tencent cloud

Contrato de Privacidade e Segurança de Dados
Baixar PDF
Última atualização:2025-10-11 17:37:42
Contrato de Privacidade e Segurança de Dados
Última atualização: 2025-10-11 17:37:42
Baixar PDF
Se houver qualquer conflito entre este Adendo de Privacidade e segurança de Dados (“DPSA”) e os Termos de Serviço (e quaisquer documentos ou políticas incorporados como referência, exceto para o DPSA) (“Acordos”), este DPSA deverá prevalecer.

Definições

A menos que seja declarado o contrário, os seguintes termos terão os significados abaixo atribuídos a eles. Os termos em maiúsculas usados no DPSA mas não definidos abaixo terão o significado atribuído a eles no Contrato. “Informações administrativas” refere-se às informações pessoais que a Empresa fornece à Tencent Cloud para configurar e gerenciar as contas e serviços da Empresa fornecidos pela Tencent Cloud, além de quaisquer informações pessoais geradas em conexão com o uso pela Empresa dos serviços prestados pela Tencent Cloud; “Conteúdo” refere-se a quaisquer dados, incluindo informações pessoais, que a Empresa envia, faz upload, transmite ou exibe usando os serviços fornecidos pela Tencent Cloud; “Controlador” refere-se a uma pessoa, que sozinha ou em conjunto com uma ou mais pessoas, controla a coleta, detenção, processamento ou uso dos Dados pessoais, incluindo, se aplicável, qualquer “negócio” conforme o termo é definido no CCPA. “Cláusulas de transferência de Controlador-processador” refere-se às cláusulas contratuais padrão (Controlador a processador) como definido na Decisão da comissão de 5 de fevereiro de 2010 (C(2010) 593), como definido abaixo em (2) Cláusulas de transferência de Controlador-processador; “Violação de dados” refere-se a qualquer uso indevido, interferência, perda, acesso não autorizado, modificação ou divulgação de Dados pessoais que são processados pela Tencent em conexão com o Contrato; “Leis de proteção de dados” refere-se às leis de proteção de dados aplicáveis em relação à coleta, armazenamento, processamento, transferência, divulgação e uso de quaisquer Dados pessoais aplicáveis de tempos em tempos a uma pessoa ou atividade nas circunstâncias em questão, incluindo as Leis de privacidade dos EUA, a Diretiva de privacidade eletrônica e a GDPR; “Titular dos dados” deverá significar (1) “Titular dos dados” conforme o termo é definido no GDPR; (2) “Consumidor” conforme o termo é definido no CCPA; ou (3) ou qualquer outro indivíduo que seja titular dos Dados pessoais; “Diretiva” refere-se à Diretiva 95/46/EC do Parlamento Europeu e do Conselho de 24 de outubro de 1995 sobre a proteção das pessoas com relação ao Processamento de dados pessoais e sobre a livre circulação desses dados; Diretiva de privacidade eletrônica” refere-se à Diretiva 2002/58/EC do Parlamento Europeu e do Conselho de 12 de julho de 2002 com relação ao Processamento de dados pessoais e à proteção da privacidade no setor de comunicações eletrônicas;“EEA” refere-se à Área econômica Europeia; “Dados pessoais da UE” refere-se aos dados pessoais de um titular de dados que está localizado na EEA; “GDPR” refere-se ao Regulamento 2016/679 do Parlamento europeu e do Conselho de 27 de abril de 2016 sobre a proteção das pessoas físicas com relação ao Processamento de dados pessoais e à livre circulação desses dados; “Requisitos específicos da jurisdição” refere-se aos requisitos específicos para processamento de dados pessoais que se aplicam a determinadas jurisdições, como definido abaixo em (1) Requisitos específicos da jurisdição; “Empresa” refere-se à entidade que concordou com os Termos do serviço. Para os fins deste DPSA (incluindo seus anexos), uma referência a “Empresa” deverá ser considerada, no caso de um contrato com uma pessoa que não esteja agindo em nome de uma Empresa, uma referência a essa pessoa; “Dados pessoais” refere-se a qualquer informação relacionada a uma pessoa física identificada ou identificável, incluindo “dados pessoais” e “informações pessoais” conforme esses termos estejam definidos nas Leis de proteção de dados que a Tencent processe nos termos do Contrato para prestar os Serviços; “Processamento” refere-se à execução de qualquer operação ou conjunto de operações em Dados pessoais, incluindo qualquer coleta, uso, armazenamento ou divulgação, ou conforme definido de outra forma nas Leis de proteção de dados; “Processador” refere-se a uma pessoa que processa dados pessoais em nome de um ou mais Controladores, incluindo, conforme aplicável, qualquer “prestador de serviços” ou “contratado” de acordo com a definição do termo pelo CCPA; “Sub-Processador” refere-se a qualquer afiliada da Tencent ou terceiro indicado de tempos em tempos pela Tencent para processar dados pessoais em seu nome de acordo com a cláusula 7.4; “Autoridade supervisora” refere-se a uma autoridade reguladora com jurisdição competente em relação a uma Lei de proteção de dados; “Tencent Cloud” refere-se à entidade que fornece os serviços à Empresa, como especificado nos Termos de serviços; “Portal da Tencent Cloud” refere-se ao portal do cliente ao qual a Empresa tem acesso depois de concluir o processo de inscrição para a Tencent Cloud; “Política de privacidade da Tencent Cloud” refere-se à política localizada na Política de privacidade, conforme atualizado pela Tencent e notificado à Empresa de tempos em tempos; “Política de segurança da Tencent” refere-se às medidas organizacionais e técnicas apropriadas e razoáveis determinadas pela Tencent de tempos em tempos, para proteger os Dados pessoais contra acesso, processamento, exclusão, perda ou uso não autorizados ou acidentais. Essas medidas incluirão as medidas definidas nas Cláusulas de transferência de Controlador-processador (se aplicável); “Termos de serviço” refere-se aos termos localizados em Termos de serviço; e “Países terceiros” refere-se a todos os países fora do escopo das leis de proteção de dados da Área Econômica Europeia (a “EEA”), exceto os países aprovados no fornecimento de proteção adequada para Dados pessoais pela Comissão Europeia de tempos em tempos, que nada data deste Contrato inclui Andorra, Argentina, Canadá, Faroe Islands, Guernsey, Ilha de Man, Israel, Jersey, Nova Zelândia, Suíça e Uruguai. “Leis de privacidade dos EUA” significa a Lei de Privacidade do Consumidor da Califórnia, conforme emendada pela Lei de Direitos de Privacidade da Califórnia (California Consumer Privacy Act, “CCPA”), a Lei de Privacidade do Colorado, a Lei de Privacidade de Dados de Connecticut, a Lei de Privacidade do Consumidor de Utah e a Lei de Proteção de Dados do Consumidor da Virgínia;

Escopo do Contrato

Este Adendo se aplica se você tiver inserido os Termos de Serviço para o fornecimento de serviços pela Tencent Cloud. O Adendo se aplica ao processamento de dados pessoais que é conteúdo. Os Dados Pessoais de Informações Administrativas são processados de acordo com a Política de Privacidade e este Adendo não se aplicará ao Processamento de Informações Administrativas.

Autorização para processar dados pessoais

1. As partes reconhecem que, no desempenho de suas obrigações nos termos do Contrato, a Tencent poderá processar dados pessoais em conexão com o armazenamento, acesso e processamento de conteúdo da Organização como parte do fornecido pela Tencent Cloud. O objetivo deste DPSA é estabelecer as respectivas obrigações das partes em relação a esse Processamento.
2. Cada parte garante à outra que cumprirá todas as Leis de Proteção de Dados aplicáveis a ela em relação aos Dados Pessoais.

Controlador e processador

A Tencent e a Organização reconhecem que a Organização é o Controlador e a Tencent é o Processador em relação aos Dados Pessoais.

Regiões dos serviços

1. Sujeito à cláusula 5.2, onde a Organização selecionou uma Região de Serviços de acordo com o Contrato, a Tencent processará apenas os dados pessoais nessa região de serviço.
2. A organização reconhece e concorda que a Tencent poderá, por razões operacionais, normativas ou outras, ter de alterar seus locais de processamento esporadicamente, desde que qualquer processamento de Dados Pessoais em um lugar diferente da Região de Serviços preferida da Empresa seja considerado uma “mudança material” tratada de acordo com o Contrato.
3. A Empresa reconhece e concorda que a entidade contratante da Tencent relacionada nos Termos e serviços talvez não seja a entidade em custódia ou controle dos Dados do cliente, incluindo Dados pessoais, assim esses dados poderão ser armazenados e processados na Região de serviço escolhida. Se a Empresa fornece informações que não requerem a seleção de uma Região de serviço, como informações relacionadas a conta, a Tencent poderá processar e armazenar essas informações em qualquer local.

Obrigações da Tencent

1. Na medida em que processa dados pessoais em nome da Organização, a Tencent:
a. Processará os Dados Pessoais apenas para fins limitados e específicos para a prestação dos serviços, de acordo com as instruções por escrito da Organização (que incluirão os termos deste DPSA, quaisquer instruções fornecidas através do console administrativo da Organização) e da Política de Segurança da Tencent, e notificará a Organização prontamente se ela não puder cumprir este DPSA ou qualquer um de seus termos; b. devolverá ou (solicitação por escrito da Organização) destruirá com segurança todos os Dados Pessoais em sua posse (incluindo todas as cópias de backup), a menos que seja proibida de fazê-lo pelas Leis Aplicáveis; c. notificará prontamente a Empresa, ao tomar conhecimento, de:
qualquer ordem judicial ou outro processo jurídico ou qualquer solicitação ou demanda de qualquer autoridade supervisora, regulador, funcionário ou outro ministro do governo, autoridade ou representante para obter ou acessar qualquer dado pessoal, exceto se tal informação for proibida pela Lei aplicável;
Violação de dados;
qualquer divulgação não autorizada ou acesso aos Dados Pessoais ou qualquer perda, dano ou destruição dos Dados Pessoais; e
qualquer reclamação, comunicação ou solicitação material relativa às obrigações da Tencent nos termos das Leis de Proteção de Dados;
qualquer instrução recebida da Organização em relação aos Dados Pessoais que, a critério da Tencent, pode violar qualquer Lei Aplicável, incluindo qualquer Lei de Proteção de Dados, da jurisdição apropriada;
d. garantirá que os Dados Pessoais possam ser acessados apenas pelas pessoas devidamente autorizadas, contratadas pela Tencent e sujeitas à cláusula 8, que possam ser acessados apenas por seus Subprocessadores e pela equipe desses Subprocessadores devidamente autorizados e que precisam ter acesso aos Dados Pessoais para cumprir as obrigações da Tencent nos termos do Contrato; e. garantirá que a equipe contratada e devidamente autorizada para processar os dados pessoais tenha se comprometido à confidencialidade ou que esteja sob obrigatoriedade legal de confidencialidade e garantirá que as mesma obrigações de proteção dos dados deste DPSA e as instruções da Empresa sejam cumpridas por essas pessoas, levando em consideração a natureza do Processamento; f. cumprirá todos os requisitos específicos da jurisdição aplicáveis; e g. onde as leis da jurisdição relevante assim o requererem:
implementará medidas de segurança técnicas e organizacionais apropriadas até onde aplicável, com a finalidade de fornecer assistência razoável à Empresa para que ela cumpra suas obrigações, incluindo como apropriado e aplicável na jurisdição relevante: (i) a pseudonimização ou desidentificação dos dados pessoais; (ii) a garantia de confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas de processamento e serviços; (iii) a restauração de disponibilidade e acesso a Dados pessoais em tempo hábil no caso de incidente físico ou técnico; e (iv) testar, avaliar e analisar regularmente a eficiência das medidas técnicas e organizacionais para a segurança do processamento;
considerará a natureza do processamento, auxiliará a Empresa com medidas técnicas e organizacionais apropriadas, até onde aplicável, para o cumprimento das obrigações da Empresa de responder a solicitações de exercício dos direitos do Titular dos dados estabelecidos nas Leis de proteção de dados;
auxiliará a empresa a garantir o cumprimento das obrigações de: (i) implementar medidas de segurança técnicas e organizacionais apropriadas; (ii) notificará (se exigido) Violações de dados às autoridades supervisoras, aos titulares de dados relevantes e outras pessoas necessárias segundo as Leis de proteção de dados, em casos onde a notificação e os relatórios são exigidos segundo as Leis de proteção de dados relevantes; e (iii) executará avaliações de impacto da proteção de dados e, se necessário, consulta prévia com autoridades supervisoras; e
notificará prontamente a Organização por escrito ao tomar conhecimento de qualquer acesso impróprio, não autorizado ou ilegal, uso ou divulgação de dados pessoais que sejam processados pela Tencent de acordo com este DPSA. A Tencent será obrigada a fornecer à Organização todas as informações razoavelmente necessárias para o cumprimento das obrigações da Organização, de acordo com as Leis de Proteção de Dados.
2. A Tencent notificará a Organização se, em seu parecer, uma instrução da Organização infringir as Leis de Proteção de Dados.

Obrigações da Organização

1. A Organização defende, garante e promete à Tencent que durante todo o Prazo:
a. os Dados Pessoais foram e serão coletados de acordo com as Leis de Proteção de Dados; b. todas as instruções da Empresa para a Tencent cumprirão as Leis de Proteção de Dados; e c. a transferência dos dados pessoais à Tencent, e (na medida em que a Tencent atue como processador de dados em relação a esses dados pessoais) o processamento dos dados pessoais pela Tencent conforme instruído pela Empresa ou (na medida em que a Tencent atue como controlador de dados em relação a esses dados pessoais) o recebimento e uso dos dados pessoais pela Tencent, e processamento e uso dos dados pessoais como definido neste DPSA, têm consentimento do Titular dos dados (quando exigido por lei) e de outra forma permitido pelas Leis de proteção de dados e de acordo com estas.
2. A empresa concorda que indenizará e isentará de responsabilidade a Tencent em intimação de e contra todas as reclamações, responsabilidades, custos, despesas, perda ou danos (incluindo perdas consequenciais, perda de lucro e perda de reputação e todos os juros, multas ou custos e despesas jurídicas ou de outros profissionais) incorridos pela Tencent, decorrentes direta ou indiretamente de uma violação desta cláusula
3. Quando a Tencent enfrentar uma reclamatória real ou potencial decorrente ou relacionada a qualquer violação das Leis de Proteção de Dados relativas a Dados Pessoais processados de acordo com este DPSA, a Empresa fornecerá prontamente todos os materiais e informações razoavelmente solicitados pela Tencent que sejam relevantes para a defesa de tal reclamatória.
4. Se a Empresa tomar conhecimento de qualquer violação de dados real ou suspeita relacionada ao Acordo, a Empresa deverá:
a. tomar medidas razoáveis para realizar, dentro de 30 dias, uma avaliação para determinar se a Violação de dados é notificável segundo as Leis de proteção de dados e prontamente notificar a Tencent por escrito sobre os resultados da avaliação; b. se a Empresa notificar a Tencent que considera a Violação de dados notificável segundo as Leis de proteção de dados:
A Empresa deverá preparar um versão preliminar de quaisquer declarações de notificação com relação à Violação de dados exigidas segundo as Leis de proteção de dados (“Declarações de notificação”) e fornecer a versão preliminar das Declarações de Notificação à Tencent para aprovação antes da divulgação aos reguladores aplicáveis de proteção de dados, titulares dos dados ou qualquer outra pessoa;
A Tencent fornecerá à Empresa um aviso por escrito:
de quaisquer alterações que a Tencent exija razoavelmente na versão preliminar da declaração de notificação e a Empresa deverá incorporar todas essas alterações à versão preliminar da Declaração de notificação; ou
que a Tencent aprova a versão preliminar da Declaração de notificação; e
em seguida à aprovação pela Tencent de uma versão preliminar de Declaração de notificação, a Empresa deve fornecer uma cópia da Declaração de notificação aprovada aos reguladores de proteção de dados aplicáveis, aos titulares dos dados e a qualquer outra pessoa conforme exigido pelas Leis de proteção de dados; e
não, e deve garantir que suas afiliadas e seus respectivos funcionários não façam qualquer declaração pública ou divulgação relacionada a qualquer Violação de dados suspeita ou real sem o prévio consentimento por escrito da Tencent.

Nomeação de Subprocessadores

1. A Tencent poderá autorizar qualquer subprocessador a processar os dados pessoais em seu nome desde que, quando (e na medida do) exigido pelas Leis de proteção de dados, a Tencent celebre um acordo por escrito com o Subprocessador contendo termos que sejam substancialmente os mesmos daqueles contidos neste DPSA. A empresa, por meio deste, concede à Tencent autorização geral por escrito para contratar esses subprocessadores relacionados na Tencent Cloud Terceiros, sujeitos aos requisitos desta cláusula 8.
2. A Tencent deverá informar, na medida que o seu processamento de Dados pessoais esteja sujeito às Leis de proteção de dados que exijam tais notificações, a Empresa por e-mail (e por meio do Portal da Tencent Cloud) sobre quaisquer alterações pretendidas em relação a acréscimo ou substituição dos subprocessadores. Nesse caso, a Empresa terá 14 (quatorze) dias a partir da data de recebimento do aviso para aprovar ou rejeitar a alteração. No caso de não haver resposta da Empresa, o Subprocessador será considerado aceito. Se a Empresa rejeitar a substituição do subprocessador, a Tencent poderá rescindir o Contrato com efeito imediato mediante notificação por escrito à Empresa.
3. Caso a Tencent contrate um Subprocessador para realizar as atividades específicas de Processamento em nome da Empresa, se aquele subprocessador deixar de cumprir suas obrigações de proteção de dados, a Tencent ficará totalmente responsável segundo as Leis de proteção de dados pelo desempenho daquelas obrigações do Subprocessador.

MÓDULOS

Os seguintes módulos devem ser aplicados e incorporados como referência neste DPSA se você usar o recurso específico (como definido em cada Módulo relevante).
1. Tencent Push Notification Service.
2. Anti-Cheat Expert.
3. Web Application Firewall.
4. Game Multimedia Engine.
5. Anti-DDoS.
6. Face Recognition.
7. StreamLive.
8. StreamPackage.
9. Cloud Object Storage.
10. Cloud Native Database TDSQL-C.
11. Tencent Cloud Elastic Microservice.
12. TencentDB for CTSDB.
13. Private DNS.
14. TencentDB for Tendis.
15. Database Management Center.
16. Event Bridge.
17. TencentCloud Lighthouse.
18. Instant Messaging.
19. Edge Computing Machine.
20. Data Security Center.
21. Tencent Cloud TI Platform.
22. Cloud Data Warehouse.
23. Vulnerability Scan Service.
24. IoT Hub.
25. Tencent Distributed Message Queue.
26. Risk Control Engine.
27. TencentCloud EdgeOne.
28. eKYC.
29. Tencent Managed Service for Prometheus.
30. Video on Demand.
31. Tencent Cloud Automation Tools.
32. HTTPDNS.
33. Tencent Effect SDK.
34. Text To Speech.
35. Automatic Speech Recognition.
36. Cloud Streaming Services.
37. Tencent Real-Time Communication.
38. Real User Monitoring.
39. Customer Identity and Access Management.
40. Cloud Application Rendering.
41. OCR.
42. Captcha.
43. Tencent Machine Translation.
44. Data Lake Compute.
45. Tencent Ecard.
46. Tencent Cloud Firewall.
47. User Generated Short Video SDK.
48. Key Management Service.
49. App Flow.
50. Low-code Interactive Classroom.
51. Tencent Container Security Service.
52. Cloud Automated Testing.
53. Cloud Log Service.
54. Tencent Interactive Whiteboard.
55. Bastion Host.
56. Cloud Workload Protection Platform.
57. Control Center.
58. Intelligent Music Platform.
59. Face Fusion.
60. Data Security Audit.
61. Cloud Dedicated Cluster.
62. Tencent Cloud WeData.
63. CloudApp.
64. Video Creation Large Model.
65. Cloud HDFS.
66. Security Service Platform.
67. Business Intelligence.

Requisitos específicos da jurisdição

Europa
1. A Tencent concorda que não processará dados pessoais da UE em outro país, exceto quando a Tencent cumprir as obrigações de importador de dados estabelecidas nas Cláusulas de Transferência de controlador a processador.
2. Em caso de algum conflito entre as Cláusulas de transferência de controlador a processador e o restante deste DPSA, as Cláusulas de transferência de controlador a processador prevalecerão em relação a quaisquer dados pessoais da UE.
3. Para efeitos das Cláusulas de Transferência de controlador a processador, serão aplicadas as seguintes disposições adicionais:
a. as partes concordam em observar as Cláusulas de transferência de controlador a processador sem modificações; b. os nomes e endereços da Empresa e da Tencent serão considerados para serem incorporados às Cláusulas de Transferência de controlador a processador e para fins das Cláusulas de Transferência de controlador a processador; c. A Empresa é o exportador de dados e a Tencent, ou afiliada aplicável da Tencent, é o importador de dados conforme definido nas Cláusulas de transferência de controlador a processador; e d. a assinatura de cada parte neste DPSA será considerada uma assinatura dos termos contidos nas Cláusulas de Transferência de controlador a processador.
4. Se exigido pelas leis ou procedimentos regulatórios de qualquer jurisdição, as partes executarão ou reexecutarão as cláusulas contidas nas Cláusulas de Transferência de controlador a processador como um documento separado que estabelece as transferências propostas de Dados Pessoais da maneira que for necessária.
Coreia do Sul
1. Se e na medida em que a Política de segurança da Tencent for insuficiente no cumprimento dos requisitos aplicáveis segundo as leis e regulamentações coreanas, a Tencent tomará medidas adicionais esporadicamente para cumprir esses requisitos (conforme aplicável a um beneficiário de transferência de dados pessoais no exterior), incluindo:
a. Artigos 28 e 63 da Lei de Promoção da Utilização de Redes de Informação e Comunicações e a Proteção da Informação (a “Lei de redes de TIC”); b. Artigos 15 e 67 do Decreto de Execução promulgado pela Lei de Redes de TIC; c. as Diretrizes para Medidas Técnicas e Administrativas para a Proteção de Informações Pessoais (emitidas pela Comissão de Comunicações da Coreia); d. Artigo 29 da Lei de Proteção de Informações Pessoais (a “PIPA”); e. Artigo 30 do Decreto de Execução promulgado para a PIPA; e f. as Diretrizes para Medidas de Segurança para a Segurança das Informações Pessoais (emitidas pelo Ministério do Interior e Segurança), como o precedente, podem ser alteradas e/ou complementadas ocasionalmente.
2. A Tencent:
a. usará os Dados Pessoais apenas para fins do escopo do trabalho confiado e dentro dele; b. concordará em sujeitar-se ao treinamento e supervisão da Organização a respeito de como a Tencent lida com os Dados Pessoais; e c. concordará em sujeitar-se à supervisão e auditoria feitas por autoridades regulatórias relevantes.
3. A Tencent compensará a Organização e quaisquer titulares de dados relevantes por todo e qualquer dano, passivo, custos e despesas decorrentes de qualquer violação das obrigações da Tencent sob este DPSA ou sob a Lei Aplicável.
Leis de privacidade dos EUA
1. Na medida do exigido pelas Leis de privacidade aplicáveis nos EUA e mediante solicitação ou aviso razoável por escrito:
a. A Organização poderá tomar medidas razoáveis e adequadas para assegurar que a Tencent utilize os Dados Pessoais de forma consistente com as obrigações da Organização no âmbito das Leis de privacidade dos EUA aplicáveis; b. À medida que a Organização acredite razoavelmente que a Tencent esteja usando Dados Pessoais em violação às Leis de privacidade aplicáveis dos EUA, a Organização poderá tomar medidas razoáveis e adequadas para interromper e remediar tal uso não autorizado; c. A Tencent deverá disponibilizar à Organização informações em posse da Tencent que sejam necessárias para demonstrar o cumprimento de suas obrigações no âmbito das Leis de privacidade dos EUA. d. A Tencent deverá permitir e cooperar com avaliações anuais razoáveis da Organização, ou do auditor designado pela Organização, às custas da Organização e somente após as partes chegarem a um acordo sobre o escopo da avaliação, quanto ao cumprimento pela Tencent de suas obrigações no âmbito das Leis de privacidade aplicáveis dos EUA. De outra forma, a Tencent poderá providenciar um auditor qualificado e independente para realizar uma avaliação das políticas e medidas técnicas e organizacionais da Tencent em apoio a suas obrigações no âmbito das Leis de privacidade aplicáveis dos EUA, utilizando para tais avaliações um padrão ou estrutura de controle adequados e aceitos, bem como os respectivos procedimentos de avaliação. A Tencent deverá fornecer um relatório de tal avaliação à Empresa mediante solicitação razoável.
2. Considerando o contexto do Processamento, as Partes deverão implementar medidas técnicas e organizacionais adequadas para proporcionar um nível de segurança compatível com o risco e estabelecer uma alocação clara das responsabilidades entre elas para implementar tais medidas. Conforme exigido pelas Leis de privacidade aplicáveis dos EUA, a Tencent deverá fornecer o mesmo nível de proteção de privacidade que é exigido por tais leis.
3. É vedado à Tencent:
a. vender ou compartilhar os Dados Pessoais; b. reter, utilizar ou divulgar os Dados Pessoais para qualquer outra finalidade que não seja a finalidade específica de prestar os Serviços; c. reter, utilizar ou divulgar os Dados Pessoais fora do relacionamento de negócios direto entre a Tencent e a Organização; e d. combinar os Dados Pessoais recebidos da Organização, ou em nome dela, com quaisquer Dados Pessoais que possam ser coletados de interações separadas da Tencent com os indivíduos aos quais os Dados Pessoais se referem ou de quaisquer outras fontes, salvo na medida permitida pelas Leis de privacidade dos EUA. Para os fins desta seção da Lei de privacidade dos EUA, “Vender”, “Compartilhar” e outros termos análogos terão os significados atribuídos a eles segundo as Leis de privacidade dos EUA.
Macau
1. A indicação da Tencent como Processador, bem como a indicação de subprocessadores quando (e conforme) permitido neste Contrato, deverá ser notificada pela Empresa ao escritório de proteção de dados local (GPDP - Gabinete para a Proteção de Dados Pessoais).
2. A Tencent terá o direito de solicitar razoavelmente à Empresa que forneça comprovação de conformidade com uma instrução das leis relevantes de proteção de dados de Macau, inclusive a notificação na seção 1 acima.
3. A organização informará expressamente à Tencent, por escrito, em caso de processamento de dados confidenciais, conforme definido no artigo 7º da Lei de Proteção de Dados de Macau (Lei n° 8/2005), e garantirá o cumprimento dos requisitos específicos previstos na lei de proteção de dados de Macau para o processamento desses dados.

Cláusulas de transferência de controlador a processador

Para efeitos do artigo 26º(2) da Diretiva 95/46/CE para a transferência de dados pessoais para processadores estabelecidos em países terceiros que não garantam um nível adequado de proteção de dados:
Nome da empresa exportadora de dados: esta é a Empresa que celebrou o Contrato ou, se o Contrato for celebrado com uma pessoa que não esteja agindo em nome de uma Empresa, essa pessoa.
(o “exportador de dados”)
E
Nome da empresa de importação de dados: a entidade contratante especificada na seção 1.2 dos Termos de serviço.
(o “importador de dados”)
cada um representando uma “parte”; juntos “as partes”,
CONCORDARAM com as seguintes Cláusulas contratuais (as “Cláusulas”) a fim de assegurar as salvaguardas adequadas com relação à proteção da privacidade e dos direitos e liberdades fundamentais das pessoas quando da transferência pelo exportador de dados para o importador, dos dados pessoais especificados no Apêndice 1.

Definições

Para efeito das Cláusulas:
a. “dados pessoais”, “categorias especiais de dados”, “processo/processamento”, “controlador”, “processador”, “titular dos dados”; e “autoridade supervisora”; terão o mesmo significado da Diretiva 95/46/CE do Parlamento Europeu e do Conselho de 24 de Outubro de 1995 sobre a proteção de pessoas no que diz respeito ao processamento de dados pessoais e à livre circulação de tais dados; b. “o exportador de dados” refere-se ao controlador que transfere os dados pessoais; c. “o importador de dados” refere-se ao processador que concorda em receber do exportador de dados os dados pessoais destinados ao processamento em seu nome após a transferência de acordo com suas instruções e os termos das Cláusulas e que não está sujeito ao sistema de outro país, garantindo proteção adequada dentro da interpretação do artigo 25°(1) da Diretiva 95/46/CE; d. “o subprocessador” refere-se a qualquer processador contratado pelo importador de dados ou por qualquer outro subprocessador do importador de dados que concorde em receber do importador de dados ou de qualquer outro subprocessador do importador de dados, os dados pessoais exclusivamente destinados a atividades de processamento a serem realizadas em nome do exportador de dados após a transferência de acordo com suas instruções, os termos das Cláusulas e os termos do subcontrato por escrito; e. “a lei de proteção de dados em vigor” refere-se à legislação que protege os direitos e liberdades fundamentais das pessoas e, em particular, seu direito à privacidade no que diz respeito ao processamento de dados pessoais aplicável a um controlador de dados no Estado-membro em que o exportador de dados está estabelecido; f. “medidas de segurança técnicas e organizacionais” refere-se a essas medidas destinadas a proteger dados pessoais contra a destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso não autorizados, em particular, quando o processamento envolve a transmissão de dados através de uma rede e contra todas as outras formas ilegais de processamento.

Detalhes da transferência

Os detalhes da transferência e, em particular, as categorias especiais dos dados pessoais quando aplicável, estão especificados no Apêndice 1 que é parte integral das Cláusulas.

Cláusula de beneficiário de terceiros

1. O titular dos dados pode aplicar contra o exportador de dados esta cláusula, as cláusulas 4(b) a 4(i), as cláusulas 5(a) a 5(e) e 5(g) a 5(j), as cláusulas 6.1 e 6.2, cláusula 7, cláusula 8.2 e cláusulas 9 a 12 como beneficiário de terceiros.
2. O titular dos dados pode aplicar contra o importador de dados esta Cláusula, as cláusulas 5(a) a 5(e) e 5(g), a Cláusula 6, a Cláusula 7, a Cláusula 8.2 e as Cláusulas 9 a 12, nos casos em que o exportador de dados tenha desaparecido factualmente ou deixado de existir em lei, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados por contrato ou por operação da lei, que como resultado do qual assuma os direitos e obrigações do exportador de dados e, nesse caso, o titular dos dados pode aplicá-las contra a tal entidade.
3. O titular dos dados pode aplicar contra o subprocessador esta Cláusula, as Cláusulas 5(a) a 5(e) e 5(g), a Cláusula 6, a Cláusula 7, a Cláusula 8.2 e as Cláusulas 9 a 12, nos casos em que tanto o exportador de dados quanto o importador de dados tenham desaparecido factualmente ou deixado de existir em lei ou tenham se tornado insolventes, a menos que alguma entidade sucessora tenha assumido todas as obrigações legais do exportador de dados por contrato ou operação da lei e que, como resultado disso, assuma todos os direitos e obrigações do exportador de dados, em cujo caso o titular dos dados pode aplicar as cláusulas contra a entidade. Essa responsabilidade de terceiros do subprocessador será limitada às suas próprias operações de processamento segundo os termos das Cláusulas.
4. As partes não se opõem a um titular de dados que seja representado por uma associação ou outro órgão se o titular dos dados assim o desejar expressamente e se permitido por legislação nacional.

Obrigações do exportador de dados

O exportador de dados concorda e garante:
a. que o processamento, incluindo a própria transferência, dos dados pessoais tem sido e continuará sendo executado de acordo com as disposições relevantes da lei aplicável de proteção de dados (e, onde aplicável, tem sido notificado às autoridades relevantes do Estado-membro onde o exportador de dados está estabelecido) e não viola as disposições relevantes daquele Estado; b. que instruiu e que durante toda a duração dos serviços de processamento de dados pessoais instruirá o importador de dados a processar os dados pessoais transferidos apenas em nome do exportador de dados e de acordo com a lei de proteção de dados aplicável e as Cláusulas; c. que o importador de dados fornecerá garantias suficientes com respeito às medidas técnicas e organizacionais especificadas no Apêndice 2 deste contrato; d. que após a avaliação dos requisitos da lei de proteção de dados aplicável, as medidas de segurança são adequadas para proteger os dados pessoais contra destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso não autorizados, em particular quando o processamento envolve a transmissão de dados através de uma rede e contra todas as outras formas ilícitas de processamento, e que essas medidas garantem um nível de segurança adequado aos riscos apresentados pelo processamento e a natureza dos dados a serem protegidos tendo em conta o estado da arte e o custo de sua implementação; e. que se certificará do cumprimento das medidas de segurança; f. que, se a transferência envolver categorias especiais de dados, o titular dos dados terá sido informado ou será informado antes, ou o mais breve possível, da transferência de que seus dados poderiam ser transmitidos para um país terceiro que não fornece proteção adequada na acepção da Diretiva 95/46/CE; g. que encaminhará qualquer notificação recebida do importador de dados ou qualquer subprocessador nos termos da Cláusula 5(b) Cláusula 8.3 à autoridade supervisora de proteção de dados se o exportador de dados decidir continuar a transferência ou suprimir a suspensão; h. disponibilizar aos titulares dos dados, mediante solicitação, uma cópia das Cláusulas, com exceção do Apêndice 2, e uma descrição resumida das medidas de segurança, bem como uma cópia de qualquer contrato para serviços de subprocessamento que tenha de ser feito de acordo com as Cláusulas, a menos que as Cláusulas ou o contrato contenham informações comerciais, em cujo caso, poderá remover tais informações comerciais; i. que, em caso de subprocessamento, a atividade de processamento será realizada de acordo com a Cláusula 11 por um subprocessador que forneça pelo menos o mesmo nível de proteção para os dados pessoais e os direitos do titular dos dados como importador de dados segundo as Cláusulas; e j. que se certificará do cumprimento das Cláusulas 4(a) a 4(i).

Obrigações do importador de dados

O importador de dados concorda e garante que:
a. processará os dados pessoais apenas em nome do exportador de dados e em conformidade com suas instruções e as Cláusulas; se não puder fornecer tal conformidade por quaisquer razões, concorda em informar prontamente ao exportador de dados sobre sua incapacidade de cumprir, e que nesse caso o exportador de dados terá o direito de suspender a transferência de dados e/ou de rescindir o contrato; b. não há nenhum motivo para acreditar que a legislação a ele aplicável o impede de cumprir as instruções recebidas do exportador de dados e suas obrigações segundo o contrato e que, no caso de alguma mudança nessa legislação que tenha potencial para um efeito negativo substancial sobre as garantias e as obrigações dispostas nas cláusulas, ele notificará prontamente a alteração ao exportador de dados tão logo tenha ciência, em cujo caso o exportador de dados terá o direito de suspender a transferência de dados e/ou rescindir o contrato; c. implementou as medidas de segurança técnicas e organizacionais especificadas no Apêndice 2 antes de processar os dados pessoais transferidos; d. que notificará prontamente o exportador de dados sobre:
qualquer pedido legalmente vinculativo para a divulgação dos dados pessoais por uma autoridade policial, a menos que seja proibido de outra forma, como uma proibição sob a lei penal de preservar a confidencialidade de uma investigação policial,
qualquer acesso acidental ou não autorizado, e
qualquer solicitação recebida diretamente dos titulares dos dados sem responder a essa solicitação, a menos que tenha sido autorizada a fazê-lo;
e. lidar de forma rápida e adequada com todas as consultas do exportador de dados relativas ao seu processamento dos dados pessoais sujeitos à transferência e acatar o conselho da autoridade supervisora no que diz respeito ao processamento dos dados transferidos; f. a pedido do exportador de dados, apresentar suas instalações de processamento de dados para auditoria das atividades de processamento abrangidas pelas Cláusulas que serão realizadas pelo exportador de dados ou um órgão de inspeção composto por membros independentes e em posse das qualificações profissionais exigidas vinculadas a um dever de confidencialidade, selecionado pelo exportador de dados, quando aplicável, de acordo com a autoridade supervisora; g. disponibilizar ao titular dos dados, mediante solicitação, uma cópia das Cláusulas ou de qualquer contrato existente para subprocessamento, exceto se as Cláusulas ou o contrato contiverem informações comerciais, em cujo caso poderá remover essas informações comerciais, exceto o Apêndice 2, que será substituído por uma descrição resumida das medidas de segurança nos casos em que o titular dos dados não puder obter uma cópia do exportador de dados; h. que, em caso de subprocessamento, terá informado previamente o exportador de dados e obtido seu consentimento prévio por escrito; i. que os serviços de processamento pelo subprocessador serão realizados de acordo com a Cláusula 11; j. enviará prontamente uma cópia de qualquer contrato de subprocessador que concluir segundo as Cláusulas ao exportador de dados.

Responsabilidade

1. As partes concordam que qualquer titular dos dados que tenha sofrido danos como resultado de qualquer violação das obrigações referidas na Cláusula 3 ou na Cláusula 11, por qualquer parte ou subprocessador, tem direito a receber indenização do exportador de dados pelos danos sofridos.
2. Se um titular de dados não for capaz de apresentar um pedido de indenização de acordo com a Cláusula 6.1 contra o exportador de dados, decorrente de uma violação pelo importador de dados ou seu subprocessador de qualquer uma de suas obrigações referidas na Cláusula 3 ou na Cláusula 11, porque o exportador de dados realmente desapareceu ou deixou de existir em lei ou se tornou insolvente, o importador de dados concorda que o titular dos dados pode emitir uma reclamação contra o importador de dados como se fosse o exportador de dados, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados por contrato ou operação de lei, em cujo caso o titular dos dados pode impor seus direitos contra tal entidade. O importador de dados não poderá contar com uma violação por um subprocessador de suas obrigações, a fim de evitar suas próprias responsabilidades.
3. Se um titular dos dados não conseguir apresentar uma ação judicial contra o exportador de dados ou o importador de dados referidos nas Cláusulas 6.1 e 6.2, decorrente de uma violação cometida pelo subprocessador de qualquer uma de suas obrigações referidas na Cláusula 3 ou na Cláusula 11 porque tanto o exportador de dados quanto o importador de dados desapareceram factualmente ou deixaram de existir em lei ou se tornaram insolventes, o subprocessador concorda que o titular dos dados poderá registrar uma ação judicial contra o subprocessador dos dados com relação às suas próprias operações de processamento segundo as Cláusulas como se fosse o exportador de dados ou o importador dos dados, exceto se uma entidade sucessora tiver assumido inteiramente as obrigações legais do exportador de dados ou do importador de dados por contrato ou por cumprimento da lei, em cujo caso o titular dos dados poderá aplicar seus direitos contra essa entidade. A responsabilidade do subprocessador será limitada às suas próprias operações de processamento segundo as Cláusulas.

Mediação e jurisdição

1. O importador de dados concorda que se o titular dos dados invocar contra ele direitos de beneficiário de terceiros e/ou reivindicar indenização por danos segundo os termos das Cláusulas, o importador de dados aceitará a decisão do titular dos dados:
a. de encaminhar a disputa à mediação, por pessoa independente ou, quando aplicável, pela autoridade supervisora; b. de encaminhar a disputa aos tribunais do Estado-Membro ao qual o exportador de dados pertence.
2. As partes concordam que a escolha feita pelo titular dos dados não prejudicará seus direitos substantivos ou processuais de buscar recursos de acordo com outras disposições do direito nacional ou internacional.

Cooperação com autoridades de controle

1. O exportador de dados concorda em depositar uma cópia deste contrato para a autoridade de controle se assim o solicitar ou se tal depósito for exigido pela lei de proteção de dados aplicável.
2. As partes concordam que a autoridade de controle têm o direito de realizar uma auditoria no importador de dados e em qualquer subprocessador que tenha o mesmo escopo e esteja sujeito às mesmas condições que se aplicariam a uma auditoria do exportador de dados segundo a lei de proteção de dados aplicável.
3. O importador de dados informará prontamente ao exportador de dados sobre a existência de legislação aplicável a ele ou a qualquer subprocessador que impeça a realização de uma auditoria no importador de dados, ou qualquer sub processador, nos termos da Cláusula 8.2. Nesse caso, o exportador de dados terá o direito de tomar as medidas previstas na Cláusula 5(b).

Lei aplicável

As Cláusulas serão regidas pela lei do Estado-Membro ao qual o exportador de dados pertence.

Variação do contrato

As partes comprometem-se a não alterar nem modificar as Cláusulas. Isso não impede que as partes adicionem cláusulas sobre questões relacionadas aos negócios, quando necessárias, desde que não contradigam as Cláusulas.

Subprocessamento

1. O importador de dados não subcontratará nenhuma de suas operações de processamento realizadas em nome do exportador de dados segundo as Cláusulas sem o consentimento prévio por escrito do exportador de dados. Quando o importador de dados subcontratar suas obrigações segundo as Cláusulas, com o consentimento do exportador de dados, ele o fará apenas por meio de um acordo por escrito com o subprocessador que impõe as mesmas obrigações ao subprocessador que são impostas ao importador de dados nos termos das Cláusulas. Quando o sub processador deixar de cumprir suas obrigações de proteção de dados segundo o tal acordo por escrito, o importador de dados permanecerá totalmente sujeito ao exportador de dados quanto ao desempenho das obrigações do subprocessador segundo o tal acordo.
2. O contrato prévio por escrito entre o importador de dados e o subprocessador também prevê uma cláusula de beneficiário de terceiros, conforme estabelecido na Cláusula 3 para os casos em que o titular dos dados não possa apresentar o pedido de indenização referido na Cláusula 6.1 contra o exportador de dados ou o importador de dados porque eles desapareceram factualmente ou deixaram de existir em lei ou se tornaram insolventes e se nenhuma entidade sucessora tiver assumido toda a obrigação legal do exportador de dados ou importador de dados por contrato ou por operação de lei. Essa responsabilidade de terceiros do subprocessador será limitada às suas próprias operações de processamento segundo os termos das Cláusulas.
3. As disposições relativas aos aspectos de proteção de dados para o subprocessamento do contrato referido na Cláusula 11.1 serão regidas pela lei do Estado-Membro ao qual o exportador de dados pertence.
4. O exportador de dados manterá uma lista de contratos de subprocessamento celebrados nos termos das Cláusulas e notificados pelo importador de dados nos termos da Cláusula 5(j), que será atualizada pelo menos uma vez por ano. A lista estará disponível para a autoridade supervisora de proteção de dados do exportador de dados.

Obrigação após o término dos serviços de processamento de dados pessoais

1. As partes concordam que, no término da prestação de serviços de processamento de dados, o importador de dados e o subprocessador devolverão, à escolha do exportador de dados, todos os dados pessoais transferidos e as cópias deles ao exportador de dados ou destruirão todos os dados pessoais e certificarão ao exportador de dados que o fez, a menos que a legislação imposta ao importador de dados impeça que ele devolva ou destrua todo ou parte dos dados pessoais transferidos. Nesse caso, o importador de dados garante que garantirá a confidencialidade dos dados pessoais transferidos e deixará de processar ativamente os dados pessoais transferidos.
2. O importador de dados e o subprocessador garantem que, mediante solicitação do exportador de dados e/ou da autoridade supervisora, submeterá suas instalações de processamento de dados a uma auditoria das medidas referidas na Cláusula 12.1.

Apêndice 1

Descrição das transferências (controlador-processador)

Este apêndice faz parte das Cláusulas e deve ser preenchido e assinado pelas partes.
Os Estados-Membros poderão completar ou especificar, de acordo com os seus procedimentos nacionais, quaisquer informações adicionais necessárias que devam estar contidas neste apêndice.
Exportador de dados
O exportador de dados é a Organização conforme definido no Contrato, ou, caso o Contrato tenha sido executado por pessoa que não esteja agindo em nome da Organização, será essa pessoa.
O exportador de dados contratou o importador de dados para fornecer serviços on-line conforme descrito no Contrato.
Importador de dados
O importador de dados é a Tencent, conforme definido no Contrato, principal fornecedor de serviços da Internet com valor agregado. O importador de dados foi contratado pelo exportador de dados para fornecer determinados serviços on-line, como descrito no Contrato.
Categorias de dados
Os dados pessoais transferidos dizem respeito às seguintes categorias de dados (especifique):
O Conteúdo carregado pelo Exportador de Dados, ou conforme notificado pelo Exportador de Dados ao Importador de Dados esporadicamente.
Categorias especiais de dados
Os dados pessoais transferidos dizem respeito às seguintes categorias especiais de dados (especifique):
O Conteúdo carregado pelo Exportador de Dados, ou conforme notificado pelo Exportador de Dados ao Importador de Dados esporadicamente.
Operações de processamento
Os dados pessoais transferidos estarão sujeitos às seguintes atividades básicas de processamento (especifique):
O Importador de Dados processará os dados pessoais em apoio às atividades realizadas pelo Exportador de Dados. Em particular, as atividades de processamento do Importador de Dados realizadas sob as instruções e em nome do Exportador de Dados incluem: hospedagem de dados, backup de dados, comunicações, análise de dados, estatísticas, análise, administração de sistemas de TI, realização de pedidos, serviços de suporte, serviços de gerenciamento de funcionários, pagamentos de pedidos de processamento, entrega de comunicações de marketing, promoções e pesquisas, operações, manutenção e hospedagem de software, serviços de tecnologia da informação, incluindo gerenciamento de desktop e rede, monitoramento de sistemas, desenvolvimento de aplicativos e programas, arquivamento, gerenciamento de desastres e restauração de dados.

Apêndice 2

Medidas de Segurança Técnicas e Organizacionais

Implementamos um programa abrangente de privacidade e segurança com a finalidade de proteger seu conteúdo. Este programa inclui o seguinte:
1. Segurança de dados. Projetamos e implementamos as seguintes medidas para proteger os dados do cliente contra acesso não autorizado:
a. normas para categorização e classificação de dados; b. um conjunto de recursos de autenticação e controle de acesso nos níveis físico, de rede, do sistema e do aplicativo; e c. um mecanismo para detectar comportamentos anormais baseados em big data.
2. Segurança da rede. Implementamos regras rigorosas sobre isolamento interno da rede para alcançar o controle de acesso e proteção de fronteiras para redes internas (incluindo redes de escritórios, redes de desenvolvimento, redes de testes e redes de produção) por meio de isolamento físico e lógico.
3. Segurança física e ambiental. Rigorosos controles de infraestrutura e acesso ao ambiente foram implementados para os data centers da Tencent Cloud com base em requisitos relevantes de segurança regional. Foi estabelecida uma matriz de controle de acesso, com base nos tipos de funcionários do data center e seus respectivos privilégios de acesso, para garantir uma gestão e controle efetivos de acesso e operações feitos pelo pessoal do data center.
4. Gerenciamento de incidentes. Realizamos monitoramento de serviços ativo e em tempo real, juntamente com um mecanismo de manuseio e resposta rápida que permite pronta descoberta e manuseio de incidentes de segurança.
5. Cumprimento das normas. Cumprimos as normas relacionadas em nossa página do Compliance Center e atualizadas de tempos em tempos.
Esta página foi útil?
Você também pode entrar em contato com a Equipe de vendas ou Enviar um tíquete em caso de ajuda.
Sim
Não

comentários