Adendo sobre o processamento de dados

Adendo sobre o processamento de dados

Este adendo de processamento de dados (o "DPA") está incorporado e complementa o Contrato de Usuário entre o usuário ("você" ou "seu") e a Collective Brains, Inc. ("Collective Brains", "nós" ou "nosso") quando as Leis de Proteção de Dados Aplicáveis se aplicam ao Processamento de seus Dados Pessoais. Os termos em letras maiúsculas usados, mas não definidos neste DPA, terão os significados dados a eles no Contrato do Usuário ou nas Leis de Proteção de Dados Aplicáveis. Este DPA inclui quaisquer apêndices anexados a ele e as Cláusulas Contratuais Padrão (quando aplicável e conforme definido neste DPA).

Em caso de conflito entre os termos do Contrato do Usuário e deste DPA, os termos deste DPA prevalecerão. Em caso de conflito entre os termos deste DPA e as Cláusulas Contratuais Padrão da UE e/ou o Adendo SCC do Reino Unido (se aplicável), os termos das Cláusulas Contratuais Padrão da UE e/ou o Adendo SCC do Reino Unido (se aplicável) prevalecerão.

A Collective Brains poderá atualizar os termos deste DPA de tempos em tempos, a seu exclusivo critério, desde que a Collective Brains avise o usuário com antecedência sobre a atualização. Quaisquer emendas, mudanças ou alterações adicionais a este Contrato serão feitas por escrito e devidamente assinadas por ambas as Partes para que se tornem válidas e efetivas.

1. • "Leis de Proteção de Dados Aplicáveis" significa todas as leis e regulamentos de proteção de dados aplicáveis ao processamento de Dados Pessoais, incluindo, sem limitação, a Lei de Proteção de Dados da UE.
   • "Lei Aplicável" significa as leis, regras, regulamentos, ordens judiciais e outros requisitos vinculativos de uma autoridade governamental relevante que se aplicam ou regem uma parte, incluindo as Leis de Proteção de Dados Aplicáveis.
   • "Subprocessadores aprovados" significa os Subprocessadores identificados no Anexo 1, que inclui as identidades dos Subprocessadores, seu país de localização e suas tarefas de Processamento previstas e, conforme aprovado de outra forma, de acordo com os termos deste DPA.
   • "CCPA" significa a Lei de Privacidade do Consumidor da Califórnia, Cal. Civ. Code § 1798.100 et seq.
   • "Controlador" tem o(s) significado(s) dado(s) nas Leis de Proteção de Dados Aplicáveis para a empresa que determina a finalidade e a extensão do Processamento de Dados Pessoais.
   • "EEA" significa o Espaço Econômico Europeu, com os estados membros da União Europeia, Noruega, Islândia e Liechtenstein.
   • "Lei de Proteção de Dados da UE" significa todas as leis e regulamentações de proteção de dados aplicáveis à União Europeia, ao Espaço Econômico Europeu, à Suíça e ao Reino Unido, incluindo (i) o GDPR, (ii) a Diretiva 2002/58/CE relativa ao processamento de dados pessoais e à proteção da privacidade no setor de comunicações eletrônicas; (iii) a legislação nacional aplicável que implementa o GDPR e a Diretiva 2002/58/CE; e (iv) com relação ao Reino Unido, qualquer legislação nacional aplicável que substitua o GDPR ou qualquer outra lei relacionada a dados e privacidade como consequência da saída do Reino Unido da União Europeia.
   • "GDPR" significa Regulamento Geral de Proteção de Dados, Regulamento 2016/679 do Parlamento Europeu e do Conselho sobre a proteção de pessoas físicas com relação ao processamento de dados pessoais e sobre a livre circulação desses dados, conforme implementado pela lei local no país membro relevante do EEE.
   • "Dados Pessoais" tem o(s) significado(s) dado(s) nas Leis de Proteção de Dados Aplicáveis para informações pessoais, dados pessoais ou outro termo semelhante.
   • "Plataforma" tem o significado dado a ela no Contrato do Usuário.
   • "Processador" tem o(s) significado(s) dado(s) nas Leis de Proteção de Dados Aplicáveis para a empresa que processa dados pessoais em nome do Controlador.
   • "Processo", "Processado", "Processos" ou "Processamento" têm o(s) significado(s) dado(s) nas Leis de Proteção de Dados Aplicáveis para qualquer uso ou desempenho de uma operação de computador em Dados Pessoais, inclusive por métodos automáticos.
   • "Relatório" significa relatórios de auditoria preparados por um terceiro independente em nome da Collective Brains, de acordo com os padrões definidos na Política de Segurança.
   • "Política de Segurança" tem o significado dado a ela na Seção 7.1.
   • "Incidente de Segurança" significa, conforme aplicável, uma (i) violação de segurança que leve à destruição acidental ou ilegal, perda, alteração ou divulgação não autorizada ou acesso a Dados Pessoais transmitidos, armazenados ou processados de outra forma ou (ii) uma Violação de Dados Pessoais, conforme definido no Artigo 4 do GDPR.
   • "Dados confidenciais" significa (i) número do seguro social, número do passaporte, número da carteira de motorista ou identificador semelhante (ou parte dele); (ii) número do cartão de crédito ou débito (que não seja o truncado (últimos quatro dígitos) de um cartão de crédito ou débito); (iii) informações de emprego, financeiras, genéticas, biométricas ou de saúde; (iv) afiliação racial, étnica, política ou religiosa, filiação a sindicatos ou informações sobre vida sexual ou orientação sexual; (v) senhas de contas; ou (vi) outras informações que se enquadrem na definição de "categorias especiais de dados" de acordo com as Leis de Proteção de Dados Aplicáveis.
   • "SCCs" ou "Cláusulas Contratuais Padrão" significam as Cláusulas de Controlador para Processador e as Cláusulas de Controlador para Controlador aprovadas pela Comissão Europeia, implementando a Decisão 2021/914 de 4 de junho de 2021, conforme possa ser alterada periodicamente pela Comissão Europeia.
   • "Subprocessador" significa qualquer entidade contratada pela Collective Brains para fornecer serviços de processamento como parte do processamento de Dados Pessoais pela Collective Brains.
   • "Reino Unido" significa Reino Unido.
   • "UK GDPR" significa o Regulamento da União Europeia 2016/679, conforme implementado pela seção 3 da Lei da União Europeia (Retirada) do Reino Unido de 2018 no Reino Unido.
   • "Adendo do Reino Unido" significa o adendo de transferência internacional de dados para as SCCs do EEE emitido pelo Comissário de Informações para as Partes que fazem Transferências Restritas de acordo com a Lei de Proteção de Dados S119A(1) de 2018.

Os termos "dados pessoais" e "titular dos dados" têm os significados que lhes são atribuídos de acordo com as Leis de Proteção de Dados Aplicáveis ou, se não estiverem definidos, com o GDPR.

2. Funções e relacionamentos.
   • Controlador. Para os fins deste DPA, o usuário é o Controlador dos Dados Pessoais processados pela Collective Brains, agindo em seu nome com relação aos seus Dados Pessoais. O usuário é responsável pelo cumprimento de suas obrigações como Controlador, de acordo com as Leis de Proteção de Dados Aplicáveis que regem o fornecimento de Dados Pessoais à Collective Brains, a fim de fornecer a Plataforma, incluindo, sem limitação, a obtenção de quaisquer consentimentos, o fornecimento de quaisquer avisos ou o estabelecimento da base legal necessária. A menos que especificado no Contrato do Usuário, o usuário não fornecerá à Collective Brains acesso a quaisquer Dados Pessoais que imponham requisitos específicos de proteção de dados maiores do que os acordados no Contrato e neste DPA, e o usuário limitará o acesso da Collective Brains aos Dados Pessoais apenas ao necessário para cumprir suas obrigações nos termos do Contrato.
   • Processador. A Collective Brains é a Processadora e prestadora de serviços com relação aos seus Dados Pessoais, exceto quando o Usuário atua como Processador de Dados Pessoais, caso em que a Collective Brains é a Subprocessadora. A Collective Brains é responsável pelo cumprimento de suas obrigações nos termos das Leis de Proteção de Dados Aplicáveis que se aplicam ao Processamento de Dados Pessoais pela Collective Brains nos termos do Contrato.
   • CCPA. Na medida em que a CCPA se aplica, as Partes reconhecem e concordam que a Collective Brains é uma prestadora de serviços e está recebendo seus Dados Pessoais para fornecer a Plataforma, conforme acordado no Contrato, o que constitui uma finalidade comercial. A Collective Brains não venderá quaisquer Dados Pessoais fornecidos por você nos termos do Contrato.
3. Suas obrigações.
   • Conformidade com as leis aplicáveis. Você (a) cumprirá todas as leis aplicáveis, incluindo, entre outras, as Leis de Proteção de Dados Aplicáveis, (b) garantirá que tem e continuará a ter o direito de transferir ou fornecer acesso aos seus Dados Pessoais para processamento de acordo com o Contrato e (c) será o único responsável pela precisão, qualidade e legalidade dos seus Dados Pessoais e pelos meios pelos quais adquiriu seus Dados Pessoais.
   • Suas instruções. O usuário nomeia a Collective Brains para processar seus Dados Pessoais em seu nome, de acordo com suas instruções documentadas (a) conforme estabelecido no Contrato; (b) conforme necessário para cumprir a legislação aplicável; e (c) conforme acordado de outra forma pelas partes por escrito. As partes concordam que o Contrato do Usuário e este DPA constituem suas instruções documentadas para a Collective Brains com relação ao processamento de seus Dados Pessoais, e qualquer processamento fora do escopo dessas instruções exigirá acordo prévio por escrito entre as partes. O usuário garantirá que suas instruções documentadas relacionadas ao processamento de seus Dados Pessoais pela Collective Brains não farão com que a Collective Brains viole quaisquer leis aplicáveis.
   • Proibição de dados confidenciais. O usuário reconhece que a Plataforma não se destina ao processamento de dados confidenciais e concorda que não fornecerá (ou fará com que sejam fornecidos) quaisquer dados confidenciais à Collective Brains para processamento. A Collective Brains não terá qualquer responsabilidade em relação aos Dados Sensíveis, seja em conexão com uma Violação de Dados Pessoais ou de outra forma. As proteções e obrigações relacionadas aos Dados Pessoais nos termos deste DPA não se aplicam aos Dados Sensíveis. Se você carregar ou transferir quaisquer Dados Confidenciais para a Plataforma, você excluirá imediatamente essas informações. Se você for uma entidade, comunicará essa proibição aos seus usuários, conforme apropriado e aplicável.
4. Obrigações dos cérebros coletivos.
   • Finalidade. A Collective Brains e quaisquer pessoas que atuem sob sua autoridade nos termos deste DPA, incluindo os Subprocessadores, processarão os Dados Pessoais apenas para fins de marketing e fornecimento da Plataforma, e o farão exclusivamente de acordo com suas instruções por escrito, conforme estabelecido na Seção 3.
   • Notificação. A Collective Brains notificará o cliente se tomar conhecimento ou acreditar razoavelmente que uma instrução documentada do cliente não está em conformidade com as Leis de Proteção de Dados Aplicáveis.
   • Confidencialidade. A Collective Brains garantirá que seus funcionários, agentes autorizados e subprocessadores aprovados que concordaram em processar seus Dados Pessoais concordaram em cumprir as obrigações de confidencialidade para proteger seus Dados Pessoais e outros dados fornecidos por você. Não obstante o disposto a seguir, a Collective Brains poderá agregar suas informações, incluindo Dados Pessoais, como parte da Plataforma, a fim de fornecer, proteger e aprimorar os produtos e a Plataforma da Collective Brains, desde que tais informações agregadas não revelem sua fonte.
   • Assistência. A Collective Brains, levando em conta a natureza do processamento e as informações disponíveis para a Collective Brains, fornecerá assistência razoável ao cliente para permitir que ele cumpra suas obrigações de acordo com as Leis de Proteção de Dados Aplicáveis.
   • Exclusão na rescisão. Após a rescisão ou expiração do Contrato, a Collective Brains excluirá todos os seus Dados Pessoais em sua posse ou controle, exceto na medida em que a Collective Brains seja obrigada a reter alguns ou todos os seus Dados Pessoais para cumprir com suas obrigações legais ou na medida em que seus Dados Pessoais estejam arquivados nos sistemas de backup da Collective Brains, cujos Dados Pessoais a Collective Brains protegerá de qualquer processamento posterior e, eventualmente, excluirá de acordo com as políticas de retenção de dados da Collective Brains, exceto na medida exigida pela legislação aplicável.
5. • Autorização geral. A Collective Brains poderá utilizar, e o usuário, por meio deste instrumento, fornece uma autorização geral para que a Collective Brains utilize, Subprocessadores conforme necessário para cumprir suas obrigações nos termos do Contrato, incluindo o Processamento de seus Dados Pessoais, desde que a Collective Brains utilize apenas Subprocessadores que (a) tenham uma necessidade comercial legítima de Processar seus Dados Pessoais para que a Collective Brains cumpra suas obrigações, e (b) estejam obrigados, por escrito, a garantir que o Subprocessador somente acesse e utilize seus Dados Pessoais (i) na medida necessária para cumprir as obrigações subcontratadas e (ii) de acordo com os termos do Contrato.
   • Aprovação de subprocessadores. A Collective Brains não fornecerá, transferirá ou entregará nenhum de seus Dados Pessoais a um Subprocessador, a menos que o usuário tenha aprovado o Subprocessador. Os Subprocessadores aprovados estão identificados no Anexo 1. A Collective Brains informará o cliente pelo menos 10 dias úteis antes de autorizar qualquer novo Subprocessador a acessar os Dados Pessoais. A Collective Brains fornecerá ao usuário informações suficientes para permitir que ele exerça seu direito de contestar o novo Subprocessador, e o usuário terá 30 dias para contestar a alteração dos Subprocessadores Aprovados após a notificação. Caso o usuário não se oponha dentro desse período de 30 dias, será considerado que ele aceitou o novo Subprocessador.

Caso o usuário se oponha ao novo Subprocessador dentro do período de 30 dias, o usuário e a Collective Brains cooperarão de boa fé para resolver sua objeção. O usuário entende e aceita que sua objeção poderá resultar na impossibilidade de a Collective Brains cumprir suas obrigações nos termos do Contrato, na medida em que tais obrigações estejam relacionadas ao Subprocessador relevante, e tal impossibilidade de cumprir suas obrigações não será considerada uma violação deste DPA; desde que, no entanto, caso tal impossibilidade prejudique substancialmente sua capacidade de usar a Plataforma, o usuário poderá rescindir sua conta e o Contrato sem responsabilidade.

• De acordo com o GDPR. Se o GDPR se aplicar ao Processamento de seus Dados Pessoais, (i) as obrigações de proteção de dados descritas neste DPA (conforme referido no Artigo 28(3) do GDPR, se aplicável) também serão impostas ao Subprocessador, e (ii) o contrato da Collective Brains com o Subprocessador incorporará essas obrigações, incluindo detalhes sobre como a Collective Brains e seu Subprocessador se coordenarão para responder a consultas ou solicitações sobre o Processamento de seus Dados Pessoais. Além disso, a Collective Brains compartilhará, a seu pedido, uma cópia de seus contratos (incluindo quaisquer alterações) com seus Subprocessadores. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, a Collective Brains poderá redigir o texto de seu contrato com seu Subprocessador antes de compartilhar uma cópia.
• Responsabilidade civil. A Collective Brains permanece responsável por qualquer processamento de suas Informações Pessoais, incluindo atos ou omissões de quaisquer Subprocessadores. A Collective Brains notificará prontamente o usuário sobre qualquer falha de seus subprocessadores no cumprimento de uma obrigação material prevista no contrato entre a Collective Brains e seu subprocessador com relação aos seus Dados Pessoais.

6. Transferências restritas
   • Autorização. O usuário concorda que a Collective Brains poderá transferir seus Dados Pessoais para fora do EEE, do Reino Unido ou de outro território geográfico relevante, conforme necessário para a prestação do Serviço. Se a Collective Brains transferir os Dados Pessoais do usuário para um território para o qual a Comissão Europeia ou outra autoridade supervisora relevante não tenha emitido uma decisão de adequação, a Collective Brains implementará salvaguardas apropriadas para a transferência dos Dados Pessoais do usuário para esse território, de acordo com as Leis de Proteção de Dados Aplicáveis.
   • Transferências de ex-EEA. Você e a Collective Brains concordam que, se o GDPR proteger a transferência de seus Dados Pessoais, a transferência for de você de dentro do EEE para a Collective Brains fora do EEE, e a transferência não for regida por uma decisão de adequação tomada pela Comissão Europeia, então, ao celebrar este DPA, considera-se que você e a Collective Brains assinaram os EEA SCCs e seus Anexos, que são incorporados por referência. Qualquer transferência desse tipo é feita de acordo com as Cláusulas Contratuais Contratuais Gerais do EEE, que são preenchidas da seguinte forma:
     1. O Módulo Dois (Controlador para Processador) das SCCs do EEE se aplica quando você é um Controlador e a Collective Brains está processando seus Dados Pessoais para você como um Processador.
     2. O Módulo Três (Processador para Subprocessador) das CSCs do EEE se aplica quando você é um Processador e a Collective Brains está processando seus Dados Pessoais em seu nome como um Subprocessador.
     3. Para cada módulo, aplica-se o seguinte (quando aplicável):
        1. A cláusula de acoplamento opcional da Cláusula 7 não se aplica;
        2. Na Cláusula 9, aplica-se a Opção 2 (autorização geral por escrito), e o período mínimo para aviso prévio de alterações no Subprocessador é de 10 dias úteis;

• Na Cláusula 11, a linguagem opcional não se aplica;

1. Todos os colchetes da Cláusula 13 foram removidos;
2. Na Cláusula 17 (Opção 1), as SCCs do EEE serão regidas pelas leis do Estado Membro Regente;
3. Na Cláusula 18(b), as controvérsias serão resolvidas nos tribunais do Estado Membro Regente;

• O Estado governante será a Holanda; e
• As informações exigidas no Anexo I, Anexo II e Anexo III das SCCs do EEE são apresentadas no Anexo 2.

• Transferências para fora do Reino Unido. O Usuário e a Collective Brains concordam que, se o GDPR do Reino Unido proteger a transferência de Dados Pessoais do Usuário, a transferência for do Usuário de dentro do Reino Unido para a Collective Brains fora do Reino Unido, e a transferência não for regida por uma decisão de adequação tomada pelo Secretário de Estado do Reino Unido, então, ao celebrar este DPA, considera-se que o Usuário e a Collective Brains assinaram o Adendo do Reino Unido e seus Anexos, que são incorporados por referência. A legislação que rege as transferências do Reino Unido nos termos desta Seção 6.3 será a legislação da Inglaterra e do País de Gales. Qualquer transferência desse tipo é feita de acordo com o Adendo do Reino Unido, que é preenchido da seguinte forma:
  
  2. A Seção 2.2 deste DPA contém as informações exigidas na Tabela 2 do Adendo do Reino Unido.
  3. A Tabela 4 do UK Addendum é modificada como segue: Nenhuma das partes poderá rescindir o Adendo do Reino Unido conforme estabelecido na Seção 19 do Adendo do Reino Unido; na medida em que a OIC emitir um Adendo Aprovado revisado nos termos da Seção 18 do Adendo do Reino Unido, as Partes trabalharão de boa-fé para revisar este DPA de acordo.
  4. A página de rosto contém as informações exigidas pelo Anexo 1A, Anexo 1B, Anexo II e Anexo III do UK Addendum.
• Outras transferências internacionais. Para as transferências de Dados Pessoais em que a legislação suíça (e não a legislação de qualquer estado membro do EEE ou do Reino Unido) se aplica à natureza internacional da transferência, as referências ao GDPR na Cláusula 4 das SCCs do EEE são, na medida em que for legalmente exigido, alteradas para se referir à Lei Federal de Proteção de Dados da Suíça ou seu sucessor, e o conceito de autoridade supervisora incluirá o Comissário Federal de Proteção de Dados e Informações da Suíça.

7. Segurança
   • Política de segurança. A Collective Brains envidará esforços comercialmente razoáveis para proteger a Plataforma contra acesso, alteração ou uso não autorizado e outras adulterações ilegais (o que precede, a "Política de Segurança").
   • Resposta a incidentes. Ao tomar conhecimento de qualquer Incidente de Segurança, a Collective brains irá: (a) notificará o cliente sem atrasos indevidos, quando possível, mas não mais do que 72 horas após tomar conhecimento de um Incidente de Segurança; (b) fornecerá informações oportunas sobre o Incidente de Segurança à medida que este se tornar conhecido ou for razoavelmente solicitado pelo cliente; e (c) tomará prontamente medidas razoáveis para conter e investigar o Incidente de Segurança. A notificação ou resposta da Collective Brains a um Incidente de Segurança, conforme exigido por este DPA, não será interpretada como reconhecimento da Collective Brains de qualquer falha ou responsabilidade pelo Incidente de Segurança.
8. Auditoria e relatórios
   • Direitos de auditoria. A Collective Brains fornecerá ao usuário todas as informações razoavelmente solicitadas para demonstrar a conformidade com este DPA, e a Collective Brains permitirá e contribuirá com auditorias, incluindo inspeções feitas pelo usuário, para avaliar a conformidade da Collective Brains com este DPA. As solicitações de tais informações podem ser feitas para communications@collectivebrains.com. No entanto, a Collective Brains poderá restringir o acesso a dados ou informações se o seu acesso às informações afetar negativamente os direitos de propriedade intelectual, as obrigações de confidencialidade ou outras obrigações da Collective Brains nos termos da Lei Aplicável. O usuário reconhece e concorda que somente exercerá seus direitos de auditoria nos termos deste DPA e de quaisquer direitos de auditoria concedidos pelas Leis de Proteção de Dados Aplicáveis, instruindo a Collective Brains a cumprir os requisitos de relatório e due diligence abaixo. A Collective Brains manterá registros de sua conformidade com este DPA por 3 anos após o término do DPA.
   • Relatórios de segurança. Mediante solicitação por escrito, a Collective Brains lhe fornecerá, em caráter confidencial, uma cópia resumida de seu Relatório mais atual, se disponível, para que você possa verificar a conformidade da Collective Brains com os padrões definidos na Política de Segurança.
   • Due Diligence de segurança. Além do Relatório, a Collective Brains responderá a solicitações razoáveis de informações feitas por você para confirmar a conformidade da Collective Brains com este DPA, incluindo respostas a questionários de segurança da informação, due diligence e auditoria, ou fornecendo informações adicionais sobre seu programa de segurança da informação. Todas essas solicitações devem ser feitas por escrito e dirigidas ao communications@collectivebrains.com e só pode ser feita uma vez por ano.
9. Coordenação e cooperação
   • Resposta a consultas. Se a Collective Brains receber qualquer consulta ou solicitação de qualquer outra pessoa sobre o processamento de seus Dados Pessoais, a menos que seja proibido pela Lei Aplicável, a Collective Brains o notificará sobre a solicitação e não responderá a ela sem o seu consentimento prévio. Se permitido pela Lei Aplicável, a Collective Brains seguirá suas instruções razoáveis sobre essas solicitações, incluindo o fornecimento de atualizações de status e outras informações razoavelmente solicitadas pelo cliente. Se um titular de dados fizer uma solicitação válida, de acordo com as Leis de Proteção de Dados Aplicáveis, para excluir ou optar por não fornecer seus Dados Pessoais à Collective Brains, a Collective Brains o ajudará a cumprir a solicitação de acordo com a Lei de Proteção de Dados Aplicável. A Collective Brains cooperará com o cliente e lhe prestará assistência razoável, às suas custas, em qualquer resposta legal ou outra ação processual tomada pelo cliente em resposta a uma solicitação de terceiros sobre o processamento de seus Dados Pessoais pela Collective Brains nos termos deste DPA.
   • Avaliações. Se exigido pelas Leis de Proteção de Dados Aplicáveis, a Collective Brains o auxiliará de forma razoável na realização de quaisquer avaliações de impacto de proteção de dados ou avaliações de impacto de transferência de dados e consultas com as autoridades de proteção de dados relevantes, levando em consideração a natureza do Processamento e dos seus Dados Pessoais.
10. Exclusão de seus dados pessoais
    • Exclusão na expiração do DPA.
      1. Após a expiração do DPA, a Collective Brains devolverá ou excluirá, ou fornecerá a você os meios para devolver ou excluir, os seus Dados Pessoais de acordo com as suas instruções, a menos que o armazenamento adicional dos seus Dados Pessoais seja exigido ou autorizado pela Lei Aplicável. Se a devolução ou destruição for impraticável ou proibida pelas Leis Aplicáveis, a Collective Brains envidará esforços razoáveis para impedir o Processamento adicional dos seus Dados Pessoais e continuará a proteger os Dados Pessoais que permanecerem em sua posse, custódia ou controle.
      2. Se as partes tiverem celebrado os EEA SCCs ou o Adendo do Reino Unido como parte deste DPA, a Collective Brains somente fornecerá a você a certificação de exclusão de Dados Pessoais descrita na Cláusula 8.1(d) e na Cláusula 8.5 dos EEA SCCs se você solicitar a certificação.

11. Limitação de responsabilidade
    • Limites de responsabilidade e renúncia a danos. Até o limite máximo permitido pelas Leis de Proteção de Dados Aplicáveis, a responsabilidade cumulativa total de cada parte para com a outra parte decorrente ou relacionada a este DPA estará sujeita às renúncias, exclusões e limitações de responsabilidade estabelecidas no Contrato do Usuário.
    • Reivindicações de partes relacionadas. Quaisquer reivindicações feitas contra você ou suas afiliadas decorrentes ou relacionadas a este DPA podem ser apresentadas somente pela entidade que é parte do Contrato do Usuário.
    • Exceções. Este DPA não limita qualquer responsabilidade perante um indivíduo sobre os direitos de proteção de dados do indivíduo de acordo com as Leis de Proteção de Dados Aplicáveis. Além disso, este DPA não limita qualquer responsabilidade entre as partes por violações das SCCs do EEE ou do Adendo do Reino Unido.
12. Conflitos entre documentos

Este DPA faz parte e complementa o Contrato do Usuário. Se houver alguma inconsistência entre este DPA, o Contrato ou qualquer uma de suas partes, a ordem de precedência será a seguinte: (1) as SCCs do EEE ou o Adendo do Reino Unido, (2) este DPA, (3) o Contrato do Usuário.

13. Termo do DPA

Este DPA entrará em vigor quando o Contrato de Usuário entrar em vigor e continuará em vigor até que o Contrato de Usuário expire ou seja rescindido. No entanto, as partes permanecerão sujeitas às obrigações deste DPA e das Leis de Proteção de Dados Aplicáveis até que o usuário pare de transferir seus Dados Pessoais para a Collective Brains e a Collective Brains pare de processar seus Dados Pessoais.

Anexo A

Subprocessadores aprovados