ADENDO DE PROCESSAMENTO DE DADOS

Este Adendo de Processamento de Dados (este “Adendo”) por e entre você e a Amazon entra em vigor a partir da data efetiva da Política do oneTag entre você e a Amazon (a “Data Efetiva do Adendo”). Este Adendo complementa a Política do oneTag, conforme atualizações periódicas entre você e a Amazon, regendo o processamento dos Dados Pessoais de Associados pela Amazon em conexão com a ferramenta de análise oneTag, conforme descrito aqui (“oneTag”). Se existir alguma inconsistência entre os termos deste Adendo, do Acordo e da Política do oneTag, as disposições deste Adendo devem prevalecer.  O presente Adendo expira automaticamente após: (i) a eliminação por parte da Amazon de todos os Dados Pessoais de Associados de acordo com a Seção 3(c) ou 3(e); (ii) desinstalação do oneTag do seu Site; ou (iii) o término ou expiração da Política do oneTag ou do Acordo, o que ocorrer primeiro. Todos os termos apresentados em maiúsculas utilizados neste Adendo terão os significados que lhes são atribuídos na Seção 5 deste Adendo ou, caso não seja definido neste Adendo, na Política do oneTag.

1. Instruções de Processamento de Dados

• A Amazon atuará como processadora ou intermediária de dados (conforme definido nos termos das Leis Aplicáveis) em relação aos Dados Pessoais dos Associados, e você atuará como controlador em relação aos Dados Pessoais de Associados.
• A Amazon irá processar os Dados Pessoais de Associados conforme necessário para lhe fornecer o acesso e utilização dos relatórios do oneTag, como será especificado mais à frente na Política do oneTag e conforme instruído por você em virtude da utilização do oneTag. Você instrui a Amazon a anonimizar e agregar os Dados Pessoais de Associados obtidos como resultado da disposição do oneTag com a finalidade de produzir relatórios do oneTag para você.   
• A Amazon processará somente Dados Pessoais de Associados de acordo com as instruções acordadas nos termos deste Adendo e da Política do oneTag, a menos que suas instruções infringirem as Leis Aplicáveis. Você deve garantir que suas instruções cumpram todas as Leis Aplicáveis em relação aos Dados Pessoais de Associados e que o processamento dos Dados Pessoais de Associados, de acordo com as suas instruções, não causará uma infração por parte da Amazon das suas obrigações nos termos das Leis Aplicáveis. A Amazon notificará você sobre qualquer instrução sua que, na opinião da Amazon, infrinja a Lei Aplicável. 
• As partes concordam que a Política do oneTag e este Adendo estabelecem o âmbito das instruções documentadas em relação aos Dados Pessoais de Associados. Quaisquer instruções adicionais requerem acordo prévio por escrito entre a Amazon e você.
• Você representa e garante à Amazon que é o controlador dos Dados Pessoais de Associados.

2. Obrigações do Associado

Você cumprirá todas as Leis Aplicáveis, incluindo aquelas relacionadas à coleta, processamento, uso e divulgação de Dados Pessoais dos Associados e todos os dados coletados de ou sobre Usuários Finais ou dispositivos específicos que se apliquem à utilização do oneTag. Você reconhece e concorda que suas obrigações nos termos das Leis Aplicáveis podem incluir (e, com relação aos Dados Pessoais de Associados da UE, realmente incluem), sem limitação, (i) possuir uma justificação documentada legítima para processar Dados Pessoais de Associados de acordo com o GDPR ou outras Leis Aplicáveis, incluindo as finalidades acordadas nos termos da Política do oneTag; (ii) publicar (ou contratualmente requisitar a publicação de) avisos de privacidade de acordo com a Política do oneTag, Diretiva E-Privacy e o GDPR, e implementar quaisquer outras medidas necessárias para informar Usuários Finais sobre o processamento de Dados Pessoais de Associados por você e pela Amazon em seu nome, incluindo a anonimização e agregação de Dados Pessoais de Associados; (iii) implementar (e instruir os processadores a implementar) medidas técnicas e organizacionais para proteger Dados Pessoais de Associados contra os riscos provenientes do processamento de tais Dados Pessoais de Associados, incluindo o risco de destruição acidental ou ilícita, perda, alteração e divulgação não autorizada dos, ou acesso aos, Dados Pessoais de Associados; e (iv) obter e manter um registro do consentimento legalmente compatível do Usuário Final relevante de acordo com as Leis Aplicáveis, incluindo a Diretiva E-Privacy para o uso do oneTag no seu Site e (v) possuir uma base jurídica válida para coletar, processar e compartilhar Dados Pessoais de Associados com a Amazon e permitir que a Amazon processe os Dados Pessoais de Associados em conformidade com as Leis Aplicáveis e este Adendo. Em até 7 dias após uma solicitação da Amazon, você deverá fornecer evidências à Amazon de que cumpriu com os requisitos das Leis Aplicáveis (incluindo, por exemplo, fornecer o aviso necessário e obter o consentimento exigido para Dados Pessoais de Associados da UE nos termos desta Seção 2).

3. Obrigações da Amazon

• Confidencialidade A Amazon tratará todos os Dados Pessoais de Associados como informações confidenciais e não divulgará essas informações a terceiros (que não sejam seus Associados) e tomará as devidas medidas para proteger as informações contra divulgação ou uso não autorizado. Informações confidenciais não incluem informações que i) sejam ou se tornem publicamente disponíveis sem que ocorra violação deste Adendo, (ii) sejam conhecidas pela Amazon antes de serem recebidas de você; (iii) sejam divulgadas para a Amazon por terceiros, exceto quando a Amazon souber ou devesse saber que tal divulgação constitui ato equivocado ou ilícito ou (iv) sejam desenvolvidas pela Amazon de modo independente, sem o uso de dados confidenciais. A Amazon pode divulgar informações confidenciais conforme necessário para cumprir as ordens das entidades governamentais que possuem jurisdição sobre ela ou salvo exigido por lei. A Amazon garantirá que as pessoas autorizadas a processar Dados Pessoais de Associados se comprometeram à confidencialidade ou estão sob os deveres estatutários de confidencialidade apropriados.
• Medidas técnicas e organizacionais. Considerando a tecnologia de ponta, os custos de implementação e a natureza, âmbito, contexto e objetivos do processamento, a Amazon implementará e manterá medidas técnicas e organizacionais para proteger Dados Pessoais de Associados contra processamento não autorizado ou ilícito e contra destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilícito aos Dados Pessoais de Associados. Essas medidas serão adequadas ao nível de risco apresentado pelo processamento de Dados Pessoais de Associados sobre os direitos dos titulares dos dados. Você reconhece que a Amazon pode alterar as medidas técnicas e organizacionais aplicáveis ao processamento de Dados Pessoais de Associados, desde que tais medidas estejam em conformidade com os padrões definidos no Anexo I deste Adendo.
• Você concorda que a Amazon pode usar subprocessadores para cumprir as obrigações contratuais dispostas neste Adendo ou para fornecer determinados serviços em nome da própria Amazon. Você concorda e autoriza cada Associado da Amazon a atuar como um subprocessador nos termos deste Adendo. Pelo menos 30 dias antes da Amazon contratar um subprocessador (que não seja um Associado da Amazon) para realizar atividades de processamento em seu nome, a Amazon notificará você por escrito (por e-mail ou publicação no Site dos Associados será suficiente) ("Notificação de Subprocessador"). Caso você se oponha à nomeação do subprocessador, deverá notificar a Amazon imediatamente por escrito no prazo de dez (10) dias úteis após o recebimento de tal Notificação de Subprocessador.  Na eventualidade de você apresentar uma objeção a um novo subprocessador, a Amazon concorda em participar em discussões de boa-fé com você para discutir a sua objeção.  Caso a sua objeção não possa ser resolvida dentro de um período de tempo razoável, você poderá desinstalar o oneTag de acordo com a Política do oneTag. Caso seu uso do oneTag não seja encerrado, você concorda que a Amazon irá fornecer os serviços do oneTag com o novo subprocessador.
  1. Caso a Amazon autorize qualquer subprocessador de acordo com este Adendo:
     • A Amazon irá celebrar um acordo por escrito com o subprocessador e impor ao subprocessador obrigações comparáveis às que são impostas à Amazon nos termos deste Adendo.
     • A Amazon continuará a ser responsável pela conformidade com as obrigações deste Adendo e por quaisquer atos ou omissões do subprocessador que levem a Amazon a violar quaisquer das suas obrigações nos termos deste Adendo.

• Assistência do Controlador. Tendo em conta a natureza do processamento e a natureza dos Dados Pessoais de Associados, a Amazon prestará assistência razoavelmente solicitada por você para permitir a você:
  1. cumprir com as suas obrigações para com os titulares de dados que exercem seus direitos nos termos das Leis Aplicáveis. Você reconhece e concorda que não solicitará assistência da Amazon para reatribuir qualquer identificador online pseudonimizado ou outros Dados Pessoais de Associados pseudonimizados a um indivíduo identificado ou identificável; e
  2. conduzir uma avaliação do impacto da proteção de dados a respeito do processamento de Dados Pessoais de Associados, caso exigido nos termos das Leis Aplicáveis. Você reconhece e concorda que as informações contidas neste Adendo, em conjunto com outros materiais online ou escritos fornecidos ou disponibilizados pela Amazon sobre a natureza do processamento de Dados Pessoais de Associados, é suficiente para que você conduza qualquer avaliação do impacto da proteção de dados.
• Exclusão de Dados Pessoais de Associados. Mediante o que ocorra primeiro: (i) término ou vencimento da Política do oneTag ou do Acordo; ou (ii) exclusão, a seu pedido, pela Amazon, de todos os Dados Pessoais de Associados processados pela Amazon enquanto processador dos sistemas da Amazon, salvo se a Lei Aplicável exigir que a Amazon armazene cópias de Dados Pessoais de Associados. A Amazon cumprirá com sua instrução para excluir todos os Dados Pessoais de Associados assim que possível.
• Notificação de Violação de Dados. A Amazon notificará você sobre qualquer violação de dados pessoais confirmada, que envolva Dados Pessoais de Associados, de acordo com as suas obrigações enquanto processador nos termos das Leis Aplicáveis. Para ajudar você com relação a qualquer notificação de violação de dados pessoais que lhe seja solicitado nos termos das Leis Aplicáveis, a Amazon irá fornecer a você as informações referentes à violação de dados pessoais, visto que a Amazon pode razoavelmente divulgar estas informações a você, levando em conta a natureza dos serviços que a Amazon executa nos termos deste Adendo e do Acordo, as informações disponíveis para a Amazon, e qualquer restrição de divulgação de tais informações, como a confidencialidade.
• Transferência Subsequente de Dados Pessoais de Associados. Você concorda que a Amazon só transferirá Dados Pessoais de Associados para países além do país no qual os dados foram coletados segundo um padrão de conformidade reconhecido para a transferência legal de Dados Pessoais e de acordo com as Leis Aplicáveis.

4. Auditoria.

A Amazon usa auditores externos para verificar regularmente a segurança e a adequação das medidas técnicas e organizacionais tomadas com relação ao processamento de Dados Pessoais de Associados. Por meio do seu pedido por escrito, a Amazon pode disponibilizar a você documentos que indiquem uma auditoria realizada ou uma certificação concedida por um auditor, e entregue de acordo com as normas predominantes na indústria sobre privacidade e segurança de dados (o “Relatório”), de forma a demonstrar conformidade com as obrigações da Amazon enquanto processador nos termos das Leis Aplicáveis e suas obrigações nos termos deste Adendo.  O Relatório conterá informações confidenciais da Amazon e estará sujeito às disposições de confidencialidade do Acordo ou de um NDA (Non-Disclosure Agreement ou Acordo de Não Divulgação) conforme aplicável. O Relatório contém todas as informações necessárias para demonstrar a conformidade da Amazon com as suas obrigações nos termos deste Adendo.

5. Processamento adicional.

Dados Pessoais de Associados foram anonimizados e agregados em seu nome para fins de fornecimento do relatório do oneTag para você.  Você reconhece e concorda que a Amazon pode utilizar os Dados Pessoais de Associados anonimizados e agregados para suas próprias finalidades.

6. Definições.

Salvo definição em contrário no Acordo, todos os termos apresentados em maiúsculas utilizados neste Adendo terão os significados que lhes são atribuídos abaixo:

“Amazon” significa, com relação ao Acordo, a parte contratante aplicável da Amazon que celebra o Acordo, e com relação a este Adendo conforme especificado na Tabela 1.

“Leis Aplicáveis” significa leis, regras, regulamentos, diretivas e diretrizes aplicáveis, incluindo mas não limitado ao especificado na Tabela 1.

“Associado” significa, com relação à qualquer entidade, qualquer outra entidade que, direta ou indiretamente controla, é controlada por, ou está sob controle comum com tal entidade.

“Dados da Amazon” significa Dados Pessoais que sejam (i) dados pré-existentes da Amazon usados pela Amazon; (ii) coletados segundo o Acordo que identifica ou permite a identificação da Amazon, do Site, Programa, marca, conteúdo, contexto ou usuários aplicáveis da Amazon como tal, ou (iii) inseridos por usuários no Site da Amazon aplicável.

“Dados Pessoais de Associados” significa Dados Pessoais de Usuários Finais processados pela Amazon em seu nome, segundo o seu uso do oneTag. Conforme a Data Efetiva do Adendo, os Dados Pessoais de Associados consistem de: (i) endereço IP; (ii) URL; (iii) cliques e visualizações de links de sites de associados da Amazon no seu Site; (iv) tipo de navegador e sistema operacional; e (v) identificador pseudonimizado (ID do cookie).
 Dados Pessoais de Associados excluem Dados da Amazon, e a Amazon atua como um controlador independente em relação aos mesmos.

“Usuário Final” significa um visitante do seu Site.

“Diretiva E-Privacy” significa a Diretiva 2002/58/EC do Parlamento Europeu e do Conselho de 12 de julho de 2002, relativa ao processamento de dados pessoais e à proteção da privacidade no setor de comunicações eletrônicas (Directive on privacy and electronic communications ou Diretiva sobre privacidade e comunicações eletrônicas) e qualquer implementação ou sucessora aplicável da mesma.

“Dados Pessoais de Associados da UE” significa Dados Pessoais de Associados que estão sujeitos ao GDPR.

7. Disposições específicas do local

Não obstante qualquer outra disposição deste Adendo, na medida em que a parte contratante da Amazon é a Amazon Commercial Services Pty Ltd, somente se aplicam as cláusulas 2, 3(a), 3(b), 3(g), 5, 6, 7 e o Anexo 1 deste Adendo.

Os termos "controlador", "titular dos dados", "violação de dados pessoais", "processamento", "processador" e "pseudonimização" devem ter o mesmo significado que no GDPR (e o termo "pseudonimizado" deve ser interpretado de acordo). 

Tabela 1

Anexo I: Medidas de Segurança da Amazon

Os termos apresentados em maiúsculas não definidos em contrário no presente documento, têm os significados que lhes são atribuídos no Adendo.

1. Programa de Segurança da Informação. A Amazon manterá um programa de segurança da informação (incluindo a adoção e reforço de políticas e procedimentos internos) concebido para (a) proteger Dados Pessoais de Associados contra perda, acesso ou divulgação acidental ou ilícita, (b) identificar riscos internos e externos razoavelmente previsíveis para a segurança e acesso não autorizado aos sistemas do Programa de Associados Amazon, e (c) minimizar riscos de segurança, incluindo através de avaliações de risco e testes regulares. A Amazon irá designar um ou mais funcionários para coordenar e assumir responsabilidades sobre o programa de segurança da informação. O programa de segurança da informação incluirá as seguintes medidas:
   1. Segurança de Rede. Os sistemas do Programa de Associados Amazon poderão ser acessados eletronicamente por funcionários, contratados e qualquer outra pessoa, conforme necessário, para fornecer os serviços nos termos do Adendo e do Contrato. A Amazon manterá controles e políticas de acesso para gerenciar quais acessos são permitidos aos sistemas relevantes para cada conexão e usuário da rede, incluindo o uso de firewalls ou tecnologia com funcionalidade equivalente e controles de autenticação. A Amazon manterá ações corretivas e planos de resposta a incidentes para reagir a potenciais ameaças de segurança.
   2. Segurança Física
      1. Controles de Acesso Físico. Os componentes físicos dos sistemas do Programa de Associados Amazon estão alojados em instalações (as “Instalações”) onde são usadas barreiras de controle físico para impedir entradas não autorizadas. A passagem pelas barreiras físicas nas Instalações exigem validação eletrônica de controle de acesso (por exemplo, sistemas de acesso por cartão) ou validação feita pela equipe de segurança (por exemplo, serviço de segurança próprio ou terceirizado, recepcionista, etc.).
      2. Acesso Restrito de Contratados e Funcionários. A Amazon concede acesso às Instalações aos funcionários e contratados cujas necessidades comerciais estejam legitimamente relacionadas a tais privilégios de acesso. Quando um funcionário ou contratado não tiver mais a necessidade comercial dos privilégios de acesso concedidos a ele, esses privilégios serão imediatamente revogados, mesmo que o funcionário ou contratado continue sendo um funcionário da Amazon ou de suas Afiliadas.

2. Avaliação Contínua. A Amazon realizará revisões periódicas da segurança dos seus sistemas e adequação do seu programa de segurança da informação em relação às normas de segurança da indústria e às suas políticas e procedimentos. A Amazon avaliará de forma contínua a segurança dos seus sistemas e serviços associados, para determinar se são necessárias medidas de segurança adicionais ou diferentes para responder a novos riscos de segurança ou descobertas geradas pelas revisões periódicas.