Introdução ao Contrato de Processamento de Dados da Uber

A Uber exige que seus fornecedores concordem com os termos estabelecidos no seu Contrato de Processamento de Dados ("DPA") que rege o processamento das Informações Confidenciais da Uber, inclusive os Dados Pessoais da Uber.

Estes termos têm como objetivo proteger a confidencialidade e a segurança das Informações Confidenciais da Uber e permitir que a Uber cumpra os requisitos das leis globais de proteção de dados, incluindo, conforme aplicável (com base no processamento de Dados Pessoais da Uber pelos fornecedores), o Regulamento Geral de Proteção de Dados da União Europeia ("GDPR"), a Lei Geral de Proteção de Dados Pessoais ("LGPD") do Brasil, a Lei de Privacidade da Austrália, a Lei de Proteção de Dados Pessoais Digitais da Índia e as leis de privacidade estaduais dos EUA, incluindo a Lei de Privacidade do Consumidor da Califórnia ("CCPA").

O DPA aborda especificamente:

1. Os requisitos e limitações gerais em relação ao processamento de Informações Confidenciais da Uber pelos fornecedores, inclusive em relação a segurança de dados, incidentes de segurança de dados, avaliações de risco e auditorias, retenção e exclusão de dados e uso de subprocessadores.
   
2. A designação das funções desempenhadas pela Uber e pelos fornecedores em relação ao processamento dos Dados Pessoais da Uber.
   1. O DPA exige especificamente que as partes indiquem se cada uma está agindo como:
      1. "Controlador" ou "Processador"
      2. "Empresa", "Prestador de Serviços", "Parceiro" ou "Terceiro", conforme definição desses termos na CCPA.
   2. O DPA também especifica as responsabilidades de cada parte com base nas designações acima.

Notifique seu contato na Uber se tiver dúvidas sobre o DPA da Uber.

CONTRATO DE PROCESSAMENTO DE DADOS DA UBER

Este Contrato de Processamento de Dados ("Contrato") estabelece os requisitos aplicáveis ao processamento pelo Fornecedor de: (1) Informações Confidenciais da Uber, inclusive Dados Pessoais da Uber (consulte a Seção 2 abaixo); e (2) Dados Pessoais da Uber (consulte a Seção 3 abaixo).

Este Contrato faz parte dos acordos principais celebrados entre a Uber e a empresa ou entidade ("Fornecedor") (cada um individualmente, uma Parte, e coletivamente, as "Partes") e todos os outros contratos assinados sob ele (coletivamente, o "Contrato Principal").

SEÇÃO 1: DEFINIÇÕES

Além dos termos definidos abaixo, "Empresa", "Parceiro", "Venda", "Comercialização", "Provedor de Serviços" e "Compartilhamento" terão os significados estabelecidos pela CCPA/CPRA.

1. Controlador: uma pessoa física ou jurídica que, individualmente ou em conjunto com outras pessoas, determina a finalidade e os meios do Processamento de Dados Pessoais.
2. Leis de Proteção de Dados: todas as leis e regulamentações aplicáveis ao Processamento de Dados Pessoais da Uber nos termos deste DPA.
   
3. Titular dos Dados: pessoa física a quem os Dados Pessoais se referem.
4. Incidente de Segurança de Dados: qualquer acesso não autorizado real ou razoavelmente suspeito, aquisição ou processamento ilícito de Informações Confidenciais da Uber ou comprometimento da segurança ou integridade de tais Informações Confidenciais da Uber ou de qualquer Sistema usado pelo Fornecedor, ou seus Subprocessadores, para Processar esses dados.
   
5. Exclusão: destruir física ou logicamente as Informações Confidenciais da Uber de modo que elas não possam ser recuperadas.
   
6. Descoberta: qualquer caso em que o Fornecedor descubra um Incidente de Segurança de Dados, seja notificado sobre um Incidente de Segurança de Dados ou tenha descoberto um Incidente de Segurança de Dados se tiver aplicado uma diligência razoável.
   
7. Dados Pessoais: qualquer informação relacionada a um Titular dos Dados identificado ou identificável.
   
8. Processo: qualquer operação ou conjunto de operações realizadas com Dados Pessoais ou conjuntos de Dados Pessoais, por meios automatizados ou não, como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização, alinhamento ou combinação, restrição, exclusão ou destruição.
   
9. Processador: pessoa física ou jurídica que processa dados pessoais em nome de um Controlador.
   
10. Subprocessador: Processador contratado pelo Fornecedor para processar Informações Confidenciais da Uber.
    
11. Sistema: qualquer sistema de arquivos, sistema de processamento, banco de dados, dispositivo, equipamento, servidor, site, aplicativo, software, mídia de armazenamento, rede, infraestrutura, ambiente ou domínio conectado em rede, incluindo, entre outros, todos os ambientes de desenvolvimento, garantia de qualidade, preparação e produção.
    
12. Uber: Uber Technologies, Inc. e qualquer subsidiária ou afiliada da Uber.
    
13. Assunto dos dados da Uber: qualquer Titular de Dados cujos Dados Pessoais da Uber são ou serão processados pelo Fornecedor.
    
14. Dados Pessoais da Uber: Dados Pessoais do Titular de Dados da Uber que são processados pelo Fornecedor para os fins do Contrato.
    
    Para os fins deste Contrato, Dados Pessoais da Uber não incluem o nome e as informações de contato dos funcionários da Uber, que são responsáveis pela interação com o Fornecedor no que se refere ao Contrato Principal, e quaisquer Dados Pessoais recebidos incidentalmente pelo Fornecedor em decorrência dessas interações.
    
15. Informações Confidenciais da Uber: todos os dados, registros ou informações, incluindo Dados Pessoais da Uber, que são de propriedade ou controlados pela Uber e divulgados, fornecidos ou disponibilizados ao Fornecedor por ou em nome da Uber, ou coletados, criados, mantidos ou usados pelo Fornecedor em nome da Uber, em associação aos Serviços, conforme descrito em mais detalhes no Contrato.
    
16. Sistema da Uber: qualquer Sistema que seja de propriedade, licenciado, operado ou controlado pela Uber ou ao qual a Uber tenha concedido acesso ao Fornecedor.

SEÇÃO 2: REQUISITOS: INFORMAÇÕES CONFIDENCIAIS DA UBER

1. Segurança dos Dados: o Fornecedor manterá proteções físicas, administrativas, organizacionais e técnicas adequadas, além de outras medidas de segurança, para manter a integridade, a segurança e a confidencialidade das Informações Confidenciais da Uber, medidas que incluirão, no mínimo, as estabelecidas no Apêndice 1 deste Contrato.
2. Gerente de Segurança: o Fornecedor designará uma pessoa responsável por gerenciar e coordenar o desempenho das obrigações do Fornecedor nos termos deste Contrato e por disponibilizá-las à Uber durante a vigência do Contrato Principal.
3. Incidentes de Segurança de Dados
   1. Investigação. Após a descoberta de um Incidente de Segurança dos Dados, o Fornecedor tomará todas as medidas razoáveis para investigar completa e minuciosamente a causa, a natureza e o escopo do comprometimento de tal Incidente de Segurança dos Dados às custas do Fornecedor; corrigir e mitigar os efeitos do Incidente de Segurança de Dados; e fornecer à Uber todas as informações exigidas ou solicitadas para que a Uber cumpra as leis aplicáveis e os processos internos de resposta a Incidentes de Segurança de Dados. Mediante solicitação da Uber, o Fornecedor apresentará relatórios complementares detalhados sobre sua investigação e descobertas. O Fornecedor cooperará, às suas próprias custas, totalmente com a Uber na investigação e resposta a cada Incidente de Segurança de Dados, inclusive permitindo o acesso imediato aos seus sistemas e/ou instalações pela Uber e/ou pelo investigador da Uber.
      
   2. Aviso à Uber. O Fornecedor notificará a Uber até 48 (quarenta e oito) horas após a Descoberta, por meio das pessoas ou da equipe da Uber designada para receber notificações de acordo com o Contrato Principal e por e-mail para devicesecurity@uber.com. O Fornecedor incluirá nesse aviso e, a partir de então, complementará, conforme necessário:
      1. uma descrição do Incidente de Segurança de Dados, inclusive a causa (se identificável), o local, a data/hora, o Incidente de Segurança de Dados e sua Descoberta;
         
      2. uma descrição das medidas que o Fornecedor tomou ou que tomará para investigar e mitigar o impacto do Incidente de Segurança de Dados;
         
      3. os tipos e o volume das Informações Confidenciais da Uber afetadas, inclusive se os dados foram criptografados ou editados;
         
      4. o número, a localização (estado/país) e as identidades de todos os titulares de dados da Uber afetados (se aplicável), incluindo, quando exigido pelas leis de proteção de dados aplicáveis, o número de Titulares de Dados da Uber crianças, adolescentes ou idosos afetados;
         
      5. uma estimativa das consequências do Incidente de Segurança de Dados;
         
      6. uma descrição das medidas que o Fornecedor tomou ou planeja tomar para mitigar tais consequências e proteger ainda mais as Informações Confidenciais da Uber; e
         
      7. planos do Fornecedor para ações corretivas em resposta ao Incidente de Segurança de Dados.
   3. Avisos de Terceiro. O Fornecedor ajudará a Uber a enviar quaisquer avisos exigidos por lei a qualquer Titular de Dados, regulador ou outro terceiro ("Aviso Obrigatório"). Nesse caso, (i) a Uber terá controle exclusivo sobre o conteúdo, o momento e o método de distribuição desse aviso, salvo se diferentemente exigido por lei; (ii) o Fornecedor só pode comunicar um Aviso Obrigatório mediante aprovação e instruções prévias da Uber por escrito, a menos que exigido de outra forma pela lei aplicável (nesse caso, o Fornecedor fornecerá à Uber uma cópia de tal aviso o mais rápido possível e em todos os eventos anteriores à comunicação, a menos que de outra forma exigido por lei); e (iii) o Fornecedor reembolsará à Uber todas as despesas razoáveis incorridas pela Uber com relação a qualquer aviso em que o Fornecedor seja total ou parcialmente responsável pelo Incidente de Segurança de Dados.
      
   4. Confidencialidade. O Fornecedor se absterá de divulgar a existência ou informações sobre o Incidente de Segurança de Dados no que se refere à Uber ou qualquer Informação Confidencial da Uber, Titular de Dados da Uber ou Sistema da Uber, inclusive a qualquer autoridade governamental, sem o consentimento prévio por escrito da Uber.
      
   5. Mitigação e remediação. O Fornecedor deverá prontamente e sem demora (i) conter todas as vulnerabilidades, atividades e outras circunstâncias que causaram ou deram origem ao Incidente de Segurança de Dados; (ii) tomar todas as medidas corretivas necessárias e apropriadas, e cooperar com a Uber de forma plausível para mitigar e corrigir esse Incidente de Segurança de Dados.
      
   6. Consultas públicas. O Fornecedor será responsável por gerenciar e responder a consultas, perguntas ou outras solicitações da mídia, da imprensa ou de outros agentes públicos ("Informações Públicas") relacionadas a um Incidente de Segurança de Dados. O Fornecedor designará uma ou mais pessoas responsáveis por gerenciar e responder à Consultas Públicas e, mediante solicitação, informará os nomes e as informações de contato de todas essas pessoas à Uber.
      
4. Retenção e exclusão de dados: o Fornecedor excluirá ou devolverá à Uber imediatamente (a critério da Uber) todas as Informações Confidenciais da Uber em sua posse, custódia e controle: (i) após a rescisão ou vencimento do Contrato Principal; (ii) mediante a liquidação ou insolvência do negócio do Fornecedor; (iii) quando não for mais necessário para cumprir suas obrigações conforme o Contrato Principal; ou (iv) mediante solicitação da Uber.
   
5. Avaliações de risco
   1. O Fornecedor concluirá e será aprovado em uma avaliação de risco de segurança da informação ("Avaliação de risco") conduzida pela Uber antes da Data de Vigência.
      
      Após a Avaliação de Risco inicial, o Fornecedor concluirá as Avaliações de Risco conforme solicitado pela Uber no máximo uma vez por ano ou caso (i) o Fornecedor comece a oferecer produtos ou serviços adicionais à Uber ou a processar Informações Confidenciais adicionais da Uber que não estavam no escopo durante a avaliação inicial ou mais recente; (ii) a natureza ou as finalidades do Processamento das Informações Confidenciais da Uber alterem; (iii) o Fornecedor comece a transferir Dados Pessoais da Uber de Titulares de Dados da Uber no Espaço Econômico Europeu ("EEE") ou fora do EEE ou comece a transferir Dados Pessoais da Uber para um país terceiro que não estava no escopo durante a avaliação inicial ou mais recente; (iv) o Fornecedor faça uma alteração substancial no Processamento das Informações Confidenciais da Uber que possa afetar a segurança desses dados ou a capacidade de o Fornecedor cumprir este Contrato; (v) uma avaliação seja razoavelmente necessária para que a Uber cumpra as Leis de Proteção de Dados ou outras obrigações de conformidade de segurança de dados; (vi) uma avaliação seja razoavelmente necessária para que a Uber cumpra uma solicitação, ordem ou acordo com uma obrigação de supervisão ou outra obrigação legal; ou (vii) ocorra um Incidente de Segurança de Dados.
      
   2. Requisitos. O Fornecedor enviará à Uber todas as informações razoavelmente necessárias para concluir a Avaliação de Risco. Essas informações podem incluir, entre outras, questionários de avaliação de risco; políticas e procedimentos de segurança da informação; políticas e procedimentos de classificação e tratamento de dados; relatórios de conformidade e de auditoria da segurança de dados que avaliam a eficácia do programa de segurança da informação, dos sistemas, dos controles internos e dos procedimentos internos do Fornecedor relacionados ao Processamento de Dados Pessoais da Uber em relação a uma estrutura aceita pelo setor, como ISO, SSAE16, SOC ou NIST; e outras informações solicitadas pela Uber para avaliar o programa de segurança da informação, os controles e o Processamento de Informações Confidenciais da Uber do Fornecedor. Essas informações também incluem informações sobre o Processamento de Dados Pessoais da Uber pelo Fornecedor, incluindo tipos de dados, finalidades do processamento, tipo e número de Titulares de Dados da Uber, local de processamento, Subprocessadores e retenção de dados. Cópias das políticas, procedimentos ou outros documentos do Fornecedor podem ser fornecidos à Uber ou apresentados por meio de um aplicativo de compartilhamento de tela mutuamente acordado.
      
   3. Logs de auditoria. O Fornecedor deve manter registros e relatórios de auditoria de Sistemas de informações, incluindo registros de aplicativos, registros de acesso, registros de autenticação, registros de rede, registros de dispositivos de usuários finais e registros de sistemas de segurança, na medida necessária para permitir o monitoramento, a análise, a investigação e a denúncia de atividades ilegais, atividade do Sistema não autorizada ou inadequada e garantir que as ações dos usuários do Sistema de informações individuais possam ser atribuídas exclusivamente a esses usuários para que possam ser responsabilizados por suas ações e permitir as investigações apropriadas de Incidentes de Segurança de Dados.
6. Auditorias.
   1. Auditorias. O Fornecedor permitirá que a Uber, com notificação por escrito com antecedência razoável e durante o horário comercial, faça às suas próprias custas a auditoria das instalações, redes, sistemas, procedimentos do Fornecedor, Processamento das Informações Confidenciais da Uber e conformidade com este Contrato. A Uber pode exercer esse direito no máximo uma vez por ano, exceto quando tiver ocorrido um Incidente de Segurança de Dados ou quando necessário para cumprir Leis de Proteção de Dados ou outras obrigações legais.
   2. Exigências de auditoria. O Fornecedor cooperará de forma razoável com as auditorias descritas no parágrafo anterior, permitindo o acesso a pessoal qualificado, instalações físicas, documentação, infraestrutura e qualquer aplicativo que processe Informações Confidenciais da Uber ou que tenha acesso a instalações, redes, sistemas e procedimentos da Uber . A Uber será responsável pelos custos e despesas dessa auditoria (ou pelos honorários e custos do terceiro que a realizou), a menos que tal auditoria revele ou seja iniciada devido a uma violação material do Contrato Principal, incluindo este Contrato, e, nesse caso, o Fornecedor reembolsará a Uber por tais custos e despesas. O Fornecedor abordará e corrigirá prontamente todas as deficiências identificadas em qualquer auditoria.
7. Subprocessadores
   1. Subprocessadores permitidos. O Fornecedor NÃO permitirá que qualquer Subprocessador processe as Informações Confidenciais da Uber, exceto aquelas identificadas durante uma Avaliação de Risco. Se o Fornecedor procurar contratar qualquer outro Subprocessador, deverá notificar a Uber, inclusive sobre as finalidades para as quais processará as Informações Confidenciais da Uber, pelo menos 30 dias antes de qualquer processamento. Se a Uber não contestar essa contratação, será considerado que a Uber a aprovou.
      
   2. Obrigações do subprocessador. O Fornecedor firmará um contrato com cada Subprocessador antes do Processamento das Informações Confidenciais da Uber, o qual impõe obrigações não menos restritivas e, pelo menos, igualmente protetivas das Informações Confidenciais da Uber do que as impostas ao Fornecedor nos termos deste Contrato. A Uber pode solicitar uma cópia de tal contrato e reter o consentimento para o uso de tal Subprocessador se o Fornecedor não disponibilizar tal contrato ou tal contrato não contiver proteção suficiente das Informações Confidenciais da Uber. O Fornecedor poderá redigir tal contrato antes de compartilhamento com a Uber, na medida do necessário para proteger seus segredos comerciais ou informações confidenciais.
      
   3. Conformidade do Subprocessador com as leis de proteção de dados. O Fornecedor é responsável por garantir a conformidade dos Subprocessadores com as Leis de Proteção de Dados aplicáveis em relação ao processamento de Dados Pessoais da Uber pelos Subprocessadores.
      
   4. Responsabilidade. O uso de Subprocessadores pelo Fornecedor não afeta nem limita a responsabilidade do Fornecedor nos termos deste Contrato.
8. Indenização: salvo disposição em contrário prevista no Contrato Principal, a Empresa concorda em indenizar, defender e isentar a Uber, seus diretores, executivos, colaboradores e agentes de e contra todas e quaisquer perdas, danos, taxas e despesas decorrentes de quaisquer reivindicação devido a, decorrentes fora ou relacionado de qualquer forma a perda, alteração ou uso indevido dos Dados Pessoais da Uber pela Empresa, ao acesso não autorizado ou à destruição ou divulgação dos Dados Pessoais da Uber, ou à violação pela Empresa da Seção 4 deste DPA.
9. Restrição à transferência dos Dados Pessoais Sensíveis dos EUA em Massa
   1. Definições: para os fins da Seção 2.8:
      1. Os termos "Acesso", "em Massa", "Dados Pessoais Sensíveis dos EUA em Massa", "País em Questão", "Transação de Dados Coberta", "Pessoa Coberta", "Intermediário de Dados", "Dados relacionados ao Governo", "Dados Pessoais Sensíveis" e "Pessoa dos EUA" terão os significados atribuídos para eles na Regra de Dados Sensíveis 28 CFR parte 202 do Departamento de Justiça dos EUA.
         
      2. "Dados Cobertos" se refere aos "Dados Pessoais Sensíveis dos EUA em Massa" e/ou "Dados Relacionados ao Governo".
         
      3. "Entidade Coberta" se refere a qualquer "Pessoa Coberta" ou "País em Questão".
   2. Caso o Fornecedor receba Acesso aos Dados Cobertos em conexão com o Contrato Principal, o Fornecedor declara e garante que:
      1. não é uma Entidade coberta;
         
      2. não se envolverá em nenhuma Transação de Dados Cobertos que envolva o Intermediário de Dados de tais dados com uma Entidade Coberta;
         
      3. a menos que expressamente permitido pela Uber ou permitido pela seção 202 do CFR 28, (A) não permitirá que nenhuma Entidade Coberta acesse tais Dados Cobertos; e (B) proibirá qualquer Subprocessador de fornecer Acesso a Dados Cobertos a qualquer Entidade Coberta;
         
      4. não deve contornar nem tentar contornar quaisquer estratégias de criptografia, mascaramento, desidentificação ou melhoria da privacidade ou controles de segurança implantados pela Uber em conexão com a Parte 202 do 28 CFR;
         
      5. fornecerá à Uber todas as informações razoavelmente solicitadas pela Uber em conexão com a conformidade com esta Seção 2.8 ou a Parte 202 do 28 CFR, inclusive em conexão com qualquer investigação realizada pela Uber.
         

SEÇÃO 3: REQUISITOS: DADOS PESSOAIS DA UBER

1. Função das Partes: Salvo disposição em contrário prevista no Contrato Principal, as Partes reconhecem e concordam que a Uber é o Controlador dos Dados Pessoais Processados pela Uber em conformidade com o Contrato Principal^[1], e que o Fornecedor é um Processador e/ou Prestador de Serviços relacionado a tal processamento.
2. Requisitos gerais: o Fornecedor reconhece e concorda que:
   1. entende e cumprirá todos os requisitos das Leis de Proteção de Dados aplicáveis com relação ao Processamento de Dados Pessoais da Uber;
   2. notificará a Uber se determinar que não pode mais cumprir suas obrigações conforme as Leis de Proteção de Dados aplicáveis, a menos que exigido por lei; ao receber essa notificação, a Uber poderá tomar as medidas razoáveis e apropriadas para interromper o Processamento de Dados Pessoais da Uber pelo Fornecedor e remediar quaisquer riscos aos Titulares de Dados da Uber resultantes de tal processamento, e o Fornecedor ajudará a Uber, de forma razoável, em relação a essas etapas (incluindo, se aplicável, interromper tal processamento);
      
   3. não tomará ações de alugar, vender, compartilhar, divulgar, combinar com outros dados ou processar Dados Pessoais da Uber para qualquer finalidade, exceto conforme necessário para cumprir suas obrigações conforme o Contrato Principal, salvo acordo em contrário entre as Partes por escrito;
      
   4. Não tentará reidentificar qualquer Titular de Dados da Uber usando dados não identificados fornecidos ou coletados pelo Fornecedor.
      
   5. não permitirá que qualquer colaborador do Fornecedor processe Dados Pessoais da Uber, exceto quando tal colaborador concordar em manter a confidencialidade dos Dados Pessoais da Uber ou quando for obrigado por lei a manter a confidencialidade dos Dados Pessoais da Uber.
3. Requisitos para o Processador/Provedor de Serviços/Parceiro: se o Fornecedor for designado como Processador, Prestador de Serviços ou Parceiro no Contrato Principal, ele deverá, em conexão com quaisquer Dados Pessoais da Uber Processados de acordo com essa designação:
   
   1. se for o Processador e/ou Prestador de Serviços designados, (a) somente processar Dados Pessoais da Uber de acordo com as instruções escritas da Uber, exceto se de outra forma exigido por lei; e (b) não copiar nem reproduzir os Dados Pessoais da Uber para seus próprios fins ou os de qualquer Subprocessador ou terceiro, inclusive para fins de treinamento, desenvolvimento ou refinamento de modelos de aprendizado de máquina, sistemas de inteligência artificial ou tecnologias similares;
      
   2. ajudar a Uber, conforme razoável e apropriado, no contexto do Processamento de Dados Pessoais pelo Fornecedor, para:
      1. cumprir as obrigações da Uber conforme os artigos 32 a 36 do GDPR, conforme aplicável, ou obrigações análogas de outras Leis de Proteção de Dados aplicáveis; e
         
      2. demonstrar conformidade com as Leis de Proteção de Dados aplicáveis, incluindo, se aplicável, o Artigo 28 do GDPR.
         
   3. permitir que a Uber tome as medidas razoáveis e apropriadas para garantir que o Fornecedor use os Dados Pessoais da Uber de maneira consistente com suas obrigações conforme as Leis de Proteção de Dados aplicáveis, bem como para interromper e remediar o uso não autorizado dos Dados Pessoais da Uber,
      
   4. exceto se de outra forma exigido por lei, notificar prontamente a Uber sobre qualquer solicitação de um Titular dos Dados da Uber ou de um órgão governamental ou regulador com autoridade sobre o Fornecedor ou a Uber relacionada ao Processamento de Dados Pessoais da Uber pelo Fornecedor e cooperar com a Uber em conexão com qualquer resposta a tal solicitação ou demanda.
4. Requisitos para o Controle: se o Fornecedor for designado como Controlador no Contrato Principal, ele reconhece e concorda que:
   1. é um Controlador independente dos Dados Pessoais da Uber de acordo com as Leis de Proteção de Dados;
      
   2. determinará as finalidades e os meios do processamento dos Dados Pessoais da Uber;
      
   3. é responsável por seu próprio cumprimento das Leis de Proteção de Dados aplicáveis, inclusive no que se refere a notificar os Titulares de Dados sobre o Processamento dos Dados Pessoais deles, como eles podem exercer seus direitos e como obter os consentimentos necessários;
      
   4. cumprirá as obrigações que se aplicam a ele conforme as Leis de Proteção de Dados com relação ao Processamento de Dados Pessoais da Uber.
5. Transferências transnacionais: Se o Processamento de Dados Pessoais pelo Fornecedor envolver a transferência de Dados Pessoais de Titulares de Dados da Uber:
   1. Ele cumprirá todas as Leis de Proteção de Dados aplicáveis a essas transferências.
      
   2. Se aplicável com base na localização dos Titulares de Dados da Uber cujos Dados Pessoais serão transferidos, ele cumprirá os requisitos estabelecidos no Anexo 2 deste Contrato.

SEÇÃO 4: DISPOSIÇÕES GERAIS

1. Data de entrada em vigor: este Contrato entra em vigor na data de assinatura do Contrato Principal.
2. Rescisão e sobrevivência: não obstante qualquer coisa em contrário no Contrato Principal, este Contrato e todas as suas disposições prevalecerão enquanto e na medida em que o Fornecedor processar ou reter as Informações Confidenciais da Uber.
   
3. Descumprimento. O Fornecedor informará prontamente a Uber caso não consiga cumprir este Contrato. Se o Fornecedor não puder cumprir dentro de um período de tempo razoável ou estiver em violação substancial ou persistente deste Contrato ou de suas obrigações decorrentes deste Contrato, a Uber terá o direito de rescindir este Contrato e o Contrato Principal no que se refere ao processamento das Informações Confidenciais da Uber; ressalvado, no entanto, que qualquer violação da Seção 2.9 constituirá uma violação material e a Uber terá o direito de rescindir imediatamente o Contrato Principal.
4. Cláusula inócua. Se as disposições individuais deste Contrato forem ou se tornarem inválidas, a validade das demais disposições não será afetada. As Partes substituirão a cláusula inócua por uma cláusula legalmente permitida, que cumprirá a intenção comercial pretendida da forma o mais próximo possível.
   
5. Conflitos. Em caso de conflito entre este Contrato: (i) e o Contrato Principal, este Contrato prevalecerá; e (b) um Contrato de Associação Comercial ("BAA"), conforme a HIPAA, entre a Uber e o Fornecedor. O BAA prevalecerá.
   
6. Lei aplicável e jurisdição. A lei e a jurisdição aplicáveis estabelecidas no Contrato Principal se aplicam a este Contrato.

APÊNDICE 1
Medidas organizacionais/administrativas, físicas e técnicas

1. Medidas de segurança organizacionais/administrativas: O Fornecedor implementou e manterá e atualizará conforme apropriado durante o Processamento das Informações Confidenciais da Uber (desde que tais atualizações não reduzam ou degradem as proteções usadas para proteger as Informações Confidenciais da Uber):
   1. Um programa abrangente de segurança de informações e rede, composto por políticas, práticas e procedimentos que regem os Serviços (coletivamente, o "Programa de Segurança de Dados") e (i) atende às melhores práticas atuais; (ii) está em conformidade com todas as Leis de Proteção de Dados aplicáveis; (iii) se aplicável, está em conformidade com os Padrões de Segurança de Dados do Setor de Cartões de Pagamento (PCIDSS); (iv) está em conformidade ou se alinha ao padrão de segurança ISSO 27000, NIST 800-53, CIS top 20 ou HITRST; e (v) se aplicável, está em conformidade com a Regra de Dados Confidenciais do Departamento de Justiça dos EUA, 28 CFR parte 202. O Fornecedor disponibilizará para a Uber a documentação do seu Programa de Segurança de Dados, mediante solicitação.
   2. Um programa documentado de prevenção de perda de dados, projetado para detectar, prevenir e reduzir o risco de Incidentes de Segurança de Dados, que deve incluir, no mínimo:
      1. políticas e controles técnicos apropriados, desenvolvidos para evitar a perda de informações confidenciais da Uber; e
      2. um plano de continuidade de negócios/recuperação de desastres que aborda o acesso contínuo, manutenção e armazenamento de Informações Confidenciais da Uber, bem como as necessidades de segurança para locais de backup e redes de comunicação alternativas.
   3. Políticas e procedimentos para limitar o acesso às Informações Confidenciais da Uber às pessoas que necessitam de tal acesso para desempenhar suas funções e responsabilidades conforme relacionado ao Contrato Principal.
   4. Procedimentos para confirmar todos os direitos de acesso por meio de métodos de autenticação eficazes.
   5. Um processo para realizar avaliações de risco de segurança das informações, pelo menos uma vez a cada dois anos, de quaisquer Processadores ou Subprocessadores do Fornecedor com acesso às Informações Confidenciais da Uber. Esses Processadores/Subprocessadores deverão ter controles de segurança de informações não menos protetores das Informações Confidenciais da Uber do que os requisitos deste Contrato. A Uber poderá solicitar uma cópia da avaliação de risco que o Fornecedor realizou em qualquer Subprocessador e recusar o consentimento para o uso de tal Subprocessador se a avaliação revelar que o Subprocessador não tem controles de segurança da informação suficientes para proteger as Informações Confidenciais da Uber.
   6. Um programa de conscientização sobre segurança para a força de trabalho do Fornecedor, que inclui treinamento regular sobre tópicos de segurança da informação, como tratamento seguro de dados, proteção de senhas e credenciais, engenharia social e como identificar e reportar possíveis incidentes de segurança.
   7. Um programa contínuo de gerenciamento de vulnerabilidades que utiliza um processo de classificação de risco padrão do setor para priorizar a correção das vulnerabilidades descobertas. Se for detectada uma vulnerabilidade que possa afetar a confidencialidade, disponibilidade ou integridade das Informações Confidenciais da Uber, mediante solicitação, o Fornecedor apresentará evidências suficientes para demonstrar que a vulnerabilidade foi corrigida e permitir que a Uber determine se ocorreu um Incidente de Segurança de Dados.
   8. Um programa de gerenciamento de ativos seguros que impõe uma linha de base de segurança padrão do setor, incluindo a classificação de ativos e o inventário de dispositivos/ sistemas em que as Informações Confidenciais da Uber são processadas.
   9. Processos formais e escritos para detectar, identificar, reportar, responder, mitigar e remediar Incidentes de Segurança de Dados de maneira oportuna, que devem incluir processos para a força de trabalho do Fornecedor, incluindo administradores do sistema, para relatar eventos anônimos à equipe de tratamento de incidentes e ao Fornecedor para notificar pessoas e entidades afetadas, reguladores e outras pessoas do público, quando necessário ou exigido.
   10. Simulações de incidentes, como exercícios práticos ou com a equipe vermelha, planejados e conduzidos regularmente.
   11. Um programa estabelecido para testes de penetração que incluem um escopo completo de ataques combinados, como baseados no usuário e em aplicativos da web.
   12. Um programa de governança e gerenciamento de riscos para serviços na nuvem, que habilita as configurações e proteções básicas de segurança.
   13. Práticas de codificação seguras apropriadas à linguagem de programação em uso e todos os colaboradores recebem treinamento sobre como escrever códigos seguros.
   14. Uma política de acesso a dados de uma agência governamental que recusa o acesso do governo aos dados, exceto quando esse acesso é exigido por lei ou quando há risco iminente de danos graves a indivíduos.
   15. Políticas e procedimentos para avaliar a base legal e responder a solicitações de dados de agências governamentais.
   16. Treinamento específico do pessoal responsável por gerenciar as solicitações de acesso aos dados das agências governamentais, que podem incluir requisitos das Leis de Proteção de Dados aplicáveis.
   17. Processos para documentar e registrar as solicitações de dados das agências governamentais, as respostas fornecidas e as autoridades governamentais envolvidas.
   18. Procedimentos para notificar a Uber sobre qualquer solicitação ou exigência de acesso a dados por agências governamentais, a menos que seja proibido por lei.
2. Medidas de segurança física
   1. O Fornecedor implementou, manterá e atualizará conforme apropriado durante o Processamento das Informações Confidenciais da Uber, medidas de segurança física apropriadas para qualquer instalação usada para Processar as Informações Confidenciais da Uber e monitorará continuamente quaisquer mudanças na infraestrutura física, nos negócios e nas ameaças conhecidas.
3. Medidas técnicas de segurança: O Fornecedor deverá, durante o Processamento das Informações Confidenciais da Uber:
   1. realizar verificações e avaliações de vulnerabilidade nos aplicativos e na infraestrutura usados para processar informações confidenciais da Uber;
   2. proteger suas redes de computadores usando várias camadas de controles de acesso, incluindo autenticação multifator, para proteção contra acesso não autorizado;
   3. restringir o acesso por meio de mecanismos como, entre outros, aprovações da gerência, controles robustos, registro e monitoramento de eventos de acesso e auditorias subsequentes;
   4. implementar e manter registros de eventos em todos os sistemas que processam as informações confidenciais da Uber detalhados o suficiente para permitir que o Fornecedor determine se um Incidente de Segurança de Dados ocorreu e as prováveis consequências do Incidente de Segurança de Dados, incluindo, entre outros, se as informações confidenciais da Uber foram acessadas, adquiridas, modificadas ou excluídas. Esses registros de eventos devem ser mantidos por pelo menos 13 (treze) meses e disponibilizados à Uber mediante solicitação no prazo de 7 (sete) dias corridos após a solicitação. Se os registros contiverem informações de eventos relacionados a outras entidades ou clientes, o Fornecedor deverá poder separar os dados do registro de eventos da Uber quando solicitado;
   5. identificar outros sistemas e aplicativos de computador que justifiquem o monitoramento e o registro de eventos de segurança, e mantenha arquivos de registro;
   6. revisar e analisar registros de eventos usando processos contínuos e automatizados de monitoramento e alertas para detectar, responder e investigar eventos e atividades anômalas;
   7. usar um software de verificação de vírus/malware comercial atualizado e padrão do setor, que identifica códigos maliciosos em todos os seus sistemas que processam informações confidenciais da Uber;
   8. aplicar os limites da rede e as proteções entre as redes;
   9. criptografar as Informações Confidenciais da Uber em trânsito;
   10. criptografar as Informações Confidenciais da Uber em repouso e gerenciar e proteger apenas todas as chaves de criptografia (ou seja, nenhum outro terceiro terá acesso a essas chaves de criptografia, incluindo Processadores ou Subprocessadores).

APÊNDICE 2
Transferências transnacionais

Salvo acordo em contrário entre as Partes, este Apêndice 2 define os mecanismos que as Partes usarão para permitir as transferências transnacionais de Dados Pessoais, quando exigido pelas Leis de Proteção de Dados. Especificamente, na medida em que os Serviços exigirem a transferência de Dados Pessoais dos Titulares de Dados da Uber nos seguintes países e as Partes concordarem com o seguinte:

1. EEE ou Suíça. Se os serviços do Fornecedor envolverem transferências de Dados Pessoais de titulares de dados da Uber no EEE ou na Suíça para um país ou território fora dessas regiões que não tenham sido reconhecidos pela Comissão Europeia como oferecendo um nível adequado de proteção de dados, as Partes incorporarão ao este Contrato, e concorda em cumprir as Cláusulas Contratuais Padrão de 4 de junho de 2021 ("SCCs") aprovadas pela Comissão Europeia, salvo acordo em contrário entre as partes neste Contrato. Se as SCCs forem incorporadas dessa forma:
   1. o Módulo 1 (Controlador para Controlador) se aplicará se o Fornecedor for designado como Controlador;
   2. o Módulo 2 (Controlador para Processador) se aplicará se o Fornecedor for designado como um Processador;
   3. a cláusula opcional de Docagem (Cláusula 7) não se aplica;
   4. a linguagem opcional contida na Cláusula 11 (Reparação) não se aplica;
   5. para os fins da Cláusula 17 (Lei Aplicável), a lei aplicável será a lei dos Países Baixos;
   6. os tribunais da Cláusula 18 (Escolha do foro e jurisdição) serão os tribunais dos Países Baixos, salvo acordo em contrário entre as partes no Contrato Principal; e
   7. a autoridade supervisora competente para os fins da Cláusula 13 ( Supervisão) das SCCs é a Autoridade de Proteção de Dados dos Países Baixos (Autoriteit Personsgegevens), salvo acordo em contrário entre as partes no Contrato Principal.
   8. As Partes declaram que não acreditam que as leis e práticas de qualquer país para o qual os Dados Pessoais da Uber sejam transferidos para os fins do Contrato Principal impedirão que o Fornecedor cumpra suas obrigações conforme as SCCs.
   9. Em vez do Anexo 1 das SCCs, as Partes concordam que:
      1. A identidade e as informações de contato da Uber, como exportadora de dados, e do Fornecedor, como importadora de dados, são especificadas no Contrato Principal e neste Contrato.
         
      2. A natureza e as finalidades do processamento são para os Serviços ou conforme especificado no Contrato Principal ou neste Contrato.
      3. Os Dados Pessoais da Uber transferidos serão retidos pelo Fornecedor, conforme especificado no Contrato Principal ou neste Contrato.
      4. As categorias de titulares de dados da Uber e dos Dados Pessoais da Uber transferidos são aquelas documentadas na avaliação de risco realizada antes do processamento dos Dados Pessoais da Uber.
      5. Em vez do Anexo 2 das SCCs, as Partes concordam em cumprir o Apêndice 1 deste Contrato.
      6. Em vez do Anexo 3 das SCCs (se aplicável), as Partes concordam que os Subprocessadores autorizados de Dados Pessoais da Uber são aqueles identificados na Avaliação de Risco realizada antes do Processamento de Dados Pessoais da Uber, ou conforme especificado neste Contrato ou no Contrato Principal.
2. Reino Unido. Se os serviços do Fornecedor envolverem transferências de Dados Pessoais de Titulares de Dados da Uber no Reino Unido para uma jurisdição que não ofereça um nível adequado de proteção de dados, as SCCs serão aplicadas, sujeitas aos termos do "Adendo do Reino Unido às Cláusulas Contratuais Padrão da UE" ", emitido pelo Information Commissioner's Office conforme a seção 119A da Lei de Proteção de Dados do Reino Unido de 2018 ("Adendo do Reino Unido"). Esse Adendo do Reino Unido será considerado celebrado entre o Fornecedor e a Uber, sujeito à Seção 3.5(b) deste Contrato, conforme apropriado.
3. Brasil. Se o Processamento de Dados Pessoais pelo Fornecedor envolver a transferência transnacional de Dados Pessoais da Uber de titulares de dados da Uber no Brasil, seja entre as partes ou para terceiros, o fornecedor garantirá o cumprimento de todas as leis de proteção de dados aplicáveis, incluindo a adoção de mecanismos legais apropriados, como Cláusulas Contratuais Padrão ou outros documentos exigidos por lei, e garantirão que o Processamento ofereça, no mínimo, o mesmo nível de proteção e salvaguardas para os Dados Pessoais estabelecidos neste Contrato.
   1. Transferências transnacionais entre as Partes de Dados Pessoais de titulares de dados da Uber no Brasil. Se o Processamento de Dados Pessoais envolver a transferência transnacional entre as Partes dos Dados Pessoais da Uber dos Titulares de Dados da Uber no Brasil para um país ou território que não tenha sido reconhecido pela autoridade competente como fornecedor de um nível adequado de proteção de dados, as Partes, por este instrumento, incorporam, como se fosse totalmente estabelecido neste documento, e concordam em cumprir as Cláusulas Contratuais Padrão do Brasil contidas no Anexo II da Resolução No. 19 de 2024, emitida pela Autoridade de Proteção de Dados Brasileira ("SCCs Brasil"), disponível em: Cláusulas Contratuais Padrão do Brasil. Nesses casos:
      1. Para fins de qualquer transferência transnacional de Dados Pessoais, a Uber ou qualquer uma de suas Afiliadas será considerada o Agente de Processamento de Dados.
      2. As tabelas informativas contidas na Cláusula 1.1 das SCCs do Brasil serão substituídas pelas informações de qualificação e contato da Uber e do Fornecedor, conforme estabelecido no Contrato Principal, neste Contrato e no Aviso de Privacidade de cada Parte.
      3. Para as caixas de seleção estabelecidas na Cláusula 1.1 das SCCs do Brasil, em relação às funções das Partes, a caixa de seleção "Exportador/controlador" será considerada selecionada para a Uber. Para o Fornecedor, a caixa de seleção "Importador" que corresponde à classificação do Fornecedor de acordo com a Cláusula 3.1 deste Contrato ("Função das Partes") ou conforme estabelecido no Contrato Principal será considerada selecionada.
      4. As Partes concordam que: (i) o principal objetivo da transferência transnacional dos Dados Pessoais da Uber é a realização dos serviços especificados no Contrato Principal ou neste Contrato; (ii) os Dados Pessoais da Uber transferidos serão retidos conforme especificado no Contrato Principal ou neste Contrato, de acordo com a Lei de Proteção de Dados aplicável e o Aviso de Privacidade de cada Parte; e (iii) as categorias de Titulares de Dados da Uber e os respectivos Dados Pessoais da Uber transferidos são aqueles documentados na Avaliação de Risco realizada antes do Processamento de tais Dados Pessoais. Essas informações substituem a tabela de descrição de transferência de dados contida na Cláusula 2.1 das SCCs do Brasil.
      5. Para os fins da Cláusula 3.1 das SCCs do Brasil, que trata das Transferências Subsequentes, as Partes concordam que a Opção A se aplicará nos casos em que ambas as Partes atuarem como Controladores. Quando o Fornecedor atuar como Processador, a Opção B será aplicada e a tabela descritiva estabelecida na Cláusula 3.1 é substituída pela Avaliação de Risco realizada antes do Processamento dos Dados Pessoais da Uber pelo Fornecedor ou conforme estabelecido no Contrato Principal.
      6. Para os fins da Cláusula 4.1 das SCCs do Brasil, que trata das Responsabilidades das Partes, as Partes concordam que a Opção A será aplicável, e que tanto o Exportador quanto o Importador são responsáveis ​​pelo cumprimento das obrigações estabelecidas nos itens "a", "b" e "c", em que ambas as Partes atuam como Controladores. Quando o Fornecedor atuar como Processador, tais obrigações serão de exclusiva responsabilidade da Uber.
      7. A tabela contida na Seção III das SCCs do Brasil é substituída pelo Apêndice 1 deste Contrato.
   2. Arábia Saudita. Se o Processamento de Dados Pessoais pelo Fornecedor envolver a transferência de Dados Pessoais da Uber de titulares de dados da Uber na Arábia Saudita para um país ou território que não tenha sido reconhecido pela autoridade competente como oferecendo um nível adequado de proteção de dados, as Partes, por meio deste instrumento, incorporam e concordam em cumprir as Cláusulas Contratuais Padrão para Transferência de Dados Pessoais, versão 1.0 de setembro de 2024 ("KSA SCCs"), aprovadas pela entidade governametal Saudi Data & AI Authority (SDAIA)), salvo acordo em contrário entre as partes neste Contrato. Se as SCCs forem incorporadas dessa forma:
      1. Modelo 1: (Controlador para Controlador) deverá ser aplicado se o Fornecedor for designado como Controlador;
      2. Modelo 2: (Controlador para Processador) deverá ser aplicado se o Fornecedor for designado como Processador;
      3. Para os fins da Cláusula 8 (Lei Aplicável e Jurisdição), a lei aplicável será a lei do Reino da Arábia Saudita. Qualquer disputa decorrente da aplicação das disposições destas Cláusulas será da jurisdição do Reino e será processada por seus tribunais;
      4. A autoridade competente para os fins da Cláusula 9 (Conformidade com as Solicitações da Autoridade competente) é a entidade governamental Saudi Data & AI Authority (SDAIA);
      5. As Partes declaram que não acreditam que as leis e práticas de qualquer país para o qual os Dados Pessoais da Uber são transferidos para os fins do Contrato Principal impeçam que o Fornecedor "Importador de Dados Pessoais" cumpra suas obrigações conforme as SCCs da KSA;
      6. Para os fins do Anexo 1, as informações das Partes são conforme estabelecidas neste Contrato e no Contrato Principal. A Uber é designada como Exportadora de Dados Pessoais e Controladora dos Dados Pessoais dos Titulares de Dados da Uber, enquanto a Fornecedora é designada como Importadora de Dados Pessoais dos Dados Pessoais dos Titulares de Dados da Uber, desempenhando a função especificada na Cláusula 3.1 "Função das Partes" ' deste Contrato;
      7. Para os fins do Anexo 2, as Partes concordam que:
         1. as categorias de titulares de dados da Uber e dos Dados Pessoais da Uber transferidos são aquelas documentadas na avaliação de risco realizada antes do processamento dos Dados Pessoais da Uber;
         2. a transferência é referente aos Serviços ou é especificada no Contrato Principal ou neste Contrato;
         3. os Dados Pessoais transferidos pela Uber serão retidos pelo Fornecedor, conforme especificado no Contrato Principal ou neste Contrato.
         4. Em vez do Anexo 3 das SCCs da KSA, as Partes concordam em cumprir o Apêndice 1 deste Contrato.

1. Consulte o Aviso de Privacidade da Uber para determinar quem são os controladores das Informações Confidenciais da Uber na sua região. Quando uma entidade que não seja o controlador de dados designado celebra este Contrato em nome da Uber, ela está autorizada a fazer isso pelos respectivos controladores de dados. A Uber se reserva o direito de designar outra afiliada como Controlador de Dados para fins deste Contrato. ↑