bentley nomeou um responsável pela proteção de dados. A pessoa indicada pode ser contatada em [e-mail protegido].
5. SUBPROCESSADORES
5.1. Nomeação de Subprocessadores.O Assinante reconhece e concorda que (a) as Afiliadas da Bentley podem ser mantidas como Subprocessadores; e (b) a Bentley e as Afiliadas da Bentley, respectivamente, podem contratar Subprocessadores terceirizados em conexão com o fornecimento dos Serviços. A Bentley ou uma Afiliada da Bentley celebrou um acordo por escrito com cada Subprocessador contendo obrigações de proteção de dados não menos protetoras do que as deste DPA em relação à proteção dos Dados Pessoais do Assinante na medida aplicável à natureza dos Serviços fornecidos por esse Subprocessador.
5.2. Lista de subprocessadores atuais, notificação de novos subprocessadores e mecanismo de consentimento.A Bentley disponibilizará ao Assinante a lista atual de Subprocessadores para os Serviços. O Assinante pode encontrar uma lista atualizada de Subprocessadores online aqui. O Assinante geralmente autoriza a Bentley e as Afiliadas da Bentley a remover ou adicionar novos subprocessadores de acordo com esta Seção 5. Novos Subprocessadores que acessam os Dados Pessoais do Assinante devem ser aprovados pelo Assinante por meio do seguinte mecanismo de consentimento:
- A Bentley notificará o Assinante pelo menos trinta (30) dias antes de autorizar qualquer novo subprocessador a acessar Dados Pessoais, atualizando o subprocessador na lista on-line no Bentley's Trust Center.
- Se o Assinante não levantar objeções razoáveis à Bentley por escrito dentro deste período de trinta (30) dias, isso será considerado uma aprovação do novo subprocessador pelo Assinante.
- Se o Assinante levantar objeções razoáveis, a Bentley terá o direito de rescindir o Serviço afetado ao Assinante com aviso prévio de quatorze (14) dias, a menos que a Bentley decida (a) continuar o Serviço sem o envolvimento do Subprocessador ao qual o Assinante se opôs, (b ) tomar medidas suficientes para resolver as preocupações levantadas na objeção do Assinante ou (c) de acordo com o Assinante, deixar de fornecer (temporariamente ou permanentemente), o aspecto específico do Serviço que envolveria o uso do subprocessador. Cada Subprocessador estará vinculado às obrigações de proteção de dados consistentes com as deste Contrato.
5.3. Responsabilidade . A Bentley será responsável pelos atos e omissões de seus Subprocessadores na mesma medida em que a Bentley seria responsável se executasse os serviços de cada Subprocessador diretamente sob os termos deste DPA, exceto conforme estabelecido de outra forma no Contrato.
6. SEGURANÇA
Levando em consideração o estado da arte, os custos de implementação e a natureza, escopo, contexto e finalidades do Processamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades de pessoas físicas, a Bentley manterá medidas organizacionais e técnicas para garantir um nível de segurança adequado ao risco de Processamento de Dados Pessoais. A Bentley deverá, no mínimo:
- Adotar políticas e normas relacionadas à segurança da informação.
- Atribuir responsabilidade pela gestão de segurança da informação.
- Dedicar recursos humanos adequados à segurança da informação.
- Realizar verificações de referência ou antecedentes de funcionários permanentes que terão acesso a dados pessoais e, quando necessário, aos requisitos de conformidade (quando praticável e legal em cada jurisdição relevante).
- Exigir que todos os funcionários da Bentley cumpram uma política de segurança da informação por escrito.
- Ter procedimentos em vigor para evitar o acesso não autorizado a Dados Pessoais por meio do uso, conforme apropriado, de controles de entrada físicos e lógicos, áreas seguras para processamento e ferramentas de prevenção contra perda de dados.
- Garantir conformidade com políticas e padrões relacionados à proteção de dados de forma contínua.
A Bentley tem o direito de alterar as medidas técnicas e organizacionais a seu exclusivo critério, desde que o nível geral de segurança dos Serviços não seja degradado. Informações adicionais sobre as medidas técnicas e organizacionais da Bentley estão disponíveis no Trust Center da Bentley, atualizadas periodicamente.
7. DIREITO DO ASSINANTE À AUDITORIA
Durante a vigência deste DPA, mediante solicitação do Assinante, não mais de uma vez por ano civil e sujeito ao acordo de não divulgação, a Bentley fornecerá ao Assinante o relatório de auditoria mais recente realizado por um auditor independente para que o Assinante possa verificar razoavelmente a conformidade da Bentley com suas obrigações de proteção de dados. O Assinante concorda em exercer quaisquer direitos de auditoria e inspeção que possa ter apenas solicitando e revisando tal relatório de auditoria. Depois que o Assinante revisar o acima, no caso de informações adicionais serem necessárias para demonstrar conformidade com as obrigações de proteção de dados da Bentley, o Assinante deverá notificar a Bentley por escrito, identificando especificamente qual obrigação o relatório não demonstra conformidade, a deficiência no relatório de auditoria e áreas para as quais informações adicionais são solicitadas. Após análise, a Bentley pode notificar seu auditor independente sobre as deficiências identificadas para inclusão em seus procedimentos de auditoria. A critério da Bentley, a Bentley deve envidar esforços razoáveis para cumprir e fornecer ao Assinante (seja ela mesma ou um auditor credenciado registrado agindo em nome do Assinante, sujeito a obrigações de não divulgação) acesso a políticas, procedimentos, processos adicionais e/ou evidências de apoio que demonstram a operação dos controles. O Assinante deverá notificar a Bentley com pelo menos 30 dias de antecedência, não terá permissão para fazer ou manter nenhuma cópia de documentação adicional e não interromperá injustificadamente as operações comerciais da Bentley. O Assinante será responsável por todos os custos de tal auditoria, e encargos adicionais para compensar os custos incorridos pela Bentley podem ser aplicados.
8. GESTÃO E NOTIFICAÇÃO DE VIOLAÇÃO DE DADOS
A Bentley concorda em notificar o Assinante sem demora indevida após a descoberta de uma Violação de Dados. Na notificação ao Assinante, a Bentley fornecerá, conforme possível, informações suficientes para que o Assinante faça as notificações necessárias dentro do prazo exigido pelas Leis e Regulamentos de Proteção de Dados. Essas informações podem incluir, entre outras: (i) a natureza da Violação de Dados e as categorias e o número aproximado de Titulares de Dados e registos de Dados Pessoais afetados; (ii) as prováveis consequências da Violação de Dados, na medida em que as consequências possam ser determinadas; e (iii) quaisquer medidas tomadas para tratar ou mitigar a Violação de Dados.
9. DEVOLUÇÃO E EXCLUSÃO DE DADOS PESSOAIS
A Bentley reterá os Dados Pessoais recebidos do Assinante ou criados em nome do Assinante apenas pelo tempo necessário para executar os serviços sob o Contrato ou conforme exigido pela lei aplicável. Mediante solicitação do Assinante, a Bentley concorda em devolver ou destruir os Dados Pessoais recebidos ou criados de acordo com o Contrato, na medida permitida pela lei aplicável.
10. LIMITAÇÃO DE RESPONSABILIDADE
A responsabilidade total do Assinante e da Bentley (e seus respectivos funcionários, diretores, executivos, afiliados, sucessores e cessionários) decorrente ou relacionada a este DPA, seja em contrato, ato ilícito ou outra teoria de responsabilidade, está sujeita à seção 'Limitação de Responsabilidade' do Contrato, e qualquer referência em tal seção à responsabilidade de uma parte significa a responsabilidade agregada dessa parte e de todas as suas Afiliadas sob o Contrato e todos os DPAs juntos.
11. DISPOSIÇÕES ESPECÍFICAS EUROPEIAS
11.1. GDPR. A Bentley processará Dados Pessoais de acordo com os requisitos do GDPR diretamente aplicáveis ao fornecimento de seus Serviços pela Bentley.
11.2. Avaliação de Impacto da Proteção de Dados. A Bentley fornecerá assistência razoável ao Assinante em relação a quaisquer avaliações de impacto de proteção de dados e/ou consultas prévias que possam ser necessárias em relação ao processamento realizado sob o Contrato, na medida exigida pelo GDPR.
11.3. Notificação de Inspeção.A Bentley concorda em notificar o Assinante sobre qualquer inspeção ou auditoria por uma Autoridade Supervisora em relação à conformidade com as Leis e Regulamentos de Proteção de Dados na medida relacionada aos Serviços prestados sob o Contrato. A Bentley deve cooperar com as Autoridades de Supervisão relevantes mediante solicitação do Assinante em uma extensão razoável.
11.4. Mecanismos de transferência para transferências de dados. A Bentley disponibiliza o mecanismo de transferência listado no Anexo 1 que se aplica a quaisquer transferências de Dados Pessoais sob este DPA da União Europeia, Espaço Econômico Europeu e/ou seus estados membros, Suíça e Reino Unido para países que não garantem um nível adequado de proteção de dados dentro do significado das Leis e Regulamentos de Proteção de Dados dos territórios anteriores, na medida em que tais transferências estejam sujeitas a tais Leis e Regulamentos de Proteção de Dados. Além disso, o Anexo 1 contém termos adicionais sobre a aplicação dos mecanismos de transferência nele estabelecidos.
12. DIVERSOS
12.1. Efeito Jurídico.Este DPA pode ser executado em vias, cada uma das quais será considerada um original, mas todas juntas serão consideradas um único e o mesmo contrato. Uma cópia assinada deste DPA entregue por fax, e-mail ou outro meio de transmissão eletrônica (ao qual uma cópia assinada em PDF é anexada) será considerada como tendo o mesmo efeito legal que a entrega de uma cópia original assinada deste DPA.
12.2. Termo Específico da Jurisdição. Na medida em que a Bentley Processa Dados Pessoais originados e protegidos por Leis e Regulamentos de Proteção de Dados em uma das jurisdições listadas no Anexo 5 (Termos Específicos da Jurisdição) deste DPA, os termos especificados no Anexo 5 com relação à(s) jurisdição(ões) aplicável(is) aplicam-se além dos termos deste DPA.
12.3. Conflitos. No caso de qualquer conflito ou inconsistência entre o corpo deste DPA (incluindo qualquer um de seus Anexos e Apêndices que não sejam as Cláusulas Contratuais Padrão da UE) e as Cláusulas Contratuais Padrão da UE, as Cláusulas Contratuais Padrão da UE prevalecerão.
Lista de Anexos
Anexo 1: Mecanismos de transferência e termos adicionais para transferências de dados na Europa Anexo 2: Detalhes do processamento e da transferência de dados pessoais
Anexo 3: SCC-Matriz
Anexo 4: Detalhes de contato das partes e identificação da autoridade supervisora competente Anexo 5: Termos específicos da jurisdição
ANEXO 1 – MECANISMOS DE TRANSFERÊNCIA E TERMOS ADICIONAIS PARA TRANSFERÊNCIAS EUROPEIAS DE DADOS
Este Anexo 1 estabelece os mecanismos para a transferência de Dados Pessoais do Assinante sujeitos às leis de proteção de dados aplicáveis na União Europeia, Espaço Econômico Europeu e/ou seus estados membros, Suíça e Reino Unido para os contatos da Bentley Systems, Incorporated (“Transferências de Dados Europeus ”), bem como termos adicionais sobre o escopo e a aplicação de tal mecanismo de transferência ao usar os Serviços fornecidos pela Bentley.
Transferências de dados europeus
Esta seção se aplica à transferência de Dados Pessoais do Assinante para a Bentley Systems, Incorporated ao usar os Serviços da Bentley, desde que a transferência de tais Dados Pessoais esteja sujeita ao GDPR.
1.1. Aplicação das cláusulas contratuais padrão da UE
Caso os Dados Pessoais do Assinante sujeitos ao GDPR sejam transferidos para a Bentley Systems, Incorporated, essa transferência estará sujeita às Cláusulas Contratuais Padrão da UE. As Cláusulas Contratuais Padrão da UE fornecem vários módulos que se aplicam dependendo de qual entidade está exportando e importando os Dados Pessoais do Assinante.
- Quando a parte contratual deste DPA é a Bentley Systems International Limited, o Módulo 3 das Cláusulas Contratuais Padrão da UE (processador para processador) se aplica à e entre a Bentley Systems, International Limited como o "Exportador de Dados" e à Bentley Systems, Incorporated como "Importador de Dados" em relação à transferência de Dados Pessoais do Assinante à Bentley Systems, Incorporated. Mediante solicitação, a Bentley fornecerá ao Assinante uma cópia das Cláusulas Contratuais Padrão da UE celebradas entre a Bentley Systems International Limited e a Bentley Systems, Incorporated.
- Onde a parte contratual deste DPA for a Bentley Systems, Incorporated, o Módulo 2 das Cláusulas Contratuais Padrão da UE (controlador para processador) se aplica ao Assinante como o "Exportador de Dados" e à Bentley Systems, Incorporated como o "Importador de Dados" com relação à transferência dos Dados Pessoais do Assinante para a Bentley Systems, Incorporated. Nesse caso, o Assinante deverá cumprir com o processo de execução definido na Cláusula 1.2. deste Anexo 1.
1.2. Processo de Execução para o Módulo 2 das Cláusulas Contratuais Padrão da UE
Caso o Módulo 2 das Cláusulas Contratuais Padrão da UE se aplique conforme definido na Seção 1.1 deste Anexo 1, o Assinante deverá cumprir o seguinte processo de execução:
O Anexo 3 contém uma matriz (“SCC-Matrix”) que especifica quais opções fornecidas no Módulo 2 das Cláusulas Contratuais Padrão da UE são aplicáveis e onde as informações sobre a transferência de dados pessoais exigidas nos Anexos das Cláusulas Contratuais Padrão da UE são definidas na DPA.
1.3. Medidas suplementares
A Bentley fornece as seguintes medidas suplementares para garantir um nível adequado de proteção de acordo com o Artigo 44 et seq. do GDPR para Dados Pessoais do Assinante transferidos para a Bentley Systems, Incorporated, desde que a Bentley não seja impedida pela lei aplicável de cumprir tais medidas:
- A Bentley notificará o Assinante imediatamente caso qualquer autoridade pública solicite acesso aos Dados Pessoais do Assinante. Caso a Bentley seja impedida de notificar o Assinante em uma situação devido à lei aplicável, a Bentley deverá, sem demora injustificada, garantir que a transferência de Dados Pessoais para o país que solicitou o acesso seja interrompida e notificar o Assinante de que teve que fazê-lo. As Partes devem entrar em discussões sobre como mitigar a situação.
- A Bentley acionará imediatamente qualquer recurso legal disponível contra quaisquer solicitações de acesso a dados feitas por autoridades públicas e não divulgará quaisquer Dados Pessoais até que seja ordenada por decisão judicial final e obrigatória.
- A Bentley ajudará o Assinante fornecendo qualquer informação na medida do razoável se o Assinante decidir informar os Titulares dos Dados se seus Dados Pessoais forem afetados por uma solicitação de acesso a dados por uma autoridade pública.
- A Bentley fornecerá regularmente ao Assinante um relatório de transparência sobre solicitações de acesso a Dados Pessoais recebidas de autoridades públicas de forma agregada, incluindo pelo menos informações sobre a quantidade de solicitações de dados, o tipo de dados solicitados, a autoridade pública solicitante e até que ponto a Bentley divulgou dados pessoais a essas autoridades públicas.
- A Bentley deve monitorar constantemente quaisquer desenvolvimentos legais ou políticos que possam levar à sua incapacidade de cumprir as obrigações sob as Cláusulas Contratuais Padrão da UE e informar imediatamente o Assinante sobre tais alterações e desenvolvimentos.
- A Bentley confirma por meio deste que não criou backdoors ou programação semelhante propositadamente que possam ser usados para acessar os sistemas da Bentley e/ou os dados pessoais do Assinante armazenados neles.
Mais informações relacionadas a salvaguardas suplementares estão disponíveis mediante solicitação.
ANEXO 2 – DETALHES DO PROCESSAMENTO E DA TRANSFERÊNCIA DE DADOS PESSOAIS
Este Anexo 2 especifica as informações sobre o processamento e a transferência de dados pessoais de acordo com a Seção 2.5 do DPA.
Descrição das atividades de processamento e papéis das Partes
O uso dos Serviços da Bentley pelo Assinante envolve o Processamento de Dados Pessoais pela Bentley em nome do Assinante. Qualquer Processamento de Dados Pessoais pertencentes ao Assinante é realizado pela Bentley atuando como Processador, em que o Assinante atua como Controlador.
O Processamento de Dados Pessoais do Assinante pela Bentley envolve coleta, transferência, armazenamento e outras atividades de processamento necessárias para fornecer, manter e atualizar os Serviços fornecidos pela Bentley ao Assinante por meio dos sistemas da Bentley. Quaisquer Dados Pessoais Processados nos sistemas da Bentley ao usar os Serviços fornecidos pela Bentley são transferidos e armazenados em servidores localizados nos EUA e operados pela Bentley Systems, Incorporated.
Natureza e finalidade do processamento
A Bentley processará os Dados Pessoais conforme necessário para executar os Serviços de acordo com o Contrato, conforme especificado na documentação e conforme instruído pelo Assinante em seu uso dos Serviços.
Duração do processamento
Sujeito à Seção 9 do DPA, a Bentley processará Dados Pessoais durante a vigência do Contrato, a menos que acordado de outra forma por escrito.
Categorias de titulares de dados
O Assinante pode enviar Dados Pessoais para os Serviços, cuja extensão é determinada e controlada pelo Assinante a seu exclusivo critério, e que pode incluir, sem limitação, as seguintes categorias de Dados Pessoais:
- Parceiros de negócios e fornecedores do Assinante (pessoas físicas)
- Funcionários, agentes, consultores, freelancers de Assinante (pessoas físicas)
- Usuários do Assinante autorizados pelo Assinante a usar os Serviços (pessoas físicas)
Categorias de Dados Pessoais
O Assinante pode enviar Dados Pessoais para os Serviços, cuja extensão é determinada e controlada pelo Assinante a seu exclusivo critério, e que pode incluir, mas não está limitado às seguintes categorias de Dados Pessoais:
- Dados de localização e ID do assinante
- Primeiro e último nome
- Informações de contato (empresa, e-mail, telefone, endereço comercial físico)
- Quaisquer Dados Pessoais armazenados pelo Assinante no ambiente de nuvem da Bentley
- Dados Pessoais do Assinante carregados nos serviços relacionados ao Contrato
Categorias especiais de dados (se adequado)
Não aplicável.
Frequência da transferência
O uso dos Serviços da Bentley pelo Assinante durante o prazo da assinatura envolve a transferência contínua de Dados Pessoais.
Períodos de retenção
A Bentley retém os Dados Pessoais do Assinante durante o período de assinatura do Assinante. Caso os termos de assinatura do Assinante terminem, a Bentley deixa de transferir e processar os Dados Pessoais do Assinante e retorna ou exclui esses Dados Pessoais de acordo com as disposições estabelecidas neste DPA.
Transferências para (sub)processadores
A Bentley está usando certos (sub)processadores ao fornecer seus Serviços ao Assinante. Para esta finalidade, tal (sub)processador também pode processar os Dados Pessoais do Subscritor. Informações adicionais sobre a função desses (sub)processadores, bem como o assunto, natureza e duração do processamento realizado por eles podem ser encontradas no Trust Center da Bentley.
Medidas técnicas e organizacionais
A Bentley manterá proteções administrativas, físicas e técnicas para proteção da segurança, confidencialidade e integridade dos Dados Pessoais Processados no contexto da prestação dos Serviços, conforme detalhado no Trust Center da Bentley ou disponibilizado de outra forma pela Bentley.
ANEXO 3 - SCC-MATRIZ
Este Anexo 3 só se aplica se a Bentley Systems, Incorporated é a parte contratual deste DPA, e o Módulo 2 das Cláusulas Contratuais Padrão da UE se aplica à e entre o Assinante e a Bentley Systems, Incorporated, conforme definido na Seção 1.1 do Anexo 1. O Anexo 3 não se aplica se a Bentley Systems International Limited é a parte contratual deste DPA.
Este Anexo 3 especifica as opções selecionáveis, bem como as informações necessárias sobre a transferência para um terceiro país exigidas pelas Cláusulas Contratuais Padrão da UE.
Módulo 2 das Cláusulas contratuais padrão da UE (Controlador para Processador) | Especificação |
Cláusula 7ª (Cláusula de Adesão): Seleção das opções disponíveis | O Exportador de Dados e o Importador de Dados concordam, por meio deste, que qualquer entidade que não faça parte das Cláusulas Contratuais Padrão da UE deverá acedê-las como Exportador de Dados ou Importador de Dados, de acordo com a Seção I, Cláusula 7 da Cláusula Contratual Padrão da UE ("Cláusula de Adesão") apenas após confirmação explícita do Exportador de Dados e do Importador de Dados; tal confirmação deve ser por escrito. |
Cláusula 9 (a) (Uso de subprocessadores): Seleção das opções disponíveis | O Exportador de Dados e o Importador de Dados concordam que a Opção 2 da Seção II, Cláusula 9.a das Cláusulas Contratuais Padrão da UE se aplica (autorização geral para contratação de subprocessadores). Para este propósito, a Seção 5 do DPA se aplica de forma devida. |
Cláusula 17ª (Correção): Seleção das opções disponíveis | O Exportador de Dados e o Importador de Dados concordam que a opção de reparação estabelecida na Seção II, Cláusula 11 das CCPs não se aplica. |
Cláusula 13ª (Fiscalização), Anexo I.C.: Determinação da autoridade de supervisão competente | Veja as informações no Anexo 4. |
Cláusula 17ª (Lei aplicável): Seleção das opções disponíveis | O Exportador de Dados e o Importador de Dados concordam que as disposições da Opção 1 da Seção III, Cláusula 17 das Cláusulas Contratuais Padrão da UE serão aplicadas, e as Cláusulas Contratuais Padrão da UE serão regidas pelas leis da Irlanda. |
Cláusula 18ª (Escolha do foro e jurisdição): Seleção de opções disponíveis | O Exportador de Dados e o Importador de Dados concordam, de acordo com a Seção III, Cláusula 18 das Cláusulas Contratuais Padrão da UE, que quaisquer disputas decorrentes das Cláusulas Contratuais Padrão da UE serão submetidas aos tribunais de Dublin, Irlanda. |
Anexo I.A.: Informações sobre o nome, endereço, função e atividades do Exportador de Dados relevantes para os dados transferidos, nome da pessoa de contato, cargo e detalhes de contato | Veja as informações no Anexo 2 e Anexo 4. |
Anexo I.A.: Data e assinatura do Exportador de Dados | A assinatura do Contrato será considerada como a assinatura das Cláusulas Contratuais Padrão da UE e seu Apêndice, conforme descrito na Seção 1.2. do Anexo 1. |
Anexo I.A.: Informações sobre o nome, endereço, função e atividades do importador de dados relevantes para os dados transferidos, nome da pessoa de contato, cargo e detalhes de contato | Veja as informações no Anexo 2 e Anexo 4. |
Anexo I.A.: Data e assinatura do Importador de Dados | A assinatura do Contrato será considerada como a assinatura das Cláusulas Contratuais Padrão da UE e seu Apêndice, conforme descrito na Seção 1.2. do Anexo 1. |
Anexo I.B.: Categorias de titulares de dados cujos dados pessoais são transferidos | Veja as informações no Anexo 2. |
Anexo I.B.: Categorias de dados pessoais transferidos | Veja as informações no Anexo 2. |
Anexo I.B.: Dados confidenciais transferidos (se aplicável) e restrições ou salvaguardas aplicadas | Veja as informações no Anexo 2. |
Anexo I.B.: Frequência da transferência | Veja as informações no Anexo 2. |
Anexo I.B.: Natureza do processamento | Veja as informações no Anexo 2. |
Anexo I.B.: Finalidade da transferência de dados e processamento adicional | Veja as informações no Anexo 2. |
Anexo I.B.: Período durante o qual os dados pessoais serão conservados ou, caso não seja possível, os critérios utilizados para determinar esse período | Veja as informações no Anexo 3. |
Anexo I.B.: Para transferência para (sub)processador: objeto, natureza e duração do processamento | Veja as informações no Anexo 2. |
Anexo I.C.: Identificação da(s) autoridade(s) supervisora(s) competente(s) de acordo com a Cláusula 13 | Veja as informações no Anexo 4. |
Anexo II: Medidas técnicas e organizacionais | Veja as informações no Anexo 2. |
Anexo III: Informações sobre Subprocessadores, incluindo nome, endereço, nome da pessoa de contato, cargo e detalhes de contato, descrição do processamento | Não exigido como Opção 2 na Cláusula 9.a da Cláusula Contratual Padrão da UE deve ser aplicado conforme especificado neste Anexo 3. |
ANEXO 4 – DADOS DE CONTATO DAS PARTES E IDENTIFICAÇÃO DA AUTORIDADE DE SUPERVISÃO COMPETENTE
Este Anexo 4 só se aplica se a Bentley Systems, Incorporated for a parte contratual deste DPA, e o Módulo 2 das Cláusulas Contratuais Padrão da UE se aplica a e entre a Assinante e a Bentley Systems, Incorporated conforme definido na Seção 1.1 do Anexo 1. O Anexo 4 não se aplica se a Bentley Systems International Limited for a parte contratual deste DPA.
Este Anexo 4 estabelece os detalhes de contato do Exportador de Dados e do Importador de Dados, conforme exigido pelo Anexo I das Cláusulas Contratuais Padrão da UE, na medida em que essas informações ainda não estejam especificadas neste DPA e nos outros Anexos 1 a 3, bem como a identidade da autoridade supervisora competente de acordo com o Artigo 13 das Cláusulas Contratuais Padrão da UE.
Contato da Bentley Systems, Incorporated
Gabinete de Proteção de Dados: [e-mail protegido]
Pessoa(s) de contato do assinante e/ou responsável pela proteção de dados (se aplicável)
Nome: conforme especificado no Contrato
Cargo, Título: conforme especificado no Contrato
Detalhes de contato: conforme especificado no Contrato
Representante do assinante na UE (se aplicável)
Nome: conforme especificado no Contrato
Detalhes de contato: conforme especificado no Contrato
Identificação da(s) autoridade(s) supervisora(es) competente(s) de acordo com a Cláusula 13
Nome: autoridade supervisora competente na jurisdição onde a exportação de dados é estabelecida conforme definido no Contrato.
ANEXO 5 – TERMOS ESPECÍFICOS DA JURISDIÇÃO
Austrália:
- A definição de “Leis e Regulamentos de Proteção de Dados” inclui os Princípios de Privacidade Australianos e a Lei Australiana de Privacidade (1988).
- A definição de “Dados Pessoais” inclui “Informações Pessoais”, conforme definido nas Leis e Regulamentos de Proteção de Dados.
Brasil:
- A definição de “Leis e Regulamentos de Proteção de Dados” inclui a Lei Geral de Proteção de Dados (“ LGPD ”).
- A definição de “Processador” inclui “Operador”, conforme definido no GDPR.
Canadá:
- A definição de “Leis e Regulamentos de Proteção de Dados” inclui a Lei Federal de Proteção de Informações Pessoais e Documentos Eletrônicos (“ PIPEDA ”).
- Os Subprocessadores da Bentley, conforme descrito na Seção 5 (Subprocessadores) deste DPA, são terceiros sob PIPEDA, com quem a Bentley firmou um contrato por escrito que inclui termos substancialmente semelhantes a este DPA. A Bentley realizou due diligence adequada sobre seus Subprocessadores.
Israel:
- A definição de “Leis e Regulamentos de Proteção de Dados” inclui a Lei de Proteção de Informações Pessoais (“APPI”).
- A definição de “Controlador” inclui “Proprietário do Banco de Dados” conforme definido em PPL.
- A definição de “Processador” inclui “Titular” conforme definido na PPL.
Japão:
- A definição de “Leis e Regulamentos de Proteção de Dados” inclui a Lei de Proteção de Informações Pessoais (“APPI”).
- A definição de “Dados Pessoais” inclui “Informações Pessoais” conforme definido na APPI.
- A definição de “Controlador” inclui “Proprietário do Banco de Dados” conforme definido em PPL. Como Operador Comercial, a Bentley é responsável pelo tratamento dos dados pessoais em sua posse.
- A definição de “Processador” inclui um operador comercial nomeado pelo Operador Comercial para o tratamento de dados pessoais no todo ou em parte (também um “administrador”), conforme descrito na APPI. Como fiduciária, a Bentley garantirá que o uso dos dados pessoais confiados seja controlado com segurança.
México:
- A definição de “Leis e Regulamentos de Proteção de Dados” inclui a Lei Federal para a Proteção de Dados Pessoais em poder de Particulares e seus Regulamentos (“ FLPPIPP E”).
Cingapura:
- A definição de “Leis e Regulamentos de Proteção de Dados” inclui a Lei de Proteção de Dados Pessoas(“PDPA”). A Bentley processará dados pessoais para um padrão de proteção de acordo com o PDPA, implementando medidas técnicas e organizacionais adequadas, conforme estabelecido na Seção 6 (Segurança) deste DPA e cumprindo os termos do Contrato.
Suíça:
- A definição de “Leis e regulamentos de proteção de dados” inclui a Lei Federal Suíça de Proteção de Dados.
- Quando a Bentley contratar um Subprocessador de acordo com a Seção 5 (Subprocessador) deste DPA, ela irá: (a) exigir que qualquer Subprocessador designado proteja os Dados do Assinante de acordo com o padrão exigido pelas Leis e Regulamentos de Proteção de Dados, por exemplo, incluir as mesmas obrigações de proteção de dados referidas no artigo 28(3) do GDPR, em particular fornecendo garantias suficientes para implementar medidas técnicas e organizacionais adequadas de forma que o tratamento cumpra os requisitos do GDPR; e (b) exigir que qualquer Subprocessador nomeado (i) concorde por escrito em apenas processar dados pessoais em um país que o Reino Unido tenha declarado ter um nível "adequado" de proteção ou (ii) apenas processar dados pessoais em termos equivalentes às Cláusulas Contratuais Padrão da UE ou de acordo com uma aprovação das Regras Corporativas Vinculantes concedida pelas autoridades competentes de proteção de dados do Reino Unido.
Reino Unido (Reino Unido):
- As referências feitas neste DPA a "GDPR " serão, nessa medida, consideradas referências às leis correspondentes do Reino Unido (incluindo o GDPR do Reino Unido e a Lei de Proteção de Dados de 2018).
- Quando a Bentley contratar um Subprocessador de acordo com a Seção 5 (Subprocessador) deste DPA, ela irá: (a) exigir que qualquer Subprocessador designado proteja os Dados do Assinante de acordo com o padrão exigido pelas Leis e Regulamentos de Proteção de Dados, por exemplo, incluir as mesmas obrigações de proteção de dados referidas no artigo 28(3) do GDPR, em particular fornecendo garantias suficientes para implementar medidas técnicas e organizacionais adequadas de forma a que o tratamento cumpra os requisitos do GDPR; e (b) exigir que qualquer Subprocessador nomeado (i) concorde por escrito em apenas processar dados pessoais em um país que o Reino Unido tenha declarado ter um nível "adequado" de proteção ou (ii) apenas processar dados pessoais em termos equivalentes às Cláusulas Contratuais Padrão da UE ou de acordo com uma aprovação das Regras Corporativas Vinculantes concedida por autoridades competentes de proteção de dados do Reino Unido.
- Não obstante qualquer disposição em contrário neste DPA ou no Contrato (incluindo, sem limitação, as obrigações de indenização de qualquer uma das partes), nenhuma das partes será responsável por quaisquer multas do GDPR do Reino Unido emitidas ou cobradas de acordo com o Artigo 83 do GDPR do Reino Unido contra a outra parte por uma autoridade reguladora ou órgão governamental relativas à violação do GDPR do Reino Unido cometida por essa outra parte.