ANEXO no. 3 aos Termos de Uso: Contrato de processamento de dados

Em vigor a partir de 26 de novembro de 2025

Este Contrato de Processamento de Dados é aplicável entre Você e a ESET sempre que Você processar dados pessoais como responsável pelo tratamento de dados através do uso dos Serviços ESET fornecidos sob os Termos, e a ESET processa tais dados pessoais em seu nome como subcontratante de dados.

Em conformidade com os requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016, relativo à proteção das pessoas físicas no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, revogando a Diretiva 95/46/EC ("GDPR"), a ESET ("Processador") e Você ("Responsável pelo Tratamento") estão entrando no relacionamento contratual de processamento de dados para definir os termos e condições para o processamento de dados pessoais, a maneira de sua proteção, e também para definir outros direitos e obrigações de ambas as partes no processamento de dados pessoais de titulares dos dados em nome do Responsável pelo Tratamento durante o curso da execução do objeto destes Termos como o contrato principal.

1. Tratamento de dados pessoais. Os Serviços prestados em conformidade com estes Termos incluem o tratamento de informações relacionadas a uma pessoa física identificada ou identificável em nome do Responsável pelo Tratamento, conforme especificado na Política de Privacidade ("Dados Pessoais").

2. Autorização. O Responsável pelo Tratamento autoriza o Subcontratante para processar Dados Pessoais, incluindo as instruções a seguir:

(i) Finalidade do processamento significa a prestação de Serviços em conformidade com estes Termos e com a Documentação. O Subcontratante só pode processar Dados Pessoais em nome do Responsável pelo Tratamento em relação à prestação de serviços solicitados pelo Responsável pelo Tratamento. Todas as informações coletadas para fins adicionais serão processadas fora da relação contratual Responsável pelo Tratamento-Subcontratante.

(ii) Período de Processamento significa o período iniciado quando se inicia a cooperação sob estes Termos até sua rescisão,

(iii) Escopo e Categorias de Dados Pessoais significa quaisquer Dados Pessoais fornecidos ou disponibilizados pelo Responsável pelo Tratamento durante a prestação de Serviços. Os Serviços são pretendidos apenas para o tratamento de dados pessoais. Porém, o Responsável pelo Tratamento é o único responsável pela determinação do escopo de dados pessoais.

(iv) Titular dos Dados significa a pessoa física como usuário autorizado dos dispositivos do Responsável pelo Tratamento para o qual os Serviços são fornecidos,

(v) operações de processamento são todas e quaisquer operações necessárias para o processamento,

(vi) “Instruções documentadas” significa instruções descritas nestes Termos, seus Anexos, na Política de Privacidade e na documentação. O Responsável pelo Tratamento será responsável pela responsabilidade legal do processamento de Dados Pessoais pelo Subcontratante em relação às respectivas disposições aplicáveis da lei de proteção de dados.

3. Obrigações do Subcontratante. O Processador será obrigado a:

(i) processar Dados Pessoais apenas com base em Instruções Documentadas e em conformidade com a Finalidade do Processamento,

(ii) instruir as pessoas autorizadas a processar os Dados Pessoais ("Pessoas Autorizadas") sobre seus direitos e deveres de acordo com o GDPR, sobre sua responsabilidade em caso de violação e garantir que as Pessoas Autorizadas comprometeram-se a manter a confidencialidade e a seguir as instruções Documentadas,

(iii) tomar todas as medidas relacionadas com a segurança do tratamento, conforme exigido pelo art. 32 do GDPR, levando em consideração a tecnologia mais recente, os custos de implementação e a natureza, escopo, contexto e finalidades do tratamento, assim como o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas físicas, para garantir um nível de segurança no tratamento dos Dados Pessoais do Controlador que seja adequado ao risco.

(iv) levar em conta a natureza do tratamento, auxiliando o Responsável pelo Tratamento a responder a solicitações dos Titulares dos Dados relacionadas aos seus direitos. O Subcontratante não deve corrigir, remover ou restringir o tratamento de Dados Pessoais sem as instruções do Responsável pelo Tratamento. Todas as solicitações do Titular dos Dados relacionadas a Dados Pessoais processados em nome do Responsável pelo Tratamento serão encaminhadas ao Responsável pelo Tratamento sem atraso.

(v) auxiliar o Responsável pelo Tratamento com a notificação de violação de dados pessoais à autoridade supervisora e ao Titular dos Dados, O Subcontratante notificará o Responsável pelo Tratamento sobre qualquer violação do processamento de dados pessoais ou da segurança dos dados pessoais imediatamente após tal descoberta. O Subcontratante deve cooperar de forma razoável em uma investigação e correção de tal violação e tomar medidas razoáveis para limitar outras implicações negativas.

(vi) por escolha do Responsável pelo Tratamento remover ou devolver todos os Dados Pessoais ao Responsável pelo Tratamento após o fim do Período de Tratamento. O Responsável pelo Tratamento se compromete a informar o Subcontratante sobre sua decisão no prazo de dez (10) dias após o término do Período de Processamento. Essa disposição não afetará o direito do Subcontratante de manter os Dados Pessoais na extensão necessária para fins de arquivamento no interesse público, fins de pesquisa científica, fins estatísticos ou para o estabelecimento, exercício ou defesa de reivindicações judiciais.

(vii) manter um registro atualizado de todas as categorias de atividades de processamento que ele realizou em nome do Controlador,

(viii) disponibilizar todas as informações necessárias para demonstrar conformidade como parte dos Termos, seus Anexos, da Política de Privacidade e da documentação disponíveis ao Responsável pelo Tratamento. No caso de auditoria ou controle do processamento de Dados Pessoais do lado do Responsável pelo Tratamento, o Responsável pelo Tratamento será obrigado a informar o Subcontratante por escrito pelo menos dez (30) dias antes da auditoria ou controle planejado.

4. Contratação de outro Subcontratante. O Subcontratante de maneira geral tem o direito de contratar outro subcontratante para realizar atividades de tratamento específicas, como o fornecimento de armazenamento em nuvem e infraestrutura para o Serviço, em conformidade com estes Termos, seus Anexo, a Política de Privacidade e a Documentação. Mesmo neste caso, o Processador permanecerá o único ponto de contato e a parte responsável pela conformidade. O Subcontratante se compromete a informar o Responsável pelo Tratamento sobre qualquer adição ou substituição de outro subcontratante para fins da possibilidade de contestar tal alteração. Os subprocessadores atualmente contratados são especificados na Política de Privacidade do Subcontratante.

5. Território de processamento. O Processador garante que o processamento ocorra no Espaço Econômico Europeu ou em um país designado como seguro por decisão da Comissão Europeia, com base na decisão do Controlador. As Cláusulas Contratuais Padrão serão aplicadas em caso de transferências e tratamentos localizados fora do Espaço Econômico Europeu ou de um país designado como seguro por decisão da Comissão Europeia, por solicitação do Responsável pelo Tratamento.

6. Segurança. O Processador é certificado pela ISO 27001 e usa a estrutura da ISO 27001 para implementar uma estratégia de defesa de segurança em camadas ao aplicar controles de segurança na camada de rede, sistemas operacionais, bancos de dados, aplicativos, pessoal e processos operacionais. A conformidade com os requisitos regulatórios e contratuais é regularmente avaliada e revisada de maneira semelhante a outras infraestruturas e operações do Processador, e as medidas necessárias são realizadas continuamente para garantir a conformidade. O Subcontratante organizou a segurança de dados usando ISMS com base em ISO 27001. A documentação de segurança inclui principalmente documentos de política para segurança da informação, segurança física e segurança de equipamentos, gerenciamento de incidentes, tratamento de vazamentos de dados e incidentes de segurança, etc.

7. Medidas Técnicas e Organizacionais. O Subcontratante deve proteger os Dados Pessoais contra danos e destruição casuais e ilegais, perda casual, mudança, acesso não autorizado e divulgação. Para cumprir este objetivo, o Subcontratante deverá adotar as medidas técnicas e organizativas adequadas ao modo de tratamento e ao risco que representa o tratamento dos direitos dos Titulares dos Dados em conformidade com os requisitos do GDPR. Uma descrição detalhada das medidas técnicas e organizacionais consta da Política de Segurança.

8. Informações de contato do Subcontratante. Todas as notificações, solicitações, demandas e outras comunicações relacionadas à proteção de dados pessoais devem ser endereçadas à ESET, spol. s.r.o., aos cuidados de: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.