DOMCE 17/07/2024 - Diário Oficial dos Municípios do Ceará
Ceará , 17 de Julho de 2024 • Diário Oficial dos Municípios do Estado do Ceará • ANO XV | Nº 3504
www.diariomunicipal.com.br/aprece 12
eletrônico, internet banking, app e open banking) com requisição
automática no SISTEMA ECONSIG. Para operações efetuadas via
API, a obtenção do consentimento expresso e inequívoco do servidor
será de responsabilidade exclusiva das CONSIGNATÁRIAS.
Para operações realizadas via API é exigido das consignatárias pela
COMODANTE o uso de um canal seguro para a troca de dados com
proteção de tráfego através de recursos criptográficos e validação
obrigatória de IP ou endereço de acesso (DDNS) de origem, para
garantir que a requisição está partindo do sistema interno das
Consignatárias.
Parágrafo Único - Caso o COMODATÁRIO deseje avaliar a
adoção de outros parâmetros de segurança no SISTEMA ECONSIG
para consultas, reservas de margem e averbações em Folha de
Pagamento efetuadas via API, o mesmo deverá requisitar por escrito
para juridico@zetrasoft.com.br.
Cláusula oitava – da proteção e tratamento de dados 8
As partes se comprometem a cumprir integralmente a Lei Geral de
Proteção de Dados (Lei 13.709/2018) e demais dispositivos legais
correlatos. Nos termos do artigo 5o da referida lei (que pode ser
conferido no seguinte LINK: https://www.zetra.com.br/documentos-
juridicos),
o
COMODATÁRIO
atua
na
qualidade
de
CONTROLADOR dos dados pessoais de seus servidores e a
COMODANTE como OPERADORA.
Parágrafo Primeiro – Da Especificação dos Dados: Para os
serviços estipulados no presente contrato, a OPERADORA processa
dados indispensáveis ao funcionamento da aplicação, como nome e
CPF, valor da margem consignável e outros dados referentes ao
servidor, repassados pela folha de pagamento.
Parágrafo Segundo – Dos Requisitos para Tratamentos dos Dados
Pessoais: A OPERADORA se compromete a realizar o tratamento
dos dados pessoais disponibilizados pelo CONTROLADOR ao qual
terá acesso exclusivamente para cumprimento das finalidades
previstas no Contrato pactuado com o CONTROLADOR e/ou para
atender às suas instruções específicas, bem como, caberá ao
CONTROLADOR assegurar que o Titular entenda o propósito do
tratamento e obter o consentimento de seus Servidores, doravante
denominados Titulares de dados, caso o referido tratamento de dados
não se enquadre nas hipóteses previstas na Lei nº 13.709/18 não
podendo, a OPERADORA desse modo, utilizar os dados tratados
para finalidades diversas daquelas decorrentes da execução do objeto
contratado.
Parágrafo Terceiro – Da Não Divulgação dos Dados Pessoais: A
OPERADORA se compromete a não divulgar os dados pessoais aos
quais tiver acesso em decorrência do Contrato assinado entre as
Partes, salvo nos casos previstos neste, em auditorias e onde for
necessário por exigência legal por parte de autoridade reguladora e/ou
ordem judicial, sendo que para os dois últimos, deverá cientificar no
menor prazo possível o CONTROLADOR.
Parágrafo Quarto – Do Não Compartilhamento de Dados com
Empresas Terceiras: A OPERADORA se compromete a não
compartilhar os dados pessoais com empresas terceiras, exceto nos
casos já previstos neste contrato e inerentes ao seu objeto, como com
as consignatárias para consulta de margem dos servidores, averbação
de contratos e conciliação financeira; para auditorias e para
cumprimento de ordens judiciais, ressalvada também a a hipótese de
hospedagem de dados, onde a OPERADORA se compromete a
manter os dados em território nacional, em data centers por ela
contratados, cuja relação de nomes e localidades poderá ser solicitada
à OPERADORA, através dos e-mails lgpd@zetrasoft.com.br ou
dpo@zetrasoft.com.br. Para qualquer outra hipótese, incluindo
subcontratações, (total ou parcial), fica a OPERADORA obrigada a
solicitar a autorização prévia, expressa e específica por parte do
CONTROLADOR.
Parágrafo Quinto – Dos Controles de Segurança: As partes se
comprometem a implementar todas as medidas técnicas e
organizacionais cabíveis para prover um nível de segurança adequado
frente aos riscos inerentes ao tratamento de dados pessoais objeto do
referido contrato.
A OPERADORA se compromete a armazenar os dados tratados em
banco de dados seguro, com acesso restrito, registro de todas as
operações realizadas no sistema (log), adoção de controles
criptográficos no armazenamento e tráfego de dados, execução de
testes de intrusão periódicos, adoção de controles de acesso lógico
com segregação de funções, execução de backups e manutenção de
um Plano de Continuidade de Negócios englobando o objeto do
contrato, entre outros controles recomendados por normas padrão
ISO.
Parágrafo
Sexto
–
Da
Realização
de
Auditorias:
O
CONTROLADOR poderá, mediante aviso prévio e acordo entre as
partes, realizar auditorias nos processos da OPERADORA para
verificar a conformidade do tratamento dos dados pessoais pertinentes
ao objeto do referido contrato, conforme determinado pela Lei nº
13.709/18
e
observando
os
requisitos
definidos
pelo
CONTROLADOR.
Parágrafo Sétimo – Do Dever de Exclusão e Devolução dos Dados
Pessoais: Uma vez encerrada a relação contratual entre as partes, a
OPERADORA se compromete a fornecer ao CONTROLADOR, no
prazo máximo de 90 (noventa) dias úteis, todos os dados pessoais por
ela armazenados/tratados, bem como a eliminá-los nos termos do art.
16 da Lei nº 13.709/18.
Parágrafo Oitavo – Do Incidente de Segurança: Em caso de
situações acidentais envolvendo o tratamento dos dados pessoais, a
parte que primeiro identificar o incidente referente ao objeto do
contrato deverá comunicar formalmente à outra fornecendo as
informações que tiverem em relação à ocorrência.
Caso o incidente seja identificado pela OPERADORA e envolva
dados e operações sob sua responsabilidade que resulte em perda,
divulgação ilícita ou alteração dos referidos dados, a OPERADORA
se compromete a, no período máximo de 01 (um) dia útil após a
descoberta do incidente: i) notificar o CONTROLADOR do
ocorrido; ii) investigar o Incidente de Segurança e fornecer relatório
com as informações referenciadas no parágrafo 1º do art. 48 da Lei nº
13.709/18, bem como, informar as medidas que foram ou que serão
adotadas para reverter ou mitigar os efeitos do prejuízo.
Parágrafo Nono – Da Responsabilidade Solidária por Violação à
LGPD: Quando descumprir as obrigações da legislação de proteção
de dados ou quando não tiver seguido as instruções lícitas do
CONTROLADOR,
a
OPERADORA
será
solidariamente
responsável pelos danos comprovadamente causados, nos termos do
art. 42, §1º, I, da Lei nº 13.709/18, salvo nos casos de exclusão
previstos no art. 43 da Lei nº 13.709/18, garantido às Partes o direito
de regresso na forma da lei.
Parágrafo Décimo – Da Violação de Instruções: A OPERADORA
se declara ciente de que qualquer violação às disposições do presente
Termo é considerada uma violação do Contrato pactuado pelas partes,
sujeitando-se a todas as penalidades cabíveis, sem prejuízo das
cominações legais aplicáveis a cada caso.
Parágrafo Décimo Primeiro – Do apoio ao Atendimento das
Solicitações dos Titulares de Dados Pessoais: A OPERADORA se
compromete, quando necessário e dentro de suas limitações
pertinentes
ao
objeto
do
referido
contrato,
à
auxiliar
o
CONTROLADOR em relação à requisição dos Titulares de dados
pessoais nos termos do art.
18 da Lei nº 13.709/18.
Parágrafo Décimo Segundo – Da gestão e Monitoramento de
Acesso Lógico: A OPERADORA disponibiliza no Sistema os
recursos necessários para que o CONTROLADOR realize o
monitoramento e a gestão de controle de acesso lógico de seus
Servidores/Colaboradores, incluindo relatórios de conferência de
cadastros, de ocorrência de operações e de auditorias, entre outras
funcionalidades, sendo o CONTROLADOR, responsável pela
definição, criação, exclusão, alteração, bloqueios e desbloqueios de
perfis e usuários que terão acesso ao Sistema.
Fechar