Adendo de Tratamento de Dados da Elsevier
Última actualização: 1 de Janeiro de 2023
Este Adendo de Tratamento de Dados da Elsevier ("ATD") faz parte do contrato ("Contrato") entre a entidade da Elsevier ("Elsevier") e o assinante, cliente ou outro parceiro e qualquer afiliado aplicável ("Assinante") sob o qual a Elsevier fornece determinados serviços e no qual este ATD é referenciado.
1. Definições
1.1. "Leis de Proteção de Dados" significa todas as leis, regras, regulamentos, decretos, ordens e outros requisitos governamentais de privacidade e proteção de dados aplicáveis ao tratamento de dados pessoais nos termos do Contrato.
1.2. Os termos "responsável pelo tratamento", "titular dos dados", "dados pessoais", "violação de dados pessoais", "tratamento" e "subcontratante" terão os significados atribuídos a eles nas Leis de Proteção de Dados e, quando as Leis de Proteção de Dados usarem termos equivalentes ou correspondentes, como "informações pessoais" em vez de "dados pessoais", eles serão lidos aqui como os mesmos.
2. Âmbito de aplicação
2.1. O objeto do tratamento são os dados pessoais fornecidos em relação aos serviços sob o Contrato. A duração do tratamento é a duração da prestação dos serviços ao abrigo do Contrato até à eliminação dos dados pessoais de acordo com o Contrato. A natureza e a finalidade do tratamento estão relacionadas com a prestação dos serviços ao abrigo do Contrato. Os tipos de dados pessoais tratados são aqueles enviados por ou sob a direção do Assinante como parte dos serviços sob o Contrato. As categorias de titulares de dados são aquelas cujos dados pessoais são enviados por ou sob a direção do Assinante como parte dos serviços sob o Contrato.
2.2. O Contrato, incluindo este ATD, juntamente com o uso e/ou a configuração dos serviços pelo Assinante, são instruções documentadas completas e finais do Assinante à Elsevier para o tratamento de dados pessoais. Instruções adicionais ou alternativas devem ser acordadas separadamente pelas partes.
3. Tratamento
3.1. A Elsevier implementará medidas técnicas e organizacionais apropriadas de tal forma que o tratamento atenda aos requisitos das Leis de Proteção de Dados, garanta a proteção dos direitos dos titulares dos dados e forneça um padrão de proteção que seja pelo menos o mesmo nível de proteção exigido pelas Leis de Proteção de Dados.
3.2. Na medida em que a Elsevier esteja tratamento dados pessoais em nome do Assinante, a Elsevier deverá: 3.2.1. tratará os dados pessoais somente sob instruções documentadas do Assinante, inclusive no que diz respeito a transferências de dados pessoais para um país terceiro ou uma organização internacional, a menos que exigido a fazê-lo pela lei aplicável à qual a Elsevier está sujeita; nesse caso, a Elsevier informará o Assinante desse requisito legal antes do tratamento, a menos que essa lei proíba tais informações por motivos importantes de interesse público; 3.2.2. Assegurar que as pessoas autorizadas a tratar os dados pessoais se comprometeram a respeitar a confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade adequada; 3.2.3. tomar todas as medidas de segurança exigidas de acordo com as Leis de Proteção de Dados; 3.2.4. respeitar as condições referidas no n.o 4 para a contratação de outro transformador; 3.2.5. tendo em conta a natureza do tratamento, assistir o Subscritor através de medidas técnicas e organizativas adequadas, na medida do possível, para o cumprimento da obrigação do Subscritor de responder aos pedidos de exercício dos direitos do titular dos dados estabelecidos nas Leis de Proteção de Dados; 3.2.6. auxiliar o Assinante a garantir o cumprimento das obrigações de acordo com as Leis de Proteção de Dados, levando em consideração a natureza do tratamento e as informações disponíveis para a Elsevier; 3.2.7. à escolha do Subscritor, eliminar ou devolver todos os dados pessoais ao Subscritor após o termo da prestação de serviços relacionados com o tratamento e eliminar cópias existentes, a menos que a lei aplicável exija o armazenamento dos dados pessoais; 3.2.8. disponibilizar ao Assinante todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas nas Leis de Proteção de Dados e permitir e contribuir para auditorias, incluindo inspeções, conduzidas pelo Assinante ou outro auditor mandatado pelo Assinante;e informar imediatamente o Assinante se, em sua opinião, uma instrução do Assinante à Elsevier infringir as Leis de Proteção de Dados.
4. Subsubcontratantees
4.1. Na medida em que a Elsevier esteja tratamento dados pessoais em nome do Assinante, a Elsevier tem a autorização geral do Assinante para contratar outros subcontratantees para o tratamento de dados pessoais de acordo com este ATD da lista da Elsevier de tais subcontratantees em https://www.elsevier.com/legal/subprocessors que a Elsevier pode atualizar de tempos em tempos. A Elsevier informará o Assinante de quaisquer alterações pretendidas, atualizando a lista em seu site com pelo menos catorze (14) dias de antecedência. O Assinante pode se opor à alteração sem penalidade, notificando a Elsevier dentro de catorze (14) dias após a atualização da lista e descrevendo seus motivos para se opor. A Elsevier envidará esforços razoáveis para evitar o tratamento de dados pessoais por esse novo subcontratante ao qual o Assinante se oponha razoavelmente.
4.2. Quando a Elsevier contratar outro subcontratante para realizar atividades específicas de tratamento em nome do Assinante, as mesmas obrigações de proteção de dados estabelecidas neste ATD, em substância, serão impostas a esse outro subcontratante por meio de um contrato ou outro ato legal nos termos da lei aplicável, em particular fornecendo garantias suficientes para implementar medidas técnicas e organizacionais apropriadas de tal forma que o tratamento atenda aos requisitos dos Dados Leis de Proteção. Quando esse outro subcontratante não cumprir essas obrigações de proteção de dados, a Elsevier (sujeita aos termos do Contrato) permanecerá totalmente responsável perante o Assinante pelo cumprimento das obrigações desse outro subcontratante.
5. Direitos do Titular dos Dados
5.1. Na medida em que a Elsevier esteja tratamento dados pessoais em nome do Assinante, a Elsevier deverá, na medida do legalmente permitido, notificar imediatamente o Assinante de quaisquer solicitações de titulares de dados que a Elsevier receber, e o Assinante autoriza a Elsevier a redirecionar tais solicitações ao Assinante para responder diretamente.
5.2. Na medida do legalmente permitido, o Assinante será responsável por quaisquer custos razoáveis decorrentes da prestação de assistência do Assinante pela Elsevier na resposta a tais solicitações.
6. Transferência
A Elsevier garantirá que, na medida em que quaisquer dados pessoais originários do país do Assinante sejam transferidos pela Elsevier para outro país, tal transferência estará sujeita a salvaguardas apropriadas de acordo com as Leis de Proteção de Dados.
7. Segurança
7.1. Tendo em conta o estado da técnica, os custos de execução e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas singulares, as partes devem aplicar medidas técnicas e organizativas adequadas para garantir um nível de segurança adequado ao risco, incluindo, nomeadamente, se for caso disso: 7.1.1. pseudonimização e encriptação de dados pessoais; 7.1.2. A capacidade de assegurar a confidencialidade, a integridade, a disponibilidade e a resiliência contínuas dos sistemas e serviços de tratamento; 7.1.3. A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais em tempo útil em caso de incidente físico ou técnico; e 7.1.4. um processo para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do tratamento.
7.2. Na avaliação do nível adequado de segurança, devem ser tidos em conta, em especial, os riscos que o tratamento representa, em especial devido à destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilegal a dados pessoais transmitidos, armazenados ou tratados de outra forma.
7.3. Na medida em que a Elsevier esteja tratamento dados pessoais em nome do Assinante, a Elsevier tomará medidas para garantir que qualquer pessoa física que atue sob a autoridade da Elsevier que tenha acesso a esses dados pessoais não os processe, exceto sob instruções do Assinante, a menos que seja obrigada a fazê-lo pela lei aplicável.
8. Violação de Dados Pessoais
Na medida em que a Elsevier esteja tratamento dados pessoais em nome do Assinante, a Elsevier notificará o Assinante sem demora injustificada após tomar conhecimento de uma violação de dados pessoais e responderá razoavelmente às solicitações do Assinante por mais informações para ajudar o Assinante a cumprir suas obrigações sob as Leis de Proteção de Dados.
9. Registros de Atividades de Tratamento
A Elsevier manterá todos os registros exigidos pelas Leis de Proteção de Dados e, na medida do aplicável ao tratamento de dados pessoais em nome do Assinante, disponibilizará ao Assinante conforme necessário.
10. Auditoria
As auditorias previstas no ponto 3.2.8 estão (i) sujeitas à execução de compromissos de confidencialidade adequados; (ii) realizado não mais do que uma vez por ano, a menos que tenha sido feita uma crença razoável demonstrada de não conformidade com o Contrato, mediante notificação por escrito de trinta (30) dias e tendo fornecido um plano para tal revisão; e (iii) conduzido em um momento mutuamente acordado e de maneira acordada.
11. Conflito
Se houver qualquer conflito ou inconsistência entre os termos deste ATD e o restante do Contrato, os termos deste ATD prevalecerão na medida exigida por lei. Caso contrário, o Contrato prevalecerá no caso de tal conflito ou inconsistência.
12. Termos Específicos da Jurisdição
Na medida em que a Elsevier esteja tratamento quaisquer dados pessoais originários ou de outra forma sujeitos às Leis de Proteção de Dados de qualquer uma das jurisdições listadas no anexo deste documento, os termos especificados com relação à(s) jurisdição(ões) aplicável(is) se aplicam, além dos termos acima.
ANEXO
Espaço Económico Europeu, Reino Unido e Suíça
1. Na medida em que o Subscritor transfira dados pessoais do Espaço Económico Europeu ("EEE"), do Reino Unido ("UK") ou da Suíça para a Elsevier localizada fora do EEE, do UK ou da Suíça, a menos que as partes possam recorrer a um mecanismo ou base de transferência alternativo ao abrigo das leis de proteção de dados, as partes serão consideradas como tendo celebrado as cláusulas contratuais-tipo aprovadas pela Decisão de Execução (UE) 2021/914 da Comissão Europeia, de 4 de junho de 2021. disponível em https://data.europa.eu/eli/dec_impl/2021/914/oj opens in new tab/window ("Cláusulas") em relação a tal transferência, pelo qual: 1.1. o Assinante é o "exportador de dados" e a Elsevier é o "importador de dados"; 1.2. as notas de rodapé, a Cláusula 11(a) Opção e a Cláusula 17 Opção 1 são omitidas, e os anexos aplicáveis são completados com o respectivo conteúdo do Acordo, incluindo o ATD; 1.3. Na medida em que cada parte actue como responsável pelo tratamento, aplica-se o módulo um e omitem-se os módulos dois, três e quatro; 1.4. na medida em que o Assinante atue como responsável pelo tratamento e a Elsevier atue como subcontratante, o Módulo Dois se aplica e os Módulos Um, Três e Quatro são omitidos, a Cláusula 9(a) Opção 1 é omitida e o período de tempo na Opção 2 é de 14 dias; 1.5. na medida em que cada parte atue como subcontratante, aplica-se o Módulo Três e os Módulos Um, Dois e Quatro são omitidos, a Cláusula 9(a) Opção 1 é omitida e o período de tempo na Opção 2 é de 14 dias; 1.6. A "autoridade de controlo competente" é a autoridade de controlo dos Países Baixos; 1.7. as Cláusulas são regidas pela lei dos Países Baixos; 1.8. qualquer litígio decorrente das Cláusulas será resolvido pelos tribunais dos Países Baixos; e 1.9. se houver qualquer conflito entre os termos do Contrato e as Cláusulas, as Cláusulas prevalecerão.
2. Em relação às transferências de dados pessoais do UK, as Cláusulas, conforme implementadas nos termos da seção 1 acima, serão aplicadas sujeitas às seguintes modificações: 2.1. as Cláusulas são alteradas conforme especificado pela Parte 2 do adendo de transferência internacional de dados às cláusulas contratuais padrão da Comissão Europeia emitidas nos termos da Seção 119A da Lei de Proteção de Dados do Reino Unido de 2018, que podem ser alteradas ou substituídas de tempos em tempos ("Adendo do UK"); 2.2. Os quadros 1 a 3 da Parte 1 da Adenda do UK são completados com o respetivo conteúdo do Acordo, incluindo o ATD; e 2.3. O quadro 4 da Parte 1 da Adenda do UK é completado selecionando "nenhuma das partes".
3. Em relação às transferências de dados pessoais da Suíça, as Cláusulas, conforme implementadas sob a seção 1 acima, serão aplicadas sujeitas às seguintes modificações: 3.1. as referências ao "Regulamento (UE) 2016/679" devem ser interpretadas como referências à Lei Federal Suíça de Proteção de Dados ("LFPD"); 3.2. As referências a artigos específicos do «Regulamento (UE) 2016/679» são substituídas pelo artigo ou secção equivalente do LFPD; 3.3. As referências a "UE", "União", "um Estado-Membro" e "direito do Estado-Membro" são substituídas por referências a "Suíça" ou "direito suíço", consoante o caso; 3.4. O termo "Estado-Membro" não deve ser interpretado de modo a excluir os titulares de dados na Suíça da possibilidade de aceder aos seus direitos; 3.5. A cláusula 13(a) e a parte C do anexo I não são utilizadas e a "autoridade supervisora competente" é o Comissário Federal Suíço para a Informação sobre a Proteção de Dados; 3.6. as Cláusulas são regidas pela lei da Suíça; e 3.7. qualquer litígio decorrente das Cláusulas será resolvido pelos tribunais da Suíça.
África do Sul
Na medida em que a Elsevier esteja tratamento como operadora qualquer informação pessoal no âmbito da Lei de Proteção de Informações Pessoais da África do Sul, nº 4 de 2013 (Protection of Personal Information Act, “POPIA”) para o Assinante como parte responsável, a Elsevier estabelecerá e manterá as medidas de segurança referidas na seção 19 da POPIA e notificará o Assinante imediatamente quando houver motivos razoáveis para acreditar que as informações pessoais de um titular de dados foram acessadas. ou adquiridos por qualquer pessoa não autorizada.
Estados Unidos
U.S. Privacy Laws Addendum to Elsevier Data Processing Addendum