Adendo de privacidade da lei estadual americana

Este Adendo de privacidade da lei estadual americana ("Adendo") complementa os termos do seu Contrato principal de assinatura, Termos de serviço ou Termos de serviço do cliente revendedor (conforme aplicável, o "Contrato") e define certos direitos e deveres em relação à privacidade de dados, em conexão com certas leis estaduais americanas. Os termos iniciados em maiúscula usados, mas que de alguma forma não tenham aqui uma definição, têm o sentido atribuído a eles no Contrato.

Seção A – Cláusulas gerais. Esta Seção A do Adendo se aplica ao fornecimento pelo Zoom e uso pelo Cliente dos Serviços desde que o Cliente seja uma Empresa ou um Controlador e o Zoom processe ou esteja processando Informações Pessoais do Cliente ou Dados Pessoais, de acordo com a CCPA ou outras leis de proteção de dados estaduais em vigor.

1. Definições. Conforme usado em todo este Adendo, "Cliente" significa uma Empresa ou Controlador que assina os serviços Zoom. Os termos iniciados em maiúscula usados nesta Seção A, mas que de alguma forma não tenham aqui uma definição, têm o sentido atribuído a eles nas Seções B(1) e C(1), abaixo.
2. Auditorias e Avaliações.
   1. O Zoom realizará auditorias por meio de terceiros para certificar as seguintes estruturas de trabalho com ISO 27001 e SOC 2 Tipo II:
      1. O Zoom auditará, anualmente, critérios de segurança, disponibilidade e privacidade, na auditoria SOC-2.
      2. As auditorias serão realizadas conforme os padrões e regras do órgão regulatório ou de certificação para o controle aplicável padrão ou estrutura de trabalho.
      3. As auditorias serão realizadas por auditores de segurança qualificados, independentes, de terceiros, conforme seleção do Zoom e às suas custas.
      4. Cada auditoria resultará na geração de um relatório de auditoria voltado para o cliente ("Relatório de Auditoria do Zoom"), que o Zoom disponibilizará ao Cliente, mediante solicitação, anualmente. O Relatório de Auditoria do Zoom será as Informações confidenciais do Zoom.
3. Restrições sobre recepção de informações. Nada neste Adendo deve obrigar o Zoom a divulgar: (a) qualquer dado ou informações de qualquer outro Cliente do Zoom, ou de qualquer terceiro; (b) quaisquer informações internas de contabilidade ou financeiras; (c) qualquer segredo comercial do Zoom; ou (d) quaisquer informações que, segundo a razoável opinião do Zoom poderiam: (i) comprometer a segurança das redes, sistemas ou instalações do Zoom; (ii) fazer com que o Zoom viole sua segurança ou obrigações de privacidade com qualquer terceiro; ou (iii) quaisquer informações solicitadas por qualquer outro motivo, exceto aquelas descritas neste Adendo. O Zoom pode requerer a concordância do Cliente com termos e condições razoáveis do Zoom (ou do auditor, ou assessor do seu terceiro), antes de fornecer o Relatório de Auditoria do Zoom ao Cliente.
4. Exclusão de dados. O Zoom (a) conforme solicitado por Leis de proteção de dados estaduais em vigor, aplicável ao Cliente e conforme instruções do Cliente, excluirá ou devolverá todos os Dados pessoais ao Cliente, no fim do fornecimento dos Serviços ou (b) conforme solicitado pela CCPA, não reterá, usará ou divulgará informações pessoais após a rescisão ou vencimento do relacionamento entre o Cliente e o Zoom. Nada nesta Seção A(4) (Exclusão de Dados) obrigará o Zoom a (i) excluir ou devolver dados que ele deve reter, de acordo com as leis em vigor ou (ii) retornar, ao invés de destruir Dados Pessoais, se isto não for tecnicamente viável ou impuser encargos, custos substanciais, ou ambos, ao Zoom.

Seção B – Califórnia.  Esta Seção B do Adendo se aplica ao fornecimento do Zoom e uso pelo Cliente dos Serviços desde que o Cliente seja uma Empresa e o Zoom esteja processando Informações pessoais em nome do Cliente, de acordo com a CCPA.

1. Definições. Conforme usado na Seção B do Adendo: (a) "CCPA" significa a Lei de privacidade do consumidor da Califórnia, de 2018, conforme alterada pela Lei do direito à privacidade da Califórnia, de 2020, e quaisquer regulamentações promulgadas nesse âmbito; (b) " Empresa", "Propósito empresarial", "Propósito comercial", "Consumidor, "Processamento", "Venda", "Fornecedor de Serviço" e "Compartilhar" têm os respectivos significados dados na CCPA e (c) "Informações Pessoais" significa "informações pessoais", conforme definido na CCPA, mas apenas até o ponto em que as informações pessoais são coletadas, acessadas, obtidas, recebidas, usadas, divulgadas ou, de qualquer outra forma, processadas pelo Zoom, como resultado do fornecimento de Serviços ao Cliente pelo Zoom, na sua capacidade como uma Empresa, no abrigo do Contrato.
2. Reconhecimentos e obrigações. O Zoom (a) reconhece que Informações pessoais são divulgadas pelo Cliente apenas para os fins limitados e específicos de fornecer os Serviços descritos em um Formulário de pedido e para os propósitos descritos no Contrato; (b) que deve obedecer às obrigações aplicáveis aos Provedores de Serviço, segundo a CCPA e devem fornecer o mesmo nível de proteção de privacidade das Informações Pessoais, conforme exigido pela CCPA, incluindo a mesma proteção de privacidade que deve ser oferecida por Empresas; (c) concorda que o Cliente pode tomar ações razoáveis e apropriadas consistentes com a Seção A(2) definidas aqui para ajudar a garantir que o uso de Informações Pessoais pelo Zoom esteja consistente com as obrigações do Cliente, conforme a CCPA; (d) deve notificar imediatamente o Cliente sobre qualquer determinação feita pelo Zoom que não pode mais cumprir suas obrigações, de acordo com a CCPA; e (e) concorda que o Cliente pode, desde que mediante notificação, tomar ações razoáveis e adequadas para interromper e remediar o uso não autorizado de Informações Pessoais, de forma consistente e em acordo com regulamentações aplicáveis ao solicitar uma documentação razoável do Zoom que comprove que o Zoom não mais retém ou usa Informações Pessoais que estão sujeitas a uma solicitação de exclusão válida.
3. Restrições. O Zoom não deve (a) vender ou compartilhar Informações Pessoais; (b) reter, usar ou divulgar quaisquer Informações Pessoais para qualquer fim, exceto para o(s) propósito(s) descrito(s) na Seção B(2)(a), acima, ou onde permitido, de outra forma, pela CCPA, incluindo reter, usar ou divulgar Informações Pessoais para Fins Comerciais, diferentes de tal(is) propósito(s) ou o atendimento a uma Empresa diferente; (c) reter, usar ou divulgar Informações Pessoais fora do escopo comercial direto entre o Zoom e o Cliente, exceto pelo que for permitido pela CCPA; ou (d) combinar as Informações Pessoais recebidas relativas ao Contrato com Informações Pessoais recebidas de outra parte, ou pelas próprias interações do Zoom com o Cliente a quem as Informações Pessoais pertencem, exceto até o ponto em que um Fornecedor de Serviços for permitido fazê-lo, de acordo com a CCPA. O Zoom reconhece aqui que compreende suas obrigações de acordo com este Adendo e que as honrará.
4. Auditorias, revisões e avaliações. O Cliente, sujeito a exigências razoáveis e contratos escritos, conforme exigido pelo Zoom e consoante com a CCPA e às custas exclusivas do Cliente, pode auditar, revisar ou avaliar o Zoom, não mais do que uma vez a cada 12 meses, de acordo com a Seção A(2) (Auditorias e Avaliações), acima.
5. Solicitações do Cliente. O Cliente notificará imediatamente o Zoom e fornecerá todas as informações necessárias ao Zoom, após receber e verificar uma solicitação do Consumidor e o Zoom deve imediatamente tomar as ações cabíveis e fornecer tais informações que o Cliente pode ter, de forma razoável solicitado, pertencentes às Informações Pessoais de um Consumidor, para ajudar o Cliente a atender solicitações de indivíduos que desejam exercer seus direitos, de acordo com a CCPA, incluindo, entre outros, solicitações de acesso, correção, exclusão, cancelamento da sua Venda ou Compartilhamento, além de receber informações sobre as Informações Pessoais pertencentes a eles. Caso o Zoom receba qualquer solicitação diretamente do Consumidor do(s) Cliente(s), então, o Zoom pode (i) aconselhar o Consumidor a entrar em contato diretamente com o Cliente em relação a tal solicitação ou (ii) entrar em contato com o Cliente para responder diretamente ao Consumidor.

Seção C – Virgínia, Colorado, Utah e outros Estados. Esta Seção C do Adendo se aplica ao fornecimento pelo Zoom e uso pelo Cliente dos Serviços desde que o Cliente seja um Controlador de Dados Pessoais e o Zoom processe Dados Pessoais do Cliente, de acordo com as leis de proteção de dados estaduais em vigor.

1. Definições. Conforme usado nesta Seção C do Adendo: (a)"Leis de Proteção de Dados Estaduais em Vigor" significa (i) a Lei de Privacidade do Colorado de 2021, a Lei de Proteção de Dados do Consumidor da Virgínia de 2021 ou a Lei de Privacidade do Consumidor de Utah de 2022, conforme alterações, ou (ii) qualquer outra lei estadual americana promulgada com o fim de proteger Dados Pessoais, pelo meio da qual o Cliente seja um Controlador e o Zoom um processador e os termos e condições deste Adendo atendam aos requisitos de tais Leis Estaduais; (b) "Controlador", "Dados Pessoais", "Processar" e "Processador" devem ter os significados respectivos dados a eles nas Leis de proteção de dados em vigor e (c) "Instruções" tem o significado dado abaixo.
2. Processamento de Dados Pessoais: funções, escopo e responsabilidade.
   1. As partes reconhecem e concordam com o seguinte: o Cliente é o Controlador dos Dados Pessoais do Cliente. O Zoom é o Processador dos Dados Pessoais do Cliente.
   2. Apenas na medida do que for necessário e proporcional, o Cliente sendo o Controlador, instrui o Zoom a realizar as seguintes atividades como Processador, em nome do Cliente (coletivamente, as "Instruções"):
      1. fornecer e atualizar os Serviços, conforme licenciados, configurados e usados pelo Cliente e seus usuários, incluindo pelo uso por parte do Cliente das configurações, controles de administrador ou outras funcionalidades do Serviço do Zoom;
      2. proteger e monitorar os Serviços em tempo real;
      3. resolver problemas, bugs e erros;
      4. fornecer suporte solicitado pelo Cliente, incluindo usar conhecimento conquistado em solicitações individuais do suporte ao cliente para beneficiar todos os clientes do Zoom, desde que esse conhecimento seja anonimizado; e
      5. processar Dados Pessoais do Cliente, conforme definido no Contrato (incluindo este Adendo e a Peça A aqui presentes), assim como qualquer outra instrução documentada fornecida pelo Cliente e reconhecida pelo Zoom como instruções constituídas.
   3. Visto que o Zoom age como um Processador de Dados Pessoais do Cliente, o Zoom deve processar Dados Pessoais do Cliente apenas em consonância com as Instruções do Cliente. O Cliente deve garantir que as instruções dadas por ele ao Zoom obedecem todas as leis, regras e regulamentações aplicáveis aos Dados Pessoais do Cliente e, que o processamento de Dados Pessoais do Cliente, de acordo com as Instruções do Cliente não farão com que o Zoom viole as Leis de Proteção de Dados estaduais em vigor. O Cliente é o responsável exclusivo pela precisão, qualidade e legalidade (i) dos Dados Pessoais do Cliente fornecidos ao Zoom pelo Cliente ou em nome dele, (ii) de como o Cliente adquiriu qualquer dos Dados Pessoais do Cliente e (iii) das instruções que fornece ao Zoom referentes ao Processamento de tais Dados Pessoais do Cliente. O Cliente não deve fornecer ou disponibilizar ao Zoom quaisquer Dados Pessoais do Cliente que violem o Contrato ou este Adendo.
   4. O Cliente autoriza o Zoom a realizar o rastreamento e denúncia de Dados Pessoais em circunstâncias específicas (por exemplo, para detectar e denunciar Material de abuso sexual de crianças e adolescentes, para obedecer outras leis em vigor; para garantir a conformidade com as Diretrizes de uso aceitável do Zoom).
3. Pessoas autorizadas. O Zoom deve garantir que todas as pessoas autorizadas a processar Dados Pessoais do Cliente tenham ciência da natureza confidencial dos Dados Pessoais do Cliente e do seu dever de confidencialidade em relação a estes dados.
4. Subcontratantes e subprocessadores. Visto que o Zoom é um Processador, o Cliente autoriza de forma geral, por meio deste, que o Zoom contrate subprocessadores e subcontratantes de acordo com esta Seção C(4)
   1. O Cliente aprova o uso pelo Zoom dos fornecedores listados em https://explore.zoom.us/pt/subprocessors/ para processar os Dados Pessoais do Cliente.
   2. O Zoom pode excluir, substituir ou nomear outros fornecedores. Desde que o Cliente assine para receber atualizações em https://explore.zoom.us/pt/subprocessors/, o Zoom deve notificar o Cliente sobre quaisquer alterações em relação a estes fornecedores contratados. Onde for exigido pelas Leis de Proteção de Dados estaduais em vigor, o Zoom também deve fornecer uma oportunidade para o Cliente contestar a contratação, de acordo com as Seções C(4)(d) e C(4)(e).
   3. Em caso de emergência a respeito de disponibilidade ou segurança dos Serviços, o Zoom não tem a obrigação de fornecer uma notificação prévia ao Cliente em relação à exclusão, substituição ou nomeação de subcontratantes, porém deve fornecer tal notificação no prazo de sete (7) dias úteis, após a alteração de um subcontratante.
   4. Também neste caso, o Cliente pode contestar, por escrito, a contratação de um subcontratante, no prazo de quinze (15) dias úteis a contar do recebimento do aviso dado pelo Zoom, mencionado previamente.
   5. Caso o cliente conteste a contratação de um novo subcontratante, o Zoom deve ter o direito de solucionar a contestação por meio de uma das seguintes opções (a ser escolhida exclusivamente a critério do Zoom):
      1. O Zoom pode cancelar seus planos de usar o subcontratante em relação aos Dados Pessoais do Cliente.
      2. O Zoom pode realizar ações corretivas solucionadas pelo Cliente na sua contestação (tornando nula a contestação do Cliente) e avançar para usar o subcontratante em relação aos Dados Pessoais do Cliente.
      3. O Zoom pode interromper o fornecimento ou o Cliente pode concordar em não usar (de forma temporária ou permanente) o aspecto específico do Serviço que envolveria o uso de tal Subcontratante em relação aos Dados Pessoais do Cliente. O Zoom pode fornecer ao Cliente uma descrição por escrito de alternativas comercialmente razoáveis, se houver, de tal contratação, incluindo, entre outras, a modificação os Serviços. Se o Zoom, a seu exclusivo critério, não puder fornecer tais alternativas, ou se o Cliente não concordar com tais alternativas, caso elas sejam fornecidas, o Zoom e o Cliente podem rescindir o Contrato, incluindo este Adendo, desde que mediante um aviso, por escrito, com antecedência de sessenta (60) dias. A rescisão não desobriga o Cliente de quaisquer taxas ou cobranças devidas ao Zoom por Serviços fornecidos até a data de entrada em vigor da rescisão, de acordo com o Contrato.
      4. Caso o Cliente não faça objeções à contratação de um novo subcontratante no prazo de quinze (15) dias úteis da publicação do aviso pelo Zoom, aquele novo subcontratante deve ser considerado aceito.
   6. O Zoom pode contratar qualquer subcontratante que processe Dados Pessoais do Cliente apenas mediante a um contrato por escrito e deve exigir que o subcontratante cumpra quaisquer obrigações do Zoom subcontratadas, em relação a tais Dados Pessoais. O Zoom continua sendo responsável perante ao Cliente se tal subcontratante não cumprir suas obrigações de proteção de dados, em relação ao desempenho das obrigações deste subcontratante, na mesma medida que o Zoom seria ele mesmo responsável, de acordo com este Adendo, caso tivesse incorrido em tais atos ou omissões.
5. Segurança das informações. Levando em conta o contexto do Processamento, o Zoom deve manter medidas técnicas e organizacionais adequadas em relação aos Dados Pessoais do Cliente para garantir um nível de segurança adequado ao risco, de acordo com este Adendo e assim como, de qualquer outra forma, declarado neste Contrato.
6. Informações de conformidade. Mediante a solicitação razoável do Cliente, o Zoom deve disponibilizar ao Cliente, informações razoáveis, consistentes e de acordo com a legislação em vigor, em posse do Zoom, necessárias para demonstrar a conformidade do Zoom com suas obrigações neste Adendo.