Contrato de Proteção de Dados do GitHub

Introdução

As partes concordam que este Acordo de Proteção de Dados do GitHub (“DPA”) define suas obrigações no que diz respeito ao processamento e segurança dos Dados Pessoais e, quando explicitamente indicado nos Termos do DPA, os Dados do Cliente em conexão aos Serviços on-line fornecidos pelo GitHub, Inc. (“GitHub”). O DPA (incluindo o Apêndice e Anexos) é entre o GitHub e qualquer cliente que receber serviços on-line do GitHub com base no Contrato de Cliente do GitHub (“Cliente”), e é incorporado por referência ao Contrato do Cliente GitHub.

Caso haja qualquer conflito ou inconsistência entre os Termos do DPA e outros termos no Contrato de Cliente do GitHub, prevalecerão os Termos do DPA. As provisões dos Termos DPA substituem todas as disposições conflitantes da Declaração de Privacidade do GitHub que, de outra forma, possam aplicar-se ao processamento de dados pessoais. Para clareza, as Cláusulas Contratuais Padrão prevalecem sobre qualquer outro termo dos Termos do DPA.

Termos e Atualizações e do DPA aplicáveis

Limites nas Atualizações

Quando o cliente renovar ou comprar uma nova assinatura de um serviço on-line, os Termos do DPA serão aplicados e não serão alterados durante o período da nova assinatura do Serviço on-line.

Não obstante os limites acima definidos nas atualizações, quando o GitHub introduzir funcionalidades, complementos ou softwares relacionados que forem novos (ou seja, que não foram incluídos anteriormente junto com a assinatura), o GitHub poderá fornecer termos ou fazer atualizações no DPA que se aplicam ao uso pelos clientes dessas novas funcionalidades, complementos ou softwares relacionados. Se esses termos incluírem quaisquer alterações materiais adversas ao Termos do DPA, o GitHub fornecerá ao Cliente uma opção para utilizar as novas funcionalidades, suplementos ou software relacionado, sem perda da funcionalidade existente de um Serviço on-line geralmente disponível. Se o Cliente não usar as novas funcionalidades, complementos ou software relacionado, não serão aplicados os novos termos correspondentes.

Regulamentação e requisitos do Governo

Não obstante os limites acima definidos nas atualizações, o GitHub pode modificar ou rescindir um serviço on-line em qualquer país ou jurisdição onde haja qualquer exigência ou obrigação do governo atual ou futura que (1) submeta o GitHub a qualquer regulamentação ou requisito geralmente não aplicável às empresas que ali operam, (2) apresente dificuldades para o GitHub continuar a operar o serviço on-line sem modificação e/ou (3) faça com que o GitHub acredite que os Termos do DPA ou o serviço on-line possam entrar em conflito com tais exigências ou obrigações.

Avisos eletrônicos

O GitHub pode fornecer ao Cliente informações e avisos sobre Serviços on-line eletrônicos, inclusive por e-mail ou por meio de um site identificado pelo GitHub. O aviso é fornecido a partir da data em que é disponibilizado pelo GitHub.

Versões anteriores

Os Termos do DPA fornecem termos para Serviços on-line disponibiliados atualmente. Para versões anteriores dos Termos do DPA, o cliente pode entrar em contato com seu revendedor ou o gerente da sua conta do GitHub.

Definições

Os termos em maiúsculas usados, mas não definidos neste DPA, têm os significados fornecidos no Contrato de Cliente do GitHub. Os seguintes termos definidos são usados neste DPA:

CCPA" Significa a Lei de Privacidade do Consumidor da Califórni, conforme estabelecido na Califórnia. Civ. Code §1798.100 et seq. e os seus regulamentos de execução.

Dados do Cliente" significa todos os dados, incluindo todos os textos, som, vídeo ou arquivos de imagem e software fornecidos para o GitHub pelo Cliente, ou em nome dele por meio do uso do serviço on-line.

Requisitos de Proteção de Dados” significa o RGPD, as leis de Proteção de Dados da UE/EEE, CCPA e todos as leis regulamentos e outros requisitos legais relacionados (a) à privacidade e segurança de dados; e (b) ao uso, coleta, retenção, armazenamento, segurança, divulgação, transferência, eliminação e outro processamento de quaisquer Dados Pessoais.

Dados de Diagnóstico” significa que os dados coletados ou obtidos pelo GitHub a partir de um software instalado localmente pelo Cliente em conexão com o Serviço on-line. Os dados de diagnóstico também podem ser referidos como telemetria. Os dados de diagnóstico não incluem Dados do Cliente, Dados de Serviço Gerado ou Dados de Serviços Profissionais.

Termos do DPA" significa tanto os termos deste DPA quanto todos termos específicos do Serviço On-line no Contrato do Cliente do GitHub que especificamente completem ou modifiquem os termos de privacidade e segurança neste DPA para um Serviço On-line específico (ou recurso de um Serviço On-line). Na hipótese de haver qualquer conflito ou inconsistência entre o DPA e os termos específicos do Serviço On-line, os termos específicos do Serviço On-line prevalecerão sobre o Serviço On-line aplicável (ou o recurso desse Serviço on-line).

RGPD" Significa o Regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção das pessoas físicas no que diz respeito ao processamento de dados pessoais e à livre circulação desses dados e a revogação da Directiva 95/46/CE (Regulamento Geral sobre Protecção de Dados). Em relação ao Reino Unido, “RGPD” significa o Regulamento (EU) 2016/679 conforme transposto para a legislação nacional do Reino Unido pelo Ato da União Europeia (retirada) do Reino Unido em 2018 e alterado pela Proteção de Dados do Reino Unido, Privacidade e Comunicações Eletrônicas (alterações, etc.) (Saída da UE) Regulamentos de 2019 (conforme puderem ser alterado periodicamente).

Leis locais de proteção de dados da EU/EEE" significa qualquer legislação subordinada e regulamentação que implementa o RGPD.

Termos relacionados ao RGPD” significa os termos no Anexo 3, ao abrigo do qual o GitHub assume compromissos vinculativos relativos ao seu processamento de Dados Pessoais, conforme exigido pelo Artigo 28 do RGPD.

Afiliado do GitHub" significa qualquer entidade que direta ou indiretamente controla, é controlada ou esteja sob controle comum com o GitHub.

Contrato do Cliente do GitHub" Significa o serviço ou outro(s) termo(s) assinado(s) pelo Cliente com GitHub para os Serviços On-line.

Declaração de Privacidade do GitHub” significa a declaração de privacidade do GitHub disponível em https://docs.github.com/en/github/site-policy/github-privacy-statement.

Serviço On-line" significa qualquer serviço ou software fornecido pelo GitHub ao Cliente nos termos do Contrato do Cliente do GitHub acordado com o Cliente, incluindo visualizações, atualizações, correções e suporte técnico.

Dados Pessoais” significa quaisquer informações relacionadas a uma pessoa física identificada ou identificável. Uma pessoa natural identificável é alguém que pode ser identificado, direta ou indiretamente, particularmente pela referência de um identificador, como um nome, um número de identificação, dados de local, um identificador on-line, ou a um ou mais fatores específicos à identidade física, psicológica, genética, mental, econômica, cultural ou social dessa pessoa natural.

Visualização” significa que os Serviços On-line fornecidos para fins de pré-visualização, avaliação, demonstração ou versões dos Serviços On-line.

Dados de Serviços Profissionais" significa todos os dados, incluindo todos os textos, som, vídeo, arquivos de imagem ou software fornecidos ao GitHub, por em nome de um Cliente (ou quando o Cliente autoriza o GitHub a obter por meio de um Serviço On-line) ou de outra forma obtido ou processado por ou em nome do GitHub por meio de um envolvimento com o GitHub para obter Serviços Profissionais. Os Dados dos Serviços Profissionais incluem dados de suporte.

Gerados pelo Serviço" significa dados gerados ou derivados pelo GitHub por meio do funcionamento do Serviço On-line. Os dados gerados pelo serviço não incluem dados de clientes, dados de diagnóstico ou dados de serviços profissionais.

Cláusulas Contratuais Padrão" significa qualquer um dos seguintes conjuntos de Cláusulas Contratuais Padrões, conforme aplicável individualmente à transferência de dados pessoais de acordo com a seção deste DPA intitulada "Transferências de Dados e Localização" abaixo:

  • as Cláusulas Contratuais Padrão (MÓDULO DOIS: Controlador de transferência para processador) em 4 de junho de 2021, referente à transferência de dados pessoais para países terceiros, nos termos do Regulamento (UE) 2016/679 do Parlamento e Conselho Europeus, conforme descrito no artigo 46 do RGPD e aprovado pela Decisão de Implementação da Comissão Europeia (EU) 2021/91 (“Cláusulas Contratuais Padrão (EU/EEA)”). As Cláusulas Contratuais Padrão (EU/EEA) são estabelecidas no Anexo 1.
  • as Cláusulas Contratuais Padrão (Processadores), de 5 de Fevereiro de 2010, para a transferência de dados pessoais para processadores estabelecidos em países terceiros que não garantem um nível adequado de proteção de dados, conforme descrito no artigo 46 do RGPD, aprovado pela Decisão da Comissão Europeia 2010/87/UE e reconhecido pelas autoridades reguladoras ou supervisoras do Reino Unido para uso em relação a transferências de dados do Reino Unido ("Cláusulas contratuais padrão (Reino Unido")). As Cláusulas Contratuais Padrão (Reuno Unido) são definidas no Anexo 2.

Subprocessador" significa que outros processadores usados pelo GitHub para processar os Dados Pessoais em nome do Cliente em conexão com os Serviços On-line, conforme descrito no artigo 28 do RGPD.

Suporte Dados" significa todos os dados, incluindo todo texto, som, vídeo, arquivos de imagem ou software, fornecidos ao GitHub por ou em nome do Cliente (ou que o Cliente autoriza o GitHub a obter de um Serviço On-line) por meio de uma relação com o GitHub para obter suporte técnico para serviços on-line abrangidos por este acordo. Os Dados de Suporte são um subconjunto de dados de Serviços Profissionais.

Os termos em minúscula usados, mas não definidos neste DPA, como “violação de dados pessoais”, “processamento”, “controlador”, “processador”, “criação de perfil”, "dados pessoais" e "titulares dos dados" terão o mesmo significado que o estabelecido no artigo 4 do RGPD, independentemente de o RGPD ser aplicado. Os termos "importador de dados" e "exportador de dados" têm os significados fornecidos nas Cláusulas Contratuais Padrão.

Para clareza, e conforme detalhado acima, os dados definidos como Dados do Cliente, Dados de Diagnóstico, Dados Gerados por Serviço e Dados de Serviços Profissionais podem conter Dados Pessoais. Para fins ilustrativos, consulte o gráfico inserido abaixo:

personal_data_types

Acima está uma representação visual dos tipos de dados definidos no DPA. Todos os Dados Pessoais são processados como parte de um dos outros tipos de dados (que também incluem dados não pessoais). Os Dados de Suporte são um subconjunto de Dados de Serviços Profissionais. Exceto quando explicitamente definido em contrário, os Termos do DPA aplicam-se exclusivamente aos Dados Pessoais.

Termos gerais

Cumprimento das Leis

O GitHub irá cumprir todas as leis e regulamentos aplicáveis à prestação dos seus Serviços On-line, incluindo a lei de notificação de violação de segurança e requisitos de proteção de dados. No entanto, o GitHub não é responsável pela conformidade com nenhuma lei ou regulamento aplicáveis ao Cliente ou ao setor do Cliente, que, de modo geral, não sejam aplicáveis aos prestadores de serviços de tecnologia da informação. O GitHub não determina se os Dados do Cliente incluem informações sujeitas a qualquer lei ou regulamento específico. Todos os Incidentes de Segurança estão sujeitos aos termos de notificação de Incidente de Segurança abaixo.

O cliente deve cumprir todas as leis e regulamentos aplicáveis ao uso dos seus Serviços On-line, incluindo leis relacionadas com dados biométricos, confidencialidade das comunicações e requisitos de proteção de dados. O cliente é responsável por determinar se os Serviços On-line são apropriados para o armazenamento e processamento de informações sujeitas a qualquer lei ou regulamentação específica e por usar os Serviços On-line de uma forma consistente com as obrigações legais e regulamentares do cliente. O cliente é responsável por responder a qualquer solicitação de terceiros sobre o uso do Serviço On-line pelo Cliente, tal como uma solicitação para eliminar conteúdo nos termos definidos pelo governo dos EUA. Lei de Direitos Autorais do para meios digitais ou outras leis aplicáveis.

Proteção de dados

Os termos dessa seção do DPA incluem as seguintes subseções:

  • Escopo
  • Natureza do Processamento de Dados; Propriedade
  • Divulgação de Dados Processados
  • Processamento de dados pessoais; RGPD
  • Segurança de Dados
  • Notificação de Incidente de Segurança
  • Transferências de Dados e Localização
  • Retenção e Exclusão de Dados
  • Compromisso de Confidencialidade do Processador
  • Aviso e controles sobre o uso de subprocessadores
  • Instituições educacionais
  • Contrato do Cliente de CJIS, Associação de Negócios da HIPAA, Dados Biométricos
  • Lei de Privacidade do Consumidor da Califórnia (CCPA)
  • Como entrar em contato com o GitHub
  • Apêndice A – Medidas de segurança

Escopo

Os Termos do DPA aplicam-se a todos os Serviços On-line.

As pré-visualizações podem empregar medidas de segurança inferiores ou diferntes daquelas normalmente presentes nos Serviços On-line. A menos que seja anotado de outro modo, o Cliente não deve usar a Pré-visualização para processar dados pessoais ou outros dados que estejam sujeitos a requisitos legais ou regulamentares de conformidade. Os termos a seguir neste DPA não se aplicam às Pré-visualizações: Processamento de Dados Pessoais; RGPD, Segurança de Dados e Lei de Privacidade da Califórnia.

Natureza do Processamento de Dados; Propriedade

Exceto conforme indicado nos Termos do DPA, O GitHub usará e processará os dados do cliente e os dados pessoais conforme descrito e sujeito às limitações fornecidas abaixo (a) para prestar ao Cliente o Serviço On-line, de acordo com as instruções documentadas do cliente; e/ou (b) para o incidente de operações comerciais legítimos do GitHub na prestação dos dos Serviços On-line para o Cliente. Assim como entre as partes, o cliente retém todos os direitos, titularidade e interesse nos e para os Dados do Cliente. O GitHub não tem direitos aos Dados do Cliente, além dos direitos concedidos pelo Cliente ao GitHub nesta seção. Este parágrafo não afeta os direitos do GitHub em softwares ou serviços de licenças do GitHub para o Cliente.

Processamento para prestar Serviços On-line para o Cliente

Para fins desse DPA, "prestar" um Serviço On-line consiste em:

  • Apresentando recursos funcionais como licenciado, configurado e usado pelo Cliente e por seus usuários, incluindo o fornecimento de experiências personalizadas para o usuário;
  • Solução de problemas (por exemplo, prevenção, detecção e reparação); e
  • Melhoria constante (por exemplo, instalar as últimas atualizações e melhorar a produtividade dos usuários, a confiabilidade, eficácia e segurança).

Ao prestar Serviços On-line, o GitHub usará ou processará dados pessoais apenas em nome do cliente e de acordo com as instruções documentadas do cliente.

Processando para as operações legítimas do GitHub

Para fins deste DPA, "Operações legítimas de negócios do GitHub" consistem no disposto a seguir, cada um como incidente para a prestação dos Serviços On0line ao Cliente: (1) cobrança e gestão de conta; (2) compensação (p. ex., cálculo de comissões de funcionários e incentivos ao parceiro); (3) relatórios internos e modelagem de negócios (p. ex., previsão, receitas, planejamento de capacidade, estratégia do produto); (4) combate a fraudes, abusos, crimes virtuais ou ataques cibernéticos que podem afetar o GitHub ou os Serviços On-line; (5) melhorar a principal funcionalidade da acessibilidade, privacidade ou eficiência energética; (6) comunicação financeira e conformidade com as obrigações legais (sujeito às limitações de divulgação de dados processados descritos abaixo); (7) criação ou gerenciamento de contas de usuários finais e perfis do GitHub para usuários individuais do Cliente (exceto onde o Cliente criar, gerencia ou controlar essas contas de usuário ou perfis em si); e (8) outras finalidades relacionadas aos Dados Pessoais não fornecidas pelo Cliente para armazenamento nos repositórios do GitHub ou em conexão com Serviços Profissionais.

Ao processar as operações legítimas de negócios do GitHub, este não usará ou processará dados pessoais para: (a) criação de perfil do usuário, (b) publicidade ou fins comerciais semelhantes, (c) venda ou corretagem de dados ou (d) qualquer outra finalidade, que não seja para os fins definidos nesta seção.

Divulgação de Dados Processados

O GitHub não divulgará ou fornecerá acesso a nenhum Dado processado exceto: (1) como orientado pelo Cliente; (2) conforme descrito neste DPA; ou (3) conforme exigido por lei. Para fins desta seção, "Dados Processados" significa: (a) Dados do Cliente; (b) Dados Pessoais e (c) todos os outros dados processados pelo GitHub, relacionados ao Serviço On-line que são informações confidenciais do cliente, nos termos do Contrato do Cliente do GitHub. Todo o processamento de Dados Processados está sujeito à obrigação de confidencialidade do GitHub nos termos do Contrato do Cliente do GitHub.

O GitHub não divulgará nem fornecerá acesso a nenhum Dado Processado para o cumprimento da lei, salvo se exigido por lei. Se alguma autoridade de cumprimento da lei entrar em contato com o GitHub, solicitando dados processados, o GitHub tentará redirecionar a autoridade para solicitar esses dados diretamente ao Cliente. Se forçado a divulgar ou fornecer acesso a quaisquer Dados Processados par ao cumprimento da lei, O GitHub notificará prontamente o Cliente e fornecerá uma cópia da solicitação, a menos que seja legalmente proibido de fazê-lo.

Após o recebimento de qualquer outra solicitação de terceiros para dados processados, o GitHub notificará prontamente o Cliente, a menos que seja proibido por lei. O GitHub rejeitará a solicitação a menos a lei exija que seja cumprido. Se a solicitação for válida, o GitHub tentará redirecionar a terceira parte para solicitar os dados diretamente para o Cliente.

O GitHub não fornecerá a terceiros: (a) acesso direto, indireto, abrangente ou irrestrito aos Dados Processados; (b) chaves de criptografia de plataforma usadas para proteger dados processados ou a capacidade de quebrar tal criptografia; ou (c) acesso aos Dados Processados se o GitHub estiver ciente de que os dados devem ser usados para fins diferentes dos indicados na solicitação de terceiros.

Para respaldar o disposto acima, o GitHub poderá fornecer informações de contato básicas do cliente para terceiros.

Processamento de dados pessoais; RGPD

Todos os dados pessoais processados pelo GitHub em conexão com os Serviços On-line são obtidos como parte dos Dados do Cliente, Dados de Serviços profissionais (incluindo Dados de Suporte), Dados de Diagnóstico ou Dados Gerados pelo Serviço. Os Dados Pessoais fornecidos ao GitHub por ou em nome do Cliente por meio do Serviço On-line são também Dados do Cliente. Identificadores com pseudônimos poderão ser incluídos nos Dados de Diagnóstico ou Dados Gerados por Serviço e também são considerados Dados Pessoais. Qualquer Dado Pessoal com pseudônimo ou não identificado mas que não seja anônimo ou Dados Pessoais derivados de Dados Pessoais também são considerados Dados Pessoais.

Na medida em que o GitHub é um processador ou subprocessador de Dados Pessoais sujeito ao RGPD, os Termos relacionados ao RGPD no Anexo 3 regem o processamento e as partes também concordam com os seguintes termos nesta subseção ("Processamento de Dados Pessoais; RGPD”):

Funções e Responsabilidades do Processador e Controlador

O Cliente e GitHub concordam que o Cliente é o controlador dos Dados Pessoais e o GitHub é o processador desses dados, exceto (a) quando o Cliente atua como processador de dados pessoais, neste caso o GitHub é um subprocessador; ou (b) conforme indicado no Contrato do Cliente do GitHub ou no presente DPA. Quando o GitHub atua como o processador ou subprocessador de Dados Pessoais, ele processará os dados pessoais apenas em nome do cliente e de acordo com as instruções documentadas do cliente. O cliente concorda que o seu Contrato do Cliente GitHub (incluindo os Termos do DPA e quaisquer atualizações aplicáveis), junto com a documentação do produto e o uso e configuração das funcionalidades dos Serviços On-line do Cliente são instruções completamente documentadas do Cliente no GitHub para o processamento de Dados Pessoais. Informações sobre uso e configuração dos Serviços Online podem ser encontradas em https://docs.github.com ou uma localidade sucessora. Todas as instruções adicionais ou alternativas devem ser acordadas conforme com o processo de alteração do Contrato de Cliente do GitHub. Em qualquer instância, quando o RGPD for aplicado e o Cliente for um processador, o Cliente garante ao GitHub que as instruções do Cliente, incluindo a nomeação do GitHub como um subprocessador ou subprocessador, foram autorizados pelo controlador relevante.

Na medida em que o GitHub usa ou processa de outra forma os Dados Pessoais sujeitos ao RGPD para o incidente de operações de negócios legítimos do GitHub para a entrega dos Serviços Online ao Cliente, O GitHub cumprirá as obrigações para uso de um controlador de dados independente nos termos do RGPD. O GitHub aceita as responsabilidades adicionadas de um “controlador” de dados nos termos do RGPD para processamento em conexão com as suas operações legítimas de negócios para: (a) agir de acordo com requisitos regulatórios, na medida necessária ao RGPD; e (b) fornecer maior transparência aos clientes e confirmar a responsabilidade do GitHub por esse processamento. O GitHub usa salvaguardas para proteger os Dados Pessoais no processamento, incluindo as identificadas neste DPA e as definidas no artigo 6 (4) do RGPD. Com relação ao processamento de Dados Pessoais nesse parágrafo, os compromissos estabelecidos nas Cláusulas Contratuais Padrão definidas no Anexo 1 ou no Anexo 2 (conforme aplicável); para as finalidades, (i) qualquer divulgação do GitHub dos Dados Pessoais, conforme descrito no Anexo III to Anexo 1 ou Apêndice 3 to Anexo 2 (conforme aplicável), transferidas em conexão com as operações comerciais legítimas do GitHub, é considerada "divulgação relevante" e (ii) os compromissos no Anexo III Anexo 1 ou Apêndice 3 do Anexo 2 (as applicable) aplicam-se a esses Dados Pessoais.

Detalhes de processamento

As partes reconhecem e concordam que:

  • Matéria. A matéria do processamento está limitada aos Dados Pessoais dentro do escopo da seção deste DPA intitulada “Natureza do Processamento de Dados; Propriedade" acima e o RGPD.
  • Duração do Processamento. A duração do processamento deve estar de acordo com as instruções do cliente e os termos do DPA.
  • Natureza e Finalidade do Processamento. A natureza e a finalidade do processamento devem ser prestar o Serviço On-line de acordo com o Contrato do Cliente com o GitHub e para o incidente das operações comerciais legítimas do GitHub. com a prestação do Serviço On-line ao Cliente (descrito mais adiante na seção deste DPA com o nome “Natureza do Processamento de Dados; Propriedade" acima).
  • Categorias de Dados. Os tipos de dados pessoais processados pelo GitHub ao prestar o Serviço On-line incluem: (i) Dados Pessoais escolhidos pelo Cliente para incluir nos Dados do Cliente ou nos Dados de Serviços Profissionais (incluindo, sem limitação, Dados de Suporte); e (ii) aqueles expressamente identificados no artigo 4 do RGPD que podem estar contidos nos Dados de Diagnóstico ou Dados Gerados pelo Serviço. Os tipos de dados pessoais que o Cliente elege para incluir nos Dados do Cliente ou nos Dados de Serviços Profissionais (incluindo, entre outros, Dados de Suporte) podem ser quaisquer categorias de Dados Pessoais identificados nos registros mantidos pelo Cliente como controlador, de acordo com o artigo 30 do RGPD, incluindo as categorias de dados pessoais estabelecidas no Anexo I para Anexo 1 ou Apêndice 1 para Anexo 2 (conforme aplicável).
  • Titulares de Dados. As categorias de titulares de dados são representantes do cliente e usuários finais, como funcionários, contratados, colaboradores e clientes e podem incluir outras categorias de titulares de dados, conforme identificado nos registros mantidos pelo Cliente como controlador, de acordo com o artigo 30 do RGPD, incluindo as categorias de titulares de dados estabelecidas no Anexo I do Anexo 1 ou Apêndice 1 do Anexo 2 (conforme aplicável).

Direitos do Titular de Dados; Assistência com Solicitações

O GitHub irá disponibilizar para o Cliente de uma maneira consistente com a funcionalidade do Serviço On-line e a função do GitHub como processador de Dados Pessoais dos titulares de dados, a capacidade de atender às solicitações de titulares de dados para exercerem seus direitos nos termos do RGPD. Se o GitHub recebe uma solicitação do titular dos dados do Cliente para o exercício de um ou mais direitos nos termos do RGPD relacionados ao Serviço On-line para o qual o GitHub é um processador de dados ou subprocessador, o GitHub irá redirecionar o titular de dados para que sua solicitação seja feita diretamente ao Cliente. O cliente será responsável por responder a qualquer solicitação, incluindo, quando necessário, utilizando a funcionalidade do Serviço On-line. O GitHub atenderá às solicitações justas do Cliente para auxiliar na resposta do Cliente a tal solicitação do titular de dados.

Registros de atividades de processamento

Na medida em que o RGPD exige que o GitHub colete e mantenha registros de certas informações relacionadas ao Cliente, este irá, conforme solicitado, fornecer essas informações ao GitHub e mantê-las precisas e atualizadas. O GitHub pode disponibilizar tais informações para a autoridade de supervisão, se exigido pelo RGPD.

Segurança de Dados

O GitHub implementará e manterá medidas técnicas e organizacionais apropriadas e garantias de segurança contra destruição acidental ou ilegal, ou perda, alteração, divulgação ou acesso não autorizado ou acesso não autorizado aos Dados do Cliente e Dados Pessoais processados pelo GitHub em nome e de acordo com as instruções documentadas do Cliente em conexão com os Serviços On-line. O GitHub irá monitorar regularmente a conformidade com estas medidas e salvaguardas e continuará tomando as medidas adequadas durante o Contrato do Cliente do GitHub. Apêndice A – Salvaguardas de Segurança contém uma descrição das medidas técnicas e organizacionais e das garantias de segurança implementadas pelo GitHub.

O cliente é o único responsável por estabelecer uma determinação independente sobre se as medidas técnicas e organizacionais e as salvaguardas de segurança de um Serviço On-line atendem aos requisitos do Cliente incluindo qualquer uma de suas obrigações de segurança nos termos dos Requisitos de Proteção de Dados aplicáveis. O Cliente reconhece e concorda que (tendo em conta os desenvolvimentos de última geração, os custos de implementação e a natureza, escopo, contexto e finalidades do processamento dos Dados do Cliente e dos Dados Pessoais, bem como do risco de diferentes probabilidade e gravidade dos direitos e liberdades das pessoas naturais) as medidas técnicas e organizacionais implementadas e mantidas pelo GitHub fornecem um nível de segurança adequado ao risco no que diz respeito aos Dados do Cliente e Dados Pessoais. O Cliente é responsável pela implementação e manutenção de proteções de privacidade e medidas de segurança para componentes que o cliente fornece ou controla.

O GitHub fornecerá relatórios de conformidade com a segurança tais como relatórios de auditoria externos SOC1, tipo 2 e SOC2, a pedido do cliente. O Cliente concorda que todas as informações e direitos de auditoria concedidos pelos Requisitos de Proteção de Dados aplicáveis (incluindo, quando aplicável, o artigo 28(3)(h) do RGPD) será atendido com estes relatórios de conformidade, e de outra forma, só surgirá na medida em que o fornecimento de um relatório de conformidade pelo GitHub não fornecer informação suficiente, ou na medida em que o Cliente tiver de responder a uma auditoria ou investigação da autoridade reguladora ou supervisora.

Se Cliente estiver sujeito a uma auditoria ou investigação da autoridade regulatória ou supervisora ou realizar uma auditoria ou investigação em resposta a uma solicitação de uma autoridade reguladora ou supervisora que exija a participação do GitHub, e as obrigações dos clientes não puderem ser razoavelmente cumpridas (quando permitido pelos reguladores do Cliente) por meio de relatórios de auditoria, documentação ou informações de conformidade que o GitHub geralmente disponibiliza para os seus clientes, o GitHub responderá prontamente às instruções adicionais e solicitações de informações do Cliente, de acordo com os termos e condições a seguir:

  • O GitHub fornecerá acesso às equipes relevantes o acesso a documentação e software de aplicativo.
  • Cliente e GitHub farão um acordo mútuo em um contrato prévio por escrito (aceita-se e-mail) com relação o escopo, cronograma, duração, controle e evidência requisitos, desde que essa exigência de aceitação não permita que o GitHub atrase excessivamente sua cooperação.
  • Cliente deverá garantir o uso de uma empresa de auditoria independente e credenciada por terceiros, durante o horário normal do negócio, com aviso prévio por escrito ao GitHub e sujeito a procedimentos de confidencialidade razoáveis. Nenhum Cliente, os seus reguladores, nem os delegados dos seus reguladores terão acesso a quaisquer dados de outros clientes do GitHub ou a sistemas ou instalações GitHub ou que não estejam envolvidos nos Serviços On-line.
  • O Cliente é responsável por todos os custos e taxas relacionados à cooperação do GitHub com a auditoria regulatória do Cliente, incluindo todos os custos e tarifas razoáveis por todo o período em que o GitHub gastar, além das taxas dos serviços prestados pelo GitHub.
  • Se o relatório gerado a partir da cooperação do GitHub com a auditoria regulatória do Cliente incluir qualquer descoberta referente ao GitHub, o cliente irá compartilhar esses relatórios, conclusões e ações recomendadas com o GitHub, quando permitido pelos reguladores do cliente.

Notificação de Incidente de Segurança

Se o GitHub tomar conhecimento de uma violação de segurança que gere a destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados do Cliente ou Dados Pessoais processados pelo GitHub em nome e em conformidade com as instruções documentadas do Cliente em conexão com os Serviços On-line (doravante denominados "Incidente de Segurança", o GitHub irá, prontamente e sem demora indevida, (1) notificar o Cliente sobre o Incidente de Segurança; (2) investigar o Incidente de Segurança e fornecer ao Cliente informações detalhadas sobre o incidente; (3) tomar medidas razoáveis para atenuar os efeitos e minimizar os danos resultantes do Incidente de Segurança.

A(s) notificação(ões) dos Incidentes de Segurança serão entregues a um ou mais administradores do cliente por qualquer meio selecionado pelo GitHub, incluindo por e-mail. É da exclusiva responsabilidade do cliente garantir que ele mantenha informações de contato atualizadas junto ao GitHub e que os administradores do cliente monitorem e respondam a qualquer notificação. O Cliente é o único responsável pelo cumprimento de suas obrigações perante as leis de notificação de incidentes aplicáveis ao Cliente e pelo cumprimento das obrigações de notificação de terceiros relacionadas a qualquer Incidente de segurança.

O GitHub fará o possível para auxiliar o Cliente a cumprir a obrigação do Cliente nos termos do artigo 33 do RGPD ou de outras leis ou regulamentos aplicáveis para notificar a autoridade regulatória ou supervisora relevante e os titulares de dados individuais sobre um Incidente de Segurança.

A notificação ou resposta do GitHub a um Incidente de Segurança nesta seção não é uma confirmação do GitHub de qualquer falha ou responsabilidade em relação ao Incidente de Segurança.

O Cliente deverá notificar o GitHub prontamente sobre qualquer possível abuso das suas contas ou credenciais de autenticação ou qualquer Incidente de Segurança relacionado a um Serviço On-line.

Transferências de Dados e Localização

Os Dados pessoais que o GitHub processa em nome e em conformidade com as instruções documentadas do Cliente em conexão com os Serviços On-line não podem ser transferidos para ou armazenados e processados em uma localidade, exceto de acordo com os Termos de DPA e as salvaguardas fornecidas abaixo nesta seção. Ao considerar essas salvaguardas, o cliente designa o GitHub para transferir dados pessoais para os Estados Unidos ou para qualquer outro país em que o GitHub ou seus subprocessadores opere e para armazenar e processar os dados pessoais para prestar os Serviços On-line, exceto como pode ser descrito em outro lugar destes Termos do DPA.

Todas as transferências de dados pessoais para fora da União Europeia, Espaço Econômico Europeu, ou para a Suíça para prestar os Serviços On-line será regida pelas Cláusulas Contratuais Padrão (EU/EEA) do Anexo 1. Todas as transferências de dados pessoais para fora do Reino Unido para prestar os Serviços On-line serão regidas pelas Cláusulas Contratuais Padrão (Reuno Unido) do Anexo 2. Para os fins das Cláusulas Contratuais Padrão (Reino Unido) no Anexo 2, as referências a "União Europeia", "UE", "Espaço Econômico Europeu, “EEE” ou “Estado-membro” serão interpretadas como referência ao Reino Unido, quando razoavelmente necessário e apropriado, para dar toda a força e efeito às Cláusulas Contratuais Padrão (Reino Unido) com respeito às transferências de Dados Pessoais do Reino Unido. Isto se aplica independentemente do fato de que, em 31 de Janeiro de 2020, data de entrada em vigor, o Reino Unido já não é um Estado-membro da União Europeia ou do Espaço Econômico Europeu.

O GitHub cumprirá os requisitos da legislação aplicável à União Europeia, Espaço Econômico Europeu, Reino Unido e Suíça em matéria de proteção de dados e outros Requisitos de Proteção de Dados, em cada caso, em relação à transferência de Dados Pessoais para destinatários ou jurisdições fora de tal jurisdição. Todas essas transferências de dados pessoais, quando aplicável, estarão sujeitas a salvaguardas apropriadas, conforme descrito no artigo 46 do RGPD e tais transferências e salvaguardas serão documentadas de acordo com o artigo 30(2) do RGPD.

De acordo com as salvaguardas descritas acima, o GitHub pode transferir, armazenar e processar dados pessoais para ou em jurisdições e localidades no mundo todo que considerar, sob o seu exclusivo critério, razoavelmente necessário em relação aos Serviços On-line.

Retenção e Exclusão de Dados

Mediante solicitação razoável do cliente, a menos que seja proibido por lei, o GitHub retornará ou destruirá todos os Dados do Cliente e os Dados Pessoais processados pelo GitHub em nome e de acordo com as instruções documentadas do Cliente em conexão com os Serviços On-line em todas as localidades onde é armazenado dentro de 30 dias após a solicitação, desde que não seja mais necessário para prestar os Serviços On-line ou os propósitos para os quais um sujeito de dados autorizou o processamento de seus Dados Pessoais. O GitHub pode manter os Dados do Cliente ou os Dados Pessoais na medida exigida pelos Requisitos de Proteção de Dados aplicáveis ou por outra lei aplicável, e apenas na medida e por tal período conforme exigido pelos Requisitos de Proteção de Dados aplicáveis ou outra lei aplicável, desde que o GitHub assegure que os Dados do Cliente ou Dados Pessoais sejam processados somente conforme necessário para a finalidade especificada nos Requisitos de Proteção de Dados aplicáveis ou outra lei aplicável e sem outra finalidade, e os Dados do Cliente ou Dados Pessoais permaneçam protegidos pelos requisitos de proteção de dados aplicáveis ou por outra lei aplicável.

Compromisso de Confidencialidade do Processador

O GitHub garantirá que a sua equipe envolvida no processamento de Dados do Cliente e de Dados Pessoais em nome do Cliente em conexão com os Serviços On-line (i) processará esses dados somente com base nas instruções do Cliente, ou conforme descrito neste DPA, e (ii) será obrigada a manter a confidencialidade e a segurança de tais dados, mesmo após o fim do seu compromisso. A GitHub fornecerá treinamento periódico e obrigatório de privacidade de dados e segurança para seus funcionários com acesso aos Dados do Cliente e Dados Pessoais, de acordo com os Requisitos de Proteção de Dados aplicáveis ou outros padrões aplicáveis da lei e do setor.

Aviso e controles sobre o uso de subprocessadores

O GitHub pode contratar subprocessadores para fornecer serviços de certa forma limitados ou auxiliares em seu nome. O cliente concorda com esta relação e com os Afiliados do GitHub como subprocessadores. As autorizações acima constituirão o consentimento prévio por escrito do cliente à subcontratação pelo GitHub do processamento de Dados Pessoais, se esse consentimento for exigido pela lei aplicável, as Cláusulas Contratuais Padrão ou os Termos Relacionados ao RGPD.

O GitHub é responsável pela conformidade dos seus subprocessadores com as obrigações do GitHub neste DPA. O GitHub disponibiliza informações sobre subprocessadores no site do GitHub https://github.com/subprocessadores (ou um local sucessor). Ao interagir com qualquer subprocessador, o GitHub garantirá, por meio de um contrato escrito, que o Subprocessador possa acessar e utilizar os Dados do Cliente ou Dados Pessoais apenas para prestar os serviços que o GitHub os contratou para prestar e estão proibidos de usar Dados do Cliente ou Dados Pessoais para qualquer outra finalidade. O GitHub garantirá que os Subprocessadores estejam vinculados a contratos escritos que exigem que eles forneçam pelo menos o nível de proteção de dados exigido ao GitHub pelo DPA, incluindo as limitações de divulgação de Dados Pessoais. O GitHub concorda em supervisionar os Subprocessadores para garantir que essas obrigações contratuais sejam cumpridas.

De vez em quando, o GitHub poderá contratar novos Subprocessadores. O GitHub enviará um aviso ao Cliente (atualizando o site https://github.com/github-subprocessors-list (ou uma localidade sucessora) e irá fornecer ao Cliente um mecanismo para obter o aviso sobre a atualização) de qualquer novo Subprocessador antes de conceder acesso ao Subprocessador aos Dados do Cliente. Se o GitHub contratar um novo Subprocessador para um novo Serviço On-line, a GitHub notificará o Cliente antes da disponibilização do mesmo.

Se o Cliente não aprovar um novo Subprocessador, o Cliente poderá cancelar qualquer assinatura do Serviço On-line afetado, sem penalidade, fornecendo, antes do final do período de notificação relevante, aviso por escrito sobre a rescisão. O Cliente também pode incluir uma explicação dos motivos para a não aprovação junto com o aviso de rescisão para permitir que o GitHub reavalie qualquer novo Subprocessador baseado nas questões aplicáveis. Se o Serviço On-line afetado fizer parte de um conjunto (ou uma única compra de serviços similar), qualquer rescisão será aplicada a todo o conjunto. Após a rescisão, o GitHub irá remover as obrigações de pagamento para qualquer assinatura do Serviço On-line rescindido das faturas subsequentes do Cliente ou do seu revendedor.

Instituições educacionais

Se o Cliente é uma instituição de ensino ou instituição sujeita às regulamentações previstas na Lei de Direitos de Educação da Família, 20 U.S.C. £1232g (FERPA), ou leis de privacidade educacional ou estadual similares (coletivamente denominadas “Leis de Privacidade Educacional”), o Cliente não deverá fornecer os dados pessoais cobertos por tais leis de privacidade educacional ao GitHub sem obter o consentimento prévio e por escrito e específico e firmar um contrato separado com o GitHub que rege os direitos e obrigações das partes no que diz respeito ao processamento de tais Dados Pessoais pelo GitHub, em relação aos Serviços On-line.

De acordo com o disposto acima, se o Cliente pretende fornecer os Dados Pessoais ao GitHub abrangidos pelo FERPA, as partes concordam e reconhecem que, para fins deste DPA, o GitHub é um "funcionário da escola" com "interesses educacionais legítimos" nos Dados Pessoais, já que esses termos foram definidos no FERPA e seus regulamentos de implementação. O Cliente entende que o GitHub pode possuir informações de contato limitadas ou nenhuma informação de contato para os alunos e pais dos alunos do cliente. Consequentemente, o Cliente será responsável por obter qualquer consentimento do aluno ou responsável ara o uso dos Serviços On-line para qualquer usuário final que possa ser exigido por lei aplicável e transmitir notificações em nome do GitHub aos alunos (ou, no caso de um aluno menor de 18 anos de idade e que não esteja frequentando uma instituição de ensino superior, para os pais do aluno) sobre qualquer ordem judicial ou intimação legalmente emitida que exija a divulgação dos Dados Pessoais em posse do GitHub, conforme exigido pela lei em vigor.

Contrato do Cliente de CJIS, Associação de Negócios da HIPAA, Dados Biométricos

Exceto com o consentimento prévio, escrito e específico do GitHub, o Cliente não fornecerá ao GitHub nenhum Dado Pessoal

  • referente a condenações criminosas e ofensas ou Dados Pessoais coletados ou processados de outra forma pelo Cliente sujeito a ou em conexão com os Serviços de Informações de Justiça Penal do FBI ou a Política de Segurança relacionada.
  • que conssituem informação de saúde protegida regida pela privacidade, segurança e violação das regras de notificação emitidas pelo Departamento da Saúde e dos Serviços Humanos dos Estados Unidos, partes 160 e 164 do Título 45 do Código de Regulamentos Federais, estabelecidas nos termos da Lei de Portabilidade e Responsabilidade do Seguro de Saúde de 1996 (Lei pubílica 104-191) ou por leis estaduais de saúde ou privacidade médica.
  • coletados como parte de um ensaio clínico ou outro assunto de estudo de pesquisa biomédica para, ou conduzida de acordo com a Política Federal de Proteção dos Assuntos Humanos (regra comum).
  • cobertos pelas leis de privacidade biométricas estaduais, federais ou estrangeiras ou que constituam, de outra forma, informações biométricas, incluindo informações sobre as características físicas, fisiológicas, biológicas ou comportamentais de um indivíduo ou informações derivadas dessas informações que são usadas ou destinadas a serem usadas, de forma individual ou em conjunto ou com outras informações para estabelecer a identidade do indivíduo.

Lei de Privacidade do Consumidor da Califórnia (CCPA) / Lei de Direitos de Privacidade da Califórnia (CPRA)

Se e na medida em que o GitHub estiver processando dados pessoais em nome e de acordo com as instruções documentadas do Cliente dentro do escopo do CCPA, o GitHub assumirá os seguintes compromissos adicionais com o Cliente. O GitHub irá processar os Dados Pessoais em nome do Cliente e não

  • irá vender os Dados Pessoais como o termo "venda" é definido no CCPA. - compartilhar alugar, lançar, divulgar, divulgar, disseminar, disponibilizar, transferir ou comunicar oralmente, por escrito, ou por meios eletrônicos ou de outros meios, os Dados Pessoais para terceirospara fins de publicidade comportamental entre contextos, independentemente de ser para fins monetários ou consideração de valor, incluindo transações para publicidade comportamental de entre contextos em que nenhum dinheiro é trocado.
  • reter, usar ou divulgar os Dados Pessoais para qualquer finalidade que não seja para fins comerciais especificados nos Termos DPA e no Contrato do Cliente do GitHub, incluindo manter, usar ou divulgar os Dados Pessoais para fins comerciais que não sejam os propósitos comerciais especificados nos Termos do DPA ou no Contrato de Cliente do GitHub ou de outra forma permitido pela CCPA.
  • manter, usar ou divulgar os Dados Pessoais fora da relação direta de negócios com o Cliente.
  • combinar os Dados Pessoais com informações pessoais que recebem de ou em nome de terceiros ou coletar dos residentes da Califórnia, com exceção de que o GitHub pode combinar Dados Pessoais para realizar qualquer finalidade comercial, conforme permitido pelo CCPA ou quaisquer regulamentos adotados ou emitidos nos termos do CCPA.

Como entrar em contato com o GitHub

Se o Cliente acredita que o GitHub não está observando os seus compromissos de privacidade ou segurança, o Cliente poderá entrar em contato com o suporte ao cliente ou usar o formulário da web de privacidade do GitHub, encontrado em https://support.github.com/contact/privacy. Endereço de correspondência do GitHub:

GitHub Privacy
GitHub, Inc.
88 Colin P. Kelly Jr. Street
San Francisco, California 94107 USA

GitHub B.V. é o representante da proteção de dados do GitHub para o Espaço Econômico Europeu. O representante da privacidade do GitHub B.V. pode ser encontrado no seguinte endereço:

GitHub B.V.
Vijzelstraat 68-72
1017 HL Amsterdam
The Netherlands

Apêndice A – Salvaguardas de Segurança

O GitHub fez a implementação e fará a manutenção de todos os Dados do Cliente e os Dados Pessoais processados pelo GitHub em nome e de acordo com as instruções documentadas do Cliente relacionadas com os serviços do GitHub com as seguintes medidas técnicas e organizacionais e salvaguardas de segurança que, em conjunto com os compromissos de segurança neste DPA (incluindo os termos relacionados ao GDPR), são de única responsabilidade do GitHub no que diz respeito à segurança desses dados:

DomínioPráticas
Organização de Segurança da InformaçãoPropriedade de Segurança. O GitHub designou um ou mais oficiais de segurança responsáveis pela coordenação e monitoramento das políticas e procedimentos de segurança.

Funções de Segurança e Responsabilidades. A equipe do do GitHub com acesso aos Dados do Cliente e aos Dados Pessoais está sujeita a obrigações de confidencialidade.

Programa de Gestão de Risco. O GitHub faz uma avaliação anual de riscos.
O GitHub retém seus documentos de segurança, de acordo com seus requisitos de retenção após deixarem de estar em vigor.

Gerenciamento de Fornecedores. O GitHub tem um processo de avaliação de risco do fornecedor, cláusulas de contrato do fornecedor e acordos adicionais de proteção de dados com fornecedores.
Gerenciamento de AtivosInventário de Ativos. O GitHub mantém um inventário de todas as mídias nas quais os Dados do Cliente e os Dados Pessoais são armazenados. O acesso ao inventário dessas mídias está restrito ao pessoal do GitHub autorizado para ter esse acesso.

Asset Handling
- O GitHub classifica os Dados do Cliente e os Dados Pessoais para ajudar a identificá-los e permitir que o acesso a eles seja devidamente restringido.
- O GitHub comunica a responsabilidade e a responsabilidade dos funcionários pela proteção de dados, inclusive a causa da rescisão.
A equipe do GitHub deve obter autorização do GitHub antes de acessar remotamente os Dados do Cliente e os Dados Pessoais do Cliente ou processar Dados do Cliente e Dados Pessoais fora das instalações do GitHub.
Segurança de Recursos HumanosTreinamento de Segurança. O GitHub exige que todos os novos contratados realizem o treinamento de segurança e privacidade como parte do inicio de integração. A participação no treinamento anual é necessária para que todos os funcionários forneçam uma base para o básico de segurança e privacidade.
Segurança física e ambientalAcesso físico às Instalações O GitHub limita o acesso às instalações onde os sistemas informativos que processam os Dados do Cliente e os Dados Pessoais estão localizados para indivíduos autorizados identificados.

Acesso Físico aos Componentes. O GitHub mantém registros de mídia de entrada e saída que contêm dados de clientes, incluindo o tipo de mídia, o remetente/destinatários autorizados, a data e a hora, o número de mídias e os tipos de Dados do Cliente e Dados Pessoais que eles contêm.

Proteção contra interrupções. O GitHub usa uma variedade de sistemas padrão do setor para proteger contra a perda de dados em razão da falha de fornecimento de energia ou interferência de linha.

Eliminação do Componente. O GitHub usa os processos padrão do setor para excluir os Dados do Cliente e os Dados Pessoais quando não são mais necessários.
Gerenciamento de comunicações e operaçõesPolítica Operacional. O GitHub mantém documentos de segurança descrevendo suas medidas de segurança e os procedimentos e responsabilidades relevantes de seus funcionários que têm acesso aos Dados do Cliente.

Procedimentos de Recuperação de Dados
- Frequentemente, mas em nenhum caso menos que uma vez por semana (a menos que nenhum Dado do Cliente e dados pessoais tenha sido atualizado durante esse período), o GitHub mantém várias cópias dos Dados do Cliente e dos Dados Pessoais a partir das quais os Dados do Cliente e os Dados Pessoais podem ser recuperados.
- O GitHub armazena cópias dos procedimentos de Dados do Cliente e Dados Pessoais e de recuperação de dados em um local diferente do onde está localizado o equipamento primário do computador que processa os dados do cliente e os dados pessoais.
- O GitHub tem procedimentos específicos em vigor que regem o acesso às cópias dos Dados do Cliente.
- O GitHub registra os trabalhos de restauração de dados, incluindo a pessoa responsável, a descrição dos dados restaurados e, quando aplicável, a pessoa responsável e quais dados (se houver) devem ser inseridos manualmente no processo de recuperação de dados.

Software Malicioso. O GitHub tem controles de detecção de ameaças para ajudar a identificar e responder a acessos anormais ou suspeitos aos Dados do Cliente, incluindo softwares maliciosos originários de redes públicas.

Dados além dos limites
- O GitHub encripta ou permite que o Cliente encripte, Dados do Cliente e Dados Pessoais transmitidos por redes públicas.
- O GitHub restringe o acesso aos Dados do Cliente e aos Dados Pessoais em mídias que saem das suas instalações.

Registro de Eventos. O GitHub registra ou permite que o Cliente registre, acesse e use sistemas de informações que contêm Dados do Cliente, registrando a ID de acesso, hora, autorização concedida ou negada e a atividade relevante.
Controle de AcessoPolítica de Acesso. O GitHub mantém um registro de privilégios de segurança de indivíduos que têm acesso aos Dados do Cliente.

Autorização de Acesso
- O GitHub mantém e atualiza um registro de equipe autorizada a acessar sistemas GitHub que contém Dados do Cliente.
- GitHub identifica aqueles funcionários que podem conceder, alterar ou cancelar acesso autorizado a dados e recursos.
- O GitHub garante que quando mais de um indivíduo tiver acesso a sistemas que contém Dados do Cliente, os indivíduos terão identificadores/logins separados, quando tecnicamente viável e comercialmente razoável.

Menor privilégio
- Pessoal de suporte técnico só tem permissão para ter acesso aos Dados do Cliente e Dados Pessoais quando necessário.
- O GitHub restringe o acesso aos Dados do Cliente e aos Dados Pessoais apenas a indivíduos que necessitem desse acesso para desempenhar sua função de trabalho. Os funcionários da GitHub só têm acesso a sistemas de produção baseados nas suas funções dentro da organização.

Integridade e Confidencialidade

- O GitHub orienta a equipe do GitHub a desabilitar sessões administrativas quando os computadores estão desacompanhados.
- O GitHub armazena senhas de forma que sejam criptografadas ou ininteligíveis enquanto estiverem em sendo usadas.

Autenticação
- o GitHub usa as práticas padrão do setor para identificar e autenticar usuários que tentam acessar os sistemas de informação.
- Quando os mecanismos de autenticação baseiam-se exclusivamente nas senhas, o GitHub exige que a senha tenha pelo menos oito caracteres.
- O GitHub garante que os identificadores de funcionários desativados ou expirados não sejam concedidos a outros indivíduos.
- O GitHub monitora, ou permite que o Cliente monitore, tentativas repetidas de obter acesso ao sistema de informações usando uma senha inválida.
- O GitHub mantém os procedimentos padrão do setor para desativar senhas que foram corrompidas ou inadvertidamente divulgadas.
- O GitHub usa as práticas de proteção padrão de senha do setor, incluindo práticas projetadas para manter a confidencialidade e integridade das senhas quando são atribuídas e distribuídas e durante o armazenamento.

Design de rede. O GitHub implementa controles para garantir que nenhum sistema de armazenamento de Dados do Cliente e Dados Pessoais façam parte da mesma rede lógica usada para operações comerciais do GitHub.
Gerenciamento de Incidentes de Segurança de InformaçãoProcesso de Resposta ao Incidente
- O GitHub mantém um registro de incidentes de segurança com uma descrição dos incidentes, período de tempo, as consequências da infração, o nome do relator, a quem foi comunicado o incidente e os detalhes sobre o tratamento do incidente.
- Na hipótese de o GitHub Security confirmar ou suspeitar razoavelmente que um cliente do GitHub.com seja afetado por uma violação de dados, iremos notificar o cliente sem um atraso indevido
- O GitHub monitora, ou permite ao Cliente monitorar e divulgar Dados do Clientes, incluindo quais dados foram divulgados, para quem e em que horário.

Monitoramento de serviço. O GitHub emprega uma ampla gama de soluções de monitoramento contínuo para evitar, detectar e mitigar ataques ao site.
Gerenciamento de Continuidade de Negócios- O GitHub mantém planos de emergência e contingência para as instalações nas quais os sistemas de informações do GitHub que processam os Dados do Cliente e os Dados Pessoais estão localizados.
- O armazenamento redundante do GitHub e seus procedimentos de recuperação de dados são projetados para tentar reconstruir os Dados do Cliente e os Dados Pessoais no seu estado original ou no último replicado de antes do momento em que foi perdido ou destruído.

Anexo 1 - As Cláusulas Contratuais Padrão (EU/EEE)

Controlador para o processador

SEÇÃO I

Cláusula 1

Finalidade e escopo

  1. A finalidade destas cláusulas contratuais normalizadas é assegurar o cumprimento dos requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016 relativo à proteção das pessoas físicas no que respeita ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre Proteção de Dados) para a transferência de dados pessoais para outros países.
  2. As Partes:
    1. a(s) pessoa(s) física(s), a(s) autoridade(s) pública(s), agência(s) ou outra(s) instituição(ões) (doravante denominadas “entidade(s) que transferem os dados pessoais, conforme listado no Anexo I. (doravante cada "exportador de dados'), e
    2. a(s) entidade(s) de outro país que recebe(m) os dados pessoais do exportador de dados, direta ou indiretamente por meio de outra entidade também faz parte destas declarações, conforme listado no Anexo I. (após cada 'importador de dados')
    concordaram com estas cláusulas contratuais padrão (doravante: “Cláusulas”).
  3. Estas cláusulas aplicam-se no que se refere à transferência de dados pessoais, conforme como especificado no Anexo I.B.
  4. O Apêndice a estas cláusulas que contêm os Anexos refereidos no presente documento constitui parte integrante destas Cláusulas.
Cláusula 2

Vigência e invariabilidade das Cláusulas

  1. Estas Cláusulas estabelecem salvaguardas adequadas, incluindo os direitos dos titulares de dados aplicáveis e remédios legais eficazes, nos termos do artigo 46(1) e do artigo 46(2)(c) do Regulamento (EU) 2016/679 e, no que se refere às transferências de dados por parte de controladores para processadores e/ou processadores, as cláusulas contratuais padrão nos termos do artigo 28(7) do Regulamento (EU) 2016/679, desde que não sejam modificadas, exceto para selecionar o(s) módulo(s) apropriado(s) ou para adicionar ou atualizar informações no Apêndice. Isto não impede que as Partes incluam as cláusulas contratuais padrão estabelecidas nestas Cláusulas em um contrato mais vasto e/ou adicionem outras cláusulas ou salvaguardas adicionais, desde que não contrariem direta ou indiretamente estas cláusulas ou prejudiquem os direitos fundamentais ou as liberdades dos titulares de dados.
  2. Estas cláusulas não prejudicam as obrigações às quais o exportador de dados está sujeito em virtude do Regulamento (UE) 2016/679.
Cláusula 3

Beneficiários de terceiros

  1. Os titulares dos dados podem invocar e aplicar estas Cláusulas como beneficiários de terceiros, contra o exportador de dados e/ou importador de dados, com as seguintes exceções:
    1. Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
    2. Cláusula 8.1(b), 8.9(a), (c), (d) e (e);
    3. Cláusula 9(a), (c), (d) e (e);
    4. Cláusula 12(a), (d) e (f);
    5. Cláusula 13;
    6. Cláusula 15.1(c), (d) e (e);
    7. Cláusula 16(e);
    8. Cláusula 18(a) e (b).
  2. O parágrafo (a) não prejudica os direitos dos titulares de dados ao abrigo do Regulamento (UE) 2016/679.
Cláusula 4

Interpretação

  1. Nos casos em que estas cláusulas utilizem termos definidos no Regulamento (UE) 2016/679, esses termos terão o mesmo significado que esse Regulamento.
  2. Estas cláusulas serão lidas e interpretadas à luz das disposições do Regulamento (UE) 2016/679.
  3. Estas cláusulas não serão interpretadas de forma a conflituosa com direitos e obrigações previstos no Regulamento (UE) 2016/679.
Cláusula 5

Hierarquia

Na hipótese de conflito entre estas cláusulas e as disposições dos acordos conexos entre as partes existentes no momento em que estas cláusulas forem acordadas ou posteriormente adotadas, estas cláusulas prevalecerão.

Cláusula 6

Descrição da(s) transferência(s)

Os detalhes das transferências e, em particular, as categorias de dados pessoais transferidos e os propósitos para os quais são transferidos, são especificados no Anexo I.B.

Cláusula 7

Docking clause

  1. Uma entidade que não for parte nestas cláusulas pode, com o acordo das partes, aderir a qualquer momento a estas cláusulas. seja como exportador ou importador de dados, preenchendo o Apêndice e assinando o Anexo I.A.
  2. Uma vez preenchido o Apêndice e assinado o Anexo I.A, a entidade aderente tornar-se-á parte destas cláusulas e terá os direitos e obrigações de um exportador ou importador de dados, de acordo com a sua designação no Anexo I.A.
  3. A entidade aderente não terá direitos nem obrigações decorrentes destas cláusulas do período anterior à sua adesão.

SEÇÃO II – OBLIGAÇÕES DA PARTES

Cláusula 8

Salvaguardas de proteção de dados

O exportador de dados garante que empregou esforços razoáveis para determinar se o importador de dados poderá, por meio da implementação de medidas técnicas e organizacionais adequadas, cumprir as suas obrigações ao abrigo destas Cláusulas.

8.1 Instruções

      <li>O importador de dados processará os dados pessoais somente com base em instruções documentadas do exportador de dados. O exportador de dados pode fornecer essas instruções durante o período do contrato.</li>
      <li>O importador de dados informará imediatamente o exportador de dados se este não puder seguir essas instruções.</li>
    

8.2 Limitação da finalidade

O importador de dados processará os dados pessoais apenas para a(s) finalidade(s) específica(s) da transferência, conforme definido no Anexo I.B, a não ser que o exportador de dados dê mais instruções.

8.3 Transparência

Mediante solicitação, o exportador de dados fará uma cópia destas Clauses, incluindo o Apêndice como concluído pelas partes, disponível para o sujeito de dados gratuitamente. Na medida do necessário para proteger os segredos comerciais ou outras informações confidenciais, incluindo as medidas descritas no Anexo II e dados pessoais, o exportador de dados pode anular a parte do texto do Apêndice dessas Cláusulas antes de compartilhar uma cópia, mas fornecerá um resumo significativo em que a disciplina de dados não conseguiria entender o seu conteúdo nem exercer os seus direitos. Mediante solicitação, as Partes deverão fornecer ao titular dos dados as razões das redações, na medida do possível, sem revelar as informações redigidas. Esta Cláusula não prejudica as obrigações do exportador de dados nos termos dos artigos 13 e 14 do Regulamento (UE) 2016/679.

8.4 Precisão

Se o importador de dados ficar ciente de que os dados pessoais que recebeu são imprecisos, ou estão desatualizados, ele informará o exportador de dados sem demora indevida. Neste caso, o importador de dados deverá cooperar com o exportador de dados para apagar ou retificar os dados.

8.5 Duração do processamento e exclusão ou devolução de dados

O processamento pelo importador de dados só ocorrerá durante a duração especificada definida no Anexo I.B. Após o fim da prestação dos serviços de processamento, o importador de dados deverá, conforme escolha do exportador de dados, excluir todos os dados pessoais processados em nome do exportador de dados e certificar ao exportador de dados concluiu o trabalho ou retornar ao exportador de dados todos os dados pessoais processados no seu nome e excluir as cópias existentes. Até que os dados sejam excluídos ou devolvidos, o importador de dados continuará garantindo a conformidade com estas Cláusculas. No caso de leis locais aplicáveis ao importador de dados que proíbem a devolução ou exclusão de dados pessoais, o importador de dados garantirá que continuará garantindo o cumprimento dessas cláusulas e que irá processá-las apenas na medida e durante o tempo exigido por essa lei local. Isto sem prejuízo da Cláusula 14, em particular o requisito para o importador de dados nos termos da Cláusula 14(e) de notificar o exportador de dados ao longo da vigência do contrato, se tiver razão para acreditar que está ou tornou-se sujeito a leis ou práticas que não estejam em conformidade com os requisitos da Cláusula 14(a).

8.6 Segurança do processamento

  1. O importador de dados e, durante a transmissão, e o exportador de dados deverão implementar medidas técnicas e organizacionais apropriadas para garantir a segurança dos dados, incluindo proteção contra uma violação de segurança que gere a destruição acidental ou ilegal, perda, alteração, divulgação ou acesso não autorizado a esses dados (doravante "violação de dados pessoais"). Na avaliação do nível de segurança adequado, as partes deverão ter em devida conta a tecnologia de ponta, os custos de implementação, a natureza, âmbito, contexto, as finalidade(s) de processamento e os riscos envolvidos no processamento para os titulares de dados. As Partes devem considerar em particular o recurso à criptografia ou pseudonimização, incluindo durante a transmissão, onde a finalidade do processamento pode ser cumprida nessa questão. Em caso de pseudonimização, as informações adicionais para atribuir os dados pessoais a um titular de dados específico, sempre que possível, encontram-se sob o controle exclusivo do exportador de dados. Ao cumprir as suas obrigações nos termos deste parágrafo, o importador de dados deverá pelo menos implementar as medidas técnicas e organizacionais especificadas no Anexo II. O importador de dados deverá efetuar controles regulares para garantir que estas medidas continuem proporcionando um nível de segurança adequado.
  2. O importador de dados concederá acesso aos dados pessoais aos integrantes da sua equipe somente na medida do estritamente necessário para a implementação, gestão e acompanhamento do contrato. Ele irá garantir que as pessoas autorizadas a processar os dados pessoais comprometeram-se a manter a confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade.
  3. Em caso de violação de dados pessoais sobre dados pessoais processados pelo importador de dados nos termos destas Cláusulas o importador de dados tomará medidas adequadas para resolver a violação, incluindo medidas para mitigar os seus efeitos adversos. O importador de dados também notificará o exportador de dados sem atraso indevido, depois de ter tomado conhecimento da violação. Tal notificação conterá as informações de um ponto de contato, com o qual mais informações podem ser obtidas, uma descrição da natureza da violação (incluindo, quando possível, categorias e número aproximado de titulares dos dados e registros de dados pessoais em causa), as suas consequências prováveis e as medidas tomadas ou propostas para fazer resolver a violação, incluindo, sempre que necessário, medidas para mitigar os seus possíveis efeitos adversos. Quando e na medida em que não for possível fornecer todas as informações ao mesmo tempo, a notificação inicial conterá a informação disponível e as informações adicionais serão posteriormente fornecidas sem demora indevida.
  4. O importador de dados irá cooperar com o exportador de dados e auxiliar o exportador a fim de permitir que o exportador de dados cumpra as suas obrigações nos termos do Regulamento (UE) 2016/679, especialmente para notificar a autoridade supervisora competente e os titulares dos dados afetados, tendo em conta a natureza do processamento e a informação disponíveis ao importador de dados.

8.7 Dados confidenciais

Quando a transferência envolver dados pessoais que revelem a origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, ou associações sindicais, dados genéticos ou dados biométricos para fins únicos de identificação da pessoa física, dados relativos à saúde ou à vida sexual ou à orientação sexual de uma pessoa, ou dados referentes a condenações criminosas e crimes (doravante “dados confidenciais”), o importador de dados deverá aplicar as restrições específicas e/ou salvaguardas adicionais descritas no Anexo I.B.

8.8 Onward transfers

O importador de dados só divulgará os dados pessoais a terceiros com base em instruções documentadas do exportador de dados. In addition, the data may only be disclosed to a third party located outside the European Union (1) (in the same country as the data importer or in another third country, hereinafter ‘onward transfer’) if the third party is or agrees to be bound by these Clauses, under the appropriate Module, or if:

  1. the onward transfer is to a country benefitting from an adequacy decision pursuant to Article 45 of Regulation (EU) 2016/679 that covers the onward transfer;
  2. de outra forma, a terceira parte assegura as salvaguardas adequadas nos termos dos artigos 46 ou 47 do Regulamentos (UE) 2016/679 no que se refere ao processamento em questão;
  3. the onward transfer is necessary for the establishment, exercise or defence of legal claims in the context of specific administrative, regulatory or judicial proceedings; or
  4. the onward transfer is necessary in order to protect the vital interests of the data subject or of another natural person.

  5. Any onward transfer is subject to compliance by the data importer with all the other safeguards under these Clauses, in particular purpose limitation.

8.9 Documentação e conformidade

  1. O importador de dados terá de processar rápida e adequadamente as solicitações do exportador de dados relacionados ao processamento ao abrigo destas Cláusulas.
  2. As Partes poderão demonstrar a conformidade com estas Cláusculas. Em particular, o importador de dados deverá manter documentação adequada sobre as atividades de processamento levadas a cabo em nome do exportador de dados.
  3. O importador de dados disponibilizará ao exportador de dados todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas nestas Cláusulas e, mediante solicitação do exportador de dados, permitir e contribuir para auditorias das atividades de processamento abrangidas por estas afirmações, a intervalos razoáveis ou caso existam indicações de incumprimento. Ao decidir sobre revisão ou auditoria, o exportador de dados pode ter em conta certificações relevantes detidas pelo importador de dados.
  4. O exportador de dados pode optar por conduzir a auditoria por si só ou enviar um auditor independente. As auditorias podem incluir inspeções nas instalações ou instalações físicas do importador de dados e, sempre que necessário, serão realizadas com um aviso adequado.
  5. As Partes deverão fazer referência às informações referidas nos números (b) e (c) incluindo os resultados de todas as auditorias, à disposição da autoridade supervisora competente e mediante solicitação.
Cláusula 9

Uso de subprocessadores

  1. AUTORIZAÇÃO GERAL POR ESCRITO O importador de dados têm a autorização geral do exportador para a contratação do(s) subprocessador(es) em uma lista acordada. O importador de dados informará especificamente o exportador de dados por escrito sobre quaisquer alterações previstas nessa lista por meio da adição ou substituição de subprocessadores com pelo menos 90 dias de antecedência, conferindo, dessa forma, ao exportador de dados tempo suficiente para conseguir contestar essas alterações antes da contratação do(s) subprocessador(es). O importador de dados fornecerá ao exportador de dados as informações necessárias para permitir que o exportador exerça o seu direito de contestação.
  2. Quando o importador de dados contrata um subprocessador para realizar atividades de processamento específicas (em nome do exportador de dados), fá-lo-á por meio de um contrato escrito que prevê as mesmas obrigações de proteção de dados que aquelas que vinculam o importador de dados nos termos destas declarações, incluindo em termos de direitos de beneficiários de terceiros para titulares de dados.(2) As Partes concordam que, ao cumprir esta cláusula, o importador de dados cumpre as suas obrigações no âmbito da Cláusula 8.8. O importador de dados assegurará que o subprocessador irá cumprir as obrigações às quais o importador de dados está sujeito de acordo com estas Cláusulas.
  3. O importador de dados fornecerá, a pedido do exportador de dados, uma cópia desse acordo de subprocessador e quaisquer alterações subsequentes ao exportador de dados. Na medida do necessário para proteger segredos de negócios ou outras informações confidenciais, incluindo dados pessoais, o importador de dados pode anular o texto do Contrato antes de compartilhar uma cópia.
  4. O importador de dados permanecerá totalmente responsável perante o exportador de dados pelo desempenho das obrigações do subprocessador ao abrigo do seu contrato com o importador de dados. O importador de dados notificará o exportador de dados de qualquer falha do subprocessador de cumprir suas obrigações ao abrigo do contrato.
  5. O importador de dados deverá concordar com uma cláusula do beneficiário de terceiros com o subprocessador em que – no caso de o importador de dados haver, de fato, desaparecido, deixar de existir na lei ou tornar-se insolvente – o exportador de dados terá o direito de rescindir o contrato de subprocessador e instruir o subprocessador a apagar ou devolver os dados pessoais.
Cláusula 10

Direitos dos titulares dos dados

  1. O importador de dados notificará prontamente o exportador de dados de qualquer solicitação que tenha recebido de um titular de dados. Ele não responderá a esse pedido se não tiver sido autorizado a fazê-lo pelo exportador de dados.
  2. O importador de dados ajudará o exportador de dados a cumprir as suas obrigações de responder aos pedidos dos titulares de dados para o exercício dos seus direitos nos termos do Regulamento (UE) 2016/679. A este respeito, as partes estabelecerão no Anexo II as medidas técnicas e organizacionais adequadas. tendo em conta a natureza da transformação, por meio da qual a assistência será prestada, bem como o âmbito e a extensão da assistência necessária.
  3. Ao cumprir as suas obrigações nos termos dos parágrafos (a) e (b), o importador de dados deverá cumprir as instruções do exportador de dados.
Cláusula 11

Redress

  1. O importador de dados deve informar aos titulares de dados em um formato transparente e facilmente acessível, por meio de notificação individual ou no seu site, um ponto de contato autorizado para administrar as reclamações. Ele tratará prontamente todas as reclamações que receber de um titular de dados.
  2. Em caso de disputa entre um titular de dados e uma das Partes no que diz respeito à conformidade com estas Clauses, a Parte irá eforçar-se ao máximo para resolver o problema d forma amigágel e em tempo hábil. As Partes manter-se-ão informadas sobre estes litígios e, sempre que necessário, cooperarão na sua solução.
  3. Quando o sujeito dos dados invocar um direito beneficiário de terceiros, conforme a Cláusula 3, o importador de dados aceitará a decisão do sujeito dos dados para:
    1. lodge a complaint with the supervisory authority in the Member State of his/her habitual residence or place of work, or the competent supervisory authority pursuant to Clause 13;
    2. consulte a questão para os tribunais competentes no âmbito da Cláusula 18.
  4. As Partes aceitam que o titular dos dados pode ser representado por uma entidade sem fins lucrativos, organização ou associação nas condições estabelecidas no artigo 80(1) do Regulamento (EU) 2016/679.
  5. O importador de dados deverá respeitar uma decisão vinculativa nos termos da legislação da UE ou dos Estados-Membros.
  6. O importador de dados concorda que a escolha feita pela disciplina de dados não prejudicará os seus direitos substantivos e processuais de procurar soluções em conformidade com as leis aplicáveis.
Cláusula 12

Responsabilidade

  1. Cada Parte será responsável pela(s) outra(s) Parte(s) por quaisquer danos causados à(s) outra(s) Parte(s) em razão de violação dessas Cláusulas.
  2. The data importer shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages the data importer or its sub-processor causes the data subject by breaching the third-party beneficiary rights under these Clauses.
  3. Notwithstanding paragraph (b), the data exporter shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages the data exporter or the data importer (or its sub-processor) causes the data subject by breaching the third-party beneficiary rights under these Clauses. Isto sem prejuízo da responsabilidade do exportador de dados e, quando o exportador de dados é um processador que atua em nome de um controlador, sem prejuízo da responsabilidade do controlador nos termos do Regulamento (UE) 2016/679 ou do Regulamento (UE) 2018/1725, conforme aplicável.
  4. The Parties agree that if the data exporter is held liable under paragraph (c) for damages caused by the data importer (or its sub-processor), it shall be entitled to claim back from the data importer that part of the compensation corresponding to the data importer’s responsibility for the damage.
  5. Where more than one Party is responsible for any damage caused to the data subject as a result of a breach of these Clauses, all responsible Parties shall be jointly and severally liable and the data subject is entitled to bring an action in court against any of these Parties.
  6. The Parties agree that if one Party is held liable under paragraph (e), it shall be entitled to claim back from the other Party/ies that part of the compensation corresponding to its/their responsibility for the damage.
  7. The data importer may not invoke the conduct of a sub-processor to avoid its own liability.
Clause 13

Supervision

  1. [Where the data exporter is established in an EU Member State:] The supervisory authority with responsibility for ensuring compliance by the data exporter with Regulation (EU) 2016/679 as regards the data transfer, as indicated in Annex I.C, shall act as competent supervisory authority.

    [Where the data exporter is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) and has appointed a representative pursuant to Article 27(1) of Regulation (EU) 2016/679:] The supervisory authority of the Member State in which the representative within the meaning of Article 27(1) of Regulation (EU) 2016/679 is established, as indicated in Annex I.C, shall act as competent supervisory authority.

    [Where the data exporter is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) without however having to appoint a representative pursuant to Article 27(2) of Regulation (EU) 2016/679:] The supervisory authority of one of the Member States in which the data subjects whose personal data is transferred under these Clauses in relation to the offering of goods or services to them, or whose behaviour is monitored, are located, as indicated in Annex I.C, shall act as competent supervisory authority.

  2. The data importer agrees to submit itself to the jurisdiction of and cooperate with the competent supervisory authority in any procedures aimed at ensuring compliance with these Clauses. In particular, the data importer agrees to respond to enquiries, submit to audits and comply with the measures adopted by the supervisory authority, including remedial and compensatory measures. It shall provide the supervisory authority with written confirmation that the necessary actions have been taken.

SECTION III – LOCAL LAWS AND OBLIGATIONS IN CASE OF ACCESS BY PUBLIC AUTHORITIES

Clause 14

Local laws and practices affecting compliance with the Clauses

  1. The Parties warrant that they have no reason to believe that the laws and practices in the third country of destination applicable to the processing of the personal data by the data importer, including any requirements to disclose personal data or measures authorising access by public authorities, prevent the data importer from fulfilling its obligations under these Clauses. This is based on the understanding that laws and practices that respect the essence of the fundamental rights and freedoms and do not exceed what is necessary and proportionate in a democratic society to safeguard one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679, are not in contradiction with these Clauses.
  2. The Parties declare that in providing the warranty in paragraph (a), they have taken due account in particular of the following elements:
    1. the specific circumstances of the transfer, including the length of the processing chain, the number of actors involved and the transmission channels used; intended onward transfers; the type of recipient; the purpose of processing; the categories and format of the transferred personal data; the economic sector in which the transfer occurs; the storage location of the data transferred;
    2. the laws and practices of the third country of destination– including those requiring the disclosure of data to public authorities or authorising access by such authorities – relevant in light of the specific circumstances of the transfer, and the applicable limitations and safeguards (3);
    3. any relevant contractual, technical or organisational safeguards put in place to supplement the safeguards under these Clauses, including measures applied during transmission and to the processing of the personal data in the country of destination.
  3. The data importer warrants that, in carrying out the assessment under paragraph (b), it has made its best efforts to provide the data exporter with relevant information and agrees that it will continue to cooperate with the data exporter in ensuring compliance with these Clauses.
  4. The Parties agree to document the assessment under paragraph (b) and make it available to the competent supervisory authority on request.
  5. The data importer agrees to notify the data exporter promptly if, after having agreed to these Clauses and for the duration of the contract, it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under paragraph (a), including following a change in the laws of the third country or a measure (such as a disclosure request) indicating an application of such laws in practice that is not in line with the requirements in paragraph (a).
  6. Following a notification pursuant to paragraph (e), or if the data exporter otherwise has reason to believe that the data importer can no longer fulfil its obligations under these Clauses, the data exporter shall promptly identify appropriate measures (e.g. technical or organisational measures to ensure security and confidentiality) to be adopted by the data exporter and/or data importer to address the situation. The data exporter shall suspend the data transfer if it considers that no appropriate safeguards for such transfer can be ensured, or if instructed by the competent supervisory authority to do so. In this case, the data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses. If the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise. Where the contract is terminated pursuant to this Clause, Clause 16(d) and (e) shall apply.
Clause 15

Obligations of the data importer in case of access by public authorities

15.1 Notification

  1. The data importer agrees to notify the data exporter and, where possible, the data subject promptly (if necessary with the help of the data exporter) if it:
    1. receives a legally binding request from a public authority, including judicial authorities, under the laws of the country of destination for the disclosure of personal data transferred pursuant to these Clauses; such notification shall include information about the personal data requested, the requesting authority, the legal basis for the request and the response provided; or
    2. becomes aware of any direct access by public authorities to personal data transferred pursuant to these Clauses in accordance with the laws of the country of destination; such notification shall include all information available to the importer.
  2. If the data importer is prohibited from notifying the data exporter and/or the data subject under the laws of the country of destination, the data importer agrees to use its best efforts to obtain a waiver of the prohibition, with a view to communicating as much information as possible, as soon as possible. The data importer agrees to document its best efforts in order to be able to demonstrate them on request of the data exporter.
  3. Where permissible under the laws of the country of destination, the data importer agrees to provide the data exporter, at regular intervals for the duration of the contract, with as much relevant information as possible on the requests received (in particular, number of requests, type of data requested, requesting authority/ies, whether requests have been challenged and the outcome of such challenges, etc.).
  4. The data importer agrees to preserve the information pursuant to paragraphs (a) to (c) for the duration of the contract and make it available to the competent supervisory authority on request.
  5. Paragraphs (a) to (c) are without prejudice to the obligation of the data importer pursuant to Clause 14(e) and Clause 16 to inform the data exporter promptly where it is unable to comply with these Clauses.

15.2 Revisão da legalidade e minimização de dados

  1. The data importer agrees to review the legality of the request for disclosure, in particular whether it remains within the powers granted to the requesting public authority, and to challenge the request if, after careful assessment, it concludes that there are reasonable grounds to consider that the request is unlawful under the laws of the country of destination, applicable obligations under international law and principles of international comity. The data importer shall, under the same conditions, pursue possibilities of appeal. When challenging a request, the data importer shall seek interim measures with a view to suspending the effects of the request until the competent judicial authority has decided on its merits. It shall not disclose the personal data requested until required to do so under the applicable procedural rules. These requirements are without prejudice to the obligations of the data importer under Clause 14(e).
  2. The data importer agrees to document its legal assessment and any challenge to the request for disclosure and, to the extent permissible under the laws of the country of destination, make the documentation available to the data exporter. It shall also make it available to the competent supervisory authority on request.
  3. The data importer agrees to provide the minimum amount of information permissible when responding to a request for disclosure, based on a reasonable interpretation of the request.

SECTION IV – FINAL PROVISIONS

Clause 16

Non-compliance with the Clauses and termination

  1. The data importer shall promptly inform the data exporter if it is unable to comply with these Clauses, for whatever reason.
  2. In the event that the data importer is in breach of these Clauses or unable to comply with these Clauses, the data exporter shall suspend the transfer of personal data to the data importer until compliance is again ensured or the contract is terminated. This is without prejudice to Clause 14(f).
  3. The data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses, where:
    1. the data exporter has suspended the transfer of personal data to the data importer pursuant to paragraph (b) and compliance with these Clauses is not restored within a reasonable time and in any event within one month of suspension;
    2. the data importer is in substantial or persistent breach of these Clauses; or
    3. the data importer fails to comply with a binding decision of a competent court or supervisory authority regarding its obligations under these Clauses.

    In these cases, it shall inform the competent supervisory authority of such non-compliance. Where the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise.
  4. Personal data that has been transferred prior to the termination of the contract pursuant to paragraph (c) shall at the choice of the data exporter immediately be returned to the data exporter or deleted in its entirety. The same shall apply to any copies of the data. The data importer shall certify the deletion of the data to the data exporter. Até que os dados sejam excluídos ou devolvidos, o importador de dados continuará garantindo a conformidade com estas Cláusculas. In case of local laws applicable to the data importer that prohibit the return or deletion of the transferred personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process the data to the extent and for as long as required under that local law.
  5. Either Party may revoke its agreement to be bound by these Clauses where (i) the European Commission adopts a decision pursuant to Article 45(3) of Regulation (EU) 2016/679 that covers the transfer of personal data to which these Clauses apply; or (ii) Regulation (EU) 2016/679 becomes part of the legal framework of the country to which the personal data is transferred. This is without prejudice to other obligations applying to the processing in question under Regulation (EU) 2016/679.
Clause 17

Governing law

These Clauses shall be governed by the law of one of the EU Member States, provided such law allows for third-party beneficiary rights. The Parties agree that this shall be the law of the Netherlands.

Clause 18

Choice of forum and jurisdiction

  1. Any dispute arising from these Clauses shall be resolved by the courts of an EU Member State.
  2. The Parties agree that those shall be the courts of the Netherlands.
  3. A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of the Member State in which he/she has his/her habitual residence.
  4. The Parties agree to submit themselves to the jurisdiction of such courts.

ANNEX I

to the Standard Contractual Clauses (EU/EEA)

A. LIST OF PARTIES

Data exporter(s): Customer is the data exporter
Name: see GitHub Customer Agreement
Address: see GitHub Customer Agreement
Contact person’s name, position and contact details: see GitHub Customer Agreement
Activities relevant to the data transferred under these Clauses:
The data exporter is a user of Online Services or Professional Services as defined in the DPA and GitHub Customer Agreement.
Signature and date: see GitHub Customer Agreement (the DPA and the Standard Contractual Clauses (EU/EEA) are incorporated into the GitHub Customer Agreement
Role (controller/processor): controller (unless otherwise agreed in the Customer Agreement).

Data importer(s):
Name: GitHub, Inc.
Address: 88 Colin P Kelly Jr St, San Francisco, CA 94107, USA
Contact person’s name, position and contact details: Frances Wiet, Head of Privacy, fwiet@github.com
Activities relevant to the data transferred under these Clauses:
GitHub, Inc. is a global producer of software and services
Signature and date: see GitHub Customer Agreement (the DPA and the Standard Contractual Clauses (EU/EEA) are incorporated into the GitHub Customer Agreement)
Role (controller/processor): processor or, depending on the agreements set forth in the Customer Agreement, subprocessor.

B. DESCRIPTION OF TRANSFER

Categories of data subjects whose personal data is transferred:

Data subjects include the data exporter’s representatives and end-users including employees, contractors, collaborators, and customers of the data exporter. Data subjects may also include individuals attempting to communicate or transfer personal data to users of the services provided by data importer. GitHub acknowledges that, depending on Customer’s use of the Online Service or Professional Services, Customer may elect to include personal data from any of the following types of data subjects in the personal data:

  • Empregados, contratados e trabalhadores temporários (atual, anterior, potencial) do exportador de dados;
  • Os colaboradores/pontos de contato do exportador de dados (pessoas físicas) ou funcionários, contratados ou trabalhadores temporários de colaboradores de entidades legais colaboradores/contactar pessoas (atual, potencial, anterior);
  • Users and other data subjects that are users of data exporter's services;
  • Partners, stakeholders or individuals who actively collaborate, communicate or otherwise interact with employees of the data exporter and/or use communication tools such as apps and websites provided by the data exporter.

Categories of personal data transferred:

The personal data transferred that is included in e-mail, documents and other data in an electronic form in the context of the Online Services or Professional Services. GitHub acknowledges that, depending on Customer’s use of the Online Service or Professional Services, Customer may elect to include personal data from any of the following categories in the personal data:

  • Basic personal data (for example place of birth, street name and house number (address), postal code, city of residence, country of residence, mobile phone number, first name, last name, initials, email address, gender, date of birth);
  • Authentication data (for example user name, password or PIN code, security question, audit trail);
  • Contact information (for example addresses, email, phone numbers, social media identifiers; emergency contact details);
  • Unique identification numbers and signatures (for example IP addresses, employee number, student number);
  • Pseudonymous identifiers;
  • Photos, video and audio;
  • Internet activity (for example browsing history, search history, reading and viewing activities);
  • Device identification (for example IMEI-number, SIM card number, MAC address);
  • Profiling (for example based on observed criminal or anti-social behavior or pseudonymous profiles based on visited URLs, click streams, browsing logs, IP-addresses, domains, apps installed, or profiles based on marketing preferences);
  • Special categories of data as voluntarily provided by data subjects (for example racial or ethnic origin, political opinions, religious or philosophical beliefs, trade union membership, genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health, data concerning a natural person’s sex life or sexual orientation, or data relating to criminal convictions or offences); or
  • Any other personal data identified in Article 4 of the GDPR.

Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures:
GitHub does not request or otherwise ask for sensitive data and receives such data only if and when customers or data subjects decide to provide it.

The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis):

Continuous as part of the Online Services or Professional Services.

Nature of the processing:

The personal data transferred will be subject to the following basic processing activities:

  1. Duration and Object of Data Processing. The duration of data processing shall be for the term designated under the applicable GitHub Customer Agreement between data exporter and the data importer. The objective of the data processing is the performance of Online Services and Professional Services.
  2. Personal Data Access. For the term designated under the applicable GitHub Customer Agreement, data importer will, at its election and as necessary under applicable law, either: (1) provide data exporter with the ability to correct, delete, or block personal data, or (2) make such corrections, deletions, or blockages on its behalf.
  3. Data Exporter’s Instructions. For Online Services and Professional Services, data importer will only act upon data exporter’s instructions.

Purpose(s) of the data transfer and further processing:

The scope and purpose of processing personal data is described in the “Processing of Personal Data; GDPR” section of the DPA. The data importer operates a global network of data centers and management/support facilities, and processing may take place in any jurisdiction where data importer or its sub-processors operate such facilities in accordance with the “Security Practices and Policies” section of the DPA.

The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period:

Upon expiration or termination of data exporter’s use of Online Services or Professional Services, it may extract personal data and data importer will delete personal data, each in accordance with the DPA Terms applicable to the agreement.

For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing:

In accordance with the DPA, the data importer may hire other companies to provide limited services on data importer’s behalf, such as providing customer support. Any such subcontractors will be permitted to obtain personal data only to deliver the services the data importer has retained them to provide, and they are prohibited from using personal data for any other purpose. Unless a particular subcontractor is replaced ahead of time, the processing will be for the term designated under the applicable GitHub Customer Agreement between data exporter and data importer.

C. COMPETENT SUPERVISORY AUTHORITY

Identify the competent supervisory authority/ies in accordance with Clause 13:

The supervisory authority with responsibility for ensuring compliance by the data exporter with Regulation (EU) 2016/679.  

ANNEX II

to the Standard Contractual Clauses (EU/EEA)

TECHNICAL AND ORGANISATIONAL MEASURES INCLUDING TECHNICAL AND ORGANISATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA

Description of the technical and organisational measures implemented by the data importer(s) (including any relevant certifications) to ensure an appropriate level of security, taking into account the nature, scope, context and purpose of the processing, and the risks for the rights and freedoms of natural persons.

  1. Data Security Certifications. Data importer holds the following data security certifications:
    • SOC 1, Type 2;
    • SOC 2, Type 2;
    • NIST, to the extent incorporated for FedRAMP Low-Impact / Tailored ATO.
  2. Personnel. Data importer’s personnel will not process personal data without authorization. Personnel are obligated to maintain the confidentiality of any such personal data and this obligation continues even after their engagement ends.
  3. Data Privacy Contact. The data privacy officer of the data importer can be reached at the following address:

    GitHub, Inc.
    Attn: Privacy
    88 Colin P. Kelly Jr. Street
    San Francisco, California 94107 USA

  4. Technical and Organization Measures. The data importer has implemented and will maintain appropriate technical and organizational measures, internal controls, and information security routines intended to protect personal data, as defined in the Security Practices and Policies section of the DPA, against accidental loss, destruction, or alteration; unauthorized disclosure or access; or unlawful destruction as follows: The technical and organizational measures, internal controls, and information security routines set forth in the Data Security section of the DPA are hereby incorporated into this Annex II to Attachment 1 by this reference and are binding on the data importer as if they were set forth in this Annex 2 to Attachment 1 in their entirety.

For transfers to (sub-) processors, also describe the specific technical and organisational measures to be taken by the (sub-) processor to be able to provide assistance to the controller and, for transfers from a processor to a sub-processor, to the data exporter:

Vendor management program - third-party risk program

The data importer has a vendor risk assessment process, vendor contract clauses and additional data protection agreements with vendors. Vendors undergo reassessment when a new business use case is requested. The data importer’s vendor risk program is structured so all of data importer’s vendors' risk assessments are refreshed two years from the last review date.

Vendors deemed high risk, such as data center providers or other vendors storing or processing data in scope for the data importer’s regulatory or contractual requirements, undergo reassessment annually.

ANNEX III

to the Standard Contractual Clauses (EU/EEA)

Additional Safeguards Addendum

By this Additional Safeguards Addendum to Standard Contractual Clauses (EU/EEA) (this “Addendum”), GitHub, Inc. (“GitHub”) provides additional safeguards to Customer and additional redress to the data subjects to whom Customer’s personal data relates.

This Addendum supplements and is made part of, but is not in variation or modification of, the Standard Contractual Clauses (EU/EEA).

  1. Challenges to Orders. In addition to Clause 15.1 of the Standard Contractual Clauses (EU/EEA), in the event GitHub receives an order from any third party for compelled disclosure of any personal data that has been transferred under the Standard Contractual Clauses (EU/EEA), GitHub shall:
    1. use every reasonable effort to redirect the third party to request data directly from Customer;
    2. promptly notify Customer, unless prohibited under the law applicable to the requesting third party, and, if prohibited from notifying Customer, use all lawful efforts to obtain the right to waive the prohibition in order to communicate as much information to Customer as soon as possible; and
    3. use all lawful efforts to challenge the order for disclosure on the basis of any legal deficiencies under the laws of the requesting party or any relevant conflicts with the law of the European Union or applicable Member State law.

    For purpose of this section, lawful efforts do not include actions that would result in civil or criminal penalty such as contempt of court under the laws of the relevant jurisdiction.
  2. Indemnification of Data Subjects. Subject to Sections 3 and 4, GitHub shall indemnify a data subject for any material or non-material damage to the data subject caused by GitHub’s disclosure of personal data of the data subject that has been transferred under the Standard Contractual Clauses (EU/EEA) in response to an order from a non-EU/EEA government body or law enforcement agency (a “Relevant Disclosure”). Notwithstanding the foregoing, GitHub shall have no obligation to indemnify the data subject under this Section 2 to the extent the data subject has already received compensation for the same damage, whether from GitHub or otherwise.
  3. Conditions of Indemnification. Indemnification under Section 2 is conditional upon the data subject establishing, to GitHub’s reasonable satisfaction, that:
    1. GitHub engaged in a Relevant Disclosure;
    2. the Relevant Disclosure was the basis of an official proceeding by the non-EU/EEA government body or law enforcement agency against the data subject; and
    3. the Relevant Disclosure directly caused the data subject to suffer material or non-material damage.

    The data subject bears the burden of proof with respect to conditions a. though c.
    Notwithstanding the foregoing, GitHub shall have no obligation to indemnify the data subject under Section 2 if GitHub establishes that the Relevant Disclosure did not violate its obligations under Chapter V of the GDPR.
  4. Scope of Damages. Indemnification under Section 2 is limited to material and non-material damages as provided in the GDPR and excludes consequential damages and all other damages not resulting from GitHub’s infringement of the GDPR.
  5. Exercise of Rights. Rights granted to data subjects under this Addendum may be enforced by the data subject against GitHub irrespective of any restriction in Clauses 3 or 12 of the Standard Contractual Clauses (EU/EEA). The data subject may only bring a claim under this Addendum on an individual basis, and not part of a class, collective, group or representative action. Rights granted to data subjects under this Addendum are personal to the data subject and may not be assigned.
  6. Notice of Change. In addition to Clause 14 of the Standard Contractual Clauses (EU/EEA), GitHub agrees and warrants that it has no reason to believe that the legislation applicable to it or its sub-processors, including in any country to which personal data is transferred either by itself or through a sub-processor, prevents it from fulfilling the instructions received from the data exporter and its obligations under this Addendum or the Standard Contractual Clauses (EU/EEA) and that in the event of a change in this legislation which is likely to have a substantial adverse effect on the warranties and obligations provided by this Addendum or the Standard Contractual Clauses (EU/EEA), it will promptly notify the change to Customer as soon as it is aware, in which case Customer is entitled to suspend the transfer of data and/or terminate the contract.
  7. Termination. This Addendum shall automatically terminate if the European Commission, a competent Member State supervisory authority, or an EU or competent Member State court approves a different lawful transfer mechanism that would be applicable to the data transfers covered by the Standard Contractual Clauses (EU/EEA) (and if such mechanism applies only to some of the data transfers, this Addendum will terminate only with respect to those transfers) and that does not require the additional safeguards set forth in this Addendum.

Attachment 2 – The Standard Contractual Clauses (UK)

Execution of the GitHub Customer Agreement by Customer includes execution of this Attachment 2, which is countersigned by GitHub, Inc.

Em países onde a aprovação regulatória é necessária para o uso das Cláusulas Contratuais Padrão, estas não podem ser confiadas à Comissão Europeia 2010/87/UE (de fevereiro de 2010) para legitimar a exportação de dados do país, a menos que o Cliente tenha a aprovação regulatória necessária.

Beginning May 25, 2018 and thereafter, references to various Articles from the Directive 95/46/EC in the Standard Contractual Clauses below will be treated as references to the relevant and appropriate Articles in the GDPR.

For the purposes of Article 26(2) of Directive 95/46/EC for the transfer of personal data to processors established in third countries which do not ensure an adequate level of data protection, Customer (as data exporter) and GitHub, Inc. (as data importer, whose signature appears below), each a “party,” together “the parties,” have agreed on the following Contractual Clauses (the “Clauses” or “Standard Contractual Clauses”) in order to adduce adequate safeguards with respect to the protection of privacy and fundamental rights and freedoms of individuals for the transfer by the data exporter to the data importer of the personal data specified in Appendix 1.

Cláusula 1: Definições

  1. 'personal data', 'special categories of data', 'process/processing', 'controller', 'processor', 'data subject' and 'supervisory authority' shall have the same meaning as in Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data;
  2. 'the data exporter' means the controller who transfers the personal data;
  3. 'the data importer' means the processor who agrees to receive from the data exporter personal data intended for processing on his behalf after the transfer in accordance with his instructions and the terms of the Clauses and who is not subject to a third country's system ensuring adequate protection within the meaning of Article 25(1) of Directive 95/46/EC;
  4. 'the subprocessor' means any processor engaged by the data importer or by any other subprocessor of the data importer who agrees to receive from the data importer or from any other subprocessor of the data importer personal data exclusively intended for processing activities to be carried out on behalf of the data exporter after the transfer in accordance with his instructions, the terms of the Clauses and the terms of the written subcontract;
  5. 'the applicable data protection law' means the legislation protecting the fundamental rights and freedoms of individuals and, in particular, their right to privacy with respect to the processing of personal data applicable to a data controller in the Member State in which the data exporter is established;
  6. 'technical and organisational security measures' means those measures aimed at protecting personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorised disclosure or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processing.

Cláusula 2: Detalhes da transferência

Os detalhes da transferência e em particular as categorias especiais de dados pessoais quando aplicáveis estão especificadas no Apêndice 1 abaixo, que constitui parte integral das Cláusulas.

Cláusula 3: Cláusula de beneficiário de terceiros

  1. O titular dos dados pode impor contra o exportador de dados esta Cláusula, a Cláusula 4(b) para (i), Cláusula 5(a) para (e), e (g) para (j), a Cláusula 6(1) e (2), a Cláusula 7, Cláusula 8(2), e as Cláusulas 9 a 12 como beneficiário de terceiros.
  2. O titular dos dados pode aplicar contra o importador de dados esta Cláusula, a Cláusula 5(a) para (e) e (g), a Cláusula 6, a Cláusula 7, a Cláusula 8(2), e as Cláusulas 9 a 12, nos casos em que o exportador de dados desapareceu factualmente ou deixou de existir perante a lei, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados por contrato ou por aplicação da lei. em resultado do qual assume os direitos e obrigações do exportador de dados. Nesse caso, a questão dos dados pode impô-los contra essa entidade.
  3. O titular dos dados pode impor contra o subprocessador esta Cláusula, a Cláusula 5(a) para (e) e (g), a Cláusula 6, a Cláusula 7, a Cláusula 8(2), e as Cláusulas 9 a 12, nos casos em que tanto o exportador como o importador de dados desapareceram ou deixaram de existir perante a lei ou tornaram-se insolventes, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados por contrato ou pelo funcionamento da lei, assumindo, como resultado, os direitos e obrigações do exportador de dados, em cujo caso, o titular dos dados pode impô-los contra essa entidade. Essa responsabilidade de terceiros do subprocessador estará limitada às suas próprias operações de processamento nos termos das Cláusulas.
  4. As partes não se opõem, caso o titular dos dados seja representado por uma associação ou outro organismo se, expressamente, assim o desejar e a legislação nacional o permitir.

Cláusula 4: Obrigações do exportador de dados

O exportador de dados concorda e garante:

  1. that the processing, including the transfer itself, of the personal data has been and will continue to be carried out in accordance with the relevant provisions of the applicable data protection law (and, where applicable, has been notified to the relevant authorities of the Member State where the data exporter is established) and does not violate the relevant provisions of that State;
  2. that it has instructed and throughout the duration of the personal data processing services will instruct the data importer to process the personal data transferred only on the data exporter's behalf and in accordance with the applicable data protection law and the Clauses;
  3. that the data importer will provide sufficient guarantees in respect of the technical and organisational security measures specified in Appendix 2 below;
  4. that after assessment of the requirements of the applicable data protection law, the security measures are appropriate to protect personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorised disclosure or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processing, and that these measures ensure a level of security appropriate to the risks presented by the processing and the nature of the data to be protected having regard to the state of the art and the cost of their implementation;
  5. that it will ensure compliance with the security measures;
  6. that, if the transfer involves special categories of data, the data subject has been informed or will be informed before, or as soon as possible after, the transfer that its data could be transmitted to a third country not providing adequate protection within the meaning of Directive 95/46/EC;
  7. to forward any notification received from the data importer or any subprocessor pursuant to Clause 5(b) and Clause 8(3) to the data protection supervisory authority if the data exporter decides to continue the transfer or to lift the suspension;
  8. to make available to the data subjects upon request a copy of the Clauses, with the exception of Appendix 2, and a summary description of the security measures, as well as a copy of any contract for subprocessing services which has to be made in accordance with the Clauses, unless the Clauses or the contract contain commercial information, in which case it may remove such commercial information;
  9. that, in the event of subprocessing, the processing activity is carried out in accordance with Clause 11 by a subprocessor providing at least the same level of protection for the personal data and the rights of data subject as the data importer under the Clauses; and
  10. that it will ensure compliance with Clause 4(a) to (i).

Cláusula 5: Obrigações do importador de dados

O importador de dados concorda e garante:

  1. to process the personal data only on behalf of the data exporter and in compliance with its instructions and the Clauses; if it cannot provide such compliance for whatever reasons, it agrees to inform promptly the data exporter of its inability to comply, in which case the data exporter is entitled to suspend the transfer of data and/or terminate the contract;
  2. that it has no reason to believe that the legislation applicable to it prevents it from fulfilling the instructions received from the data exporter and its obligations under the contract and that in the event of a change in this legislation which is likely to have a substantial adverse effect on the warranties and obligations provided by the Clauses, it will promptly notify the change to the data exporter as soon as it is aware, in which case the data exporter is entitled to suspend the transfer of data and/or terminate the contract;
  3. that it has implemented the technical and organisational security measures specified in Appendix 2 before processing the personal data transferred;
  4. that it will promptly notify the data exporter about:
    1. any legally binding request for disclosure of the personal data by a law enforcement authority unless otherwise prohibited, such as a prohibition under criminal law to preserve the confidentiality of a law enforcement investigation,
    2. any accidental or unauthorised access, and
    3. any request received directly from the data subjects without responding to that request, unless it has been otherwise authorised to do so;
    to deal promptly and properly with all inquiries from the data exporter relating to its processing of the personal data subject to the transfer and to abide by the advice of the supervisory authority with regard to the processing of the data transferred; at the request of the data exporter to submit its data processing facilities for audit of the processing activities covered by the Clauses which shall be carried out by the data exporter or an inspection body composed of independent members and in possession of the required professional qualifications bound by a duty of confidentiality, selected by the data exporter, where applicable, in agreement with the supervisory authority;
  5. to make available to the data subject upon request a copy of the Clauses, or any existing contract for subprocessing, unless the Clauses or contract contain commercial information, in which case it may remove such commercial information, with the exception of Appendix 2 which shall be replaced by a summary description of the security measures in those cases where the data subject is unable to obtain a copy from the data exporter;
  6. that, in the event of subprocessing, it has previously informed the data exporter and obtained its prior written consent;
  7. that the processing services by the subprocessor will be carried out in accordance with Clause 11; and
  8. to send promptly a copy of any subprocessor agreement it concludes under the Clauses to the data exporter.

Cláusula 6: Responsabilidade

  1. As partes concordam que qualquer titular de dados que tenha sofrido danos em consequência de qualquer violação das obrigações referidas na Cláusula 3 ou na Cláusula 11 por qualquer parte ou subprocessador tem o direito de receber compensação do exportador de dados pelos danos sofridos.
  2. If a data subject is not able to bring a claim for compensation in accordance with paragraph 1 against the data exporter, arising out of a breach by the data importer or his subprocessor of any of their obligations referred to in Clause 3 or in Clause 11, because the data exporter has factually disappeared or ceased to exist in law or has become insolvent, the data importer agrees that the data subject may issue a claim against the data importer as if it were the data exporter, unless any successor entity has assumed the entire legal obligations of the data exporter by contract of by operation of law, in which case the data subject can enforce its rights against such entity.

    The data importer may not rely on a breach by a subprocessor of its obligations in order to avoid its own liabilities.
  3. Se um titular de dados não puder apresentar uma reivindicação contra o exportador ou o importador de dados referido nos parágrafos 1 e 2, decorrente de uma violação por parte do subprocessador de qualquer uma das suas obrigações referidas na Cláusula 3 ou 11, porque tanto o exportador como o importador de dados desapareceram ou deixaram de existir perante a lei ou tornaram-se insolventes, o subprocessador concorda que o titular dos dados poderá interpor uma reivindicação contra o subprocessador de dados no que diz respeito às suas próprias operações de processamento nos termos das Cláusulas como se fosse o exportador ou o importador de dados, salvo se qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador ou do importador de dados por contrato ou por exercício da lei. Nesse caso, a o titular dos dados poderá impor seus direitos contra tal entidade. A responsabilidade do subprocessador é limitada às suas próprias atividades de processamento de dados nos termos previstas nas Cláusulas.

Cláusula 7: Mediação e jurisdição

  1. O importador de dados concorda que, se o titular dos dados pode invocar contra ele direitos de terceiros beneficiários e/ou reivindicar compensação por dados de acordo com as Cláusulas, o importador de dados irá aceitar a decisão do titular de dados:
    1. to refer the dispute to mediation, by an independent person or, where applicable, by the supervisory authority;
    2. to refer the dispute to the courts in the Member State in which the data exporter is established.
  2. As partes concordam que a escolha feita pelo titular dos dados não prejudicará os seus direitos substantivos ou processuais de procurar recursos de acordo com as disposições da lei nacional ou internacional.

Cláusula 8: Cooperação com as autoridades de supervisão

  1. O exportador de dados concorda em depositar um exemplar deste contrato junto da autoridade de controle se esta assim requerer ou se a legislação de proteção de dados aplicável exigir.
  2. As partes concordam que a autoridade de supervisão tem o direito de realizar auditorias no importador de dados ou a qualquer subprocessador, que tenha o mesmo escopo e as mesmas condições das auditorias executadas no exportador de dados, em conformidade com a legislação de proteção de dados aplicável.
  3. O importador de dados deve prontamente informar o exportador de dados sobre a existência de legislação aplicável sobre tal ato, e de qualquer subprocessador que previna a condução de uma auditoria ao importador de dados, ou qualquer subprocessador, em conformidade com o parágrafo 2. Neste caso, o exportador de dados terá o direito de tomar as medidas previstas na Cláusula 5(b).

Cláusula 9: Lei regente.

As Cláusulas devem ser regidas pela lei do Estado-Membro onde o exportador de dados estiver estabelecido.

Cláusula 10: Variação do contrato

As partes comprometem-se a não alterar as Cláusulas. Isso não impede que as partes adicionem cláusulas de caráter comercial sempre que necessário, desde que as mesmas não contrariem a Cláusula.

Cláusula 11: Subprocessamento

  1. O importador de dados não deve subcontratar nenhuma de suas operações de processamento em nome do exportador de dados sob as Cláusulas sem o consentimento prévio por escrito do exportador de dados. Quando o importador de dados subcontratar suas obrigações sob as Cláusulas, com o consentimento do exportador, ele deverá fazê-lo somente por meio de um contrato por escrito com o subprocessador, que imponha a este as mesmas obrigações impostas ao importador de dados nos termos das Cláusulas. Nos casos em que o subcontratante não cumprir as suas obrigações de proteção de dados nos termos de tal contrato por escrito, o importador de dados permanecerá totalmente responsável perante o exportador de dados pelo desempenho das obrigações do subprocessador nos termos desse contrato.
  2. O contrato prévio por escrito entre o importador de dados e o subprocessador prevê também uma cláusula de beneficiário de terceiros, conforme estabelecido na Cláusula 3, para os casos em que o titular de dados não for capaz de interpor a reivindicação para a compensação referida no parágrafo 1 da Cláusula 6 contra o exportador ou o importador de dados porque eles desapareceram factualmente ou deixaram de existir perante lei ou tornaram-se insolventes, e nenhuma entidade sucessora assumiu todas as obrigações legais do exportador de dados ou importador de dados por contrato ou por operação da lei. Essa responsabilidade de terceiros do subprocessador estará limitada às suas próprias operações de processamento nos termos das Cláusulas.
  3. As disposições relativas aos aspectos de proteção de dados para o subprocessamento do contrato referido no parágrafo 1 serão regidas pela lei do Estado-Membro onde o exportador de dados estiver estabelecido.
  4. O exportador de dados deve manter uma lista dos acordos de subprocessamento concluídos sob as Cláusulas e notificados pelo importador de dados em conformidade com a Cláusula 5 (j), que deve ser atualizada pelo menos uma vez por ano. A lista deve estar disponível para a autoridade responsável pela supervisão da proteção de dados do exportador.

Cláusula 12: Obrigação após a rescisão dos serviços de processamento de dados pessoais

  1. As partes estão de acordo quanto à rescisão da prestação de serviços de processamento de dados, o importador de dados e o subprocessador, mediante a escolha do exportador de dados, devolverão todos os dados pessoais transferidos e as suas cópias ao exportador de dados ou destruirão todos os dados pessoais, e informarão ao exportador de dados que o procedimento foi realizado, a menos que a legislação imposta ao importador de dados os impeça de devolver ou de destruir a totalidade ou parte dos dados pessoais transferidos. Nesse caso, o importador de dados irá garantir a confidencialidade dos dados pessoais transferidos e não processará mais ativamente os dados pessoais transferidos.
  2. O importador de dados e o subprocessador garantem que, mediante solicitação do exportador de dados e/ou da autoridade supervisora, submeterão as suas instalações de processamento de dados a uma auditoria das medidas referidas no parágrafo 1.

Appendix 1 to the Standard Contractual Clauses (UK)

Data exporter: Customer is the data exporter. The data exporter is a user of Online Services or Professional Services as defined in the DPA and GitHub Customer Agreement.

Data importer: The data importer is GitHub, Inc., a global producer of software and services.

Data subjects: Data subjects include the data exporter’s representatives and end-users including employees, contractors, collaborators, and customers of the data exporter. Data subjects may also include individuals attempting to communicate or transfer personal data to users of the services provided by data importer. GitHub acknowledges that, depending on Customer’s use of the Online Service or Professional Services, Customer may elect to include personal data from any of the following types of data subjects in the personal data:

  • Empregados, contratados e trabalhadores temporários (atual, anterior, potencial) do exportador de dados;
  • Os colaboradores/pontos de contato do exportador de dados (pessoas físicas) ou funcionários, contratados ou trabalhadores temporários de colaboradores de entidades legais colaboradores/contactar pessoas (atual, potencial, anterior);
  • Users and other data subjects that are users of data exporter's services;
  • Partners, stakeholders or individuals who actively collaborate, communicate or otherwise interact with employees of the data exporter and/or use communication tools such as apps and websites provided by the data exporter.

Categories of data: The personal data transferred that is included in e-mail, documents and other data in an electronic form in the context of the Online Services or Professional Services. GitHub acknowledges that, depending on Customer’s use of the Online Service or Professional Services, Customer may elect to include personal data from any of the following categories in the personal data:

  • Basic personal data (for example place of birth, street name and house number (address), postal code, city of residence, country of residence, mobile phone number, first name, last name, initials, email address, gender, date of birth);
  • Authentication data (for example user name, password or PIN code, security question, audit trail);
  • Contact information (for example addresses, email, phone numbers, social media identifiers; emergency contact details);
  • Unique identification numbers and signatures (for example IP addresses, employee number, student number);
  • Pseudonymous identifiers;
  • Photos, video and audio;
  • Internet activity (for example browsing history, search history, reading and viewing activities);
  • Device identification (for example IMEI-number, SIM card number, MAC address);
  • Profiling (for example based on observed criminal or anti-social behavior or pseudonymous profiles based on visited URLs, click streams, browsing logs, IP-addresses, domains, apps installed, or profiles based on marketing preferences);
  • Special categories of data as voluntarily provided by data subjects (for example racial or ethnic origin, political opinions, religious or philosophical beliefs, trade union membership, genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health, data concerning a natural person’s sex life or sexual orientation, or data relating to criminal convictions or offences); or
  • Any other personal data identified in Article 4 of the GDPR.

Processing operations: The personal data transferred will be subject to the following basic processing activities:

  1. Duration and Object of Data Processing. The duration of data processing shall be for the term designated under the applicable GitHub Customer Agreement between data exporter and data importer. The objective of the data processing is the performance of Online Services and Professional Services.
  2. Scope and Purpose of Data Processing. The scope and purpose of processing personal data is described in the “Processing of Personal Data; GDPR” section of the DPA. The data importer operates a global network of data centers and management/support facilities, and processing may take place in any jurisdiction where data importer or its sub-processors operate such facilities in accordance with the “Security Practices and Policies” section of the DPA.
  3. Personal Data Access. For the term designated under the applicable GitHub Customer Agreement data importer will at its election and as necessary under applicable law, either: (1) provide data exporter with the ability to correct, delete, or block personal data, or (2) make such corrections, deletions, or blockages on its behalf.
  4. Data Exporter’s Instructions. For Online Services and Professional Services, data importer will only act upon data exporter’s instructions as conveyed by GitHub.
  5. Personal Data Deletion or Return. Upon expiration or termination of data exporter’s use of Online Services or Professional Services, it may extract personal data and data importer will delete personal data, each in accordance with the DPA Terms applicable to the agreement.

Subcontractors: In accordance with the DPA, the data importer may hire other companies to provide limited services on data importer’s behalf, such as providing customer support. Any such subcontractors will be permitted to obtain personal data only to deliver the services the data importer has retained them to provide, and they are prohibited from using personal data for any other purpose.

Appendix 2 to the Standard Contractual Clauses (UK)

Descrição das medidas de segurança técnicas e organizacionais implementadas pelo importador de dados, de acordo com as Cláusulas 4(d) e 5(c):

  1. Personnel. Data importer’s personnel will not process personal data without authorization. Personnel are obligated to maintain the confidentiality of any such personal data and this obligation continues even after their engagement ends.
  2. Data Privacy Contact. The data privacy officer of the data importer can be reached at the following address:
    GitHub, Inc.
    Attn: Privacy
    88 Colin P. Kelly Jr. Street
    San Francisco, California 94107 USA
  3. Technical and Organization Measures. The data importer has implemented and will maintain appropriate technical and organizational measures, internal controls, and information security routines intended to protect personal data, as defined in the Security Practices and Policies section of the DPA, against accidental loss, destruction, or alteration; unauthorized disclosure or access; or unlawful destruction as follows: The technical and organizational measures, internal controls, and information security routines set forth in the Security Practices and Policies section of the DPA are hereby incorporated into this Appendix 2 by this reference and are binding on the data importer as if they were set forth in this Appendix 2 in their entirety.

Appendix 3 to the Standard Contractual Clauses (UK)

Additional Safeguards Addendum

By this Additional Safeguards Addendum to Standard Contractual Clauses (UK) (this “Addendum”), GitHub, Inc. (“GitHub”) provides additional safeguards to Customer and additional redress to the data subjects to whom Customer’s personal data relates.

This Addendum supplements and is made part of, but is not in variation or modification of, the Standard Contractual Clauses (UK).

  1. Challenges to Orders. In addition to Clause 5(d)(i) of the Standard Contractual Clauses (UK), in the event GitHub receives an order from any third party for compelled disclosure of any personal data that has been transferred under the Standard Contractual Clauses (UK), GitHub shall:
    1. use every reasonable effort to redirect the third party to request data directly from Customer;
    2. promptly notify Customer, unless prohibited under the law applicable to the requesting third party, and, if prohibited from notifying Customer, use all lawful efforts to obtain the right to waive the prohibition in order to communicate as much information to Customer as soon as possible; and
    3. use all lawful efforts to challenge the order for disclosure on the basis of any legal deficiencies under the laws of the requesting party or any relevant conflicts with the law of the European Union or applicable Member State law.

    For purpose of this section, lawful efforts do not include actions that would result in civil or criminal penalty such as contempt of court under the laws of the relevant jurisdiction.
  2. Indemnification of Data Subjects. Subject to Sections 3 and 4, GitHub shall indemnify a data subject for any material or non-material damage to the data subject caused by GitHub’s disclosure of personal data of the data subject that has been transferred under the Standard Contractual Clauses (UK) in response to an order from a non-EU/EEA government body or law enforcement agency (a “Relevant Disclosure”). Notwithstanding the foregoing, GitHub shall have no obligation to indemnify the data subject under this Section 2 to the extent the data subject has already received compensation for the same damage, whether from GitHub or otherwise.
  3. Conditions of Indemnification. Indemnification under Section 2 is conditional upon the data subject establishing, to GitHub’s reasonable satisfaction, that:
    1. GitHub engaged in a Relevant Disclosure;
    2. the Relevant Disclosure was the basis of an official proceeding by the non-EU/EEA government body or law enforcement agency against the data subject; and
    3. the Relevant Disclosure directly caused the data subject to suffer material or non-material damage.

    The data subject bears the burden of proof with respect to conditions a. though c.
    Notwithstanding the foregoing, GitHub shall have no obligation to indemnify the data subject under Section 2 if GitHub establishes that the Relevant Disclosure did not violate its obligations under Chapter V of the GDPR.
  4. Scope of Damages. Indemnification under Section 2 is limited to material and non-material damages as provided in the GDPR and excludes consequential damages and all other damages not resulting from GitHub’s infringement of the GDPR.
  5. Exercise of Rights. Rights granted to data subjects under this Addendum may be enforced by the data subject against GitHub irrespective of any restriction in Clauses 3 or 6 of the Standard Contractual Clauses (UK). The data subject may only bring a claim under this Addendum on an individual basis, and not part of a class, collective, group or representative action. Rights granted to data subjects under this Addendum are personal to the data subject and may not be assigned.
  6. Notice of Change. In addition to Clause 5(b) of the Standard Contractual Clauses (UK), GitHub agrees and warrants that it has no reason to believe that the legislation applicable to it or its sub-processors, including in any country to which personal data is transferred either by itself or through a sub-processor, prevents it from fulfilling the instructions received from the data exporter and its obligations under this Addendum or the Standard Contractual Clauses (UK) and that in the event of a change in this legislation which is likely to have a substantial adverse effect on the warranties and obligations provided by this Addendum or the Standard Contractual Clauses (UK), it will promptly notify the change to Customer as soon as it is aware, in which case Customer is entitled to suspend the transfer of data and/or terminate the contract.
  7. Termination. This Addendum shall automatically terminate if the European Commission, a competent Member State supervisory authority, or an EU or competent Member State court approves a different lawful transfer mechanism that would be applicable to the data transfers covered by the Standard Contractual Clauses (UK) (and if such mechanism applies only to some of the data transfers, this Addendum will terminate only with respect to those transfers) and that does not require the additional safeguards set forth in this Addendum.

    Signing the Standard Contractual Clauses (UK), Appendix 1, Appendix 2 and

Attachment 3 – European Union General Data Protection Regulation Terms

GitHub makes the commitments in these GDPR Related Terms, to all customers effective May 25, 2018. These commitments are binding upon GitHub with regard to Customer regardless of (1) the version of the GitHub Customer Agreement and DPA that is otherwise applicable to any given Online Services subscription or (2) any other agreement that references this attachment.

For purposes of these GDPR Related Terms, Customer and GitHub agree that Customer is the controller of Personal Data and GitHub is the processor of such data, except when Customer acts as a processor of Personal Data, in which case GitHub is a subprocessor. These GDPR Related Terms apply to the processing of Personal Data, within the scope of the GDPR, by GitHub on behalf of Customer. These GDPR Related Terms do not limit or reduce any data protection commitments GitHub makes to Customer in the GitHub Customer Agreement or other agreement between GitHub and Customer. These GDPR Related Terms do not apply where GitHub is a controller of Personal Data.

Relevant GDPR Obligations: Articles 28, 32, and 33

  1. GitHub shall not engage another processor without prior specific or general written authorisation of Customer. In the case of general written authorisation, GitHub shall inform Customer of any intended changes concerning the addition or replacement of other processors, thereby giving Customer the opportunity to object to such changes. (Article 28(2))
  2. Processing by GitHub shall be governed by these GDPR Related Terms under European Union (hereafter “Union”) or Member State law and are binding on GitHub with regard to Customer. The subject-matter and duration of the processing, the nature and purpose of the processing, the type of Personal Data, the categories of data subjects and the obligations and rights of the Customer are set forth in the Customer’s licensing agreement, including these GDPR Related Terms. In particular, GitHub shall:
    1. process the Personal Data only on documented instructions from Customer, including with regard to transfers of Personal Data to a third country or an international organisation, unless required to do so by Union or Member State law to which GitHub is subject; in such a case, GitHub shall inform Customer of that legal requirement before processing, unless that law prohibits such information on important grounds of public interest;
    2. ensure that persons authorised to process the Personal Data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality;
    3. take all measures required pursuant to Article 32 of the GDPR;
    4. respect the conditions referred to in paragraphs 1 and 3 for engaging another processor;
    5. taking into account the nature of the processing, assist Customer by appropriate technical and organisational measures, insofar as this is possible, for the fulfilment of the Customer’s obligation to respond to requests for exercising the data subject's rights laid down in Chapter III of the GDPR;
    6. assist Customer in ensuring compliance with the obligations pursuant to Articles 32 to 36 of the GDPR, taking into account the nature of processing and the information available to GitHub;
    7. at the choice of Customer, delete or return all the Personal Data to Customer after the end of the provision of services relating to processing, and delete existing copies unless Union or Member State law requires storage of the Personal Data;
    8. make available to Customer all information necessary to demonstrate compliance with the obligations laid down in Article 28 of the GDPR and allow for and contribute to audits, including inspections, conducted by Customer or another auditor mandated by Customer.

    GitHub shall immediately inform Customer if, in its opinion, an instruction infringes the GDPR or other Union or Member State data protection provisions. (Article 28(3))

  3. Where GitHub engages another processor for carrying out specific processing activities on behalf of Customer, the same data protection obligations as set out in these GDPR Related Terms shall be imposed on that other processor by way of a contract or other legal act under Union or Member State law, in particular providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that the processing will meet the requirements of the GDPR. Where that other processor fails to fulfil its data protection obligations, GitHub shall remain fully liable to the Customer for the performance of that other processor's obligations. (Article 28(4))
  4. Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, Customer and GitHub shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate:
    1. the pseudonymisation and encryption of Personal Data;
    2. the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services;
    3. the ability to restore the availability and access to Personal Data in a timely manner in the event of a physical or technical incident; and
    4. a process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures for ensuring the security of the processing. (Article 32(1))
  5. In assessing the appropriate level of security, account shall be taken of the risks that are presented by processing, in particular from accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to Personal Data transmitted, stored or otherwise processed (Article 32(2)).
  6. Customer and GitHub shall take steps to ensure that any natural person acting under the authority of Customer or GitHub who has access to Personal Data does not process them except on instructions from Customer, unless he or she is required to do so by Union or Member State law (Article 32(4)).
  7. GitHub shall notify Customer without undue delay after becoming aware of a Personal Data breach (Article 33(2)). Such notification will include that information a processor must provide to a controller under Article 33(3) to the extent such information is reasonably available to GitHub.

(1) The Agreement on the European Economic Area (EEA Agreement) provides for the extension of the European Union’s internal market to the three EEA States Iceland, Liechtenstein and Norway. The Union data protection legislation, including Regulation (EU) 2016/679, is covered by the EEA Agreement and has been incorporated into Annex XI thereto. Therefore, any disclosure by the data importer to a third party located in the EEA does not qualify as an onward transfer for the purpose of these Clauses.

(2) This requirement may be satisfied by the sub-processor acceding to these Clauses under the appropriate Module, in accordance with Clause 7.

(3) As regards the impact of such laws and practices on compliance with these Clauses, different elements may be considered as part of an overall assessment. Such elements may include relevant and documented practical experience with prior instances of requests for disclosure from public authorities, or the absence of such requests, covering a sufficiently representative time-frame. This refers in particular to internal records or other documentation, drawn up on a continuous basis in accordance with due diligence and certified at senior management level, provided that this information can be lawfully shared with third parties. Where this practical experience is relied upon to conclude that the data importer will not be prevented from complying with these Clauses, it needs to be supported by other relevant, objective elements, and it is for the Parties to consider carefully whether these elements together carry sufficient weight, in terms of their reliability and representativeness, to support this conclusion. In particular, the Parties have to take into account whether their practical experience is corroborated and not contradicted by publicly available or otherwise accessible, reliable information on the existence or absence of requests within the same sector and/or the application of the law in practice, such as case law and reports by independent oversight bodies.

Esse documento ajudou você?

Política de Privacidade

Ajude-nos a tornar esses documentos ótimos!

Todos os documentos do GitHub são de código aberto. Você percebeu que algo que está errado ou não está claro? Envie um pull request.

Faça uma contribuição

Ou, aprenda como contribuir.