DECLARAÇÃO DE GDPR

PARA O CONHECIMENTO & CIÊNCIA DOS FORNECEDORES DA ADP
SEGURANÇA DE DADOS DA ADP E PADRÕES DE PRIVACIDADE

Definições

 

Os "Dados da ADP" compreendem, coletivamente, todos os dados processados ​​pelo FORNECEDOR para a ADP relacionados aos Produtos e/ou Serviços do FORNECEDOR. Os Dados da ADP incluem todas as informações fornecidas pela ADP ao FORNECEDOR para Processamento (incluindo Dados Pessoais), bem como quaisquer dados coletados ou gerados pelo FORNECEDOR para a ADP.
 
Os "Dados Pessoais do EEE" referem-se a informações pessoais (conforme definido no GDPR) pertencentes a residentes do Espaço Económico Europeu (EEE) e à Suíça.
 
O "EEE da Transferência de Dados Pessoais" tem o significado estabelecido na Seção 4.2.
 
"GDPR" refere-se à Norma (UE) 2016/679, o Regulamento Geral de Proteção de Dados.
 
"Relatório de Controle Interno" refere-se ao relatório de Controle de Serviço Organizacional (SOC) do Tipo II (baseado no modelo SSAE 16 ou ISAE 3402) ou a qualquer relatório que tenha êxito.
 
"de dados pessoais" refere-se a quaisquer e todos os dados (não obstante o formato) contidos na ADP dados (i) identificar ou pode ser usado para identificar, contato ou localizar um indivíduo, ou (ii) pertencem de alguma forma para uma pessoa física não identificada.
 
As "Leis de Privacidade" referem-se a todas as leis aplicáveis ​​nos EUA. EEUU e internacionalmente que regulam o processamento de dados pessoais. Especificamente, as "Leis de privacidade" incluem PIBR e outras leis aplicáveis, especificando privacidade, proteção de dados, segurança ou obrigações relativas aos anúncios obrigatórios de violação da segurança que se aplicam a dados pessoais ou a prestação de produtos de FORNECEDORES ou Serviços do FORNECEDOR.
 
"Processo", "Processado" ou "Processamento" são entendidos como qualquer operação ou grupo de operações realizadas com dados da ADP, por meios automáticos ou não, como sua coleta, criação, compilação, uso, exibição, reprodução, organização, armazenamento, alteração, transferência, transmissão, combinação, redação, eliminação ou destruição.
 
O "Adendo de Processamento" é um documento anexado a cada Pedido (conforme aplicável) e executado pelo FORNECEDOR que determina determinados detalhes relativos ao Processamento de Dados ADP pelo FORNECEDOR.
 
"Violação de Segurança" é entendida como (i) "violação de dados pessoais" (conforme definido no PIBR), (ii) "violação da segurança do sistema" ou termo similar (conforme definido em qualquer outra Privacy Act), ou (iii) qualquer outro evento que comprometa a segurança, confidencialidade ou integridade dos Dados ADP.
 
As "Informações Confidenciais" consistem nos elementos dos Dados Pessoais que, por sua natureza, foram classificados por lei como merecedores de proteção adicional de privacidade e segurança. As Informações Confidenciais incluem: (i) todos os números de identificação emitidos pelo Governo, (ii) todos os números de contas financeiras (incluindo informações sobre cartões de pagamento) associados ou não a uma pessoa singular ou coletiva, (iii) relatórios médicos individuais, informações genéticas ou biométricas, (iv) todos os dados obtidos de uma agência de avaliação do consumidor nos EUA. UU (como relatórios de pesquisa sobre histórico de funcionários, relatórios de crédito e pontuação de crédito), (v) credenciais de usuário da conta, como nome de usuário, senhas, perguntas / respostas de segurança e outros tipos de dados de recuperação elementos senha, e (vi) informações que constituem categorias específicas de dados sob a PIBR, chamado EEE dados pessoais, que revelem a origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, filiação sindical, e ao processamento de dados genéticos, dados biométricos com o único propósito de identificar o indivíduo, dados relativos à saúde ou vida sexual ou orientação sexual do indivíduo.
 
"subcontratante" significa qualquer terceiro (incluindo o FORNECEDOR da filial) para prestar quaisquer serviços para o provedor ou ter acesso (incluindo o acesso inadvertido) a quaisquer dados de ADP.
 
"transferência" refere-se à divulgação ou qualquer outra forma de dados de radiodifusão de ADP a um terceiro (incluindo qualquer afiliado ou sub processador FORNECEDOR), quer por transferência física de dados ADP para que parte ou a permitir o acesso a ADP Data através de outros meios.

Obrigações gerais

 

O FORNECEDOR deve processar todos os dados ADP de acordo com o apêndice de processamento aplicável.
 
Conformidade com as leis de privacidade. Cada parte deve envidar esforços razoáveis ​​para se manter informado sobre os requisitos legais e regulamentares exigidos para o Processamento de Dados da ADP. Na medida em que os dados da ADP contêm quaisquer dados pessoais, o vendedor afirma ter implementado medidas organizacionais e adequadas para garantir que o processamento está em conformidade com todas as medidas técnicas leis de privacidade, bem como as políticas de segurança e privacidade de seus próprios PROVIDER
 
Política de privacidade. Se o prestador de serviços ou FORNECEDOR produtos envolvem a recolha de dados pessoais diretamente de indivíduos, o FORNECEDOR deve fornecer, a pedido da ADP, tais indivíduos política de privacidade tão óbvio e claro. Tal notificação pode ser tanto na forma de política de privacidade do prestador ou, na forma de política de privacidade ADP ou o cliente ADP política de privacidade, dependendo do que é considerado adequado e determinado pela ADP.
 
Requisitos específicos. As cláusulas a seguir são usadas conforme aplicável no contexto dos produtos FORNECEDORES e / ou Serviços FORNECEDORES utilizados:
 
Informações do cartão de pagamento. Se os dados da ADP incluírem qualquer informação relacionada ao cartão de pagamento (ICP), o FORNECEDOR deverá cumprir os requisitos aplicáveis ​​naquele momento ao empregador de segurança de dados do setor de cartões de pagamento.
 
Dados pessoais EEE. Se os Dados ADP incluem Dados Pessoais EEE, o FORNECEDOR e a ADP devem garantir proteção adequada para os Dados Pessoais EEE. Cada parte deve cumprir as especificações do GDPR e outras Leis de Privacidade aplicáveis, como "controlador" ou "processador" (conforme definido pelo GDPR). No caso de qualquer EEE de Transferência de Dados Pessoal, ambas as partes devem documentar a proteção adequada para os Dados Pessoais de EEE usando meios aprovados de acordo com a Seção 4.2, que será descrita posteriormente.

 

Subprocessadores

Requisitos dos Subprocessadores. Os FORNECEDORES devem assegurar que cada Subprocessador autorizado tenha assinado um contrato por escrito com o FORNECEDOR que contenha a proteção para Dados ADP que sejam materialmente os mesmos que os estabelecidos neste contrato.

 

Aprovação de subprocessadores

O FORNECEDOR não deve Transferir Dados ADP para qualquer Subprocessador, a menos que (i) o Subprocessador tenha sido expressamente autorizado pela ADP por escrito e (ii) o Processamento de Dados ADP pelo Subprocessador é solicitado para o desempenho de Serviços do FORNECEDOR ou fornecimento de Produtos do FORNECEDOR.

 

Rescisão do Contrato e/ou da Ordem de Compra

Se ADP não está de acordo com a utilização de uma determinada Subprocessador, (i) o FORNECEDOR deve propor um processo alternativo para os dados de processamento da ADP aceitáveis ​​para ADP, ou (ii) a ADP tem o direito de interromper os produtos do FORNECEDOR ou dos Serviços do FORNECEDOR que tenham sido afetados, mediante notificação por escrito. Em caso de rescisão, o FORNECEDOR deverá compensar imediatamente quaisquer taxas pagas pela ADP referentes ao período posterior à data efetiva da rescisão.

 

Lista de Subprocessadores

O FORNECEDOR deve fornecer à ADP uma lista contendo todos os Subprocessadores dentro de um período de cinco (5) dias a partir da data de qualquer pedido da ADP referente à referida lista.

Transferências Internacionais

 

Consentimento

O FORNECEDOR não deve transferir dados ADP além das fronteiras nacionais ou permitir acesso remoto aos Dados ADP por qualquer Subprocessador fora do país, a menos que o FORNECEDOR tenha autorização prévia por escrito com o consentimento da ADP para tal transferência. O FORNECEDOR entende que a ADP deve autorizar todas essas transferências internacionais, incluindo qualquer uso de qualquer mecanismo de Transferência aprovado. No caso de qualquer Transferência incluir o EEE da Transferência de Dados Pessoais, o FORNECEDOR concorda em cumprir os requisitos da Seção 4.2 em relação a tais Transferências. Embora uma exigência legal exija tal transferência, tal exigência legal deve ser comunicada à ADP antes de ser feita, a menos que a lei proíba o fornecimento de tal informação levando em consideração o interesse público.

 

Transferência de dados pessoais EEE

O FORNECEDOR deve assegurar proteção adequada para as Transferências de Dados Pessoais pelo FORNECEDOR fora do EEE (em cada "EEE de Transferência de Dados Pessoais"). Os seguintes fatores são métodos apropriados para proteger transferências de dados pessoais:
 

  • O FORNECEDOR deve celebrar uma Cláusula de Contrato Padrão da UE aprovada.
  • O FORNECEDOR deve transferir Dados EEE Pessoais pertencentes ao seu grupo de Padrões Corporativos de Vinculação.
  • A Transferência é feita para um país capaz de fornecer um nível "adequado" de proteção de acordo com as Leis de Privacidade.
  • O FORNECEDOR deve conduzir todas as Transferências de Dados Pessoais EEE, conforme definido no Anexo de Processamento aplicável. O FORNECEDOR compreende e concorda que a ADP pode rescindir a Transferência de Dados Pessoais conforme necessário para estar em conformidade com as Leis de Privacidade do EEE.
 

Requisitos para segurança da informação

Medidas apropriadas em todas as situações em que todos os dados da ADP permanecem sob concessão ou controle do provedor, o provedor deve implementar e documentar medidas administrativas para proteger os dados da ADP contra qualquer destruição ilegal ou acidental técnica e medidas físicas, alteração ou divulgação não autorizada ou acesso não autorizado. O FORNECEDOR deverá testar e controlar regularmente a eficácia de suas medidas de segurança, controles, sistemas e procedimentos. O FORNECEDOR deve identificar periodicamente os riscos previsíveis internos e externos à segurança, confidencialidade e integridade dos Dados da ADP e deve assegurar que esses riscos sejam reparados em tempo de trabalho aceitável.
 
Acesso Se os Serviços ou Produtos do FORNECEDOR envolverem o armazenamento de dados, o FORNECEDOR localizará qualquer equipamento que armazene Dados ADP em áreas de acesso controlado. O FORNECEDOR só permitirá o acesso às áreas acima mencionadas de acesso controlado a funcionários e trabalhadores temporários que precisam conhecer criticamente tais dados para o desempenho de suas tarefas.
 
Ponto de acesso. Quaisquer servidores externos da Internet e terceiros com pontos de acesso serão configurados de maneira segura, incluindo (mas não se limitando a) a implementação de um firewall dedicado, e construído adequadamente, que requer o diagnóstico da presença de vírus antes de conceder acesso a eles e a rede a terceiros e desativando ou eliminando o processo de roteamento para minimizar o acesso.

 

Continuidade de Operações, Recuperação de Desastres

O FORNECEDOR deve ser implementado e documentado planos de recuperação das operações e planos de recuperação contra desastres apropriadas, a fim de continuar ou retomar o fornecimento de produtos ou serviços de provedor de fazer provedor (incluindo a restauração de acesso aos dados da ADP) tempo de negócios após o evento destrutivo. O FORNECEDOR testará a eficácia de seus planos de continuidade de operações e seus planos de recuperação de desastres, acompanhando regularmente. Em intervalos apropriados ou conforme exigido pela ADP, o FORNECEDOR fornecerá uma cópia por escrito de seus planos de recuperação de desastres junto com um resumo de seus planos de continuidade de negócios.

 

Segurança da Rede

Se o Processamento envolve a transmissão de Dados da ADP através de uma rede, o FORNECEDOR deve ter implementado medidas adicionais apropriadas para proteger os dados da ADP contra os riscos específicos apresentados por tal Processamento. Os dados da ADP não podem ser transmitidos por uma rede insegura, a menos que tenham sido devidamente criptografados para pelo menos 128 bits ou mais; isso será solicitado pela ADP de maneira razoável, de acordo com os procedimentos de mercado vigentes na época.

 

Dispositivos portáteis

Os dados da ADP não devem ser armazenados em nenhum dispositivo portátil ou de mídia (incluindo, mas não limitado a: laptop, disco rígido externo, USB ou pen drives, assistentes digitais pessoais (PDAs) ou telefones celulares, DVDs, CDs ou fitas) computador), a menos que sejam criptografados com um mínimo de 128 bits ou mais, de acordo com a solicitação da ADP, de acordo com os procedimentos atuais do mercado.

 

Acompanhamento

O FORNECEDOR adotará as etapas apropriadas para rastrear a segurança dos Dados da ADP e (se necessário) identificar os colaboradores com atividades suspeitas, incluindo pedidos incomuns, momentos incomuns ou formatos incomuns. Se considerado apropriado, o FORNECEDOR usará técnicas de "armadilha" e de rastreamento para identificar a origem de tais solicitações incomuns e relacioná-las a usuários / clientes autorizados. O FORNECEDOR também monitorará (i) as transações, procurando anomalias nos tipos de transações, volume de transações, número de transações e incidentes ao longo do dia, (ii) e violações ou tentativas de violação nas sessões iniciadas.

 

Violação de Segurança

Pesquisa e Notificação O FORNECEDOR  investigará com rapidez e eficiência todos os relatos de acesso não autorizado em relação ao uso ou divulgação de Dados ADP. Ao descobrir tais violações de segurança, o FORNECEDOR  prosseguirá, sem atrasos indevidos, para notificar a ADP. Esta notificação deve ser feita por email para VendorSecurity @ ADP .com. O FORNECEDOR  deve fornecer à ADP todas as informações sobre a Violação de Segurança necessárias para que a ADP avalie suas obrigações em relação à resposta a incidentes.
 
Reparar Se qualquer violação de segurança é o resultado de (i) negligência ou má conduta PROVEDOR (ou qualquer sub-processador) ou (ii) falha do FORNECEDOR  como para estar em conformidade com os termos da presente parte ou de qualquer outro contrato com a ADP, o FORNECEDOR  deve pagar todos os custos associados com a resolução de qualquer violação de segurança, incluindo (sem limitação) o desenvolvimento da pesquisa, o uso de apropriado para alertá-los para o risco de medidas forenses danos, notificação reguladores e outras partes, conforme previsto por lei, proporcionando aos indivíduos supervisão de crédito (ou qualquer outro tipo de serviço de reparo apropriado aprovado pela ADP), e sujeito à autorização prévia por escrito da ADP, em resposta ao indivíduo, o regulador e / ou inquéritos de imprensa.

Cooperação

 

Cooperação Geral

O FORNECEDOR  deverá cooperar rapidamente com ADP no que respeita à resposta a investigações, incidentes, denúncias e reclamações sobre o processamento de dados ADP ou conforme exigido por ADP demonstrar a conformidade com as leis de privacidade aplicáveis. Além disso, a ajuda FORNECEDOR, na medida do possível, o cumprimento das obrigações das frentes ADP para essas leis de privacidade e, particularmente, em resposta aos requisitos para o exercício dos direitos individuais através de tais leis de privacidade.

 

Notificação de solicitações

O FORNECEDOR  deverá informar prontamente ADP por escrito sobre: ​​(i) qualquer ordem, em relação a quaisquer dados ADP recebidos por um indivíduo que é (ou pretende ser) o objeto desses dados, (ii) qualquer pedido de acesso a qualquer ADP dados recebido pelo FORNECEDOR  por qualquer funcionário do governo (incluindo qualquer agência de proteção agência de dados ou a aplicação da lei) a menos que seja expressamente proibida por lei proceder à notificação de tal pedido a ADP, ou (iii) quaisquer outras solicitações em relação aos Dados ADP que estejam fora do escopo dos Serviços do FORNECEDOR . O FORNECEDOR entende que não deve responder a esses pedidos, a menos que expressamente autorizado pela ADP ou se a resposta é legalmente exigida por ordem judicial ou documento legal similar emitido por uma agência governamental exigindo a divulgação. Se o provedor seria legalmente proibido responder a esse pedido, como no caso da proibição prevista no direito penal para preservar a confidencialidade de uma investigação com a intenção de implementar a lei, o Provedor deverá solicitar à Autoridade que concedem isenção de tal proibição escrito.

Informação, Relatórios e Auditoria

 

Relatórios

Anualmente, mediante solicitação, o FORNECEDOR deve fornecer à ADP cópias de seus Relatórios de Controle Interno aplicáveis. ADP entende que tais relatórios de controlo interno contêm informações FORNECEDOR confidencial e não divulgará relatórios de controlo interno a menos que seus auditores e consultores no âmbito da verificação da conformidade pelo FORNECEDOR dos requisitos do programa de Privacidade e segurança ADP.

 

Informação e Auditoria

Mediante solicitação, o FORNECEDOR deve fornecer à ADP informações sobre o programa de segurança de informações do FORNECEDOR ou outras informações necessárias para demonstrar conformidade com esta Parte A e com o Contrato. Os FORNECEDORES também devem apresentar a sua auditoria de dados instalações de processamento, durante o horário comercial razoável, que deve ser efetuada por ADP (ou por um auditor independente designado pela ADP) em uns mutuamente acordados, no máximo, 10 (dez) dias após a ordem. O FORNECEDOR deve cooperar plenamente com esta auditoria. Se a auditoria revelar que a violação material dos termos enunciados aqui que não pode ser remediado num prazo razoável, a ADP tem o direito de suspender o processamento de dados ADP pelo FORNECEDOR até que esses problemas sejam resolvidos. As auditorias devem ser feitas apenas uma vez por ano, enquanto ADP para realizar a auditoria a qualquer momento em caso de violação de segurança ou suspeita violação material de pelo FORNECEDOR em relação às suas obrigações nos termos deste Acordo. O FORNECEDOR também deve cooperar com quaisquer auditorias conduzidas por qualquer agência de regulação com autoridade sobre ADP ou clientes ADP (se aplicável) conforme necessário para estar em conformidade com as leis aplicáveis. O FORNECEDOR informará a ADP imediatamente na medida em que o FORNECEDOR considerar que uma instrução viola uma Lei de Privacidade aplicável.

 

Devolução, Destruição de Dados ADP

Salvo disposição em qualquer acordo com o FORNECEDOR sobre o processo de conclusão e transição, quando os FORNECEDORES não realizam serviços para ADP (e em qualquer outro momento, a pedido) o FORNECEDOR deve devolver ou destruir os dados da ADP, e através Ordem ADP, irá certificar que as ações foram realizadas. Meios eletrônicos contendo dados ADP serão excluídos de uma maneira que torne os dados ADP irrecuperáveis. Se o provedor é exigido pelas leis aplicáveis ​​de retenção de dados para ADP, FORNECEDOR garante que (i) garantir a manter a confidencialidade e segurança dos dados da ADP, (ii) remover ou destruir com segurança de dados ADP quando o período foi encerrado e (iii) não processará ativamente os dados da ADP, a menos que sejam necessários para cumprir os requisitos legais.
 
O FORNECEDOR concorda que, a partir da aceitação do pedido de compra e / ou contrato da ADP, já está condicionado à atenção.