Skip to main content

Contrato de Proteção de Dados do GitHub

Introdução

As partes concordam que este Acordo de Proteção de Dados do GitHub (“DPA”) define suas obrigações no que diz respeito ao processamento e segurança dos Dados Pessoais e, quando explicitamente indicado nos Termos do DPA, os Dados do Cliente em conexão aos Serviços on-line fornecidos pelo GitHub, Inc. (“GitHub”). O DPA (incluindo o Apêndice e Anexos) é entre o GitHub e qualquer cliente que receber serviços on-line do GitHub com base no Contrato de Cliente do GitHub (“Cliente”), e é incorporado por referência ao Contrato do Cliente GitHub.

Caso haja qualquer conflito ou inconsistência entre os Termos do DPA e outros termos no Contrato de Cliente do GitHub, prevalecerão os Termos do DPA. As provisões dos Termos DPA substituem todas as disposições conflitantes da Declaração de Privacidade do GitHub que, de outra forma, possam aplicar-se ao processamento de dados pessoais. Para clareza, as Cláusulas Contratuais Padrão prevalecem sobre qualquer outro termo dos Termos do DPA.

Termos e Atualizações e do DPA aplicáveis

Limites nas Atualizações

Quando o cliente renovar ou comprar uma nova assinatura de um serviço on-line, os Termos do DPA serão aplicados e não serão alterados durante o período da nova assinatura do Serviço on-line.

Não obstante os limites acima definidos nas atualizações, quando o GitHub introduzir funcionalidades, complementos ou softwares relacionados que forem novos (ou seja, que não foram incluídos anteriormente junto com a assinatura), o GitHub poderá fornecer termos ou fazer atualizações no DPA que se aplicam ao uso pelos clientes dessas novas funcionalidades, complementos ou softwares relacionados. Se esses termos incluírem quaisquer alterações materiais adversas ao Termos do DPA, o GitHub fornecerá ao Cliente uma opção para utilizar as novas funcionalidades, suplementos ou software relacionado, sem perda da funcionalidade existente de um Serviço on-line geralmente disponível. Se o Cliente não usar as novas funcionalidades, complementos ou software relacionado, não serão aplicados os novos termos correspondentes.

Regulamentação e requisitos do Governo

Não obstante os limites acima definidos nas atualizações, o GitHub pode modificar ou rescindir um serviço on-line em qualquer país ou jurisdição onde haja qualquer exigência ou obrigação do governo atual ou futura que (1) submeta o GitHub a qualquer regulamentação ou requisito geralmente não aplicável às empresas que ali operam, (2) apresente dificuldades para o GitHub continuar a operar o serviço on-line sem modificação e/ou (3) faça com que o GitHub acredite que os Termos do DPA ou o serviço on-line possam entrar em conflito com tais exigências ou obrigações.

Avisos eletrônicos

O GitHub pode fornecer ao Cliente informações e avisos sobre Serviços on-line eletrônicos, inclusive por e-mail ou por meio de um site identificado pelo GitHub. O aviso é fornecido a partir da data em que é disponibilizado pelo GitHub.

Versões anteriores

Os Termos do DPA fornecem termos para Serviços on-line disponibiliados atualmente. Para versões anteriores dos Termos do DPA, o cliente pode entrar em contato com seu revendedor ou o gerente da sua conta do GitHub.

Definições

Os termos em maiúsculas usados, mas não definidos neste DPA, têm os significados fornecidos no Contrato de Cliente do GitHub. Os seguintes termos definidos são usados neste DPA:

CCPA" Significa a Lei de Privacidade do Consumidor da Califórni, conforme estabelecido na Califórnia. Civ. Code §1798.100 et seq. e os seus regulamentos de execução.

Dados do Cliente" significa todos os dados, incluindo todos os textos, som, vídeo ou arquivos de imagem e software fornecidos para o GitHub pelo Cliente, ou em nome dele por meio do uso do serviço on-line.

Requisitos de Proteção de Dados” significa o RGPD, as leis de Proteção de Dados da UE/EEE, CCPA e todos as leis regulamentos e outros requisitos legais relacionados (a) à privacidade e segurança de dados; e (b) ao uso, coleta, retenção, armazenamento, segurança, divulgação, transferência, eliminação e outro processamento de quaisquer Dados Pessoais.

Dados de Diagnóstico” significa que os dados coletados ou obtidos pelo GitHub a partir de um software instalado localmente pelo Cliente em conexão com o Serviço on-line. Os dados de diagnóstico também podem ser referidos como telemetria. Os dados de diagnóstico não incluem Dados do Cliente, Dados de Serviço Gerado ou Dados de Serviços Profissionais.

Termos do DPA" significa tanto os termos deste DPA quanto todos termos específicos do Serviço On-line no Contrato do Cliente do GitHub que especificamente completem ou modifiquem os termos de privacidade e segurança neste DPA para um Serviço On-line específico (ou recurso de um Serviço On-line). Na hipótese de haver qualquer conflito ou inconsistência entre o DPA e os termos específicos do Serviço On-line, os termos específicos do Serviço On-line prevalecerão sobre o Serviço On-line aplicável (ou o recurso desse Serviço on-line).

RGPD" Significa o Regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção das pessoas físicas no que diz respeito ao processamento de dados pessoais e à livre circulação desses dados e a revogação da Directiva 95/46/CE (Regulamento Geral sobre Protecção de Dados). Em relação ao Reino Unido, “RGPD” significa o Regulamento (EU) 2016/679 conforme transposto para a legislação nacional do Reino Unido pelo Ato da União Europeia (retirada) do Reino Unido em 2018 e alterado pela Proteção de Dados do Reino Unido, Privacidade e Comunicações Eletrônicas (alterações, etc.) (Saída da UE) Regulamentos de 2019 (conforme puderem ser alterado periodicamente).

Leis locais de proteção de dados da EU/EEE" significa qualquer legislação subordinada e regulamentação que implementa o RGPD.

Termos relacionados ao RGPD” significa os termos no Anexo 3, ao abrigo do qual o GitHub assume compromissos vinculativos relativos ao seu processamento de Dados Pessoais, conforme exigido pelo Artigo 28 do RGPD.

Afiliado do GitHub" significa qualquer entidade que direta ou indiretamente controla, é controlada ou esteja sob controle comum com o GitHub.

Contrato do Cliente do GitHub" Significa o serviço ou outro(s) termo(s) assinado(s) pelo Cliente com GitHub para os Serviços On-line.

Declaração de Privacidade do GitHub” significa a declaração de privacidade do GitHub disponível em https://docs.github.com/en/github/site-policy/github-privacy-statement.

Serviço On-line" significa qualquer serviço ou software fornecido pelo GitHub ao Cliente nos termos do Contrato do Cliente do GitHub acordado com o Cliente, incluindo visualizações, atualizações, correções e suporte técnico.

Dados Pessoais” significa quaisquer informações relacionadas a uma pessoa física identificada ou identificável. Uma pessoa natural identificável é alguém que pode ser identificado, direta ou indiretamente, particularmente pela referência de um identificador, como um nome, um número de identificação, dados de local, um identificador on-line, ou a um ou mais fatores específicos à identidade física, psicológica, genética, mental, econômica, cultural ou social dessa pessoa natural.

Visualização” significa que os Serviços On-line fornecidos para fins de pré-visualização, avaliação, demonstração ou versões dos Serviços On-line.

Dados de Serviços Profissionais" significa todos os dados, incluindo todos os textos, som, vídeo, arquivos de imagem ou software fornecidos ao GitHub, por em nome de um Cliente (ou quando o Cliente autoriza o GitHub a obter por meio de um Serviço On-line) ou de outra forma obtido ou processado por ou em nome do GitHub por meio de um envolvimento com o GitHub para obter Serviços Profissionais. Os Dados dos Serviços Profissionais incluem dados de suporte.

Gerados pelo Serviço" significa dados gerados ou derivados pelo GitHub por meio do funcionamento do Serviço On-line. Os dados gerados pelo serviço não incluem dados de clientes, dados de diagnóstico ou dados de serviços profissionais.

Cláusulas Contratuais Padrão" significa qualquer um dos seguintes conjuntos de Cláusulas Contratuais Padrões, conforme aplicável individualmente à transferência de dados pessoais de acordo com a seção deste DPA intitulada "Transferências de Dados e Localização" abaixo:

  • as Cláusulas Contratuais Padrão (MÓDULO DOIS: Controlador de transferência para processador) em 4 de junho de 2021, referente à transferência de dados pessoais para países terceiros, nos termos do Regulamento (UE) 2016/679 do Parlamento e Conselho Europeus, conforme descrito no artigo 46 do RGPD e aprovado pela Decisão de Implementação da Comissão Europeia (EU) 2021/91 (“Cláusulas Contratuais Padrão (EU/EEA)”). As Cláusulas Contratuais Padrão (EU/EEA) são estabelecidas no Anexo 1.
  • as Cláusulas Contratuais Padrão (Processadores), de 5 de Fevereiro de 2010, para a transferência de dados pessoais para processadores estabelecidos em países terceiros que não garantem um nível adequado de proteção de dados, conforme descrito no artigo 46 do RGPD, aprovado pela Decisão da Comissão Europeia 2010/87/UE e reconhecido pelas autoridades reguladoras ou supervisoras do Reino Unido para uso em relação a transferências de dados do Reino Unido ("Cláusulas contratuais padrão (Reino Unido")). As Cláusulas Contratuais Padrão (Reuno Unido) são definidas no Anexo 2.

Subprocessador" significa que outros processadores usados pelo GitHub para processar os Dados Pessoais em nome do Cliente em conexão com os Serviços On-line, conforme descrito no artigo 28 do RGPD.

Suporte Dados" significa todos os dados, incluindo todo texto, som, vídeo, arquivos de imagem ou software, fornecidos ao GitHub por ou em nome do Cliente (ou que o Cliente autoriza o GitHub a obter de um Serviço On-line) por meio de uma relação com o GitHub para obter suporte técnico para serviços on-line abrangidos por este acordo. Os Dados de Suporte são um subconjunto de dados de Serviços Profissionais.

Os termos em minúscula usados, mas não definidos neste DPA, como “violação de dados pessoais”, “processamento”, “controlador”, “processador”, “criação de perfil”, "dados pessoais" e "titulares dos dados" terão o mesmo significado que o estabelecido no artigo 4 do RGPD, independentemente de o RGPD ser aplicado. Os termos "importador de dados" e "exportador de dados" têm os significados fornecidos nas Cláusulas Contratuais Padrão.

Para clareza, e conforme detalhado acima, os dados definidos como Dados do Cliente, Dados de Diagnóstico, Dados Gerados por Serviço e Dados de Serviços Profissionais podem conter Dados Pessoais. Para fins ilustrativos, consulte o gráfico inserido abaixo:

personal_data_types

Acima está uma representação visual dos tipos de dados definidos no DPA. Todos os Dados Pessoais são processados como parte de um dos outros tipos de dados (que também incluem dados não pessoais). Os Dados de Suporte são um subconjunto de Dados de Serviços Profissionais. Exceto quando explicitamente definido em contrário, os Termos do DPA aplicam-se exclusivamente aos Dados Pessoais.

Termos gerais

Cumprimento das Leis

O GitHub irá cumprir todas as leis e regulamentos aplicáveis à prestação dos seus Serviços On-line, incluindo a lei de notificação de violação de segurança e requisitos de proteção de dados. No entanto, o GitHub não é responsável pela conformidade com nenhuma lei ou regulamento aplicáveis ao Cliente ou ao setor do Cliente, que, de modo geral, não sejam aplicáveis aos prestadores de serviços de tecnologia da informação. O GitHub não determina se os Dados do Cliente incluem informações sujeitas a qualquer lei ou regulamento específico. Todos os Incidentes de Segurança estão sujeitos aos termos de notificação de Incidente de Segurança abaixo.

O cliente deve cumprir todas as leis e regulamentos aplicáveis ao uso dos seus Serviços On-line, incluindo leis relacionadas com dados biométricos, confidencialidade das comunicações e requisitos de proteção de dados. O cliente é responsável por determinar se os Serviços On-line são apropriados para o armazenamento e processamento de informações sujeitas a qualquer lei ou regulamentação específica e por usar os Serviços On-line de uma forma consistente com as obrigações legais e regulamentares do cliente. O cliente é responsável por responder a qualquer solicitação de terceiros sobre o uso do Serviço On-line pelo Cliente, tal como uma solicitação para eliminar conteúdo nos termos definidos pelo governo dos EUA. Lei de Direitos Autorais do para meios digitais ou outras leis aplicáveis.

Proteção de dados

Os termos dessa seção do DPA incluem as seguintes subseções:

  • Escopo
  • Natureza do Processamento de Dados; Propriedade
  • Divulgação de Dados Processados
  • Processamento de dados pessoais; RGPD
  • Segurança de Dados
  • Notificação de Incidente de Segurança
  • Transferências de Dados e Localização
  • Retenção e Exclusão de Dados
  • Compromisso de Confidencialidade do Processador
  • Aviso e controles sobre o uso de subprocessadores
  • Instituições educacionais
  • Contrato do Cliente de CJIS, Associação de Negócios da HIPAA, Dados Biométricos
  • Lei de Privacidade do Consumidor da Califórnia (CCPA)
  • Como entrar em contato com o GitHub
  • Apêndice A – Medidas de segurança

Escopo

Os Termos do DPA aplicam-se a todos os Serviços On-line.

As pré-visualizações podem empregar medidas de segurança inferiores ou diferntes daquelas normalmente presentes nos Serviços On-line. A menos que seja anotado de outro modo, o Cliente não deve usar a Pré-visualização para processar dados pessoais ou outros dados que estejam sujeitos a requisitos legais ou regulamentares de conformidade. Os termos a seguir neste DPA não se aplicam às Pré-visualizações: Processamento de Dados Pessoais; RGPD, Segurança de Dados e Lei de Privacidade da Califórnia.

Natureza do Processamento de Dados; Propriedade

Exceto conforme indicado nos Termos do DPA, O GitHub usará e processará os dados do cliente e os dados pessoais conforme descrito e sujeito às limitações fornecidas abaixo (a) para prestar ao Cliente o Serviço On-line, de acordo com as instruções documentadas do cliente; e/ou (b) para o incidente de operações comerciais legítimos do GitHub na prestação dos dos Serviços On-line para o Cliente. Assim como entre as partes, o cliente retém todos os direitos, titularidade e interesse nos e para os Dados do Cliente. O GitHub não tem direitos aos Dados do Cliente, além dos direitos concedidos pelo Cliente ao GitHub nesta seção. Este parágrafo não afeta os direitos do GitHub em softwares ou serviços de licenças do GitHub para o Cliente.

Processamento para prestar Serviços On-line para o Cliente

Para fins desse DPA, "prestar" um Serviço On-line consiste em:

  • Apresentando recursos funcionais como licenciado, configurado e usado pelo Cliente e por seus usuários, incluindo o fornecimento de experiências personalizadas para o usuário;
  • Solução de problemas (por exemplo, prevenção, detecção e reparação); e
  • Melhoria constante (por exemplo, instalar as últimas atualizações e melhorar a produtividade dos usuários, a confiabilidade, eficácia e segurança).

Ao prestar Serviços On-line, o GitHub usará ou processará dados pessoais apenas em nome do cliente e de acordo com as instruções documentadas do cliente.

Processando para as operações legítimas do GitHub

Para fins deste DPA, "Operações legítimas de negócios do GitHub" consistem no disposto a seguir, cada um como incidente para a prestação dos Serviços On0line ao Cliente: (1) cobrança e gestão de conta; (2) compensação (p. ex., cálculo de comissões de funcionários e incentivos ao parceiro); (3) relatórios internos e modelagem de negócios (p. ex., previsão, receitas, planejamento de capacidade, estratégia do produto); (4) combate a fraudes, abusos, crimes virtuais ou ataques cibernéticos que podem afetar o GitHub ou os Serviços On-line; (5) melhorar a principal funcionalidade da acessibilidade, privacidade ou eficiência energética; (6) comunicação financeira e conformidade com as obrigações legais (sujeito às limitações de divulgação de dados processados descritos abaixo); (7) criação ou gerenciamento de contas de usuários finais e perfis do GitHub para usuários individuais do Cliente (exceto onde o Cliente criar, gerencia ou controlar essas contas de usuário ou perfis em si); e (8) outras finalidades relacionadas aos Dados Pessoais não fornecidas pelo Cliente para armazenamento nos repositórios do GitHub ou em conexão com Serviços Profissionais.

Ao processar as operações legítimas de negócios do GitHub, este não usará ou processará dados pessoais para: (a) criação de perfil do usuário, (b) publicidade ou fins comerciais semelhantes, (c) venda ou corretagem de dados ou (d) qualquer outra finalidade, que não seja para os fins definidos nesta seção.

Divulgação de Dados Processados

O GitHub não divulgará ou fornecerá acesso a nenhum Dado processado exceto: (1) como orientado pelo Cliente; (2) conforme descrito neste DPA; ou (3) conforme exigido por lei. Para fins desta seção, "Dados Processados" significa: (a) Dados do Cliente; (b) Dados Pessoais e (c) todos os outros dados processados pelo GitHub, relacionados ao Serviço On-line que são informações confidenciais do cliente, nos termos do Contrato do Cliente do GitHub. Todo o processamento de Dados Processados está sujeito à obrigação de confidencialidade do GitHub nos termos do Contrato do Cliente do GitHub.

O GitHub não divulgará nem fornecerá acesso a nenhum Dado Processado para o cumprimento da lei, salvo se exigido por lei. Se alguma autoridade de cumprimento da lei entrar em contato com o GitHub, solicitando dados processados, o GitHub tentará redirecionar a autoridade para solicitar esses dados diretamente ao Cliente. Se forçado a divulgar ou fornecer acesso a quaisquer Dados Processados par ao cumprimento da lei, O GitHub notificará prontamente o Cliente e fornecerá uma cópia da solicitação, a menos que seja legalmente proibido de fazê-lo.

Após o recebimento de qualquer outra solicitação de terceiros para dados processados, o GitHub notificará prontamente o Cliente, a menos que seja proibido por lei. O GitHub rejeitará a solicitação a menos a lei exija que seja cumprido. Se a solicitação for válida, o GitHub tentará redirecionar a terceira parte para solicitar os dados diretamente para o Cliente.

O GitHub não fornecerá a terceiros: (a) acesso direto, indireto, abrangente ou irrestrito aos Dados Processados; (b) chaves de criptografia de plataforma usadas para proteger dados processados ou a capacidade de quebrar tal criptografia; ou (c) acesso aos Dados Processados se o GitHub estiver ciente de que os dados devem ser usados para fins diferentes dos indicados na solicitação de terceiros.

Para respaldar o disposto acima, o GitHub poderá fornecer informações de contato básicas do cliente para terceiros.

Processamento de dados pessoais; RGPD

Todos os dados pessoais processados pelo GitHub em conexão com os Serviços On-line são obtidos como parte dos Dados do Cliente, Dados de Serviços profissionais (incluindo Dados de Suporte), Dados de Diagnóstico ou Dados Gerados pelo Serviço. Os Dados Pessoais fornecidos ao GitHub por ou em nome do Cliente por meio do Serviço On-line são também Dados do Cliente. Identificadores com pseudônimos poderão ser incluídos nos Dados de Diagnóstico ou Dados Gerados por Serviço e também são considerados Dados Pessoais. Qualquer Dado Pessoal com pseudônimo ou não identificado mas que não seja anônimo ou Dados Pessoais derivados de Dados Pessoais também são considerados Dados Pessoais.

Na medida em que o GitHub é um processador ou subprocessador de Dados Pessoais sujeito ao RGPD, os Termos relacionados ao RGPD no Anexo 3 regem o processamento e as partes também concordam com os seguintes termos nesta subseção ("Processamento de Dados Pessoais; RGPD”):

Funções e Responsabilidades do Processador e Controlador

O Cliente e GitHub concordam que o Cliente é o controlador dos Dados Pessoais e o GitHub é o processador desses dados, exceto (a) quando o Cliente atua como processador de dados pessoais, neste caso o GitHub é um subprocessador; ou (b) conforme indicado no Contrato do Cliente do GitHub ou no presente DPA. Quando o GitHub atua como o processador ou subprocessador de Dados Pessoais, ele processará os dados pessoais apenas em nome do cliente e de acordo com as instruções documentadas do cliente. O cliente concorda que o seu Contrato do Cliente GitHub (incluindo os Termos do DPA e quaisquer atualizações aplicáveis), junto com a documentação do produto e o uso e configuração das funcionalidades dos Serviços On-line do Cliente são instruções completamente documentadas do Cliente no GitHub para o processamento de Dados Pessoais. Informações sobre uso e configuração dos Serviços Online podem ser encontradas em https://docs.github.com ou uma localidade sucessora. Todas as instruções adicionais ou alternativas devem ser acordadas conforme com o processo de alteração do Contrato de Cliente do GitHub. Em qualquer instância, quando o RGPD for aplicado e o Cliente for um processador, o Cliente garante ao GitHub que as instruções do Cliente, incluindo a nomeação do GitHub como um subprocessador ou subprocessador, foram autorizados pelo controlador relevante.

Na medida em que o GitHub usa ou processa de outra forma os Dados Pessoais sujeitos ao RGPD para o incidente de operações de negócios legítimos do GitHub para a entrega dos Serviços Online ao Cliente, O GitHub cumprirá as obrigações para uso de um controlador de dados independente nos termos do RGPD. O GitHub aceita as responsabilidades adicionadas de um “controlador” de dados nos termos do RGPD para processamento em conexão com as suas operações legítimas de negócios para: (a) agir de acordo com requisitos regulatórios, na medida necessária ao RGPD; e (b) fornecer maior transparência aos clientes e confirmar a responsabilidade do GitHub por esse processamento. O GitHub usa salvaguardas para proteger os Dados Pessoais no processamento, incluindo as identificadas neste DPA e as definidas no artigo 6 (4) do RGPD. Com relação ao processamento de Dados Pessoais nesse parágrafo, os compromissos estabelecidos nas Cláusulas Contratuais Padrão definidas no Anexo 1 ou no Anexo 2 (conforme aplicável); para as finalidades, (i) qualquer divulgação do GitHub dos Dados Pessoais, conforme descrito no Anexo III to Anexo 1 ou Apêndice 3 to Anexo 2 (conforme aplicável), transferidas em conexão com as operações comerciais legítimas do GitHub, é considerada "divulgação relevante" e (ii) os compromissos no Anexo III Anexo 1 ou Apêndice 3 do Anexo 2 (as applicable) aplicam-se a esses Dados Pessoais.

Detalhes de processamento

As partes reconhecem e concordam que:

  • Matéria. A matéria do processamento está limitada aos Dados Pessoais dentro do escopo da seção deste DPA intitulada “Natureza do Processamento de Dados; Propriedade" acima e o RGPD.
  • Duração do Processamento. A duração do processamento deve estar de acordo com as instruções do cliente e os termos do DPA.
  • Natureza e Finalidade do Processamento. A natureza e a finalidade do processamento devem ser prestar o Serviço On-line de acordo com o Contrato do Cliente com o GitHub e para o incidente das operações comerciais legítimas do GitHub. com a prestação do Serviço On-line ao Cliente (descrito mais adiante na seção deste DPA com o nome “Natureza do Processamento de Dados; Propriedade" acima).
  • Categorias de Dados. Os tipos de dados pessoais processados pelo GitHub ao prestar o Serviço On-line incluem: (i) Dados Pessoais escolhidos pelo Cliente para incluir nos Dados do Cliente ou nos Dados de Serviços Profissionais (incluindo, sem limitação, Dados de Suporte); e (ii) aqueles expressamente identificados no artigo 4 do RGPD que podem estar contidos nos Dados de Diagnóstico ou Dados Gerados pelo Serviço. Os tipos de dados pessoais que o Cliente elege para incluir nos Dados do Cliente ou nos Dados de Serviços Profissionais (incluindo, entre outros, Dados de Suporte) podem ser quaisquer categorias de Dados Pessoais identificados nos registros mantidos pelo Cliente como controlador, de acordo com o artigo 30 do RGPD, incluindo as categorias de dados pessoais estabelecidas no Anexo I para Anexo 1 ou Apêndice 1 para Anexo 2 (conforme aplicável).
  • Titulares de Dados. As categorias de titulares de dados são representantes do cliente e usuários finais, como funcionários, contratados, colaboradores e clientes e podem incluir outras categorias de titulares de dados, conforme identificado nos registros mantidos pelo Cliente como controlador, de acordo com o artigo 30 do RGPD, incluindo as categorias de titulares de dados estabelecidas no Anexo I do Anexo 1 ou Apêndice 1 do Anexo 2 (conforme aplicável).

Direitos do Titular de Dados; Assistência com Solicitações

O GitHub irá disponibilizar para o Cliente de uma maneira consistente com a funcionalidade do Serviço On-line e a função do GitHub como processador de Dados Pessoais dos titulares de dados, a capacidade de atender às solicitações de titulares de dados para exercerem seus direitos nos termos do RGPD. Se o GitHub recebe uma solicitação do titular dos dados do Cliente para o exercício de um ou mais direitos nos termos do RGPD relacionados ao Serviço On-line para o qual o GitHub é um processador de dados ou subprocessador, o GitHub irá redirecionar o titular de dados para que sua solicitação seja feita diretamente ao Cliente. O cliente será responsável por responder a qualquer solicitação, incluindo, quando necessário, utilizando a funcionalidade do Serviço On-line. O GitHub atenderá às solicitações justas do Cliente para auxiliar na resposta do Cliente a tal solicitação do titular de dados.

Registros de atividades de processamento

Na medida em que o RGPD exige que o GitHub colete e mantenha registros de certas informações relacionadas ao Cliente, este irá, conforme solicitado, fornecer essas informações ao GitHub e mantê-las precisas e atualizadas. O GitHub pode disponibilizar tais informações para a autoridade de supervisão, se exigido pelo RGPD.

Segurança de Dados

O GitHub implementará e manterá medidas técnicas e organizacionais apropriadas e garantias de segurança contra destruição acidental ou ilegal, ou perda, alteração, divulgação ou acesso não autorizado ou acesso não autorizado aos Dados do Cliente e Dados Pessoais processados pelo GitHub em nome e de acordo com as instruções documentadas do Cliente em conexão com os Serviços On-line. O GitHub irá monitorar regularmente a conformidade com estas medidas e salvaguardas e continuará tomando as medidas adequadas durante o Contrato do Cliente do GitHub. Apêndice A – Salvaguardas de Segurança contém uma descrição das medidas técnicas e organizacionais e das garantias de segurança implementadas pelo GitHub.

O cliente é o único responsável por estabelecer uma determinação independente sobre se as medidas técnicas e organizacionais e as salvaguardas de segurança de um Serviço On-line atendem aos requisitos do Cliente incluindo qualquer uma de suas obrigações de segurança nos termos dos Requisitos de Proteção de Dados aplicáveis. O Cliente reconhece e concorda que (tendo em conta os desenvolvimentos de última geração, os custos de implementação e a natureza, escopo, contexto e finalidades do processamento dos Dados do Cliente e dos Dados Pessoais, bem como do risco de diferentes probabilidade e gravidade dos direitos e liberdades das pessoas naturais) as medidas técnicas e organizacionais implementadas e mantidas pelo GitHub fornecem um nível de segurança adequado ao risco no que diz respeito aos Dados do Cliente e Dados Pessoais. O Cliente é responsável pela implementação e manutenção de proteções de privacidade e medidas de segurança para componentes que o cliente fornece ou controla.

O GitHub fornecerá relatórios de conformidade com a segurança tais como relatórios de auditoria externos SOC1, tipo 2 e SOC2, a pedido do cliente. O Cliente concorda que todas as informações e direitos de auditoria concedidos pelos Requisitos de Proteção de Dados aplicáveis (incluindo, quando aplicável, o artigo 28(3)(h) do RGPD) será atendido com estes relatórios de conformidade, e de outra forma, só surgirá na medida em que o fornecimento de um relatório de conformidade pelo GitHub não fornecer informação suficiente, ou na medida em que o Cliente tiver de responder a uma auditoria ou investigação da autoridade reguladora ou supervisora.

Se Cliente estiver sujeito a uma auditoria ou investigação da autoridade regulatória ou supervisora ou realizar uma auditoria ou investigação em resposta a uma solicitação de uma autoridade reguladora ou supervisora que exija a participação do GitHub, e as obrigações dos clientes não puderem ser razoavelmente cumpridas (quando permitido pelos reguladores do Cliente) por meio de relatórios de auditoria, documentação ou informações de conformidade que o GitHub geralmente disponibiliza para os seus clientes, o GitHub responderá prontamente às instruções adicionais e solicitações de informações do Cliente, de acordo com os termos e condições a seguir:

  • O GitHub fornecerá acesso às equipes relevantes o acesso a documentação e software de aplicativo.
  • Cliente e GitHub farão um acordo mútuo em um contrato prévio por escrito (aceita-se e-mail) com relação o escopo, cronograma, duração, controle e evidência requisitos, desde que essa exigência de aceitação não permita que o GitHub atrase excessivamente sua cooperação.
  • Cliente deverá garantir o uso de uma empresa de auditoria independente e credenciada por terceiros, durante o horário normal do negócio, com aviso prévio por escrito ao GitHub e sujeito a procedimentos de confidencialidade razoáveis. Nenhum Cliente, os seus reguladores, nem os delegados dos seus reguladores terão acesso a quaisquer dados de outros clientes do GitHub ou a sistemas ou instalações GitHub ou que não estejam envolvidos nos Serviços On-line.
  • O Cliente é responsável por todos os custos e taxas relacionados à cooperação do GitHub com a auditoria regulatória do Cliente, incluindo todos os custos e tarifas razoáveis por todo o período em que o GitHub gastar, além das taxas dos serviços prestados pelo GitHub.
  • Se o relatório gerado a partir da cooperação do GitHub com a auditoria regulatória do Cliente incluir qualquer descoberta referente ao GitHub, o cliente irá compartilhar esses relatórios, conclusões e ações recomendadas com o GitHub, quando permitido pelos reguladores do cliente.

Notificação de Incidente de Segurança

Se o GitHub tomar conhecimento de uma violação de segurança que gere a destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados do Cliente ou Dados Pessoais processados pelo GitHub em nome e em conformidade com as instruções documentadas do Cliente em conexão com os Serviços On-line (doravante denominados "Incidente de Segurança", o GitHub irá, prontamente e sem demora indevida, (1) notificar o Cliente sobre o Incidente de Segurança; (2) investigar o Incidente de Segurança e fornecer ao Cliente informações detalhadas sobre o incidente; (3) tomar medidas razoáveis para atenuar os efeitos e minimizar os danos resultantes do Incidente de Segurança.

A(s) notificação(ões) dos Incidentes de Segurança serão entregues a um ou mais administradores do cliente por qualquer meio selecionado pelo GitHub, incluindo por e-mail. É da exclusiva responsabilidade do cliente garantir que ele mantenha informações de contato atualizadas junto ao GitHub e que os administradores do cliente monitorem e respondam a qualquer notificação. O Cliente é o único responsável pelo cumprimento de suas obrigações perante as leis de notificação de incidentes aplicáveis ao Cliente e pelo cumprimento das obrigações de notificação de terceiros relacionadas a qualquer Incidente de segurança.

O GitHub fará o possível para auxiliar o Cliente a cumprir a obrigação do Cliente nos termos do artigo 33 do RGPD ou de outras leis ou regulamentos aplicáveis para notificar a autoridade regulatória ou supervisora relevante e os titulares de dados individuais sobre um Incidente de Segurança.

A notificação ou resposta do GitHub a um Incidente de Segurança nesta seção não é uma confirmação do GitHub de qualquer falha ou responsabilidade em relação ao Incidente de Segurança.

O Cliente deverá notificar o GitHub prontamente sobre qualquer possível abuso das suas contas ou credenciais de autenticação ou qualquer Incidente de Segurança relacionado a um Serviço On-line.

Transferências de Dados e Localização

Os Dados pessoais que o GitHub processa em nome e em conformidade com as instruções documentadas do Cliente em conexão com os Serviços On-line não podem ser transferidos para ou armazenados e processados em uma localidade, exceto de acordo com os Termos de DPA e as salvaguardas fornecidas abaixo nesta seção. Ao considerar essas salvaguardas, o cliente designa o GitHub para transferir dados pessoais para os Estados Unidos ou para qualquer outro país em que o GitHub ou seus subprocessadores opere e para armazenar e processar os dados pessoais para prestar os Serviços On-line, exceto como pode ser descrito em outro lugar destes Termos do DPA.

Todas as transferências de dados pessoais para fora da União Europeia, Espaço Econômico Europeu, ou para a Suíça para prestar os Serviços On-line será regida pelas Cláusulas Contratuais Padrão (EU/EEA) do Anexo 1. Todas as transferências de dados pessoais para fora do Reino Unido para prestar os Serviços On-line serão regidas pelas Cláusulas Contratuais Padrão (Reuno Unido) do Anexo 2. Para os fins das Cláusulas Contratuais Padrão (Reino Unido) no Anexo 2, as referências a "União Europeia", "UE", "Espaço Econômico Europeu, “EEE” ou “Estado-membro” serão interpretadas como referência ao Reino Unido, quando razoavelmente necessário e apropriado, para dar toda a força e efeito às Cláusulas Contratuais Padrão (Reino Unido) com respeito às transferências de Dados Pessoais do Reino Unido. Isto se aplica independentemente do fato de que, em 31 de Janeiro de 2020, data de entrada em vigor, o Reino Unido já não é um Estado-membro da União Europeia ou do Espaço Econômico Europeu.

O GitHub cumprirá os requisitos da legislação aplicável à União Europeia, Espaço Econômico Europeu, Reino Unido e Suíça em matéria de proteção de dados e outros Requisitos de Proteção de Dados, em cada caso, em relação à transferência de Dados Pessoais para destinatários ou jurisdições fora de tal jurisdição. Todas essas transferências de dados pessoais, quando aplicável, estarão sujeitas a salvaguardas apropriadas, conforme descrito no artigo 46 do RGPD e tais transferências e salvaguardas serão documentadas de acordo com o artigo 30(2) do RGPD.

De acordo com as salvaguardas descritas acima, o GitHub pode transferir, armazenar e processar dados pessoais para ou em jurisdições e localidades no mundo todo que considerar, sob o seu exclusivo critério, razoavelmente necessário em relação aos Serviços On-line.

Retenção e Exclusão de Dados

Mediante solicitação razoável do cliente, a menos que seja proibido por lei, o GitHub retornará ou destruirá todos os Dados do Cliente e os Dados Pessoais processados pelo GitHub em nome e de acordo com as instruções documentadas do Cliente em conexão com os Serviços On-line em todas as localidades onde é armazenado dentro de 30 dias após a solicitação, desde que não seja mais necessário para prestar os Serviços On-line ou os propósitos para os quais um sujeito de dados autorizou o processamento de seus Dados Pessoais. O GitHub pode manter os Dados do Cliente ou os Dados Pessoais na medida exigida pelos Requisitos de Proteção de Dados aplicáveis ou por outra lei aplicável, e apenas na medida e por tal período conforme exigido pelos Requisitos de Proteção de Dados aplicáveis ou outra lei aplicável, desde que o GitHub assegure que os Dados do Cliente ou Dados Pessoais sejam processados somente conforme necessário para a finalidade especificada nos Requisitos de Proteção de Dados aplicáveis ou outra lei aplicável e sem outra finalidade, e os Dados do Cliente ou Dados Pessoais permaneçam protegidos pelos requisitos de proteção de dados aplicáveis ou por outra lei aplicável.

Compromisso de Confidencialidade do Processador

O GitHub garantirá que a sua equipe envolvida no processamento de Dados do Cliente e de Dados Pessoais em nome do Cliente em conexão com os Serviços On-line (i) processará esses dados somente com base nas instruções do Cliente, ou conforme descrito neste DPA, e (ii) será obrigada a manter a confidencialidade e a segurança de tais dados, mesmo após o fim do seu compromisso. A GitHub fornecerá treinamento periódico e obrigatório de privacidade de dados e segurança para seus funcionários com acesso aos Dados do Cliente e Dados Pessoais, de acordo com os Requisitos de Proteção de Dados aplicáveis ou outros padrões aplicáveis da lei e do setor.

Aviso e controles sobre o uso de subprocessadores

O GitHub pode contratar subprocessadores para fornecer serviços de certa forma limitados ou auxiliares em seu nome. O cliente concorda com esta relação e com os Afiliados do GitHub como subprocessadores. As autorizações acima constituirão o consentimento prévio por escrito do cliente à subcontratação pelo GitHub do processamento de Dados Pessoais, se esse consentimento for exigido pela lei aplicável, as Cláusulas Contratuais Padrão ou os Termos Relacionados ao RGPD.

O GitHub é responsável pela conformidade dos seus subprocessadores com as obrigações do GitHub neste DPA. O GitHub disponibiliza informações sobre subprocessadores no site do GitHub https://github.com/subprocessadores (ou um local sucessor). Ao interagir com qualquer subprocessador, o GitHub garantirá, por meio de um contrato escrito, que o Subprocessador possa acessar e utilizar os Dados do Cliente ou Dados Pessoais apenas para prestar os serviços que o GitHub os contratou para prestar e estão proibidos de usar Dados do Cliente ou Dados Pessoais para qualquer outra finalidade. O GitHub garantirá que os Subprocessadores estejam vinculados a contratos escritos que exigem que eles forneçam pelo menos o nível de proteção de dados exigido ao GitHub pelo DPA, incluindo as limitações de divulgação de Dados Pessoais. O GitHub concorda em supervisionar os Subprocessadores para garantir que essas obrigações contratuais sejam cumpridas.

De vez em quando, o GitHub poderá contratar novos Subprocessadores. O GitHub enviará um aviso ao Cliente (atualizando o site https://github.com/github-subprocessors-list (ou uma localidade sucessora) e irá fornecer ao Cliente um mecanismo para obter o aviso sobre a atualização) de qualquer novo Subprocessador antes de conceder acesso ao Subprocessador aos Dados do Cliente. Se o GitHub contratar um novo Subprocessador para um novo Serviço On-line, a GitHub notificará o Cliente antes da disponibilização do mesmo.

Se o Cliente não aprovar um novo Subprocessador, o Cliente poderá cancelar qualquer assinatura do Serviço On-line afetado, sem penalidade, fornecendo, antes do final do período de notificação relevante, aviso por escrito sobre a rescisão. O Cliente também pode incluir uma explicação dos motivos para a não aprovação junto com o aviso de rescisão para permitir que o GitHub reavalie qualquer novo Subprocessador baseado nas questões aplicáveis. Se o Serviço On-line afetado fizer parte de um conjunto (ou uma única compra de serviços similar), qualquer rescisão será aplicada a todo o conjunto. Após a rescisão, o GitHub irá remover as obrigações de pagamento para qualquer assinatura do Serviço On-line rescindido das faturas subsequentes do Cliente ou do seu revendedor.

Instituições educacionais

Se o Cliente é uma instituição de ensino ou instituição sujeita às regulamentações previstas na Lei de Direitos de Educação da Família, 20 U.S.C. £1232g (FERPA), ou leis de privacidade educacional ou estadual similares (coletivamente denominadas “Leis de Privacidade Educacional”), o Cliente não deverá fornecer os dados pessoais cobertos por tais leis de privacidade educacional ao GitHub sem obter o consentimento prévio e por escrito e específico e firmar um contrato separado com o GitHub que rege os direitos e obrigações das partes no que diz respeito ao processamento de tais Dados Pessoais pelo GitHub, em relação aos Serviços On-line.

De acordo com o disposto acima, se o Cliente pretende fornecer os Dados Pessoais ao GitHub abrangidos pelo FERPA, as partes concordam e reconhecem que, para fins deste DPA, o GitHub é um "funcionário da escola" com "interesses educacionais legítimos" nos Dados Pessoais, já que esses termos foram definidos no FERPA e seus regulamentos de implementação. O Cliente entende que o GitHub pode possuir informações de contato limitadas ou nenhuma informação de contato para os alunos e pais dos alunos do cliente. Consequentemente, o Cliente será responsável por obter qualquer consentimento do aluno ou responsável ara o uso dos Serviços On-line para qualquer usuário final que possa ser exigido por lei aplicável e transmitir notificações em nome do GitHub aos alunos (ou, no caso de um aluno menor de 18 anos de idade e que não esteja frequentando uma instituição de ensino superior, para os pais do aluno) sobre qualquer ordem judicial ou intimação legalmente emitida que exija a divulgação dos Dados Pessoais em posse do GitHub, conforme exigido pela lei em vigor.

Contrato do Cliente de CJIS, Associação de Negócios da HIPAA, Dados Biométricos

Exceto com o consentimento prévio, escrito e específico do GitHub, o Cliente não fornecerá ao GitHub nenhum Dado Pessoal

  • referente a condenações criminosas e ofensas ou Dados Pessoais coletados ou processados de outra forma pelo Cliente sujeito a ou em conexão com os Serviços de Informações de Justiça Penal do FBI ou a Política de Segurança relacionada.
  • que conssituem informação de saúde protegida regida pela privacidade, segurança e violação das regras de notificação emitidas pelo Departamento da Saúde e dos Serviços Humanos dos Estados Unidos, partes 160 e 164 do Título 45 do Código de Regulamentos Federais, estabelecidas nos termos da Lei de Portabilidade e Responsabilidade do Seguro de Saúde de 1996 (Lei pubílica 104-191) ou por leis estaduais de saúde ou privacidade médica.
  • coletados como parte de um ensaio clínico ou outro assunto de estudo de pesquisa biomédica para, ou conduzida de acordo com a Política Federal de Proteção dos Assuntos Humanos (regra comum).
  • cobertos pelas leis de privacidade biométricas estaduais, federais ou estrangeiras ou que constituam, de outra forma, informações biométricas, incluindo informações sobre as características físicas, fisiológicas, biológicas ou comportamentais de um indivíduo ou informações derivadas dessas informações que são usadas ou destinadas a serem usadas, de forma individual ou em conjunto ou com outras informações para estabelecer a identidade do indivíduo.

Lei de Privacidade do Consumidor da Califórnia (CCPA) / Lei de Direitos de Privacidade da Califórnia (CPRA)

Se e na medida em que o GitHub estiver processando dados pessoais em nome e de acordo com as instruções documentadas do Cliente dentro do escopo do CCPA, o GitHub assumirá os seguintes compromissos adicionais com o Cliente. O GitHub irá processar os Dados Pessoais em nome do Cliente e não

  • irá vender os Dados Pessoais como o termo "venda" é definido no CCPA. - compartilhar alugar, lançar, divulgar, divulgar, disseminar, disponibilizar, transferir ou comunicar oralmente, por escrito, ou por meios eletrônicos ou de outros meios, os Dados Pessoais para terceirospara fins de publicidade comportamental entre contextos, independentemente de ser para fins monetários ou consideração de valor, incluindo transações para publicidade comportamental de entre contextos em que nenhum dinheiro é trocado.
  • reter, usar ou divulgar os Dados Pessoais para qualquer finalidade que não seja para fins comerciais especificados nos Termos DPA e no Contrato do Cliente do GitHub, incluindo manter, usar ou divulgar os Dados Pessoais para fins comerciais que não sejam os propósitos comerciais especificados nos Termos do DPA ou no Contrato de Cliente do GitHub ou de outra forma permitido pela CCPA.
  • manter, usar ou divulgar os Dados Pessoais fora da relação direta de negócios com o Cliente.
  • combinar os Dados Pessoais com informações pessoais que recebem de ou em nome de terceiros ou coletar dos residentes da Califórnia, com exceção de que o GitHub pode combinar Dados Pessoais para realizar qualquer finalidade comercial, conforme permitido pelo CCPA ou quaisquer regulamentos adotados ou emitidos nos termos do CCPA.

Como entrar em contato com o GitHub

Se o Cliente acredita que o GitHub não está observando os seus compromissos de privacidade ou segurança, o Cliente poderá entrar em contato com o suporte ao cliente ou usar o formulário da web de privacidade do GitHub, encontrado em https://support.github.com/contact/privacy. Endereço de correspondência do GitHub:

GitHub Privacy
GitHub, Inc.
88 Colin P. Kelly Jr. Street
San Francisco, California 94107 USA

GitHub B.V. é o representante da proteção de dados do GitHub para o Espaço Econômico Europeu. O representante da privacidade do GitHub B.V. pode ser encontrado no seguinte endereço:

GitHub B.V.
Vijzelstraat 68-72
1017 HL Amsterdam
The Netherlands

Apêndice A – Salvaguardas de Segurança

O GitHub fez a implementação e fará a manutenção de todos os Dados do Cliente e os Dados Pessoais processados pelo GitHub em nome e de acordo com as instruções documentadas do Cliente relacionadas com os serviços do GitHub com as seguintes medidas técnicas e organizacionais e salvaguardas de segurança que, em conjunto com os compromissos de segurança neste DPA (incluindo os termos relacionados ao GDPR), são de única responsabilidade do GitHub no que diz respeito à segurança desses dados:

DomínioPráticas
Organização de Segurança da InformaçãoPropriedade de Segurança. O GitHub designou um ou mais oficiais de segurança responsáveis pela coordenação e monitoramento das políticas e procedimentos de segurança.

Funções de Segurança e Responsabilidades. A equipe do do GitHub com acesso aos Dados do Cliente e aos Dados Pessoais está sujeita a obrigações de confidencialidade.

Programa de Gestão de Risco. O GitHub faz uma avaliação anual de riscos.
O GitHub retém seus documentos de segurança, de acordo com seus requisitos de retenção após deixarem de estar em vigor.

Gerenciamento de Fornecedores. O GitHub tem um processo de avaliação de risco do fornecedor, cláusulas de contrato do fornecedor e acordos adicionais de proteção de dados com fornecedores.
Gerenciamento de AtivosInventário de Ativos. O GitHub mantém um inventário de todas as mídias nas quais os Dados do Cliente e os Dados Pessoais são armazenados. O acesso ao inventário dessas mídias está restrito ao pessoal do GitHub autorizado para ter esse acesso.

Asset Handling
- O GitHub classifica os Dados do Cliente e os Dados Pessoais para ajudar a identificá-los e permitir que o acesso a eles seja devidamente restringido.
- O GitHub comunica a responsabilidade e a responsabilidade dos funcionários pela proteção de dados, inclusive a causa da rescisão.
A equipe do GitHub deve obter autorização do GitHub antes de acessar remotamente os Dados do Cliente e os Dados Pessoais do Cliente ou processar Dados do Cliente e Dados Pessoais fora das instalações do GitHub.
Segurança de Recursos HumanosTreinamento de Segurança. O GitHub exige que todos os novos contratados realizem o treinamento de segurança e privacidade como parte do inicio de integração. A participação no treinamento anual é necessária para que todos os funcionários forneçam uma base para o básico de segurança e privacidade.
Segurança física e ambientalAcesso físico às Instalações O GitHub limita o acesso às instalações onde os sistemas informativos que processam os Dados do Cliente e os Dados Pessoais estão localizados para indivíduos autorizados identificados.

Acesso Físico aos Componentes. O GitHub mantém registros de mídia de entrada e saída que contêm dados de clientes, incluindo o tipo de mídia, o remetente/destinatários autorizados, a data e a hora, o número de mídias e os tipos de Dados do Cliente e Dados Pessoais que eles contêm.

Proteção contra interrupções. O GitHub usa uma variedade de sistemas padrão do setor para proteger contra a perda de dados em razão da falha de fornecimento de energia ou interferência de linha.

Eliminação do Componente. O GitHub usa os processos padrão do setor para excluir os Dados do Cliente e os Dados Pessoais quando não são mais necessários.
Gerenciamento de comunicações e operaçõesPolítica Operacional. O GitHub mantém documentos de segurança descrevendo suas medidas de segurança e os procedimentos e responsabilidades relevantes de seus funcionários que têm acesso aos Dados do Cliente.

Procedimentos de Recuperação de Dados
- Frequentemente, mas em nenhum caso menos que uma vez por semana (a menos que nenhum Dado do Cliente e dados pessoais tenha sido atualizado durante esse período), o GitHub mantém várias cópias dos Dados do Cliente e dos Dados Pessoais a partir das quais os Dados do Cliente e os Dados Pessoais podem ser recuperados.
- O GitHub armazena cópias dos procedimentos de Dados do Cliente e Dados Pessoais e de recuperação de dados em um local diferente do onde está localizado o equipamento primário do computador que processa os dados do cliente e os dados pessoais.
- O GitHub tem procedimentos específicos em vigor que regem o acesso às cópias dos Dados do Cliente.
- O GitHub registra os trabalhos de restauração de dados, incluindo a pessoa responsável, a descrição dos dados restaurados e, quando aplicável, a pessoa responsável e quais dados (se houver) devem ser inseridos manualmente no processo de recuperação de dados.

Software Malicioso. O GitHub tem controles de detecção de ameaças para ajudar a identificar e responder a acessos anormais ou suspeitos aos Dados do Cliente, incluindo softwares maliciosos originários de redes públicas.

Dados além dos limites
- O GitHub encripta ou permite que o Cliente encripte, Dados do Cliente e Dados Pessoais transmitidos por redes públicas.
- O GitHub restringe o acesso aos Dados do Cliente e aos Dados Pessoais em mídias que saem das suas instalações.

Registro de Eventos. O GitHub registra ou permite que o Cliente registre, acesse e use sistemas de informações que contêm Dados do Cliente, registrando a ID de acesso, hora, autorização concedida ou negada e a atividade relevante.
Controle de AcessoPolítica de Acesso. O GitHub mantém um registro de privilégios de segurança de indivíduos que têm acesso aos Dados do Cliente.

Autorização de Acesso
- O GitHub mantém e atualiza um registro de equipe autorizada a acessar sistemas GitHub que contém Dados do Cliente.
- GitHub identifica aqueles funcionários que podem conceder, alterar ou cancelar acesso autorizado a dados e recursos.
- O GitHub garante que quando mais de um indivíduo tiver acesso a sistemas que contém Dados do Cliente, os indivíduos terão identificadores/logins separados, quando tecnicamente viável e comercialmente razoável.

Menor privilégio
- Pessoal de suporte técnico só tem permissão para ter acesso aos Dados do Cliente e Dados Pessoais quando necessário.
- O GitHub restringe o acesso aos Dados do Cliente e aos Dados Pessoais apenas a indivíduos que necessitem desse acesso para desempenhar sua função de trabalho. Os funcionários da GitHub só têm acesso a sistemas de produção baseados nas suas funções dentro da organização.

Integridade e Confidencialidade

- O GitHub orienta a equipe do GitHub a desabilitar sessões administrativas quando os computadores estão desacompanhados.
- O GitHub armazena senhas de forma que sejam criptografadas ou ininteligíveis enquanto estiverem em sendo usadas.

Autenticação
- o GitHub usa as práticas padrão do setor para identificar e autenticar usuários que tentam acessar os sistemas de informação.
- Quando os mecanismos de autenticação baseiam-se exclusivamente nas senhas, o GitHub exige que a senha tenha pelo menos oito caracteres.
- O GitHub garante que os identificadores de funcionários desativados ou expirados não sejam concedidos a outros indivíduos.
- O GitHub monitora, ou permite que o Cliente monitore, tentativas repetidas de obter acesso ao sistema de informações usando uma senha inválida.
- O GitHub mantém os procedimentos padrão do setor para desativar senhas que foram corrompidas ou inadvertidamente divulgadas.
- O GitHub usa as práticas de proteção padrão de senha do setor, incluindo práticas projetadas para manter a confidencialidade e integridade das senhas quando são atribuídas e distribuídas e durante o armazenamento.

Design de rede. O GitHub implementa controles para garantir que nenhum sistema de armazenamento de Dados do Cliente e Dados Pessoais façam parte da mesma rede lógica usada para operações comerciais do GitHub.
Gerenciamento de Incidentes de Segurança de InformaçãoProcesso de Resposta ao Incidente
- O GitHub mantém um registro de incidentes de segurança com uma descrição dos incidentes, período de tempo, as consequências da infração, o nome do relator, a quem foi comunicado o incidente e os detalhes sobre o tratamento do incidente.
- Na hipótese de o GitHub Security confirmar ou suspeitar razoavelmente que um cliente do GitHub.com seja afetado por uma violação de dados, iremos notificar o cliente sem um atraso indevido
- O GitHub monitora, ou permite ao Cliente monitorar e divulgar Dados do Clientes, incluindo quais dados foram divulgados, para quem e em que horário.

Monitoramento de serviço. O GitHub emprega uma ampla gama de soluções de monitoramento contínuo para evitar, detectar e mitigar ataques ao site.
Gerenciamento de Continuidade de Negócios- O GitHub mantém planos de emergência e contingência para as instalações nas quais os sistemas de informações do GitHub que processam os Dados do Cliente e os Dados Pessoais estão localizados.
- O armazenamento redundante do GitHub e seus procedimentos de recuperação de dados são projetados para tentar reconstruir os Dados do Cliente e os Dados Pessoais no seu estado original ou no último replicado de antes do momento em que foi perdido ou destruído.

Anexo 1 - As Cláusulas Contratuais Padrão (EU/EEE)

Controlador para o processador

SEÇÃO I

Cláusula 1

Finalidade e escopo

  1. A finalidade destas cláusulas contratuais normalizadas é assegurar o cumprimento dos requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016 relativo à proteção das pessoas físicas no que respeita ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre Proteção de Dados) para a transferência de dados pessoais para outros países.
  2. As Partes:
    1. a(s) pessoa(s) física(s), a(s) autoridade(s) pública(s), agência(s) ou outra(s) instituição(ões) (doravante denominadas “entidade(s) que transferem os dados pessoais, conforme listado no Anexo I. (doravante cada "exportador de dados'), e
    2. a(s) entidade(s) de outro país que recebe(m) os dados pessoais do exportador de dados, direta ou indiretamente por meio de outra entidade também faz parte destas declarações, conforme listado no Anexo I. (após cada 'importador de dados')
    concordaram com estas cláusulas contratuais padrão (doravante: “Cláusulas”).
  3. Estas cláusulas aplicam-se no que se refere à transferência de dados pessoais, conforme como especificado no Anexo I.B.
  4. O Apêndice a estas cláusulas que contêm os Anexos refereidos no presente documento constitui parte integrante destas Cláusulas.
Cláusula 2

Vigência e invariabilidade das Cláusulas

  1. Estas Cláusulas estabelecem salvaguardas adequadas, incluindo os direitos dos titulares de dados aplicáveis e remédios legais eficazes, nos termos do artigo 46(1) e do artigo 46(2)(c) do Regulamento (EU) 2016/679 e, no que se refere às transferências de dados por parte de controladores para processadores e/ou processadores, as cláusulas contratuais padrão nos termos do artigo 28(7) do Regulamento (EU) 2016/679, desde que não sejam modificadas, exceto para selecionar o(s) módulo(s) apropriado(s) ou para adicionar ou atualizar informações no Apêndice. Isto não impede que as Partes incluam as cláusulas contratuais padrão estabelecidas nestas Cláusulas em um contrato mais vasto e/ou adicionem outras cláusulas ou salvaguardas adicionais, desde que não contrariem direta ou indiretamente estas cláusulas ou prejudiquem os direitos fundamentais ou as liberdades dos titulares de dados.
  2. Estas cláusulas não prejudicam as obrigações às quais o exportador de dados está sujeito em virtude do Regulamento (UE) 2016/679.
Cláusula 3

Beneficiários de terceiros

  1. Os titulares dos dados podem invocar e aplicar estas Cláusulas como beneficiários de terceiros, contra o exportador de dados e/ou importador de dados, com as seguintes exceções:
    1. Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
    2. Cláusula 8.1(b), 8.9(a), (c), (d) e (e);
    3. Cláusula 9(a), (c), (d) e (e);
    4. Cláusula 12(a), (d) e (f);
    5. Cláusula 13;
    6. Cláusula 15.1(c), (d) e (e);
    7. Cláusula 16(e);
    8. Cláusula 18(a) e (b).
  2. O parágrafo (a) não prejudica os direitos dos titulares de dados ao abrigo do Regulamento (UE) 2016/679.
Cláusula 4

Interpretação

  1. Nos casos em que estas cláusulas utilizem termos definidos no Regulamento (UE) 2016/679, esses termos terão o mesmo significado que esse Regulamento.
  2. Estas cláusulas serão lidas e interpretadas à luz das disposições do Regulamento (UE) 2016/679.
  3. Estas cláusulas não serão interpretadas de forma a conflituosa com direitos e obrigações previstos no Regulamento (UE) 2016/679.
Cláusula 5

Hierarquia

Na hipótese de conflito entre estas cláusulas e as disposições dos acordos conexos entre as partes existentes no momento em que estas cláusulas forem acordadas ou posteriormente adotadas, estas cláusulas prevalecerão.

Cláusula 6

Descrição da(s) transferência(s)

Os detalhes das transferências e, em particular, as categorias de dados pessoais transferidos e os propósitos para os quais são transferidos, são especificados no Anexo I.B.

Cláusula 7

Cláusula de acoplamento

  1. Uma entidade que não for parte nestas cláusulas pode, com o acordo das partes, aderir a qualquer momento a estas cláusulas. seja como exportador ou importador de dados, preenchendo o Apêndice e assinando o Anexo I.A.
  2. Uma vez preenchido o Apêndice e assinado o Anexo I.A, a entidade aderente tornar-se-á parte destas cláusulas e terá os direitos e obrigações de um exportador ou importador de dados, de acordo com a sua designação no Anexo I.A.
  3. A entidade aderente não terá direitos nem obrigações decorrentes destas cláusulas do período anterior à sua adesão.

SEÇÃO II – OBLIGAÇÕES DA PARTES

Cláusula 8

Salvaguardas de proteção de dados

O exportador de dados garante que empregou esforços razoáveis para determinar se o importador de dados poderá, por meio da implementação de medidas técnicas e organizacionais adequadas, cumprir as suas obrigações ao abrigo destas Cláusulas.

8.1 Instruções

  1. O importador de dados processará os dados pessoais somente com base em instruções documentadas do exportador de dados. O exportador de dados pode fornecer essas instruções durante o período do contrato.
  2. O importador de dados informará imediatamente o exportador de dados se este não puder seguir essas instruções.

8.2 Limitação da finalidade

O importador de dados processará os dados pessoais apenas para a(s) finalidade(s) específica(s) da transferência, conforme definido no Anexo I.B, a não ser que o exportador de dados dê mais instruções.

8.3 Transparência

Mediante solicitação, o exportador de dados fará uma cópia destas Clauses, incluindo o Apêndice como concluído pelas partes, disponível para o sujeito de dados gratuitamente. Na medida do necessário para proteger os segredos comerciais ou outras informações confidenciais, incluindo as medidas descritas no Anexo II e dados pessoais, o exportador de dados pode anular a parte do texto do Apêndice dessas Cláusulas antes de compartilhar uma cópia, mas fornecerá um resumo significativo em que a disciplina de dados não conseguiria entender o seu conteúdo nem exercer os seus direitos. Mediante solicitação, as Partes deverão fornecer ao titular dos dados as razões das redações, na medida do possível, sem revelar as informações redigidas. Esta Cláusula não prejudica as obrigações do exportador de dados nos termos dos artigos 13 e 14 do Regulamento (UE) 2016/679.

8.4 Precisão

Se o importador de dados ficar ciente de que os dados pessoais que recebeu são imprecisos, ou estão desatualizados, ele informará o exportador de dados sem demora indevida. Neste caso, o importador de dados deverá cooperar com o exportador de dados para apagar ou retificar os dados.

8.5 Duração do processamento e exclusão ou devolução de dados

O processamento pelo importador de dados só ocorrerá durante a duração especificada definida no Anexo I.B. Após o fim da prestação dos serviços de processamento, o importador de dados deverá, conforme escolha do exportador de dados, excluir todos os dados pessoais processados em nome do exportador de dados e certificar ao exportador de dados concluiu o trabalho ou retornar ao exportador de dados todos os dados pessoais processados no seu nome e excluir as cópias existentes. Até que os dados sejam excluídos ou devolvidos, o importador de dados continuará garantindo a conformidade com estas Cláusculas. No caso de leis locais aplicáveis ao importador de dados que proíbem a devolução ou exclusão de dados pessoais, o importador de dados garantirá que continuará garantindo o cumprimento dessas cláusulas e que irá processá-las apenas na medida e durante o tempo exigido por essa lei local. Isto sem prejuízo da Cláusula 14, em particular o requisito para o importador de dados nos termos da Cláusula 14(e) de notificar o exportador de dados ao longo da vigência do contrato, se tiver razão para acreditar que está ou tornou-se sujeito a leis ou práticas que não estejam em conformidade com os requisitos da Cláusula 14(a).

8.6 Segurança do processamento

  1. O importador de dados e, durante a transmissão, e o exportador de dados deverão implementar medidas técnicas e organizacionais apropriadas para garantir a segurança dos dados, incluindo proteção contra uma violação de segurança que gere a destruição acidental ou ilegal, perda, alteração, divulgação ou acesso não autorizado a esses dados (doravante "violação de dados pessoais"). Na avaliação do nível de segurança adequado, as partes deverão ter em devida conta a tecnologia de ponta, os custos de implementação, a natureza, âmbito, contexto, as finalidade(s) de processamento e os riscos envolvidos no processamento para os titulares de dados. As Partes devem considerar em particular o recurso à criptografia ou pseudonimização, incluindo durante a transmissão, onde a finalidade do processamento pode ser cumprida nessa questão. Em caso de pseudonimização, as informações adicionais para atribuir os dados pessoais a um titular de dados específico, sempre que possível, encontram-se sob o controle exclusivo do exportador de dados. Ao cumprir as suas obrigações nos termos deste parágrafo, o importador de dados deverá pelo menos implementar as medidas técnicas e organizacionais especificadas no Anexo II. O importador de dados deverá efetuar controles regulares para garantir que estas medidas continuem proporcionando um nível de segurança adequado.
  2. O importador de dados concederá acesso aos dados pessoais aos integrantes da sua equipe somente na medida do estritamente necessário para a implementação, gestão e acompanhamento do contrato. Ele irá garantir que as pessoas autorizadas a processar os dados pessoais comprometeram-se a manter a confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade.
  3. Em caso de violação de dados pessoais sobre dados pessoais processados pelo importador de dados nos termos destas Cláusulas o importador de dados tomará medidas adequadas para resolver a violação, incluindo medidas para mitigar os seus efeitos adversos. O importador de dados também notificará o exportador de dados sem atraso indevido, depois de ter tomado conhecimento da violação. Tal notificação conterá as informações de um ponto de contato, com o qual mais informações podem ser obtidas, uma descrição da natureza da violação (incluindo, quando possível, categorias e número aproximado de titulares dos dados e registros de dados pessoais em causa), as suas consequências prováveis e as medidas tomadas ou propostas para fazer resolver a violação, incluindo, sempre que necessário, medidas para mitigar os seus possíveis efeitos adversos. Quando e na medida em que não for possível fornecer todas as informações ao mesmo tempo, a notificação inicial conterá a informação disponível e as informações adicionais serão posteriormente fornecidas sem demora indevida.
  4. O importador de dados irá cooperar com o exportador de dados e auxiliar o exportador a fim de permitir que o exportador de dados cumpra as suas obrigações nos termos do Regulamento (UE) 2016/679, especialmente para notificar a autoridade supervisora competente e os titulares dos dados afetados, tendo em conta a natureza do processamento e a informação disponíveis ao importador de dados.

8.7 Dados confidenciais

Quando a transferência envolver dados pessoais que revelem a origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, ou associações sindicais, dados genéticos ou dados biométricos para fins únicos de identificação da pessoa física, dados relativos à saúde ou à vida sexual ou à orientação sexual de uma pessoa, ou dados referentes a condenações criminosas e crimes (doravante “dados confidenciais”), o importador de dados deverá aplicar as restrições específicas e/ou salvaguardas adicionais descritas no Anexo I.B.

8.8 Transferências posteriores

O importador de dados só divulgará os dados pessoais a terceiros com base em instruções documentadas do exportador de dados. Além disso, os dados só podem ser divulgados a terceiroz localizados fora da União Europeia (1) (no mesmo país que o importador de dados ou em outro país, doravante referido como "transferência posterior"), caso o terceiro concorde em ser vinculado por essas cláusulas, sob o módulo apropriado ou se:

  1. a transferência posterior for para um país que beneficia de uma decisão de adequação nos termos do artigo 45 do Regulamento (UE) 2016/679 que cobre a transferência posterior;
  2. de outra forma, a terceira parte assegura as salvaguardas adequadas nos termos dos artigos 46 ou 47 do Regulamentos (UE) 2016/679 no que se refere ao processamento em questão;
  3. a transferência em curso for necessária para o estabelecimento, exercício ou defesa de ações judiciais no contexto de procedimentos administrativos, regulamentares ou judiciais específicos; ou
  4. a transferência em curso for necessária para proteger os interesses vitais do titular de dados ou de outra pessoa física.

  5. Qualquer transferência posterior está sujeita ao cumprimento, por parte do importador de dados, de todas as outras salvaguardas ao abrigo destas alegações, em particular a limitação dos objetivos.

8.9 Documentação e conformidade

  1. O importador de dados terá de processar rápida e adequadamente as solicitações do exportador de dados relacionados ao processamento ao abrigo destas Cláusulas.
  2. As Partes poderão demonstrar a conformidade com estas Cláusculas. Em particular, o importador de dados deverá manter documentação adequada sobre as atividades de processamento levadas a cabo em nome do exportador de dados.
  3. O importador de dados disponibilizará ao exportador de dados todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas nestas Cláusulas e, mediante solicitação do exportador de dados, permitir e contribuir para auditorias das atividades de processamento abrangidas por estas afirmações, a intervalos razoáveis ou caso existam indicações de incumprimento. Ao decidir sobre revisão ou auditoria, o exportador de dados pode ter em conta certificações relevantes detidas pelo importador de dados.
  4. O exportador de dados pode optar por conduzir a auditoria por si só ou enviar um auditor independente. As auditorias podem incluir inspeções nas instalações ou instalações físicas do importador de dados e, sempre que necessário, serão realizadas com um aviso adequado.
  5. As Partes deverão fazer referência às informações referidas nos números (b) e (c) incluindo os resultados de todas as auditorias, à disposição da autoridade supervisora competente e mediante solicitação.
Cláusula 9

Uso de subprocessadores

  1. AUTORIZAÇÃO GERAL POR ESCRITO O importador de dados têm a autorização geral do exportador para a contratação do(s) subprocessador(es) em uma lista acordada. O importador de dados informará especificamente o exportador de dados por escrito sobre quaisquer alterações previstas nessa lista por meio da adição ou substituição de subprocessadores com pelo menos 90 dias de antecedência, conferindo, dessa forma, ao exportador de dados tempo suficiente para conseguir contestar essas alterações antes da contratação do(s) subprocessador(es). O importador de dados fornecerá ao exportador de dados as informações necessárias para permitir que o exportador exerça o seu direito de contestação.
  2. Quando o importador de dados contrata um subprocessador para realizar atividades de processamento específicas (em nome do exportador de dados), fá-lo-á por meio de um contrato escrito que prevê as mesmas obrigações de proteção de dados que aquelas que vinculam o importador de dados nos termos destas declarações, incluindo em termos de direitos de beneficiários de terceiros para titulares de dados.(2) As Partes concordam que, ao cumprir esta cláusula, o importador de dados cumpre as suas obrigações no âmbito da Cláusula 8.8. O importador de dados assegurará que o subprocessador irá cumprir as obrigações às quais o importador de dados está sujeito de acordo com estas Cláusulas.
  3. O importador de dados fornecerá, a pedido do exportador de dados, uma cópia desse acordo de subprocessador e quaisquer alterações subsequentes ao exportador de dados. Na medida do necessário para proteger segredos de negócios ou outras informações confidenciais, incluindo dados pessoais, o importador de dados pode anular o texto do Contrato antes de compartilhar uma cópia.
  4. O importador de dados permanecerá totalmente responsável perante o exportador de dados pelo desempenho das obrigações do subprocessador ao abrigo do seu contrato com o importador de dados. O importador de dados notificará o exportador de dados de qualquer falha do subprocessador de cumprir suas obrigações ao abrigo do contrato.
  5. O importador de dados deverá concordar com uma cláusula do beneficiário de terceiros com o subprocessador em que – no caso de o importador de dados haver, de fato, desaparecido, deixar de existir na lei ou tornar-se insolvente – o exportador de dados terá o direito de rescindir o contrato de subprocessador e instruir o subprocessador a apagar ou devolver os dados pessoais.
Cláusula 10

Direitos dos titulares dos dados

  1. O importador de dados notificará prontamente o exportador de dados de qualquer solicitação que tenha recebido de um titular de dados. Ele não responderá a esse pedido se não tiver sido autorizado a fazê-lo pelo exportador de dados.
  2. O importador de dados ajudará o exportador de dados a cumprir as suas obrigações de responder aos pedidos dos titulares de dados para o exercício dos seus direitos nos termos do Regulamento (UE) 2016/679. A este respeito, as partes estabelecerão no Anexo II as medidas técnicas e organizacionais adequadas. tendo em conta a natureza da transformação, por meio da qual a assistência será prestada, bem como o âmbito e a extensão da assistência necessária.
  3. Ao cumprir as suas obrigações nos termos dos parágrafos (a) e (b), o importador de dados deverá cumprir as instruções do exportador de dados.
Cláusula 11

Reparação

  1. O importador de dados deve informar aos titulares de dados em um formato transparente e facilmente acessível, por meio de notificação individual ou no seu site, um ponto de contato autorizado para administrar as reclamações. Ele tratará prontamente todas as reclamações que receber de um titular de dados.
  2. Em caso de disputa entre um titular de dados e uma das Partes no que diz respeito à conformidade com estas Clauses, a Parte irá eforçar-se ao máximo para resolver o problema d forma amigágel e em tempo hábil. As Partes manter-se-ão informadas sobre estes litígios e, sempre que necessário, cooperarão na sua solução.
  3. Quando o sujeito dos dados invocar um direito beneficiário de terceiros, conforme a Cláusula 3, o importador de dados aceitará a decisão do sujeito dos dados para:
    1. apresentar uma queixa junto à autoridade de supervisão no Estado-membro da sua residência ou local de trabalho habitual ou a autoridade supervisora competente nos termos da Cláusula 13;
    2. consulte a questão para os tribunais competentes no âmbito da Cláusula 18.
  4. As Partes aceitam que o titular dos dados pode ser representado por uma entidade sem fins lucrativos, organização ou associação nas condições estabelecidas no artigo 80(1) do Regulamento (EU) 2016/679.
  5. O importador de dados deverá respeitar uma decisão vinculativa nos termos da legislação da UE ou dos Estados-Membros.
  6. O importador de dados concorda que a escolha feita pela disciplina de dados não prejudicará os seus direitos substantivos e processuais de procurar soluções em conformidade com as leis aplicáveis.
Cláusula 12

Responsabilidade

  1. Cada Parte será responsável pela(s) outra(s) Parte(s) por quaisquer danos causados à(s) outra(s) Parte(s) em razão de violação dessas Cláusulas.
  2. O importador de dados será responsável pelo titular de dadose este terá o direito a receber uma compensação por qualquer dano material ou não material que o importador de dados ou seus subprocessadores causarem ao titular de dados que violem os direitos dos beneficiários de terceiros nos termos dessas cláusulas.
  3. Não obstante o parágrafo (b), o exportador de dados será responsável pelo titular de dados e este terá direito a receber uma compensação por quaisquer danos materiais ou não materiais que o exportador de dados ou o importador de dados (ou seus subprocessadores) causarem para o titular de dados, que violem os direitos do beneficiário de terceiros nos termos dessas cláusulas. Isto sem prejuízo da responsabilidade do exportador de dados e, quando o exportador de dados é um processador que atua em nome de um controlador, sem prejuízo da responsabilidade do controlador nos termos do Regulamento (UE) 2016/679 ou do Regulamento (UE) 2018/1725, conforme aplicável.
  4. As Partes concordam que, se o exportador de dados for considerado responsável nos termos do parágrafo (c) por danos causados pelo importador de dados (ou seu subprocessador), ele terá o direito de solicitar ao importador de dados a parte da compensação correspondente à responsabilidade do importador de dados referentes aos danos.
  5. Quando mais de uma Parte for responsável por danos causados ao titular de dados, como resultado de uma violação dessas cláusulas, todas as partes responsáveis serão corresponsáveis, e o titular dos dados terá o direito de interpor uma ação contra qualquer destas partes.
  6. As Partes concordam que, se uma das partes for considerada responsável nos termos do parágrafo (e), ela terá o direito de reclamar junto à(s) outra(s) parte(s) essa parte da compensação correspondente à sua responsabilidade pelo dano.
  7. O importador de dados não pode invocar a conduta de um subprocessador para eximir-se a sua própria responsabilidade.
Cláusula 13

Supervisão

  1. [Onde o exportador de dados é estabelecido em Estado-membro da UE:] A autoridade supervisora responsável pelo cumprimento da regulamentação (UE) 2016/679 relativa à transferência de dados, por parte do exportador de dados, conforme indicado no Anexo I.C, atuará como autoridade supervisora competente.

    [Quando o exportador de dados não estiver estabelecido em Estado-membro da UE, mas estiver inserido no escopo da aplicação do Regulamento (EU) 2016/679 nos termos do seu artigo 3(2) e nomear um representante nos termos do artigo 27(1) do Regulamento (UE) 2016/679:] A autoridade reguladora do Estado-membro em que o representante no âmbito do artigo 27(1) do Regulamento 2016/679 foi estabelecida, conforme indicado no Anexo I.C, atuará como autoridade supervisora competente.

    [Quando o exportador de dados não tiver sido estabelecido em Estado-membro da UE, mas inserir-se no escopo de aplicação do Regulamento (CE) 2016/679 nos termos do seu artigo 3(2), sem, no entanto, ter de nomear um representante nos termos do artigo 27(2) do artigo do Regulamento (UE) 2016/679:] A autoridade reguladora de um dos Estados-membros em que os titulares dos dados são transferidos ao abrigo destas cláusulas em relação à oferta de bens ou serviços, ou cujo comportamento é monitorizado encontram-se localizados, tal como indicado no Anexo I.C, atuará como autoridade supervisora competente.

  2. O importador de dados concorda em submeter-se à jurisdição e em cooperar com a autoridade supervisora competente em todos os procedimentos que visem a assegurar o cumprimento destas alegações. Em particular, o importador de dados concorda em responder a dúvidas, submeter-se a auditorias e cumprir as medidas adotadas pelas autoridades de supervisão, incluindo medidas corretivas e compensatórias. Ele dará à autoridade de supervisão uma confirmação escrita de que foram tomadas as medidas necessárias.

SEÇÃO III – LEGISLAÇÃO LOCAL E OBLIGAÇÕES EM CASO DE ACESSO POR AUTORIDADES PÚBLICAS

Cláusula 14

Leis e práticas locais que afetam o cumprimento das cláusulas

  1. As Partes garantem que não têm motivos para acreditar que as leis e práticas do país terceiro de destino aplicáveis ao processamento dos dados pessoais pelo importador de dados, incluindo todos os requisitos para divulgar dados pessoais ou medidas que autorizem o acesso por parte das autoridades públicas, impeça o importador de dados de cumprir as suas obrigações nos termos dessas cláusulas. Isso tem por base o entendimento de que as leis e práticas que respeitam a essência dos direitos e liberdades fundamentais e não excedem o necessário e proporcional numa sociedade democrática para salvaguardar um dos objetivos enumerados no artigo 23(1) do Regulamento (UE) 2016/679 não estão em contradição com estas cláusulas.
  2. As Partes declaram que, ao fornecer a garantia no parágrafo (a), tiveram devidamente em conta, em particular, os elementos a seguir:
    1. as circunstâncias específicas da transferência, incluindo a duração da cadeia de processamento, o número de atores envolvidos e os canais de transmissão utilizados; transferências programadas; tipo de beneficiário; o objetivo de processar; as categorias e o formato dos dados pessoais transferidos; o setor econômico da transferência; o local de armazenamento dos dados transferidos;
    2. as leis e práticas do país terceiro de destino – incluindo as que exigem a divulgação de dados às autoridades públicas ou a autorização de acesso por parte dessas autoridades – relevantes à luz das circunstâncias específicas da transferência, bem como as limitações e salvaguardas aplicáveis (3);
    3. todas as salvaguardas contratuais, técnicas ou organizacionais relevantes em vigor criadas para suplementar as salvaguardas nos termos destas cláusulas, incluindo as medidas aplicadas durante a transmissão e ao processamento dos dados pessoais no país de destino.
  3. O importador de dados garante que, ao realizar a avaliação nos termos do parágrafo (b), fizeram o possível para fornecer informações relevantes ao exportador de dados e concorda que continuará a cooperar com o exportador de dados no sentido de assegurar a conformidade com estas cláusulas.
  4. As Partes concordam em documentar a avaliação nos termos do parágrafo (b) e disponibilizá-la para a autoridade de controle competente mediante solicitação.
  5. O importador de dados concorda em notificar o exportador de dados prontamente se, após ter concordado com essas cláusulas e durante a duração do contrato, tiver motivos para acreditar que está ou tornou-se sujeito a leis ou práticas que não estão de acordo com os requisitos do parágrafo (a), incluindo uma alteração das leis do país terceiro ou uma medida (como um pedido de divulgação) que indique a aplicação de tais leis, na prática, não está em conformidade com os requisitos do parágrafo (a).
  6. Após uma notificação nos termos do parágrafo (e), ou se o exportador de dados tiver motivos para acreditar que o importador de dados não pode continuar cumprindo as suas obrigações nos termos destas cláusulas, o exportador de dados identificará prontamente medidas adequadas (por exemplo, medidas técnicas ou organizacionais para garantir a segurança e a confidencialidade) a serem adotadas pelo exportador de dados e/ou importador de dados para resolver a questão. O exportador de dados deverá suspender a transferência de dados se considerar que não é possível garantir salvaguardas adequadas para essa transferência ou se for instruído pela autoridade de supervisão competente para fazê-lo. Neste caso, o exportador de dados terá o direito de rescindir o contrato, na medida em que diz respeito ao tratamento de dados pessoais nos termos destas cláusulas. Se o contrato envolver mais de duas partes, o exportador de dados poderá exercer este direito de rescisão apenas no que se refere à Parte relevante, a menos que as Partes tenham acordado o contrário. Quando o contrato for rescindido de acordo com esta cláusula, aplicar-se-á a cláusula 16(d) e (e).
Cláusula 15

Obrigações do importador de dados em caso de acesso por parte das autoridades públicas

15.1 Notificação

  1. O importador de dados concorda em notificar prontamente o exportador de dados e, quando possível, o titular de dados (se necessário, com a ajuda do exportador de dados), se:
    1. receber uma solicitação juridicamente vinculativa de uma autoridade pública, incluindo as autoridades judiciais nos termos da legislação do país de destino para divulgação de dados pessoais transferidos nos termos dessas cláusulas. Essa notificação incluirá informações sobre os dados pessoais solicitados, a autoridade solicitante, o funamento jurídico para a solicitação e a resposta fornecida; ou
    2. tiver ciência de qualquer acesso direto por parte das autoridades públicas aos dados pessoais transferidos nos termos destas cláusulas, em conformidade com as leis do país de destino. Essa notificação incluirá todas as informações disponíveis para o importador.
  2. Se o importador de dados estiver proibido de notificar o exportador de dados e/ou o titular de acordo com as leis do país de destino, o importador de dados concorda em fazer o possível para obter uma derrogação da proibição, com vista a comunicar o máximo de informação possível, o mais rapidamente possível. O importador de dados concorda em documentar os seus melhores esforços, a fim de poder demonstrá-los, mediante solicitação do exportador de dados.
  3. Quando permitido de acordo com as leis do país de destino, o importador de dados concorda em fornecer ao exportador de dados, a intervalos regulares durante a duração do contrato, o máximo possível de informações relevantes sobre as solicitações recebidas (em particular, número de pedidos, tipo de dados solicitados, autoridades soliciantes, se as solicitações foram contestadas, o resultado de tais contestações, etc.).
  4. O importador de dados concorda em preservar as informações nos termos dos parágrafos (a) a (c) durante a duração do contrato e disponibilizá-las à autoridade de supervisão competente, mediante solicitação.
  5. Os parágrafos (a) a (c) não não invalidam a obrigação do importador de dados nos termos da Cláusula 14(e) e da Cláusula 16 de informar prontamente o exportador de dados sempre que este não puder cumprir essas alegações.

15.2 Revisão da legalidade e minimização de dados

  1. O importador de dados concorda em revisar a legalidade da solicitação de divulgação, especialmente se se mantém dentro dos poderes concedidos à autoridade pública requerente e questionar o pedido se, após uma avaliação cuidadosa, concluir que há motivos razoáveis para considerar que a solicitação é ilegal nos termos das leis do país de destino, obrigações aplicáveis nos termos do direito internacional e dos princípios da comidade internacional. O importador de dados irá, nas mesmas condições, procurar possibilidades de recurso. Ao contestar um pedido, o importador de dados deverá procurar medidas provisórias com vista a suspender os efeitos do pedido até que a autoridade judicial competente decida com base nos seus méritos. Ele não divulgará os dados pessoais solicitados até serem obrigados a fazê-lo nos termos das regras processuais aplicáveis. Estes requisitos não prejudicam as obrigações do importador de dados no âmbito da Cláusula 14(e).
  2. O importador de dados concorda em documentar a sua avaliação jurídica e qualquer desafio à solicitação de divulgação e, na medida do possível e nos termos da legislação do país de destino, disponibiliza a documentação para o exportador de dados. Ele também o disponibilizará à autoridade de supervisão competente mediante solicitação.
  3. O importador de dados concorda em fornecer a quantidade mínima de informação permitida ao responder a um pedido de divulgação, baseado numa interpretação razoável do pedido.

SEÇÃO IV – DISPOSIÇÕES FINAIS

Cláusula 16

Não conformidade com as Cláusulas e rescisão

  1. O importador de dados informará prontamente o exportador de dados se ele não for capaz de cumprir estas cláusulas, independentemente do motivo.
  2. Na hipótese de o importador de dados violar essas Cláusulas ou não puder cumpri-las, o exportador de dados deverá suspender a transferência de dados pessoais para o importador de dados até que o cumprimento seja novamente assegurado ou o contrato seja rescindido. Isto irá dar-se sem prejuízo da Cláusula 14(f).
  3. O exportador de dados terá o direito de rescindir o contrato, na medida em que diz respeito ao processamento dos dados pessoais nos termos destas cláusulas, quando:
    1. o exportador de dados suspendeu a transferência de dados pessoais para o importador de dados, nos termos do parágrafo (b) e o cumprimento destas cláusulas não é restabelecido dentro de um prazo razoável e, em todo o caso, dentro de um mês de suspensão;
    2. o importador de dados realizou uma violação substancial ou persistente dessas cláusulas; ou
    3. o importador de dados não cumpre uma decisão vinculativa de um tribunal ou autoridade de supervisão competente no que se refere às suas obrigações ao abrigo destas cláusulas.

    Nestes casos, ele informará a autoridade supervisora competente sobre o não cumprimento. Se o contrato envolver mais de duas partes, o exportador de dados poderá exercer este direito de rescisão apenas no que se refere à Parte relevante, a menos que as Partes tenham acordado o contrário.
  4. Os dados pessoais que foram transferidos antes da rescisão do contrato, nos termos do parágrafo (c) deverão, à escolha do exportador de dados, ser devolvidos imediatamente ao exportador de dados ou excluídos na sua totalidade. O mesmo irá aplicar-se a quaisquer cópias dos dados. O importador de dados certificará a exclusão dos dados ao exportador de dados. Até que os dados sejam excluídos ou devolvidos, o importador de dados continuará garantindo a conformidade com estas Cláusculas. Em caso de leis locais aplicáveis ao importador de dados que proíbem a devolução ou exclusão dos dados pessoais transferidos, o importador de dados garante que irá continuar assegurando o cumprimento destas cláusulas e que irá processar os dados apenas na medida e durante o tempo exigido por essa lei local.
  5. Qualquer uma das partes pode revogar o seu acordo para ficar vinculado a estas cláusulas, sempre que (i) a Comissão Europeia adoptar uma decisão nos termos do artigo 45(3) do Regulamento (CE) 2016/679 que abrange a transferência de dados pessoais a que estas cláusulas se aplicam; ou (ii) o Regulamento (EU) 2016/679 tornar-se parte do quadro jurídico do país para o qual os dados pessoais são transferidos. Isto sem prejuízo de outras obrigações aplicáveis ao processamento em questão nos termos do Regulamento (CE) 2016/679.
Cláusula 17

Lei aplicável

Estas cláusulas serão regidas pela lei de um dos Estados-membros da UE, desde que essa legislação permita os direitos dos beneficiários de terceiros. As partes estão de acordo em que esta seja a lei dos Países Baixos.

Cláusula 18

Escolha do fórum e jurisdição

  1. Qualquer litígio decorrente destas cláusulas será resolvido pelos tribunais de um Estado-membro da UE.
  2. As partes estão de acordo que serão os tribunais dos Países Baixos.
  3. Um titular de dados pode também interpor ações judiciais contra o exportador e/ou importador de dados junto aos tribunais do Estado-membro onde tem a sua residência habitual.
  4. As Partes concordam em submeter-se à jurisdição desses tribunais.

ANEXO I

sobre as Cláusulas Contratuais Padrão (EU/EEA)

A. LISTA DE PARTES

Exportador(es) de dados: O cliente é o exportador de dados
Nome: Consulte o Contrato do Cliente do GitHub
Endereço: Consulte o Contrato do Cliente do GitHub
e O nome da pessoa de contato, cargo e informações de contato: consulte as atividades do Contrato do Cliente do GitHub
Atividades relevantes para os dados transferidos nos termos dessas cláusulas:
O exportador de dados é um usuário dos Serviços On-line ou Serviços Profissionais, conforme definido no DPA e no Contrato do Cliente do GitHub.
Assinatura e data: consulte o Contrato do Cliente do GitHub (as cláusulasde DPA e as cláusulas contratuais padrão (UE/EEA) são incorporadas ao Contrato do Cliente do GitHub
Função (controlador/processador): controlador (a menos que acordado de outro modo no Contrato do Cliente).

Importador(es) de Dados:
Nome: GitHub, Inc.
Endereço: 88 Colin P Kelly Jr St, San Francisco, CA 94107, USA
Nome da pessoa de contato: Frances Wiet, Diretor do departamento de privacidade, fwiet@github. om
Atividades relevantes aos dados transferidos nos termos destas cláusulas:
O GitHub, Inc. é um produtor global de software e serviços
Assinatura e data: consulte o Contrato do Cliente do GitHub (o DPA e as Cláusulas Contratuais Padrão (UE/EEA) estão incorporadas no Acordo de Cliente do GitHub)
Função (controlador/processador): processador ou subprocessador, dependendo dos acordos estabelecidos no Contrato do Cliente.

B. DESCRIÇÃO DA TRANSFERÊNCIA

Categorias dos titulares de dados cujos dados pessoais são transferidos:

Os titulares de dados incluem os representantes e usuários finais do exportador, incluindo funcionários, contratados, colaboradores e clientes do exportador de dados. Os titulares de dados também podem incluir indivíduos que tentam comunicar-se ou transferir dados pessoais aos usuários dos serviços fornecidos pelo importador de dados. O GitHub reconhece que, dependendo do uso do Cliente do Serviço On-line ou Serviços Profissionais, o Cliente poderá optar por incluir dados pessoais de qualquer um dos seguintes tipos de titulares de dados nos dados pessoais:

  • Empregados, contratados e trabalhadores temporários (atual, anterior, potencial) do exportador de dados;
  • Os colaboradores/pontos de contato do exportador de dados (pessoas físicas) ou funcionários, contratados ou trabalhadores temporários de colaboradores de entidades legais colaboradores/contactar pessoas (atual, potencial, anterior);
  • Os usuários e outros titulares de dados que são usuários dos serviços do exportador;
  • Parceiros, partes interessadas ou indivíduos que colaboram ativamente, comunicam-se ou, de outra forma, interagem com os funcionários do exportador de dados e/ou usam ferramentas de comunicação como aplicativos e sites fornecidos pelo exportador de dados.

Categorias de dados pessoais transferidos:

Os dados pessoais transferidos incluídos no e-mail, documentos e outros dados de forma electrônica no contexto dos Serviços On-line ou dos Serviços Profissionais. O GitHub reconhece que, dependendo do uso do Cliente do Serviço On-line ou Serviços Profissionais, o Cliente pode optar por incluir dados pessoais de qualquer uma das seguintes categorias nos dados pessoais:

  • Dados pessoais básicos (por exemplo, local de nascimento, nome da rua e número da casa (endereço), código postal, cidade de residência, país de residência, número de celular, nome, sobrenome, iniciais, endereço de e-mail, gênero, data de nascimento);
  • Dados de autenticação (por exemplo, nome de usuário, senha ou código PIN, pergunta de segurança, trilha de auditoria);
  • Informações de contato (por exemplo, endereços, e-mail, números de telefone, identificadores de redes sociais; detalhes de contato de emergência);
  • Números de identificação únicos e assinaturas (por exemplo, endereços IP, número de funcionário, número de aluno);
  • Identificadores de pseudônimos;
  • Fotos, vídeos e áudio;
  • Atividade na internet (por exemplo, histórico de navegação, histórico de pesquisa, atividade de leitura e visualização);
  • Identificação do dispositivo (por exemplo, número IMEI, número do cartão SIM, endereço MAC);
  • Perfil (por exemplo, baseado em comportamentos criminosos ou antissociais observados ou em perfis pseudorelacionados baseados em URLs visitadas, cliques em transmissões, registros de navegação, endereços IP, domínios, aplicativos instalados ou perfis com base nas preferências de marketing);
  • Categorias especiais de dados, conforme fornecidas de modo voluntário pelos titulares de dados (por exemplo, raça ou origem étnica, opiniões políticas, crenças religiosas ou filosóficas, associações sindicais, dados genéticos, dados biométricos para a identificação única de uma pessoa natural, dados relativos à saúde dados relativos à vida sexual ou à orientação sexual de uma pessoa física ou a dados relacionados a condenações ou delitos criminosos); ou
  • Todos os outros dados pessoais identificados no artigo 4 do RGPD.

Dados confidenciais transferidos (se aplicável) e restrições aplicadas ou salvaguardas que levam totalmente em consideração a natureza dos dados e os riscos envolvidos como, por exemplo, limitação estrita de propósito, restrições de acesso (incluindo acesso apenas para funcionários que tenham seguido o treinamento especializado), manutenção de um registro de acesso aos dados restrições para transferências ou medidas de segurança adicionais:
O GitHub não solicita ou de outra forma pede dados confidenciais e recebe tais dados apenas se e quando clientes ou dados que decidirem fornecê-los.

A frequência da transferência (por exemplo, se os dados são transferidos de forma única ou contínua):

Contínuo como parte dos Serviços On-line ou Serviços Profissionais.

Natureza do processamento:

Os dados pessoais transferidos estarão sujeitos às seguintes atividades de processamento:

  1. Duração e objeto do processamento de dados. A duração do processamento de dados será conforme o termo indicado pelo Contrato do Cliente GitHub aplicável entre o exportador de dados e o importador de dados. O objetivo do processamento de dados é a prestação dos Serviços On-line e Serviços Profissionais.
  2. Dados pessoais de acesso. Para o prazo indicado nos termos do Contrato de Cliente do GitHub aplicável, o importador de dados irá, com base no seu critério e conforme necessário nos a lei aplicável: (1) fornecer ao exportador de dados a possibilidade de corrigir, excluir, ou bloquear os dados pessoais, ou (2) fazer essas correções, exclusões ou bloqueios em seu nome.
  3. Instruções do exportador de dados. Para os Serviços On-line e Serviços Profissionais, o importador de dados atuará apenas com base nas instruções do exportador de dados.

Finalidade(s) da transferência e processamento de dados:

O escopo e o propósito do processamento de dados pessoais é descrito na seção "Processamento de dados pessoais; GDPR" do DPA. O importador de dados opera uma rede global de centros de dados e instalações de gerenciamento/suporte e o processamento podem ter lugar em qualquer jurisdição onde o importador de dados ou os seus subprocessadores operem essas instalações de acordo com a seção “Práticas de Segurança e Políticas” do DPA.

O período durante o qual os dados pessoais serão mantidos ou, se não for possível, os critérios utilizados para determinar esse período:

Após o vencimento ou o cancelamento do uso do exportador de dados de serviços on-line ou de serviços profissionais, poderá extrair dados pessoais e o importador de dados excluirá dados pessoais, cada um de acordo com os Termos do DPA aplicáveis ao contrato.

Para transferências para (sub)processadores, também especifica a matéria do assunto, natureza e duração do processamento:

De acordo com o DPA, o importador de dados pode contratar outras empresas para prestar serviços limitados em nome do importador de dados como, por exemplo, fornecer suporte ao cliente. Esses subcontratados poderão obter dados pessoais apenas para fornecer os serviços que o importador de dados os manteve para fornecer e estão proibidos de utilizar dados pessoais para qualquer outra finalidade. A menos que um subcontratante particular seja substituído antecipadamente, o processamento será feito para o prazo designado nos termos do Contrato de Cliente do GitHub aplicável entre o exportador de dados e o importador de dados.

C. AUTORIDADE DE SUPERVISORA COMPETENTE

Identifique a autoridade supervisora competente, de acordo com a Cláusula 13:

A autoridade supervisora responsável pelo cumprimento da regulamentação (UE) 2016/679 por parte do exportador de dados.  

ANEXO II

sobre as Cláusulas Contratuais Padrão (EU/EEA)

MEDIDAS TÉCNICAS E ORGANIZACIONAIS QUE INCLUEM MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS

Descrição das medidas técnicas e organizacionais implementadas pelos importadores de dados (incluindo todas as certificações relevantes) para garantir um nível de segurança apropriado tendo em conta a natureza, o âmbito, o contexto e a finalidade do processamento e os riscos para os direitos e liberdades das pessoas físicas.

  1. Certificações de segurança de dados. O importador de dados possui os seguintes certificados de segurança de dados:
    • SOC 1, Tipo 2;
    • SOC 2, Tipo 2;
    • NIST, na medida em que incorporado para FedRAMP de baixo impacto / ATO personalizado.
  2. Equipe. A equipe do importador de dados não processará os dados pessoais sem autorização. A equipe é obrigada a manter a confidencialidade desses dados pessoais, e essa obrigação continua mesmo após o fim do seu compromisso.
  3. Contato de Privacidade de Dados. O funcionário responsável pela privacidade de dados do importador de dados pode ser encontrado no endereço a seguir:

    GitHub, Inc.
    Attn: Privacy
    88 Colin P. Kelly Jr. Street
    San Francisco, California 94107 USA

  4. Medidas técnicas e organizacionais. O importador de dados implementou e manterá medidas técnicas e organizacionais apropriadas, controles internos e rotinas de segurança da informação destinadas a proteger dados pessoais, conforme definido na seção de Práticas de Segurança e Políticas do DPA, contra perda acidental, destruição ou alteração; divulgação ou acesso não autorizado; ou destruição ilegal da seguinte forma: As medidas técnicas e organizacionais, controlos internos, e as rotinas de segurança da informação estabelecidas na seção de Segurança de Dados do DPA estão incorporadas neste Anexo II ao Anexo I por esta referência e são vinculativas para o importador de dados como se fossem estabelecidas neste Anexo 2 ao Anexo 1 em seu inteiro teor.

Para transferências para (sub)processadores, também descreve as medidas técnicas e organizacionais específicas a serem tomadas pelo (sub)processadores para poder fornecer assistência ao controlador e, para transferências de um processador para um subprocessador, para o exportador de dados:

Programa de gerenciamento de fornecedores - programa de risco de terceiros

O importador de dados tem um processo de avaliação de risco do fornecedor, cláusulas de contrato do fornecedor e acordos adicionais de proteção de dados com fornecedores. Os fornecedores são reavaliados quando é solicitado um novo caso de uso de negócios. O programa de risco do fornecedor do importador de dados está estruturado para que todas as avaliações de risco do importador de dados sejam atualizadas dois anos a partir da data da última revisão.

Fornecedores considerados de alto risco como, por exemplo, fornecedores do centro de dados ou outros fornecedores de armazenamento ou processamento de dados no escopo dos requisitos regulamentares ou contratuais do importador de dados passam por uma reavaliação anual.

ANEXO III

sobre as Cláusulas Contratuais Padrão (EU/EEA)

Adendo de salvaguardas adicionais

Com este Adendo Adicional de Salvaguardas às Cláusulas Contratuais Padrão (EU/EEA) (este “Adendum”), GitHub, Inc. (“GitHub”) fornece salvaguardas adicionais para o Cliente e reparação adicional aos titulares dos dados ao qual se referem os dados pessoais do Cliente.

Este adendo é um complemento e parte constituinte, mas não diverge ou modifica as Cláusulas Contratuais Padrão (EU/EEA).

  1. Contestações das ordens. Além da Cláusula 15.1 das Cláusulas Contratuais Padrão (EU/EEA), no caso de o GitHub receber um pedido de terceiros para divulgação forçada de quaisquer dados pessoais que tenham sido transferidos nos termos das Cláusulas Contratuais Padrão (EU/EEA), o GitHub:
    1. fará o possível para redirecionar o terceiro a fim de solicitar dados diretamente do Cliente;
    2. irá notificar o cliente prontamente, a menos que seja proibido sob a lei aplicável para terceiros solicitantes, e, na hipótese de ser proibido de notificar o cliente, fará o possível juridicamente para obter o direito de renunciar à proibição, a fim de comunicar ao Cliente o máximo de informação possível; e
    3. fará o possível juridicamente para contestar a ordem de divulgação com base em eventuais deficiências jurídicas nos termos das leis da parte requerente ou em quaisquer conflitos relevantes com a legislação da União Europeia ou com a legislação aplicável do Estado-membro.

    Para a finalidade desta seção, os esforços jurídicos não incluem acções que possam resultar em sanções civis ou penais, como o desprezo pelos tribunais ao abrigo das leis da jurisdição relevante.
  2. Indenização dos Titulares de Dados. Sujeito às seções 3 e 4, o GitHub indenizará o titular de dados por qualquer dano material ou não material perante o titular de dados causados pela divulgação de dados pessoais do GitHub sobre o titular de dados que foram transferidos nos termos as Cláusulas Contratuais Padrão (UE/EEA) em resposta a uma ordem de um órgão governamental ou autoridade policial que não ou órgão governamental que não seja da UE/EEE (uma “Divulgação relevante”). Não obstante o exposto, o GitHub não terá nenhuma obrigação de indenizar o titular de dados nos termos desta Seção 2, na medida em que o titular de dados já tenha sido compensado pelos mesmos danos, seja pelo GitHub ou de outro modo.
  3. Condições de Indenização. A indenização nos termos da Seção 2 fica condicionada ao estabelecimento do titular dos dados, para satisfação razoável do GitHub, que:
    1. o GitHub participou em uma Divulgação Relevante;
    2. a Divulgação Relevante teve por base um processo por parte de um órgão governamental que não era da UE/EEE ou de uma agência de aplicação da lei contra o titular de dados; e
    3. a Divulgação Relevante fez com que os titular de dados sofressem danos materiais ou não materiais.

    Os titular de dados é responsável pelo ônus da prova no que se refere às condições "a" a "c".
    Apesar do acima exposto, o GitHub não terá a obrigação de indenizar o totular dos dados na seção 2 se o GitHub estabelecer que a Divulgação Relevante não viola suas obrigações nos termos do Capítulo V do RGPD.
  4. Escopo dos danos. A indenização nos termos da Seção 2 está limitada a danos materiais e não materiais, conforme estabelecido no RGPD, e exclui danos consequentes e todos os outros danos resultantes da violação do RGPD por parte do GitHub.
  5. Exercício dos direitos. Os direitos concedidos a titulares de dados nos termos deste Adendo podem ser aplicados pelo titular de dados no GitHub, independentemente de qualquer restrição nas Cláusulas 3 ou 12 das Cláusulas Contratuais Padrão (EU/EEA). O titular dos dados só pode apresentar uma reivindicação nos termos deste Adendo numa base individual e não como parte de uma ação de classe, coletiva, de grupo ou ação representativa. Os direitos concedidos aos titulares de dados nos termos deste Adendo são pessoais para o titular de dados e não podem ser atribuídas.
  6. Aviso de alteração. Além da Cláusula 14 das Cláusulas Contratuais Padrão (EU/EEA), o GitHub concorda e garante que não tem motivo para acreditar que a legislação aplicável a si ou a seus subprocessadores, incluindo em qualquer país para o qual os dados pessoais são transferidos ou por meio de um subprocessador, impede que cumpra as instruções recebidas do exportador de dados e as suas obrigações nos termos deste Adendo ou das Cláusulas Contratuais Padrão (EU/EEA) e que, em caso de alteração desta legislação, possa ter um efeito adverso substancial nas garantias e obrigações previstas neste Adendo ou nas cláusulas contratuais padrão (EU/EE) e que, assim que tomar ciência, a alteração será notificada prontamente ao cliente e este terá o direito de suspender a transferência de dados e/ou rescindir o contrato.
  7. Rescisão. Este Adendo terminará automaticamente se a Comissão Europeia, uma autoridade supervisora competente do Estado-membro ou um tribunal da UE ou do Estado-membro competente aprovar um mecanismo de transferência legal diferente que seria aplicável às transferências de dados abrangidas pelas cláusulas contratuais padrão (EU/EEA) (e se esse mecanismo se aplicar apenas a algumas transferências de dados, este Adendo terminará apenas no que diz respeito a essas transferências) e isso não exige as salvaguardas adicionais estabelecidas no presente Adendo.

Anexo 2 – As Cláusulas Contratuais Padrão (Reino Unido)

A execução do Contrato do GitHub pelo Cliente inclui a execução deste Anexo 2, que é anulado pelo GitHub, Inc.

Em países onde a aprovação regulatória é necessária para o uso das Cláusulas Contratuais Padrão, estas não podem ser confiadas à Comissão Europeia 2010/87/UE (de fevereiro de 2010) para legitimar a exportação de dados do país, a menos que o Cliente tenha a aprovação regulatória necessária.

A partir de 25 de maio de 2018 e após esse período, qualquer referência aos diversos artigos da Diretiva 95/46/CE nas Cláusulas Contratuais Padrão abaixo será tratada como referência aos artigos relevantes e apropriados no RGPD.

Para as finalidades do artigo 26(2) da Diretiva 95/46/CE referente à transferência de dados pessoais para transformadores estabelecidos em países terceiros que não garantam um nível adequado de proteção de dados, o Cliente (como exportador de dados) e o GitHub, Inc. (como importador de dados, cuja assinatura aparece abaixo), cada um "parte", coletivamente "as partes, acordaram as Cláusulas Contratuais a seguir (as “Cláusulas” ou “Cláusulas Contratuais Padrão”) a fim de adjudicar salvaguardas adequadas referentes à proteção da privacidade e dos direitos e liberdades fundamentais dos indivíduos para a transferência pelo exportador de dados para o importador de dados dos dados pessoais especificados no Apêndice 1.

Cláusula 1: Definições

  1. "dados pessoais", "categorias especiais de dados", "processar/processamento", "controlador", "processador", "titular de dados" e a "autoridade de controle" terão o mesmo significado definido na Directiva 95/46/CE do Parlamento Europeu e do Conselho de 24 de Outubro de 1995 referente à proteção das pessoas fisicas no que se refere ao tratamento de dados pessoais e à livre circulação desses dados;
  2. "exportador de dados" significa o controlador que transfere os dados pessoais;
  3. "importador de dados" significa o processador que aceita receber dos dados do exportador de dados pessoais destinados ao processamento em seu nome após a transferência, em conformidade com as suas instruções e os termos das cláusulas e que não está sujeito a um sistema de um país terceiro que garanta proteção adequada nos termos do artigo 25(1) do artigo 95/46/CE;
  4. "subprocessador" significa qualquer processador envolvido pelo importador de dados ou por qualquer outro subprocessador do importador de dados que concorde em receber dados do importador de dados ou de qualquer outro subprocessador dos dados pessoais do importador destinados exclusivamente a atividades de processamento a serem realizadas em nome do exportador de dados após a transferência, de acordo com suas instruções, termos das Cláusulas e termos do subcontrato escrito;
  5. "lei de proteção de dados aplicável" é a legislação que protege os direitos e liberdades fundamentais dos indivíduos, e, em particular, o direito à privacidade no que diz respeito ao processamento de dados pessoais aplicável a um controlador de dados do Estado-membros onde o exportador de dados estiver estabelecido;
  6. "medidas de segurança técnicas e organizacionais" são as medidas que visam a proteger os dados pessoais contra a destruição ilegal ou acidental, perda, alteração, divulgação ou acesso não autorizado, em particular quando o processamento envolve a transmissão de dados por meio de uma rede, e contra todas as formas ilegais de processamento.

Cláusula 2: Detalhes da transferência

Os detalhes da transferência e em particular as categorias especiais de dados pessoais quando aplicáveis estão especificadas no Apêndice 1 abaixo, que constitui parte integral das Cláusulas.

Cláusula 3: Cláusula de beneficiário de terceiros

  1. O titular dos dados pode impor contra o exportador de dados esta Cláusula, a Cláusula 4(b) para (i), Cláusula 5(a) para (e), e (g) para (j), a Cláusula 6(1) e (2), a Cláusula 7, Cláusula 8(2), e as Cláusulas 9 a 12 como beneficiário de terceiros.
  2. O titular dos dados pode aplicar contra o importador de dados esta Cláusula, a Cláusula 5(a) para (e) e (g), a Cláusula 6, a Cláusula 7, a Cláusula 8(2), e as Cláusulas 9 a 12, nos casos em que o exportador de dados desapareceu factualmente ou deixou de existir perante a lei, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados por contrato ou por aplicação da lei. em resultado do qual assume os direitos e obrigações do exportador de dados. Nesse caso, a questão dos dados pode impô-los contra essa entidade.
  3. O titular dos dados pode impor contra o subprocessador esta Cláusula, a Cláusula 5(a) para (e) e (g), a Cláusula 6, a Cláusula 7, a Cláusula 8(2), e as Cláusulas 9 a 12, nos casos em que tanto o exportador como o importador de dados desapareceram ou deixaram de existir perante a lei ou tornaram-se insolventes, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados por contrato ou pelo funcionamento da lei, assumindo, como resultado, os direitos e obrigações do exportador de dados, em cujo caso, o titular dos dados pode impô-los contra essa entidade. Essa responsabilidade de terceiros do subprocessador estará limitada às suas próprias operações de processamento nos termos das Cláusulas.
  4. As partes não se opõem, caso o titular dos dados seja representado por uma associação ou outro organismo se, expressamente, assim o desejar e a legislação nacional o permitir.

Cláusula 4: Obrigações do exportador de dados

O exportador de dados concorda e garante:

  1. que o processamento, incluindo a transferência em si, dos dados pessoais foi e continuará sendo executado de acordo com as provisões relevantes aplicáveis à lei de proteção de dados (e, quando aplicável, foi notificado às autoridades responsáveis do Estado-membro onde o exportador de dados está estabelecido) e não viola as provisões relevantes deste Estado;
  2. que ele instruiu e que durante a duração dos serviços de processamento de dados pessoais irá instruir o importador de dados sobre o processamento de dados pessoais transferidos apenas no nome do exportador e em concordância com a legislação aplicável e as Cláusulas;
  3. que o importador de dados fornecerá garantias suficientes no que se refere às medidas de segurança técnicas e organizacionais especificadas no Anexo 2 abaixo;
  4. que após a avaliação dos requerimentos da legislação de proteção aos dados aplicável, as medidas de segurança estejam apropriadas para proteger os dados pessoais contra a destruição ilegal ou acidental, ou a perca acidental, alteração, divulgação ou acesso não autorizado, em particular onde o processamento envolve a transmissão de dados através de uma rede, e contra todas as outras formas ilegais de processamento, e que estas medidas garantam um nível adequado de segurança aos riscos apresentados pelo processamento e pela natureza dos dados a serem protegidos, tendo em conta a conjuntura da questão e o custo de implementação;
  5. que garantirá o cumprimento das medidas de segurança;
  6. que, se a transferência envolver categorias especiais de dados, o titular dos dados foi informado ou será informado antes, ou o mais depressa possível após a transferência, de que os seus dados poderão ser transmitidos para um terceiro país que não garante um nível de proteção adequado na compreensão da Diretiva 95/46/CE;
  7. que encaminhará qualquer notificação recebida do importador de dados ou qualquer subprocessador em conformidade com a Cláusula 5(b) e a Cláusula 8(3) da proteção de dados para a autoridade de supervisão de proteção aos dados se o exportador de dados decidir continuar a transferência ou interromper a suspensão;
  8. em disponibilizar aos titulares dos dados, se assim requisitado, uma cópia das Cláusulas, com exceção do Apêndice 2 e uma descrição resumida das medidas de segurança, bem como uma cópia de qualquer contrato de serviços de subprocessamento que precisam ser feitos de acordo com as Cláusulas; a menos que as Cláusulas ou o contrato contenham informações comerciais, onde neste caso é possível remover tais informações comerciais;
  9. que, em caso de subprocessamento, a atividade de processamento seja realizada de acordo com a Cláusula 11 por um subprocessador, fornecendo, pelo menos, o mesmo nível de proteção dos dados pessoais e dos direitos do titular de dados como o importador de dados nos termos das Cláusulas; e
  10. que garantirá o cumprimento da Cláusula 4(a) para (i).

Cláusula 5: Obrigações do importador de dados

O importador de dados concorda e garante:

  1. processar somente dados pessoais em nome do exportador de dados e em conformidade com as suas instruções e cláusulas; se não puder assegurar tal conformidade por qualquer razão, concorda em informar prontamente o exportador de dados a inaptidão no cumprimento, que nessas circunstâncias, o exportador é autorizado a suspender a transferência de dados e/ou rescindir o contrato;
  2. que não tem qualquer razão para crer que a legislação que lhe é aplicável o impede de respeitar as instruções recebidas do exportador de dados e as obrigações que lhe incumbem por força do contrato e que, no caso de haver uma alteração nesta legislação que possa ter um efeito adverso substancial nas garantias e obrigações conferidas pelas cláusulas, notificará imediatamente essa alteração ao exportador de dados, assim que tiver conhecimento, tendo neste caso o exportador de dados o direito de suspender a transferência de dados e/ou de rescindir o contrato;
  3. que implementou as medidas de segurança técnicas e organizacionais especificadas no Anexo 2 antes de processar os dados pessoais transferidos;
  4. que irá notificar rapidamente o exportador de dados sobre:
    1. qualquer pedido juridicamente vinculativo de divulgação dos dados pessoais por parte de uma autoridade competente para a aplicação da lei, a não ser que exista uma proibição em contrário, como uma proibição prevista no código penal para preservar a confidencialidade de uma investigação policial;
    2. qualquer acesso acidental ou não autorizado; e
    3. qualquer pedido recebido diretamente dos titulares de dados, sem responder a esse pedido, a não ser que tenha sido autorizado a fazê-lo;
    em lidar rápida e adequadamente com todos os inquéritos do exportador de dados em relação ao processamento dos dados pessoais na questão da transferência de dados, e em cumprir com o conselho da autoridade de supervisão em relação ao processamento dos dados transferidos; em caso de pedido por parte do exportador de dados para a submissão das instalações de processamento de dados a uma auditoria das atividades de processamento, em conformidade com as Cláusulas, que deve ser conduzida pelo exportador de dados ou um órgão de inspeção composto por membros independentes e em posse das requeridas qualificações profissionais vinculadas ao dever de confidencialidade, selecionado pelo exportador de dados, onde aplicável, e em concordância com a autoridade de supervisão;
  5. disponibilizar ao titular dos dados, mediante pedido, um exemplar das cláusulas ou de qualquer contrato existente de subprocessamento, a menos que as Cláusulas ou o contrato contenham informações comerciais, caso em que poderá suprimir as informações comerciais, com exceção do Apêndice 2, que deve ser substituído por uma descrição sumária das medidas de segurança, no caso de o titular dos dados não poder obter um exemplar do exportador de dados;
  6. que, em caso de subcontratação, informou previamente o exportador de dados e obteve o seu consentimento escrito prévio;
  7. que os serviços de processamento pelo subprocessador serão realizados de acordo com a Cláusula 11; e
  8. enviar prontamente ao exportador de dados uma cópia de qualquer acordo de subcontratação que conclua ao abrigo das cláusulas.

Cláusula 6: Responsabilidade

  1. As partes concordam que qualquer titular de dados que tenha sofrido danos em consequência de qualquer violação das obrigações referidas na Cláusula 3 ou na Cláusula 11 por qualquer parte ou subprocessador tem o direito de receber compensação do exportador de dados pelos danos sofridos.
  2. Se um titular de dados não puder apresentar um pedido de indenização em conformidade com o parágrafo 1 contra o exportador de dados, decorrente de uma violação do importador de dados ou do seu subprocessador de qualquer uma de suas obrigações referidas na Cláusula 3 ou 11, porque o exportador de dados desapareceu ou deixou de existir perante a lei ou tornou-se insolvente, o importador de dados concorda que o titular dos dados poderá interpor uma reivindicação contra o importador de dados como se fosse o exportador de dados, a não ser que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados por contrato de aplicação da lei. Nesse caso, o titular dos dados pode impor seus direitos contra essa entidade.

    O importaor de dados não poderá contar com uma violação das obrigações do subprocessador para eximir-se das suas próprias responsabilidades.
  3. Se um titular de dados não puder apresentar uma reivindicação contra o exportador ou o importador de dados referido nos parágrafos 1 e 2, decorrente de uma violação por parte do subprocessador de qualquer uma das suas obrigações referidas na Cláusula 3 ou 11, porque tanto o exportador como o importador de dados desapareceram ou deixaram de existir perante a lei ou tornaram-se insolventes, o subprocessador concorda que o titular dos dados poderá interpor uma reivindicação contra o subprocessador de dados no que diz respeito às suas próprias operações de processamento nos termos das Cláusulas como se fosse o exportador ou o importador de dados, salvo se qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador ou do importador de dados por contrato ou por exercício da lei. Nesse caso, a o titular dos dados poderá impor seus direitos contra tal entidade. A responsabilidade do subprocessador é limitada às suas próprias atividades de processamento de dados nos termos previstas nas Cláusulas.

Cláusula 7: Mediação e jurisdição

  1. O importador de dados concorda que, se o titular dos dados pode invocar contra ele direitos de terceiros beneficiários e/ou reivindicar compensação por dados de acordo com as Cláusulas, o importador de dados irá aceitar a decisão do titular de dados:
    1. a remeter o litígio à mediação, por uma pessoa independente ou, quando aplicável, pela autoridade supervisora;
    2. a remeter o litígio aos tribunais do Estado-membro onde o exportador de dados está estabelecido.
  2. As partes concordam que a escolha feita pelo titular dos dados não prejudicará os seus direitos substantivos ou processuais de procurar recursos de acordo com as disposições da lei nacional ou internacional.

Cláusula 8: Cooperação com as autoridades de supervisão

  1. O exportador de dados concorda em depositar um exemplar deste contrato junto da autoridade de controle se esta assim requerer ou se a legislação de proteção de dados aplicável exigir.
  2. As partes concordam que a autoridade de supervisão tem o direito de realizar auditorias no importador de dados ou a qualquer subprocessador, que tenha o mesmo escopo e as mesmas condições das auditorias executadas no exportador de dados, em conformidade com a legislação de proteção de dados aplicável.
  3. O importador de dados deve prontamente informar o exportador de dados sobre a existência de legislação aplicável sobre tal ato, e de qualquer subprocessador que previna a condução de uma auditoria ao importador de dados, ou qualquer subprocessador, em conformidade com o parágrafo 2. Neste caso, o exportador de dados terá o direito de tomar as medidas previstas na Cláusula 5(b).

Cláusula 9: Lei regente.

As Cláusulas devem ser regidas pela lei do Estado-Membro onde o exportador de dados estiver estabelecido.

Cláusula 10: Variação do contrato

As partes comprometem-se a não alterar as Cláusulas. Isso não impede que as partes adicionem cláusulas de caráter comercial sempre que necessário, desde que as mesmas não contrariem a Cláusula.

Cláusula 11: Subprocessamento

  1. O importador de dados não deve subcontratar nenhuma de suas operações de processamento em nome do exportador de dados sob as Cláusulas sem o consentimento prévio por escrito do exportador de dados. Quando o importador de dados subcontratar suas obrigações sob as Cláusulas, com o consentimento do exportador, ele deverá fazê-lo somente por meio de um contrato por escrito com o subprocessador, que imponha a este as mesmas obrigações impostas ao importador de dados nos termos das Cláusulas. Nos casos em que o subcontratante não cumprir as suas obrigações de proteção de dados nos termos de tal contrato por escrito, o importador de dados permanecerá totalmente responsável perante o exportador de dados pelo desempenho das obrigações do subprocessador nos termos desse contrato.
  2. O contrato prévio por escrito entre o importador de dados e o subprocessador prevê também uma cláusula de beneficiário de terceiros, conforme estabelecido na Cláusula 3, para os casos em que o titular de dados não for capaz de interpor a reivindicação para a compensação referida no parágrafo 1 da Cláusula 6 contra o exportador ou o importador de dados porque eles desapareceram factualmente ou deixaram de existir perante lei ou tornaram-se insolventes, e nenhuma entidade sucessora assumiu todas as obrigações legais do exportador de dados ou importador de dados por contrato ou por operação da lei. Essa responsabilidade de terceiros do subprocessador estará limitada às suas próprias operações de processamento nos termos das Cláusulas.
  3. As disposições relativas aos aspectos de proteção de dados para o subprocessamento do contrato referido no parágrafo 1 serão regidas pela lei do Estado-Membro onde o exportador de dados estiver estabelecido.
  4. O exportador de dados deve manter uma lista dos acordos de subprocessamento concluídos sob as Cláusulas e notificados pelo importador de dados em conformidade com a Cláusula 5 (j), que deve ser atualizada pelo menos uma vez por ano. A lista deve estar disponível para a autoridade responsável pela supervisão da proteção de dados do exportador.

Cláusula 12: Obrigação após a rescisão dos serviços de processamento de dados pessoais

  1. As partes estão de acordo quanto à rescisão da prestação de serviços de processamento de dados, o importador de dados e o subprocessador, mediante a escolha do exportador de dados, devolverão todos os dados pessoais transferidos e as suas cópias ao exportador de dados ou destruirão todos os dados pessoais, e informarão ao exportador de dados que o procedimento foi realizado, a menos que a legislação imposta ao importador de dados os impeça de devolver ou de destruir a totalidade ou parte dos dados pessoais transferidos. Nesse caso, o importador de dados irá garantir a confidencialidade dos dados pessoais transferidos e não processará mais ativamente os dados pessoais transferidos.
  2. O importador de dados e o subprocessador garantem que, mediante solicitação do exportador de dados e/ou da autoridade supervisora, submeterão as suas instalações de processamento de dados a uma auditoria das medidas referidas no parágrafo 1.

Apêndice 1 das Cláusulas Contratuais Padrão (Reino Unido)

exportador de dados: O Cliente é o exportador de dados. O exportador de dados é um usuário de Serviços On-line ou Serviços Profissionais, conforme definido no Contrato de Cliente DPA e no GitHub Cliente.

Importador de dados: O importador de dados é o GitHub, Inc., produtor global de software e serviços.

Titulares dos dados: Os titulares de dados incluem os representantes e usuários finais do exportador, incluindo funcionários, contratados, colaboradores e clientes do exportador de dados. Os titulares de dados também podem incluir indivíduos que tentam comunicar-se ou transferir dados pessoais aos usuários dos serviços fornecidos pelo importador de dados. O GitHub reconhece que, dependendo do uso do Cliente do Serviço On-line ou Serviços Profissionais, o Cliente poderá optar por incluir dados pessoais de qualquer um dos seguintes tipos de titulares de dados nos dados pessoais:

  • Empregados, contratados e trabalhadores temporários (atual, anterior, potencial) do exportador de dados;
  • Os colaboradores/pontos de contato do exportador de dados (pessoas físicas) ou funcionários, contratados ou trabalhadores temporários de colaboradores de entidades legais colaboradores/contactar pessoas (atual, potencial, anterior);
  • Os usuários e outros titulares de dados que são usuários dos serviços do exportador;
  • Parceiros, partes interessadas ou indivíduos que colaboram ativamente, comunicam-se ou, de outra forma, interagem com os funcionários do exportador de dados e/ou usam ferramentas de comunicação como aplicativos e sites fornecidos pelo exportador de dados.

Categorias de dados: Os dados pessoais transferidos incluídos no e-mail, documentos e outros dados de uma forma electrônica no contexto dos Serviços On-line ou dos Serviços Profissionais. O GitHub reconhece que, dependendo do uso do Cliente do Serviço On-line ou Serviços Profissionais, o Cliente pode optar por incluir dados pessoais de qualquer uma das seguintes categorias nos dados pessoais:

  • Dados pessoais básicos (por exemplo, local de nascimento, nome da rua e número da casa (endereço), código postal, cidade de residência, país de residência, número de celular, nome, sobrenome, iniciais, endereço de e-mail, gênero, data de nascimento);
  • Dados de autenticação (por exemplo, nome de usuário, senha ou código PIN, pergunta de segurança, trilha de auditoria);
  • Informações de contato (por exemplo, endereços, e-mail, números de telefone, identificadores de redes sociais; detalhes de contato de emergência);
  • Números de identificação únicos e assinaturas (por exemplo, endereços IP, número de funcionário, número de aluno);
  • Identificadores de pseudônimos;
  • Fotos, vídeos e áudio;
  • Atividade na internet (por exemplo, histórico de navegação, histórico de pesquisa, atividade de leitura e visualização);
  • Identificação do dispositivo (por exemplo, número IMEI, número do cartão SIM, endereço MAC);
  • Perfil (por exemplo, baseado em comportamentos criminosos ou antissociais observados ou em perfis pseudorelacionados baseados em URLs visitadas, cliques em transmissões, registros de navegação, endereços IP, domínios, aplicativos instalados ou perfis com base nas preferências de marketing);
  • Categorias especiais de dados, conforme fornecidas de modo voluntário pelos titulares de dados (por exemplo, raça ou origem étnica, opiniões políticas, crenças religiosas ou filosóficas, associações sindicais, dados genéticos, dados biométricos para a identificação única de uma pessoa natural, dados relativos à saúde dados relativos à vida sexual ou à orientação sexual de uma pessoa física ou a dados relacionados a condenações ou delitos criminosos); ou
  • Todos os outros dados pessoais identificados no artigo 4 do RGPD.

Operações de processamento: Os dados pessoais transferidos estarão sujeitos às seguintes atividades de processamento:

  1. Duração e Objeto do Processamento de Dados. A duração do processamento de dados será conforme o termo indicado pelo Contrato do Cliente GitHub aplicável entre o exportador de dados e o importador de dados. O objetivo do processamento de dados é a prestação dos Serviços On-line e Serviços Profissionais.
  2. Escopo e Propósito de Processamento de Dados O escopo e objetivo do processamento de dados pessoais é descrito na seção "Processamento de dados pessoais do GDPR" da DPA. O importador de dados opera uma rede global de centros de dados e instalações de gerenciamento/suporte e o processamento podem ter lugar em qualquer jurisdição onde o importador de dados ou os seus subprocessadores operem essas instalações de acordo com a seção “Práticas de Segurança e Políticas” do DPA.
  3. Aecesso aos Dados Pessoais. Para o prazo indicado nos termos do Contrato de Cliente do GitHub aplicável, o importador de dados irá, com base no seu critério e conforme necessário nos a lei aplicável: (1) fornecer ao exportador de dados a possibilidade de corrigir, excluir, ou bloquear os dados pessoais, ou (2) fazer essas correções, exclusões ou bloqueios em seu nome.
  4. Instruções do exportador de dados. Para os Serviços On-line e os Serviços Profissionais, o importador de dados só agirá de acordo com as instruções do exportador de dados conforme transmitido pelo GitHub.
  5. Exclusão ou Retorno dos Dados Pessoais.Após o vencimento ou o cancelamento do uso do exportador de dados de serviços on-line ou de serviços profissionais, poderá extrair dados pessoais e o importador de dados excluirá dados pessoais, cada um de acordo com os Termos do DPA aplicáveis ao contrato.

Subcontratantes: De acordo com o DPA, o importador de dados pode contratar outras empresas para prestar serviços limitados em nome do importador de dados, tais como fornecer suporte ao cliente. Esses subcontratados poderão obter dados pessoais apenas para fornecer os serviços que o importador de dados os manteve para fornecer e estão proibidos de utilizar dados pessoais para qualquer outra finalidade.

Apêndice 2 das Cláusulas Contratuais Padrão (Reino Unido)

Descrição das medidas de segurança técnicas e organizacionais implementadas pelo importador de dados, de acordo com as Cláusulas 4(d) e 5(c):

  1. Equipe. A equipe do importador de dados não processará dados pessoais sem autorização. A equipe é obrigada a manter a confidencialidade desses dados pessoais, e essa obrigação continua mesmo após o fim do seu compromisso.
  2. Contrato de Privacidade de Dados. Você pode entrar em contato com agente do importador de dados no endereço a seguir:
    GitHub, Inc.
    Attn: Privacy
    88 Colin P. Kelly Jr. Street
    San Francisco, California 94107 USA
  3. Medidas técnicas e organizacionais. O importador de dados implementou e manterá medidas técnicas e organizacionais adequadas, controles internos, rotinas de segurança de informações destinadas a proteger os dados pessoais, conforme definido na seção de Práticas de Segurança e Políticas do DPA, contra perda acidental, destruição ou alteração; divulgação ou acesso não autorizado; ou destruição ilegal da seguinte forma: medidas técnicas e organizacionais, controles internos, e as rotinas de segurança da informação estabelecidas na seção Práticas de Segurança e Políticas do DPA estão incorporadas a este Apêndice 2 por referência e estão vinculadas ao importador de dados como se estivessem definidas neste Apêndice 2 em seu inteiro teor.

Apêndice 3 das Cláusulas Contratuais Padrão (Reino Unido)

Adendo de salvaguardas adicionais

Com este Adendo Adicional de Salvaguardas às Cláusulas Contratuais Padrão (Reino Unido) (este “Adendo”), GitHub, Inc. (“GitHub”) fornece salvaguardas adicionais para o Cliente e reparação adicional aos titulares dos dados ao qual se referem os dados pessoais do Cliente.

Este adendo é um complemento e parte constituinte, mas não diverge ou modifica as Cláusulas Contratuais Padrão (Reino Unido).

  1. Contestações das ordens. Além da Cláusula 5(d)(i) das Cláusulas Contratuais Padrão (Reino Unido), no caso de o GitHub receber um pedido de terceiros para divulgação forçada de quaisquer dados pessoais que tenham sido transferidos nos termos das Cláusulas Contratuais Padrão (Reino Unido), o GitHub:
    1. fará o possível para redirecionar o terceiro a fim de solicitar dados diretamente do Cliente;
    2. irá notificar o cliente prontamente, a menos que seja proibido sob a lei aplicável para terceiros solicitantes, e, na hipótese de ser proibido de notificar o cliente, fará o possível juridicamente para obter o direito de renunciar à proibição, a fim de comunicar ao Cliente o máximo de informação possível; e
    3. fará o possível juridicamente para contestar a ordem de divulgação com base em eventuais deficiências jurídicas nos termos das leis da parte requerente ou em quaisquer conflitos relevantes com a legislação da União Europeia ou com a legislação aplicável do Estado-membro.

    Para a finalidade desta seção, os esforços jurídicos não incluem acções que possam resultar em sanções civis ou penais, como o desprezo pelos tribunais ao abrigo das leis da jurisdição relevante.
  2. Indenização dos Titulares de Dados. Sujeito às seções 3 e 4, o GitHub indenizará o titular de dados por qualquer dano material ou não material perante o titular de dados causados pela divulgação de dados pessoais do GitHub sobre o titular de dados que foram transferidos nos termos as Cláusulas Contratuais Padrão (Reino Unido) em resposta a uma ordem de um órgão governamental ou autoridade policial que não ou órgão governamental que não seja da UE/EEE (uma “Divulgação relevante”). Não obstante o exposto, o GitHub não terá nenhuma obrigação de indenizar o titular de dados nos termos desta Seção 2, na medida em que o titular de dados já tenha sido compensado pelos mesmos danos, seja pelo GitHub ou de outro modo.
  3. Condições de Indenização. A indenização nos termos da Seção 2 fica condicionada ao estabelecimento do titular dos dados, para satisfação razoável do GitHub, que:
    1. o GitHub participou em uma Divulgação Relevante;
    2. a Divulgação Relevante teve por base um processo por parte de um órgão governamental que não era da UE/EEE ou de uma agência de aplicação da lei contra o titular de dados; e
    3. a Divulgação Relevante fez com que os titular de dados sofressem danos materiais ou não materiais.

    Os titular de dados é responsável pelo ônus da prova no que se refere às condições "a" a "c".
    Apesar do acima exposto, o GitHub não terá a obrigação de indenizar o totular dos dados na seção 2 se o GitHub estabelecer que a Divulgação Relevante não viola suas obrigações nos termos do Capítulo V do RGPD.
  4. Escopo dos danos. A indenização nos termos da Seção 2 está limitada a danos materiais e não materiais, conforme estabelecido no RGPD, e exclui danos consequentes e todos os outros danos resultantes da violação do RGPD por parte do GitHub.
  5. Exercício dos direitos. Os direitos concedidos a titulares de dados nos termos deste Adendo podem ser aplicados pelo titular de dados no GitHub, independentemente de qualquer restrição nas Cláusulas 3 ou 6 das Cláusulas Contratuais Padrão (Reino Unido). O titular dos dados só pode apresentar uma reivindicação nos termos deste Adendo numa base individual e não como parte de uma ação de classe, coletiva, de grupo ou ação representativa. Os direitos concedidos aos titulares de dados nos termos deste Adendo são pessoais para o titular de dados e não podem ser atribuídas.
  6. Aviso de alteração. Além da Cláusula 5(b) das Cláusulas Contratuais Padrão (UK), o GitHub concorda e garante que não tem motivo para acreditar que a legislação aplicável a si ou a seus subprocessadores, incluindo em qualquer país para o qual os dados pessoais são transferidos ou por meio de um subprocessador, impede que cumpra as instruções recebidas do exportador de dados e as suas obrigações nos termos deste Adendo ou das Cláusulas Contratuais Padrão (UK) e que, em caso de alteração desta legislação, possa ter um efeito adverso substancial nas garantias e obrigações previstas neste Adendo ou nas cláusulas contratuais padrão (UK) e que, assim que tomar ciência, a alteração será notificada prontamente ao cliente e este terá o direito de suspender a transferência de dados e/ou rescindir o contrato.
  7. Rescisão. Este Adendo terminará automaticamente se a Comissão Europeia, uma autoridade supervisora competente do Estado-membro ou um tribunal da UE ou do Estado-membro competente aprovar um mecanismo de transferência legal diferente que seria aplicável às transferências de dados abrangidas pelas cláusulas contratuais padrão (Reino Unido) (e se esse mecanismo se aplicar apenas a algumas transferências de dados, este Adendo terminará apenas no que diz respeito a essas transferências) e isso não exige as salvaguardas adicionais estabelecidas no presente Adendo.

    Assinando as Cláusulas Contratuais Padrão (Reino Unido), apêndice 1, apêndice 2 e

Anexo 3 – Termos do Regulamento Geral sobre Protecção de Dados da União Europeia

O GitHub assume os compromissos nestes Termos Relacionados ao RGPD, com todos os clientes que estejam em vigor em 25 de maio de 2018. Esses compromissos vinculam o GitHub em relação ao Cliente, independentemente de (1) a versão do Contrato de Cliente do GitHub e do DPA que seja de outra forma aplicável a qualquer assinatura de Serviços On-line ou (2) qualquer outro contrato que faça referência a este anexo.

Para os fins destes Termos Relacionados ao RGPD, o Cliente e o GitHub concordam que o Cliente é o controlador dos Dados Pessoais e o GitHub é o processador desses dados, exceto quando o Cliente atuar como processador de dados pessoais. Neste caso o GitHub será o subprocessador. Estes Termos Relacionados ao RGPD aplicam-se ao processamento de dados pessoais, dentro do escopo do RGPD, pelo GitHub, em nome do Cliente. Estes termos relacionados ao GDPR não limitam ou reduzem quaisquer compromissos de proteção de dados que o GitHub firmar com o Cliente no Contrato de Cliente do GitHub ou outro acordo entre o GitHub e o Cliente. Estes Termos Relacionados ao RGPD não se aplicam quando o GitHub for um controlador de dados pessoais.

Obrigações Relevantes do GDPR: Artigos 28, 32, e 33

  1. O GitHub não irá contratar outro processador sem uma autorização prévia específica por escrito do Cliente. Na hipótese de uma autorização escrita geral, o GitHub deverá informar ao Cliente quaisquer alterações destinadas à adição ou substituição de outros processadores, dando assim ao cliente a oportunidade de contestar a tais alterações. (Artigo 28(2))
  2. O processamento pelo GitHub será regido por esses Termos relacionados ao RGPD na União Europeia (doravante “União”) ou a lei do Estado-membro e a vinculação ao GitHub em relação ao cliente. A matéria e a duração do processamento, a natureza e o propósito do processamento, o tipo de dados pessoais, as categorias de titulares de dados e as obrigações e direitos do Cliente estão estabelecidas no contrato de licenciamento do Cliente, incluindo estes termos relacionados ao RGPD. Em particular, o GitHub:
    1. irá processar os dados pessoais apenas em instruções documentadas do cliente, incluindo a transferência de dados pessoais para um país terceiro ou uma organização internacional, a não ser que seja exigido pela lei da União ou pelo Estado-membro a que o GitHub esteja sujeito. Nesse caso, o GitHub deverá informar o Cliente sobre os requisitos legais antes do processamento, a não ser que essa lei proíba essas informações por razões de interesse público;
    2. irá garantir que as pessoas autorizadas a processar os dados pessoais se comprometeram a manter a confidencialidade ou estejam sob uma obrigação legal de confidencialidade;
    3. irá tomar todas as medidas exigidas, de acordo com o artigo 32 do RGPD;
    4. irá respeitar as condições referidas nos números 1 e 3 para a contratação de outro processador;
    5. levando em conta a natureza do processamento, irá auxiliar o Cliente por meio de medidas técnicas e organizacionais, na medida do possível, para o cumprimento da obrigação do cliente de responder às solicitações de exercício dos direitos do titular dos dados estabelecidos no Capítulo III do RGPD;
    6. auxiliar o Cliente a garantir a conformidade com as obrigações definidas nos Artigos 32 a 36 do RGPD, considerando a natureza do processamento e as informações disponíveis para o GitHub;
    7. à escolha do cliente, excluir ou devolver todos os dados pessoais ao cliente após o fim da oferta de serviços relacionados ao processamento, e excluir cópias existentes, a menos que a legislação da União ou do Estado-membro exija o armazenamento dos Dados Pessoais;
    8. irá disponibilizar para o Cliente todas as informações necessárias para demonstrar a conformidade com as obrigações estabelecidas no artigo 28 do RGPD e permitir e contribuir com auditorias, incluindo inspeções, conduzidas pelo cliente ou outro auditor exigido pelo cliente.

    O GitHub informará imediatamente ao Cliente se, na sua opinião, uma instrução infringir o RGPD ou outras disposições de proteção de dados da União ou do Estado-membro. (Artigo 28(3))

  3. Quando o GitHub envolve outro processador para realizar atividades de processamento específicas em nome do Cliente, as mesmas obrigações de proteção de dados definidas nesses Termos relacionados ao RGPD deverão ser impostas nesse outro processador, por meio de um contrato ou outro instrumento legal sob a lei da União Europeia ou do Estado Participante, particularmente proporcionando garantias suficientes para implementar medidas técnicas e organizacionais adequadas de forma que o processamento atenda aos requisitos do RGPD. Se esse outro processador não cumprir as suas obrigações em matéria de protecção de dados, o GitHub permanecerá totalmente responsável perante o Cliente pelo desempenho das obrigações do outro processador. (Artigo 28(4))
  4. Considerando a tecnologia de última geração, os custos da implementação e a natureza, a abrangência, o contexto e os objetivos do processamento, assim como o risco de probabilidades e gravidades diversas dos direitos e liberdades das pessoas naturais, o Cliente e o GitHub deverão implementar medidas técnicas e organizacionais adequadas para assegurar um nível de segurança apropriado para o risco, incluindo, entre outros, conforme for adequado:
    1. a pseudônimo e criptografia dos Dados Pessoais;
    2. a capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência dos sistemas e serviços de processamento;
    3. a capacidade de restaurar a disponibilidade e o acesso a dados pessoais em tempo hábil em caso de incidente físico ou técnico; e
    4. um processo para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do processamento. (Artigo 32(1))
  5. Na avaliação do nível de segurança adequado, serão tidos em conta os riscos apresentados pelo processamento, particularmente da destruição acidental ou ilícita, perda, alteração, acesso ou divulgação autorizados de dados pessoais transmitidos, armazenados ou processados de outro modo (Artigo 32(2)).
  6. O Cliente e o GitHub tomarão medidas para garantir que qualquer pessoa física que atuar sob a autoridade do Cliente ou do GitHub, que tem acesso aos dados pessoais, não os processe exceto com base nas instruções do Cliente, a menos que seja obrigado a fazê-lo pela legislação da União ou dos Estados-membros (artigo 32(4)).
  7. O GitHub notificará o Cliente sem demoras indevidas após tomar conhecimento de uma violação de dados pessoais (Artigo 33(2)). Tal notificação incluirá informações que um processador deve fornecer a um controlador ao nos termos do artigo 33(3), até que essa informação esteja razoavelmente disponível para o GitHub.

(1) O Contrato sobre o Espaço Econômico Europeu (Contrato do EEE) prevê a ampliação do mercado interno da União Europeia aos três Estados do EEE, Islândia, Liechtenstein e Noruega. A legislação da União Europeia em matéria de proteção de dados, incluindo o Regulamento (UE) 2016/679, é abrangida pelo Acordo do EEE e foi incorporada no Anexo XI. Portanto, qualquer divulgação pelo importador de dados a uma terceira parte localizada no EEE não se qualifica como transferência posterior para fins destas Cláusulas.

(2) Esta exigência pode ser satisfeita pelo subprocessador que adira a essas Cláusulas nos termos do Módulo apropriado, de acordo com a Cláusula 7.

(3) Quanto ao impacto de tais leis e práticas sobre o cumprimento das referidas Cláusulas, elementos diferentes podem ser considerados como parte de uma avaliação global. Esses elementos podem incluir uma experiência prática relevante e documentada com casos anteriores de pedidos de divulgação por parte das autoridades públicas, ou a ausência de tais pedidos, que abrangem um período de tempo suficientemente representativo. Isto se refere em particular aos registros internos ou a outros documentos elaborados de forma contínua, de acordo com a devida diligência e certificado no nível de gestão sénior, desde que essas informações possam ser legalmente compartilhada com terceiros. Nos casos em que esta experiência prática se baseie para concluir que o importador de dados não será impedido de cumprir estas declarações, será necessário ser apoiado por outros elementos relevantes e objectivos, e cabe às Partes ponderar cuidadosamente se estes elementos em conjunto têm peso suficiente, em termos de fiabilidade e representatividade, para apoiar esta conclusão. As Partes têm de ter em conta se a sua experiência prática é corroborada e não contradita pelo público, disponível ou acessível, de outra forma. As informações fiáveis sobre a existência ou ausência de pedidos no mesmo setor e/ou a aplicação prática da lei, como a jurisprudência e os relatórios de organismos independentes de supervisão.