Novo: Painel de informação da empresa. Saiba mais
Close Video
Close Form

Insira o URL do website

Alteração do processamento de dados

Introdução à presente Emenda

O processamento de dados pessoais de forma segura, justa, e transparente é extremamente importante para nós em TaxDome. Como parte deste esforço, nós  processamos dados pessoais de acordo com a UE e com as  leis de proteção de dados incluindo a UE e o Regulamento Geral de Protecção de Dados («RGPD»), e a Lei de Proteção de Dados do Reino Unido de 2018 até à extensão aplicável. Nós também processamos dados pessoais de acordo com leis de proteção de dados de países terceiros que regem o tratamento de vários tipos de dados pessoais, incluindo a Lei da Privacidade do Consumidor da Califórnia («CCPA»), Lei da Portabilidade do Seguro de Saúde e Responsabilidade («HIPAA»), e conformidade da indústria de cartões de pagamento («PCI»).

Para proteger melhor os indivíduos e os seus dados pessoais, nós estamos a fornecer estes termos a governar TaxDome e o seu tratamento de dados pessoais (a «Alteração do processamento de dados» ou «APD»). Esta APD faz parte de, e altera os Termos de Serviço («TdS») e não requer ação adicional sobre a sua parte.

Se não concordar com esta APD, poderá descontinuar a utilização do  serviço TaxDome e cancelar a sua conta.

Definições

É importante  que todas as partes compreendam que data e de quem está protegida dentro deste APD. Cada parte tem obrigações respetivas para proteger dados pessoais; portanto, as definições seguintes explicam o âmbito desta APD e os compromissos mútuos para proteger dados pessoais.

«TaxDome», «nós»«nós», ou  «nosso(a)» refere-se ao  fornecedor de website e serviços TaxDome, (coletivamente referidos a as o « Serviços TaxDome. »).

Você»ou Cliente» refere-se à empresa ou organização que se inscreve para utilizar o Serviço TaxDome para gerir as relações com os seus consumidores ou utilizadores do serviço.

«Parte» refere-se a TaxDome e/ou ao cliente dependendo do contexto.

Funcionários» refere-se aos indivíduos que são funcionários ou que estão sob contrato para executar um serviço em nome de uma das partes. Os funcionários podem ter direitos sobre os seus dados pessoais (incluindo informações de contacto comercial) se residirem na UE. É importante ser claro sobre a forma como os direitos dos funcionários são protegidos.

«Subprocessador» é a Terceiros, contratados independentes, vendedores e fornecedores que fornecem serviços e produtos específicos relacionados para o site de TaxDome e os nossos serviços, como hospedagem, processamento de cartão de crédito e triagem de fraude e hospedagem de lista de e-mails («de terceiros» ou «contratante externo» deve ter significados semelhantes).

Incidente» significa: (a) um reclamação ou um pedido relativo ao exercício dos direitos de um indivíduo ao abrigo da RDPB; (b) uma investigação ou apreensão dos dados pessoais por funcionários governamentais, ou uma indicação específica de que tal investigação ou apreensão é iminente; ou ©  qualquer violação da segurança e/ou confidencialidade, tal como estabelecido na presente APD, que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos dados pessoais, ou qualquer indicação de que tal violação tenha ocorrido ou esteja prestes a ocorrer.

Os termos, «sujeito dos Dados», «Dados pessoais», «Estado Membro», «Controlador» , «Processador», e «Processamento» terão o mesmo significado em o RGPD, e os seus termos cognatos serão interpretados em conformidade.

‘Lei de Proteção de Dados’ significa toda a legislação aplicável relativa à proteção de dados e privacidade, incluindo, sem limitação, o RGPD, juntamente com quaisquer leis nacionais de implementação em qualquer Estado Membro da União Europeia ou, para na medida aplicável, em qualquer outro país, conforme alterado, revogado, consolidado ou substituído de tempos em tempos 

«SCCs» refere-se às cláusulas contratuais padrão para processadores como aprovadas por a Comissão Europeia ou Autoridade Federal de Proteção de Dados da Suíça (conforme aplicável).

Para facilitar a leitura de , não usamos iniciais letras maiúsculas de termos definidos em este APD. Termos definidos são termos definidos, independentemente do seu formato.

  • 1. Compromissos relativos a dados pessoais

    • Cada parte concorda que os dados pessoais devem ser tratados como informações confidenciais sob este APD. Além disso, cada parte deverá sempre cumprir as leis aplicáveis relacionadas a proteção de dados na jurisdição relevante em relação aos seus dados pessoais.
    • Os Dados Pessoais permanecerão propriedade de a parte divulgadora. TaxDome reconhece que o cliente é o controlador e mantém o controle sobre os dados pessoais do titular dos dados.
    • A TaxDome processará os dados pessoais do cliente apenas na medida estritamente necessária para a prestação dos serviços de acordo com os TdS e quaisquer outras instruções escritas do cliente que sejam mutuamente acordadas por escrito. Os detalhes do tratamento de dados pessoais, tal como exigido pelo artigo 28(3) RGPD, são apresentados no Anexo B. A TaxDome concorda com isso:
      • isto implementará e manterá um programa de segurança razoável e adequado, incluindo medidas de segurança, técnicas e organizacionais adequadas para proteger contra processamento não autorizado, ilegal ou acidental, utilização, apagamento, perda ou destruição de, ou danos nos dados pessoais dos clientes;
      • isto não modificará, alterará, apagará, publicará ou divulgará quaisquer dados pessoais do cliente a terceiros, nem permitirá que terceiros processem tais dados pessoais em nome da TaxDome, a menos que o terceiro esteja vinculado a disposições semelhantes de confidencialidade e tratamento de dados;
      • Deve assegurar que o acesso aos dados pessoais seja limitado ao pessoal que necessite desse acesso para cumprir as suas obrigações ao abrigo dos TdS, e ao seu pessoal envolvido no ;o tratamento de dados pessoais é informado da natureza confidencial dos dados pessoais, recebeu formação adequada sobre as suas responsabilidades e executou acordos de confidencialidade escritos. TaxDome deve assegurar que tais obrigações de confidencialidade sobrevivam à cessação do compromisso do pessoal; e
      • só processará os dados pessoais do cliente na medida necessária para cumprir as suas obrigações nos termos da TdS, mediante instruções escritas do cliente (apenas conforme acordado mutuamente), e em conformidade com as leis aplicáveis.
    • Após o encerramento da sua conta, a TaxDome apagará, ou a pedido do cliente, devolverá todos os dados pessoais de acordo com a nossa política padrão de salvaguarda e retenção de dados de acordo com os TdS, normalmente, o mais tardar 90 dias, a menos que sejamos obrigados a reter dados pessoais devido à legislação da União, dos Estados Membros ou dos Estados Unidos; neste caso, a TaxDome reserva-se o direito de reter dados pessoais.
    • As partes reconhecem que os clientes podem, de tempos a tempos, estar na posse de dados pessoais relacionados com o pessoal de TaxDome no âmbito da utilização do Serviço TaxDome. TaxDome garante que forneceu a esse pessoal todas as notificações necessárias e obteve todos os consentimentos, autorizações, aprovações e/ou acordos necessários, conforme exigido por qualquer lei aplicável, a fim de permitir: (i) a divulgação dos dados pessoais do pessoal de TaxDome ao cliente relacionados com a utilização do Serviço TaxDome pelo cliente; e (ii) o processamento posterior de tais dados pessoais de TaxDome pelo cliente para efeitos de utilização do Serviço TaxDome.
  • 2. Compromissos relativos aos sub-processadores

    • As partes reconhecem que TaxDome pode contratar sub-processadores de terceiros em ligação com as obrigações da TdS. Para qualquer sub-processador com o qual TaxDome se comprometa, celebraremos um acordo escrito contendo obrigações de proteção de dados não menos protetoras do que as constantes da presente emenda e conforme necessário para proteger os dados pessoais do cliente de acordo com o padrão exigido pela RGPD
    • A TaxDome deve disponibilizar aos clientes a lista actual de sub-processadores, colocando essa lista online em https://www.taxdome.com/policies/sub-processors/.
    • Para evitar dúvidas, a autorização acima referida para a contratação de sub-processadores constitui o consentimento prévio por escrito do cliente para o sub-processamento pela TaxDome para efeitos da cláusula 9 das cláusulas contratuais-tipo.
  • 3. Compromisos dos clientes e assistência TaxDome

    • O cliente garante que tem todos os direitos necessários para fornecer a TaxDome os dados pessoais a tratar no âmbito da prestação dos serviços de TaxDome.
    • Na medida exigida pela lei aplicável, o cliente é responsável por assegurar que quaisquer consentimentos do titular dos dados que possam ser necessários a este tratamento sejam obtidos, e por assegurar que seja mantido um registo de tais consentimentos, incluindo qualquer consentimento para a utilização de dados pessoais que sejam obtidos de terceiros. Se tal consentimento for revogado por um titular dos dados, o cliente é responsável por comunicar o facto de tal revogação a TaxDome, e TaxDome permanece responsável pela implementação de qualquer instrução do cliente com respeito ao tratamento posterior desses dados pessoais, ou, como pode estar de acordo com qualquer das obrigações legais de TaxDome.
    • O cliente compreende, como controlador, que é responsável (como entre cliente e TaxDome) por:
      • determinação da licitude de qualquer processamento, realização de quaisquer avaliações de impacto de protecção de dados necessárias, e contabilidade aos reguladores e indivíduos, conforme seja necessário;
      • fazer esforços razoáveis para verificar o consentimento parental quando os dados são recolhidos sobre uma pessoa com menos de 16 anos de idade;
      • fornecer às pessoas em causa as advertências relevantes em matéria de privacidade que possam ser exigidas na sua jurisdição, incluindo a notificação dos seus direitos e fornecer os mecanismos para o exercício desses direitos pelos indivíduos;
      • respondendo a pedidos de indivíduos sobre os seus dados e o processamento dos mesmos, incluindo pedidos de alteração, correção ou eliminação de dados pessoais, e fornecendo cópias dos dados efectivamente processados;
      • implementar as suas próprias medidas técnicas e organizacionais adequadas para assegurar e demonstrar o processamento de acordo com esta APD;
      • notificar indivíduos e quaisquer reguladores ou autoridades relevantes de qualquer incidente que possa ser exigido por lei na sua jurisdição.
    • TaxDome prestará assistência ao cliente através da implementação de medidas técnicas e organizacionais adequadas, na medida em que tal seja razoável e comercialmente possível, no cumprimento das obrigações do cliente de responder aos pedidos dos indivíduos para o exercício de direitos ao abrigo do RGPD.
    • TaxDome deve prestar assistência ao cliente através da implementação de medidas técnicas e organizacionais adequadas, na medida em que tal seja razoável e comercialmente possível, para assegurar o cumprimento dos artigos 32º a 36º (inclusive) do RGPD.
    • Numa base anual, a TaxDome irá obter uma auditoria independente da sua base de códigos e sistemas por terceiros independentes para demonstrar o cumprimento das suas obrigações ao abrigo deste APD. A pedido do cliente, e sujeito a obrigações de confidencialidade, a TaxDome disponibilizará ao cliente as informações razoavelmente necessárias para demonstrar o cumprimento das obrigações da TaxDome ao abrigo deste APD. No mínimo, mediante pedido escrito, a TaxDome apresentará ao cliente um resumo executivo de quaisquer relatórios de auditoria de terceiros relativamente à adequação das medidas de segurança técnica da TaxDome, conforme descrito em Política de segurança.
  • 4. Gestão de Incidentes

    • Quando uma das partes tomar conhecimento de um incidente que tenha impacto no processamento de dados pessoais, notificará prontamente a outra sobre o incidente e cooperará razoavelmente para permitir à outra parte efectuar uma investigação exaustiva do incidente, formular uma resposta correcta, e tomar as medidas adicionais adequadas em relação ao incidente.
    • Ambas as partes devem ter sempre em vigor procedimentos escritos que lhes permitam responder prontamente à outra parte sobre um incidente. Quando for razoavelmente provável que o incidente exija uma notificação de violação de dados ao abrigo da legislação aplicável, a parte responsável pelo incidente notificará a outra sem demora injustificada de ter tomado conhecimento de tal incidente.
    • Quaisquer notificações feitas ao abrigo desta secção devem ser feitas a privacy@taxdome. Com (quando feitas à TaxDome) e ao nosso ponto de contacto com o cliente (quando feitas ao cliente), e devem conter: (i) uma descrição da natureza do incidente, incluindo, sempre que possível, as categorias e o número aproximado de indivíduos envolvidos e as categorias e o número aproximado de registos em causa; (ii) o nome e os dados de contacto do ponto de contacto onde mais informações podem ser obtidas; (iii) uma descrição das prováveis consequências do incidente; e (iv) uma descrição das medidas tomadas ou propostas para resolver o incidente, incluindo, sempre que apropriado, medidas para mitigar os seus possíveis efeitos adversos.
  • 5. Responsabilidade Civil e Indemnização

    • A responsabilidade de cada parte perante a outra parte ao abrigo ou em ligação com esta APD será limitada de acordo com as disposições dos TdS.
    • O cliente reconhece que a TaxDome confia no cliente para orientação quanto à medida em que a TaxDome tem o direito de processar os dados pessoais do cliente em nome do cliente na execução dos serviços. Consequentemente, a TaxDome não será responsável, ao abrigo dos mesmos, por qualquer reclamação apresentada por um sujeito dos dados resultante de qualquer acção ou omissão da TaxDome, na medida em que tal acção ou omissão tenha resultado das instruções do cliente ou do incumprimento por parte do cliente das suas obrigações ao abrigo da lei de proteção de dados aplicável.
  • 6. Duração e Rescisão

    • Esta APD entrará em vigor em 1 de Janeiro de 2022 e continuará até que seja alterada ou terminada de acordo com os TdS.
    • Termination or expiration of this DPA shall not discharge the parties from the confidentiality obligations herein.
  • 7. Transferências internacionais de dados

    • Data center locations. Customer acknowledges that TaxDome may transfer and process personal data to and in the United States and anywhere else in the world where TaxDome, its affiliates or its sub-processors maintain data processing operations. TaxDome shall at all times ensure that such transfers are made in compliance with the requirements of Data Protection Laws.
    • European Data transfers. To the extent that TaxDome is a recipient of personal data protected by EU Data Protection Laws («EU Data»), the parties agree that TaxDome makes available the mechanisms listed below:
      • SCCs: TaxDome agrees to abide by and process EU Data in compliance with the SCCs, which are incorporated in full by reference and form an integral part of this DPA. For the purposes of the SCCs:
        • TaxDome agrees that it is the «data importer» and customer is the «data exporter» under the SCCs (notwithstanding that customer may itself be an entity located outside the EU);
        • Annex B includes the SCCs and related appendices The parties further agree that the SCCs will apply to personal data that is transferred via the Service from Europe to outside Europe, either directly or via onward transfer, to any country or recipient: (a) not recognized by the European Commission as providing an adequate level of protection for personal data (as described in the EU Data Protection Law)
      • If and to the extent the Standard Contractual Clauses (where applicable) conflict with any provision of this DPA, the Standard Contractual Clauses shall prevail to the extent of such conflict.

Anexo A — Termos Específicos de Jurisdição

Brasil

  • Upon the entry into force of the Brazil’s General Data Protection Law, Lei Geral de Proteção de Dados («LGPD») the following will apply: each party is responsible to fulfill its respective obligations set out in the LGPD, and Customer will only issue Processing instructions, as set forth in Section 1 (Undertakings regarding personal data) of the DPA, that enable TaxDome to fulfill its LGPD obligations. For the purpose of Section 7 (International Data Transfers), the Standard Contractual Clauses will be used for transfers to Non-Adequate Countries as per the GDPR.

Califórnia

  • The definitions of: «controller» includes «Business»; «processor» includes «Service Provider»; «data subject» includes «Consumer»; «personal data» includes «Personal Information»; in each case as defined under CCPA.
  • «Process,» «Processed» or «Processing» means any operation or set of operations which is performed on Personal Information, or on sets of Personal Information, whether or not by automated means.
  • TaxDome’s obligations regarding data subject requests, as described in Section 3(d) and 3(e) (data subject rights and cooperation) of this DPA, apply to Consumer’s rights under the CCPA.
  • Não obstante qualquer coisa em contrário, a Informação Pessoal do Cliente é a Informação Pessoal que a TaxDome processa em nome do Cliente ao abrigo do Contrato. A TaxDome pode processar as Informações Pessoais do Cliente com a única finalidade de cumprir as suas obrigações nos termos do Contrato e não deverá utilizar as Informações Pessoais do Cliente para qualquer outro fim sem o consentimento expresso por escrito do Cliente. Em particular, a TaxDome não poderá: (i) vender, como é definido na CCPA, Informações Pessoais do Cliente ou partilhar Informações Pessoais do Cliente com terceiros sem a permissão do Cliente; (ii) reter, utilizar ou divulgar Informações Pessoais do Cliente para quaisquer outros fins que não os especificados no presente Contrato, incluindo a retenção, utilização ou divulgação de Informações Pessoais do Cliente para um fim comercial que não seja o de prestar os seus serviços ao Cliente; e (iii) reter, utilizar ou divulgar Informações Pessoais do Cliente fora da relação comercial da TaxDome com o Cliente. As partes reconhecem que qualquer divulgação de Informações Pessoais do Cliente nos termos do Contrato não confere qualquer valor nos termos do Contrato.
  • TaxDome shall comply with all applicable requirements of the CCPA in the performance of its obligations under the Agreement, including implementing and maintaining reasonable security measures appropriate to the nature of the Personal Information, in order to protect Customer Personal Information from unauthorized access, destruction, use, modification, or disclosure. TaxDome undertakes to repair any harm any person may suffer due to Processing performed in violation of its legal, regulatory and contractual obligations, except if TaxDome proves that it is not liable for such harm.
  • TaxDome may de-identify or aggregate personal data as part of performing the Service specified in this DPA and the Agreement.
  • Where sub-processors process the personal data of our customers, TaxDome takes steps to ensure that such sub-processors are Service Providers under the CCPA with whom TaxDome has entered into a written contract that includes terms substantially similar to this DPA or are otherwise exempt from the CCPA’s definition of «sale». TaxDome conducts appropriate due diligence on its sub-processors.

Canadá

  • TaxDome takes steps to ensure that TaxDome’s sub-processors, as described in Section 2 of the DPA, are third parties under PIPEDA, with whom TaxDome has entered into a written contract that includes terms substantially similar to this DPA. TaxDome conducts appropriate due diligence on its sub-processors.
  • TaxDome will implement and maintain reasonable security measures appropriate to the nature of the Personal Information as set forth in Section 1 of the DPA.

Sérvia

  • Law on Personal Data Protection (Zakon o zaštiti podataka o ličnosti; Official Gazette of the Republic of Serbia, no 87/2018).

Reino Unido

  • The Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019, as amended, superseded or replaced, once entering into force, and the UK Data Protection Act 2018.

Anexo B — Cláusulas contratuais padrão (processadores)

Secção 1

Cláusula 1

Finalidade e âmbito

  • The purpose of these standard contractual clauses is to ensure compliance with the requirements of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) for the transfer of personal data to a third country.
  • As Partes:
    • the natural or legal person(s), public authority/ies, agency/ies or other body/ies (hereinafter ‘entity/ies’) transferring the personal data, as listed in Annex I.A (hereinafter each ‘data exporter’), and
    • the entity/ies in a third country receiving the personal data from the data exporter, directly or indirectly via another entity also Party to these Clauses, as listed in Annex I.A (hereinafter each ‘data importer’)
  • concordaram com estas cláusulas contratuais padrão (doravante: ‘Cláusulas’).
  • These Clauses apply with respect to the transfer of personal data as specified in Annex I.B.
  • O apêndice a estas cláusulas contendo os anexos aí referidos é parte integrante destas cláusulas.

Cláusula 2

Efeito e invariabilidade das Cláusulas

  • Estas cláusulas estabelecem salvaguardas apropriadas, incluindo direitos executórios das pessoas em causa e recursos legais eficazes, nos termos do artigo 46(1) e do artigo 46(2)© of Regulamento (UE) 2016/679 e, no que respeita às transferências de dados dos responsáveis pelo tratamento para os processadores e/ou processadores para os processadores, cláusulas contratuais-tipo nos termos do artigo 28(7) do Regulamento (UE) 2016/679, desde que não sejam alteradas, excepto para seleccionar o(s) Módulo(s) apropriado(s) ou para acrescentar ou actualizar informações no Apêndice. Isto não impede as Partes de incluir as cláusulas contratuais-tipo estabelecidas nestas cláusulas num contrato mais amplo e/ou de acrescentar outras cláusulas ou salvaguardas adicionais, desde que não contradigam, directa ou indirectamente, estas cláusulas ou prejudiquem os direitos ou liberdades fundamentais dos titulares dos dados.
  • Estas cláusulas não prejudicam as obrigações a que o exportador de dados está sujeito por  em virtude do Regulamento (UE) 2016/679.

Cláusula 3

Beneficiários Terceiros

  • Data subjects may invoke and enforce these Clauses, as third-party beneficiaries, against the data exporter and/or data importer, with the following exceptions:
    • Clause 1, Clause 2, Clause 3, Clause 6, Clause 7;
    • Cláusula 8.1(b), 8.9(a), ©, (d) e (e);
    • Cláusula 9(a), ©, (d) e (e);
    • Cláusula 12(a), (d) e (f);
    • Cláusula 13;
    • Cláusula 15.1©, (d) e (e);
    • Cláusula 16(e);
    • Cláusula 18 (a) e (b).
  • Paragraph (a) is without prejudice to rights of data subjects under Regulation (EU)2016/679.

Cláusula 4

Interpretação

  • Quando estas cláusulas utilizarem termos definidos no Regulamento (UE) 2016/679, esses termos terão o mesmo significado que no referido Regulamento.
  • These Clauses shall be read and interpreted in the light of the provisions of Regulation (EU) 2016/679.
  • These Clauses shall not be interpreted in a way that conflicts with rights and obligations provided for in Regulation (EU) 2016/679.

Cláusula 5

Hierarquia

In the event of a contradiction between these Clauses and the provisions of related agreements between the Parties, existing at the time these Clauses are agreed or entered into thereafter, these Clauses shall prevail.

Cláusula 6

Descrição de transferência(s)

Os detalhes de a(s) transferência(s) e em em particular as categorias de os dados pessoais que são transferidos e a(s) finalidade(s) para a qual são transferidos estão especificados no Anexo I.B.

Cláusula 7 - Opcional

Cláusula de ancoragem

  • Uma entidade que não faça parte destas cláusulas pode, com o acordo das Partes, aceder a estas cláusulas em qualquer altura, quer como exportador de dados quer como importador de dados, preenchendo o Apêndice e assinando o Anexo I.A.
  • Uma vez concluído o Apêndice e assinado o Anexo I.A, a entidade aderente tornar-se-á Parte nestas cláusulas e terá os direitos e obrigações de um exportador ou importador de dados de acordo com a sua designação no Anexo I.A.
  • A entidade aderente não terá direitos ou obrigações decorrentes destas Cláusulas do período anterior a se tornar uma Parte.

Secção 2— Obrigações das Partes

Cláusula 8

Salvaguardas de proteção de dados

O exportador de dados garante que fez esforços razoáveis para determinar que o importador de dados é capaz, através da implementação de medidas técnicas e organizacionais apropriadas, para cumprir suas obrigações sob estes Cláusulas.

    • Instruções

      • O importador de dados deve processar os dados pessoais apenas em instruções documentadas do exportador de dados. O exportador de dados pode fornecer tais instruções durante o contrato.
      • O importador de dados deve informar imediatamente o exportador de dados se este for incapaz de seguir essas instruções.
    • Limitação da finalidade

      O importador de dados processará os dados pessoais apenas para a(s) finalidade(s) específica(s) de da transferência, conforme estabelecido em Anexo I.B, a menos que em instruções adicionais do exportador de dados.

    • Transparência

      Mediante pedido, o exportador de dados disponibilizará gratuitamente ao interessado uma cópia destas cláusulas, incluindo o apêndice, tal como preenchido pelas Partes. Na medida do necessário para proteger os segredos comerciais ou outras informações confidenciais, incluindo as medidas descritas no Anexo II e os dados pessoais, o exportador de dados poderá redigir parte do texto do Apêndice às presentes cláusulas antes de partilhar uma cópia, mas deverá fornecer um resumo significativo sempre que o titular dos dados não possa, de outro modo, compreender o seu conteúdo ou exercer os seus direitos. Mediante pedido, as Partes fornecerão ao titular dos dados os motivos das redacções, na medida do possível sem revelar a informação redaccionada. Esta cláusula não prejudica as obrigações do exportador de dados nos termos dos artigos 13º e 14º do Regulamento (UE) 2016/679.

    • Precisão

      Se o importador de dados tomar conhecimento de que os dados pessoais que recebeu é inexactos, ou se tornaram desactualizados, este deve informar o exportador de dados sem atraso indevido. In neste caso, o importador de dados deve cooperar com o exportador de dados para apagar ou rectificar os dados.

    • Duração de processamento e eliminação ou devolução de dados

      Processing by the data importer shall only take place for the duration specified in Annex I.B. After the end of the provision of the processing services, the data importer shall, at the choice of the data exporter, delete all personal data processed on behalf of the data exporter and certify to the data exporter that it has done so, or return to the data exporter all personal data processed on its behalf and delete existing copies. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit return or deletion of the personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process it to the extent and for as long as required under that local law. This is without prejudice to Clause 14, in particular the requirement for the data importer under Clause 14(e) to notify the data exporter throughout the duration of the contract if it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under Clause 14(a).

    • Segurança do processamento

      • O importador de dados e, durante a transmissão, também o exportador de dados devem implementar medidas técnicas e organizacionais adequadas para garantir a segurança dos dados, incluindo proteção contra uma quebra de segurança que conduza à destruição acidental ou ilegal, perda, alteração, divulgação ou acesso não autorizado a esses dados (aqui após a violação de dados pessoais). Ao avaliar o nível de segurança adequado, as Partes terão em devida conta; o estado da técnica, os custos de implementação, a natureza, o âmbito, o contexto e a(s) finalidade(s) do tratamento e os riscos envolvidos no tratamento dos dados para as pessoas em causa. As Partes considerarão, nomeadamente, o recurso à codificação ou à pseudonímia, inclusive durante a transmissão, sempre que a finalidade do tratamento possa ser cumprida dessa forma. Em caso de pseudonimização, as informações adicionais para a atribuição dos dados pessoais a uma determinada pessoa em causa permanecerão, sempre que possível, sob o controlo exclusivo do exportador de dados. No cumprimento das suas obrigações nos termos do presente número, o importador de dados aplicará, pelo menos, as medidas técnicas e organizacionais especificadas no Anexo II. O importador de dados deve efetuar controlos regulares para garantir que essas medidas continuem a proporcionar um nível de segurança adequado.
      • O importador de dados só dará acesso aos dados pessoais aos membros do seu pessoal na medida estritamente necessária para a execução, gestão e controlo do contrato. Deve assegurar que as pessoas autorizadas a tratar os dados pessoais se comprometeram a respeitar a confidencialidade ou estão sob uma obrigação legal de confidencialidade apropriada.
      • In the event of a personal data breach concerning personal data processed by the data importer under these Clauses, the data importer shall take appropriate measures to address the breach,including measures to mitigate its adverse effects. The data importer shall also notify the data exporter without undue delay after having become aware of the breach. Such notification shall contain the details of a contact point where more information can be obtained, a description of the nature of the breach (including, where possible, categories and approximate number of data subjects and personal data records concerned), its likely consequences and the measures taken or proposed to address the breach including, where appropriate, measures to mitigate its possible adverse effects. Where, and in so far as, it is not possible to provide all information at the same time, the initial notification shall contain the information then available and further information shall, as it becomes available, subsequently be provided without undue delay.
      • The data importer shall cooperate with and assist the data exporter to enable the data exporter to comply with its obligations under Regulation (EU) 2016/679, in particular to notify the competent supervisory authority and the affected data subjects, taking into account the nature of processing and the information available to the data importer.
    • Dados sensíveis

      Sempre que a transferência envolva dados pessoais que revelem origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, ou filiação sindical, dados genéticos ou dados biométricos para efeitos de identificação única de uma pessoa singular, dados relativos à saúde ou à vida sexual ou orientação sexual de uma pessoa, ou dados relativos a condenações penais e infracções (a seguir designados "dados sensíveis"), o importador de dados aplicará as restrições específicas e/ou salvaguardas adicionais descritas no anexo i. B.

    • Transferências subsequentes

      The data importer shall only disclose the personal data to a third party on documented instructions from the data exporter. In addition, the data may only be disclosed to a third party located outside the European Union (in the same country as the data importer or in another third country, hereinafter ‘onward transfer’) if the third party is or agrees to be bound by these Clauses, , under the appropriate Module, or if:

      • a transferência subsequente é para um país que beneficia de uma decisão de adequação nos termos do artigo 45º do Regulamento (UE) 2016/679 que abrange a transferência subsequente;
      • o terceiro garante de outra forma as salvaguardas adequadas nos termos dos artigos 46º ou 47º do Regulamento (UE) 2016/679 no que diz respeito ao processamento em questão;
      • the onward transfer is necessary for the establishment, exercise or defense of legal claims in the context of specific administrative, regulatory or judicial proceedings; or
      • the onward transfer is necessary in order to protect the vital interests of the data subject or of another natural person.

      Qualquer transferência subsequente está sujeita ao cumprimento pelo importador de dados de todas as outras salvaguardas ao abrigo destas cláusulas, em particular a limitação da finalidade.

    • Documentação e conformidade

      • The data importer shall promptly and adequately deal with enquiries from the data exporter that relate to the processing under these Clauses.
      • The Parties shall be able to demonstrate compliance with these Clauses. In particular, the data importer shall keep appropriate documentation on the processing activities carried out on behalf of the data exporter.
      • The data importer shall make available to the data exporter all information necessary to demonstrate compliance with the obligations set out in these Clauses and at the data exporter’s request, allow for and contribute to audits of the processing activities covered by these Clauses, at reasonable intervals or if there are indications of non-compliance. In deciding on a review or audit, the data exporter may take into account relevant certifications held by the data importer.
      • The data exporter may choose to conduct the audit by itself or mandate an independent auditor. Audits may include inspections at the premises or physical facilities of the data importer and shall, where appropriate, be carried out with reasonable notice.
      • The Parties shall make the information referred to in paragraphs (b) and ©, including the results of any audits, available to the competent supervisory authority on request.

Cláusula 9

Uso de subprocessadores

  • GENERAL WRITTEN AUTHORISATION The data importer has the data exporter’s general authorisation for the engagement of sub-processor(s) from an agreed list. The data importer shall specifically inform the data exporter in writing of any intended changes to that list through the addition or replacement of sub-processors at least ten(10) days in advance, thereby giving the data exporter sufficient time to be able to object to such changes prior to the engagement of the sub-processor(s). The data importer shall provide the data exporter with the information necessary to enable the data exporter to exercise its right to object.
  • Where the data importer engages a sub-processor to carry out specific processing activities (on behalf of the data exporter), it shall do so by way of a written contract that provides for, in substance, the same data protection obligations as those binding the data importer under these ACTIVE/110240378.1 7 Clauses, including in terms of third-party beneficiary rights for data subjects. 1 The Parties agree that, by complying with this Clause, the data importer fulfils its obligations under Clause 8.8. The data importer shall ensure that the sub-processor complies with the obligations to which the data importer is subject pursuant to these Clauses.
  • The data importer shall provide, at the data exporter’s request, a copy of such a sub- processor agreement and any subsequent amendments to the data exporter. To the extent necessary to protect business secrets or other confidential information, including personal data, the data importer may redact the text of the agreement prior to sharing a copy.
  • The data importer shall remain fully responsible to the data exporter for the performance of the sub-processor’s obligations under its contract with the data importer. The data importer shall notify the data exporter of any failure by the sub- processor to fulfil its obligations under that contract.
  • The data importer shall agree a third-party beneficiary clause with the sub-processor whereby — in the event the data importer has factually disappeared, ceased to exist in law or has become insolvent — the data exporter shall have the right to terminate the sub-processor contract and to instruct the sub-processor to erase or return the personal data.

Cláusula 10

Direitos do titular dos dados

  • The data importer shall promptly notify the data exporter of any request it has received from a data subject. It shall not respond to that request itself unless it has been authorized to do so by the data exporter.
  • The data importer shall assist the data exporter in fulfilling its obligations to respond to data subjects’ requests for the exercise of their rights under Regulation (EU) 2016/679. In this regard, the Parties shall set out in Annex II the appropriate technical and organizational measures, taking into account the nature of the processing, by which the assistance shall be provided, as well as the scope and the extent of the assistance required.
  • In fulfilling its obligations under paragraphs (a) and (b), the data importer shall comply with the instructions from the data exporter.

Cláusula 11

Reparação

  • The data importer shall inform data subjects in a transparent and easily accessible format, through individual notice or on its website, of a contact point authorized to handle complaints. It shall deal promptly with any complaints it receives from a data subject.
  • In case of a dispute between a data subject and one of the Parties as regards compliance with these Clauses, that Party shall use its best efforts to resolve the issue amicably in a timely fashion. The Parties shall keep each other informed about such disputes and, where ACTIVE/110240378.1 8 appropriate, cooperate in resolving them.
    • lodge a complaint with the supervisory authority in the Member State of his/her habitual residence or place of work, or the competent supervisory authority pursuant to Clause 13;
    • refer the dispute to the competent courts within the meaning of Clause 18.
  • Where the data subject invokes a third-party beneficiary right pursuant to Clause 3, the data importer shall accept the decision of the data subject to:
  • The Parties accept that the data subject may be represented by a not-for-profit body, organization or association under the conditions set out in Article 80(1) of Regulation(EU) 2016/679.
  • The data importer shall abide by a decision that is binding under the applicable EU or Member State law.
  • The data importer agrees that the choice made by the data subject will not prejudice his/her substantive and procedural rights to seek remedies in accordance with applicable laws.

Cláusula 12

Liability

  • Each Party shall be liable to the other Party/ies for any damages it causes the other Party/ies by any breach of these Clauses.
  • The data importer shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages the data importer or its subprocessor causes the data subject by breaching the third-party beneficiary rights under these Clauses.
  • Notwithstanding paragraph (b), the data exporter shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages the data exporter or the data importer (or its sub-processor) causes the data subject by breaching the third-party beneficiary rights under these Clauses. This is without prejudice to the liability of the data exporter and, where the data exporter is a processor acting on behalf of a controller, to the liability of the controller under Regulation (EU) 2016/679 or Regulation (EU) 2018/1725, as applicable.
  • The Parties agree that if the data exporter is held liable under paragraph © for damages caused by the data importer (or its sub-processor), it shall be entitled to claim back from the data importer that part of the compensation corresponding to the data importer’s responsibility for the damage.
  • Where more than one Party is responsible for any damage caused to the data subject as a result of a breach of these Clauses, all responsible Parties shall be jointly and severally liable and the data subject is entitled to bring an action in court against any of these Parties.
  • The Parties agree that if one Party is held liable under paragraph (e), it shall be entitled to claim back from the other Party/ies that part of the compensation corresponding to its / their responsibility for the damage.
  • The data importer may not invoke the conduct of a sub-processor to avoid its own liability.

Cláusula 13

Supervision

  • Where the data exporter is established in an EU Member State: The supervisory authority with responsibility for ensuring compliance by the data exporter withRegulation (EU) 2016/679 as regards the data transfer, as indicated in Annex I.C, shall act as competent supervisory authority.
    The supervisory authority of the Member State in which the representative within the meaning of Article 27(1) of Regulation (EU) 2016/679 is established, as indicated in Annex I.C, shall act as competent supervisory authority. The supervisory authority of one of the Member States in which the data subjects whose personal data is transferred under these Clauses in relation to the offering of goods or services to them, or whose behavior is monitored, are located, as indicated in Annex I.C, shall act as competent supervisory authority.
  • The data importer agrees to submit itself to the jurisdiction of and cooperate with the competent supervisory authority in any procedures aimed at ensuring compliance with these Clauses. In particular, the data importer agrees to respond to enquiries, submit to audits and comply with the measures adopted by the supervisory authority, including remedial and compensatory measures. It shall provide the supervisory authority with written confirmation that the necessary actions have been taken.

Seção 3— Leis e obrigações locais em caso de acesso por autoridades públicas

Cláusula 14

Local laws and practices affecting compliance with the Clauses

  • The Parties warrant that they have no reason to believe that the laws and practices in the third country of destination applicable to the processing of the personal data by the data importer, including any requirements to disclose personal data or measures authorizing access by public authorities, prevent the data importer from fulfilling its obligations under these Clauses. This is based on the understanding that laws and practices that respect the essence of the fundamental rights and freedoms and do not exceed what is necessary and proportionate in a democratic society to safeguard one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679, are not in contradiction with these Clauses.
  • The Parties declare that in providing the warranty in paragraph (a), they have taken due account in particular of the following elements:
    • the specific circumstances of the transfer, including the length of the processing chain, the number of actors involved and the transmission channels used; intended onward transfers; the type of recipient; the purpose of processing; the categories and format of the transferred personal data; the economic sector in which the transfer occurs; the storage location of the data transferred;
    • the laws and practices of the third country of destination— including those requiring the disclosure of data to public authorities or authorizing access by such authorities — relevant in light of the specific circumstances of the transfer, and the applicable limitations and safeguards;
    • the laws and practices of the third country of destination— including those requiring the disclosure of data to public authorities or authorizing access by such authorities — relevant in light of the specific circumstances of the transfer, and the applicable limitations and safeguards;
  • The data importer warrants that, in carrying out the assessment under paragraph (b), it has made its best efforts to provide the data exporter with relevant information and agrees that it will continue to cooperate with the data exporter in ensuring compliance with these Clauses
  • The Parties agree to document the assessment under paragraph (b) and make it available to the competent supervisory authority on request.
  • The data importer agrees to notify the data exporter promptly if, after having agreed to these Clauses and for the duration of the contract, it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under paragraph (a), including following a change in the laws of the third country or a measure (such as a disclosure request) indicating an application of such laws in practice that is not in line with the requirements in paragraph (a).
  • Following a notification pursuant to paragraph (e), or if the data exporter otherwise has reason to believe that the data importer can no longer fulfill its obligations under these Clauses, the data exporter shall promptly identify appropriate measures (e.g. technical or organizational measures to ensure security and confidentiality) to be adopted by the data exporter and/or data importer to address the situation. The data exporter shall suspend the data transfer if it considers that no appropriate safeguards for such transfer can be ensured, or if instructed the competent supervisory authority to do so. In this case, the data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses. If the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise. Where the contract is terminated pursuant to this Clause, Clause 16(d) and (e) shall apply.

Cláusula 15

Obligations of the data importer in case of access by public authorities

    • Notificação

      • O importador de dados concorda em notificar o exportador de dados e, sempre que possível, o titular dos dados prontamente (se necessário com a ajuda do  exportador de dados) se :
        • receives a legally binding request from a public authority, including judicial authorities, under the laws of the country of destination for the disclosure of personal data transferred pursuant to these Clauses; such notification shall include information about the personal data requested, the requesting authority,the legal basis for the request and the response provided; or
        • becomes aware of any direct access by public authorities to personal data transferred pursuant to these Clauses in accordance with the laws of the country of destination; such notification shall include all information available to the importer.
      • Se o importador de dados estiver proibido de notificar o exportador de dados e/ou a pessoa em causa ao abrigo das leis do país de destino, o importador de dados concorda em envidar os seus melhores esforços para obter uma derrogação à proibição, com vista a comunicar o máximo de informação possível, o mais rapidamente possível. O importador de dados concorda em documentar os seus melhores esforços a fim de poder demonstrá-los a pedido do exportador de dados
      • Where permissible under the laws of the country of destination, the data importer agrees to provide the data exporter, at regular intervals for the duration of the contract, with as much relevant information as possible on the requests received (in particular, number of requests, type of data requested, requesting authority/ies, whether requests have been challenged and the outcome of such challenges, etc.).
      • The data importer agrees to preserve the information pursuant to paragraphs (a) to © for the duration of the contract and make it available to the competent supervisory authority on request.
      • Paragraphs (a) to © are without prejudice to the obligation of the data importer pursuant to Clause 14(e) and Clause 16 to inform the data exporter promptly where itis unable to comply with these Clauses.
    • Review of legality and data minimisation

      • The data importer agrees to review the legality of the request for disclosure, in particular whether it remains within the powers granted to the requesting public authority, and to challenge the request if, after careful assessment, it concludes that there are reasonable grounds to consider that the request is unlawful under the laws of the country of destination, applicable obligations under international law and principles of international comity. The data importer shall, under the same conditions, pursue possibilities of appeal. When challenging a request, the data importer shall seek interim measures with a view to suspending the effects of the request until the competent judicial authority has decided on its merits. It shall not disclose the personal data requested until required to do so under the applicable procedural rules. These requirements are without prejudice to the obligations of the data importer under Clause 14(e).
      • The data importer agrees to document its legal assessment and any challenge to the request for disclosure and, to the extent permissible under the laws of the country of destination, make the documentation available to the data exporter. It shall also make it available to the competent supervisory authority on request.
      • The data importer agrees to provide the minimum amount of information permissible when responding to a request for disclosure, based on a reasonable interpretation of the request.

Seção 4 — Disposições Finais

Cláusula 16

Non-compliance with the Clauses and termination

  • The data importer shall promptly inform the data exporter if it is unable to comply with these Clauses, for whatever reason.
  • In the event that the data importer is in breach of these Clauses or unable to comply with these Clauses, the data exporter shall suspend the transfer of personal data to the data importer until compliance is again ensured or the contract is terminated. This is without prejudice to Clause 14(f)
  • The data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses, where:
    • The data importer shall promptly inform the data exporter if it is unable to comply with these Clauses, for whatever reason.
    • In the event that the data importer is in breach of these Clauses or unable to comply with these Clauses, the data exporter shall suspend the transfer of personal data to the data importer until compliance is again ensured or the contract is terminated. This is without prejudice to Clause 14(f)
    • The data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses, where:
  • In these cases, it shall inform the competent supervisory authority of such non-compliance. Where the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise.
  • Personal data that has been transferred prior to the termination of the contract pursuant to paragraph © shall at the choice of the data exporter immediately be returned to the data exporter or deleted in its entirety. The same shall apply to any copies of the data. The data importer shall certify the deletion of the data to the data exporter. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit the return or deletion of the transferred personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process the data to the extent and for as long as required under that local law.
  • Either Party may revoke its agreement to be bound by these Clauses where (i) the European Commission adopts a decision pursuant to Article 45(3) of Regulation (EU) 2016/679 that covers the transfer of personal data to which these Clauses apply; or (ii) Regulation (EU) 2016/679 becomes part of the legal framework of the country to which the personal data is transferred. This is without prejudice to other obligations applying to the processing in question under Regulation (EU) 2016/679.

Cláusula 17

Governing law

These Clauses shall be governed by the law of one of the EU Member States, provided such law allows for third-party beneficiary rights. The Parties agree that this shall bethe law of Ireland.

Cláusula 18

Choice of forum and jurisdiction

  • Any dispute arising from these Clauses shall be resolved by the courts of an EUMember State
  • The Parties agree that those shall be the courts of Ireland.
  • A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of the Member State in which he/she has his/her habitual residence.
  • The Parties agree to submit themselves to the jurisdiction of such courts

Apêndice

Annex I

A. List of parties

DATA EXPORTER (CUSTOMER)
DATA IMPORTER (TAXDOME)
COMPANY NAME
TaxDome, LLC
ADDRESS
1178 Broadway, Nova York, NY 10001
CONTACT PERSON’S NAME,
POSITION AND CONTACT DETAILS
Victor Radzinsky, CEO
dpo@taxdome.com
SIGNATURE AND DATE:
ROLE:
Controlador
Processador

Activities relevant to the data transferred under these clauses: See Annex I.B

B. DESCRIPTION OF TRANSFER

Categorias de titulares de dados cujos dados pessoais são transferidos

Os dados pessoais dizem respeito aos utilizadores finais dos nossos clientes.

Categorias de dados pessoais transferidos

The TaxDome platform caters to a broad customer and end user base that spans across the spectrum of industries. TaxDome does not control nor limit the subject matter our customers’ end users submit through the use of our tool. Considering this, the nature of the product, and TaxDomes’ role as a processor, inventorying an absolute list of data categories ingested and processed is not possible."

Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialized training), keeping a record of access to the data, restrictions for onward transfers or additional security measures.

TaxDome processes data that could include but is not limited to the special categories of data: health data, genetic data, racial and ethnic origin, sexual orientation and/or habits, political opinion, religious affiliation or beliefs, non-political or non-trade union memberships, criminal convictions and offenses.

The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis).

Personal data is ingested on a continuous basis.

Nature of the processing

Personal data is ingested by the day to day use of the platform. Data can be ingested through manual entries by TaxDome’s customers or in an automated manner through the log collections on the platform. Data is stored within TaxDome’s production database.

Purpose(s) of the data transfer and further processing

Personal Data is Processed for the purpose of delivering the TaxDome service and supporting the TaxDome website and the platform services.

The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period

The subject matter and duration of the processing of the personal data are set out in the Termos do Serviço.

For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing

TaxDome uses the sub-processors found online at https://www.taxdome.com/policies/sub-processors/ when delivering services to their customers. The list specifies the subject matter and nature of the processing activities performed by TaxDome’s sub-processors and applicable data transfer mechanism.

C. COMPETENT SUPERVISORY AUTHORITY

Identify the competent supervisory authority/ies in accordance with Clause 13

Location of the Data Exporter/Data Exporter’s EU representative/Location of Data Exporter’s largest customer base

Annex II

TECHNICAL AND ORGANIZATIONAL MEASURES INCLUDING TECHNICAL AND ORGANIZATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA

Description of the technical and organizational measures implemented by the data importer(s) (including any relevant certifications) to ensure an appropriate level of security, taking into account the nature, scope, context and purpose of the processing, and the risks for the rights and freedoms of natural persons.

TaxDome’s technical and organizational measures taken to protect the personal data transferred outside the EEA to a non-adequate country are published and available at: https://www.taxdome.com/policies/security/