Adendo de privacidade da lei estadual americana

Este Adendo de privacidade da lei estadual americana ("Adendo") complementa os termos do seu Contrato principal de assinatura, Termos de serviço ou Termos de serviço do cliente revendedor (conforme aplicável, o "Contrato") e define certos direitos e deveres em relação à privacidade de dados, em conexão com certas leis estaduais americanas. Os termos iniciados em maiúscula usados, mas que de alguma forma não tenham aqui uma definição, têm o sentido atribuído a eles no Contrato.

Seção A – Disposições gerais. Esta Seção A do Adendo se aplica ao fornecimento pelo Zoom e uso pelo Cliente dos Serviços desde que o Cliente seja uma Empresa ou um Controlador e o Zoom processe ou esteja processando Informações Pessoais do Cliente ou Dados Pessoais, de acordo com a CCPA ou outras leis de proteção de dados estaduais em vigor.

1. Definições. Conforme utilizado neste Adendo, "Cliente" significa uma Corporação ou controlador que assina os Serviços Zoom. Os termos iniciados em maiúscula usados nesta Seção A, mas que de alguma forma não tenham aqui uma definição, têm o sentido atribuído a eles nas Seções B(1) e C(1), abaixo.
   
   
2. Auditorias e avaliações.
   
   
   1. O Zoom realizará auditorias por meio de terceiros para certificar as seguintes estruturas de trabalho com ISO 27001 e SOC 2 Tipo II:
      
      
      1. O Zoom auditará, anualmente, critérios de segurança, disponibilidade e privacidade, na auditoria SOC-2.
         
         
      2. As auditorias serão realizadas conforme os padrões e regras do órgão regulatório ou de certificação para o controle aplicável padrão ou estrutura de trabalho.
         
         
      3. As auditorias serão realizadas por auditores de segurança qualificados, independentes, de terceiros, conforme seleção do Zoom e às suas custas.
         
         
      4. Cada auditoria resultará na geração de um relatório de auditoria voltado para o cliente ("Relatório de Auditoria do Zoom"), que o Zoom disponibilizará ao Cliente, mediante solicitação, anualmente. O Relatório de Auditoria do Zoom será uma Informação Confidencial do Zoom.
         
         
3. Restrições ao recebimento de informações. Nada neste Adendo deve obrigar o Zoom a divulgar: (a) qualquer dado ou informações de qualquer outro Cliente do Zoom, ou de qualquer terceiro; (b) quaisquer informações internas de contabilidade ou financeiras; (c) qualquer segredo comercial do Zoom; ou (d) quaisquer informações que, segundo a razoável opinião do Zoom poderiam: (i) comprometer a segurança das redes, sistemas ou instalações do Zoom; (ii) fazer com que o Zoom viole sua segurança ou obrigações de privacidade com qualquer terceiro; ou (iii) quaisquer informações solicitadas por qualquer outro motivo, exceto aquelas descritas neste Adendo. O Zoom pode exigir que o Cliente concorde com os termos e condições razoáveis do Zoom (ou do auditor ou avaliador terceirizado) antes de fornecer o Relatório de Auditoria do Zoom ao Cliente.
   
   
4. Exclusão de dados. O Zoom (a), conforme solicitado por Leis de proteção de dados estaduais em vigor, aplicável ao Cliente e conforme instruções do Cliente, excluirá ou devolverá todos os Dados pessoais ao Cliente, no fim do fornecimento dos Serviços ou (b) conforme solicitado pela CCPA, não reterá, usará ou divulgará informações pessoais após a rescisão ou vencimento do relacionamento entre o Cliente e o Zoom. Nada nesta Seção A(4) (Exclusão de dados) exigirá que o Zoom (i) exclua ou devolva dados que deva reter de acordo com as Leis aplicáveis ou (ii) devolva em vez de destruir Dados pessoais na medida em que a devolução não seja tecnicamente viável, ou a devolução imponha encargos, custos ou ambos substanciais ao Zoom.
   
   

Seção B – Califórnia.  Esta Seção B do Adendo se aplica ao fornecimento do Zoom e uso pelo Cliente dos Serviços desde que o Cliente seja uma Empresa e o Zoom esteja processando Informações pessoais em nome do Cliente, de acordo com a CCPA.

1. Definições. Conforme usado na Seção B do Adendo: (a) "CCPA" significa a Lei de privacidade do consumidor da Califórnia, de 2018, conforme alterada pela Lei do direito à privacidade da Califórnia, de 2020, e quaisquer regulamentações promulgadas nesse âmbito; (b) "Empresa", "Finalidade Comercial", "Finalidade Comercial", "Consumidor", "Processamento" "Vender", "Provedor de Serviços" e "Compartilhar" têm os respectivos significados dados na CCPA e (c) "Informações Pessoais" significa "informações pessoais", conforme definido na CCPA, mas apenas até o ponto em que as informações pessoais são coletadas, acessadas, obtidas, recebidas, usadas, divulgadas ou, de qualquer outra forma, processadas pelo Zoom, como resultado do fornecimento de Serviços ao Cliente pelo Zoom, na sua capacidade como uma Empresa, no abrigo do Contrato.
   
   
2. Reconhecimentos e obrigações. O Zoom (a) reconhece que Informações pessoais são divulgadas pelo Cliente apenas para os fins limitados e específicos de fornecer os Serviços descritos em um Formulário de pedido e para os propósitos descritos no Contrato; (b) que deve obedecer às obrigações aplicáveis aos Provedores de Serviço, segundo a CCPA e devem fornecer o mesmo nível de proteção de privacidade das Informações Pessoais, conforme exigido pela CCPA, incluindo a mesma proteção de privacidade que deve ser oferecida por Empresas; (c) concorda que o Cliente pode tomar ações razoáveis e apropriadas consistentes com a Seção A(2) definidas aqui para ajudar a garantir que o uso de Informações Pessoais pelo Zoom esteja consistente com as obrigações do Cliente, conforme a CCPA; (d) deve notificar imediatamente o Cliente sobre qualquer determinação feita pelo Zoom que não pode mais cumprir suas obrigações, de acordo com a CCPA; e (e) concorda que o Cliente pode, desde que mediante notificação, tomar ações razoáveis e adequadas para interromper e remediar o uso não autorizado de Informações Pessoais, de forma consistente e em acordo com regulamentações aplicáveis ao solicitar uma documentação razoável do Zoom que comprove que o Zoom não mais retém ou usa Informações Pessoais que estão sujeitas a uma solicitação de exclusão válida.
   
   
3. Restrições. O Zoom não deve (a) vender ou compartilhar Informações Pessoais; (b) reter, usar ou divulgar quaisquer Informações Pessoais para qualquer fim, exceto para o(s) propósito(s) descrito(s) na Seção B(2)(a), acima, ou onde permitido, de outra forma, pela CCPA, incluindo reter, usar ou divulgar Informações Pessoais para Fins Comerciais, diferentes de tal(is) propósito(s) ou o atendimento a uma Empresa diferente; (c) reter, usar ou divulgar Informações Pessoais fora do escopo comercial direto entre o Zoom e o Cliente, exceto pelo que for permitido pela CCPA; ou (d) combinar as Informações Pessoais recebidas relativas ao Contrato com Informações Pessoais recebidas de outra parte, ou pelas próprias interações do Zoom com o Cliente a quem as Informações Pessoais pertencem, exceto até o ponto em que um Provedor de Serviço for permitido fazê-lo, de acordo com a CCPA. O Zoom certifica que entende suas obrigações sob este Adendo e que irá cumpri-las.
   
   
4. Auditorias, revisões e avaliações. O Cliente, sujeito a exigências razoáveis e contratos escritos, conforme exigido pelo Zoom e consoante com a CCPA e às custas exclusivas do Cliente, pode auditar, revisar ou avaliar o Zoom, não mais do que uma vez a cada 12 meses, de acordo com a Seção A(2) (Auditorias e Avaliações), acima.
   
   
5. Solicitações do consumidor. O Cliente notificará imediatamente o Zoom e fornecerá todas as informações necessárias ao Zoom, após receber e verificar uma solicitação do Consumidor e o Zoom deve imediatamente tomar as ações cabíveis e fornecer tais informações que o Cliente pode ter, de forma razoável solicitado, pertencentes às Informações Pessoais de um Consumidor, para ajudar o Cliente a atender solicitações de indivíduos que desejam exercer seus direitos, de acordo com a CCPA, incluindo, entre outros, solicitações de acesso, correção, exclusão, cancelamento da sua Venda ou Compartilhamento, além de receber informações sobre as Informações Pessoais pertencentes a eles. Se o Zoom receber qualquer solicitação diretamente do(s) Consumidor(es) do Cliente, o Zoom poderá (i) aconselhar o Consumidor a entrar em contato diretamente com o Cliente com tal solicitação ou (ii) entrar em contato com o Cliente para que responda diretamente ao Consumidor.
   
   

Seção C – Virgínia, Colorado, Utah e outros estados. Esta Seção C do Adendo se aplica ao fornecimento pelo Zoom e uso pelo Cliente dos Serviços desde que o Cliente seja um Controlador de Dados Pessoais e o Zoom processe Dados Pessoais do Cliente, de acordo com as leis de proteção de dados estaduais em vigor.

1. Definições. Conforme usado nesta Seção C do Adendo: (a) "Leis de Proteção de Dados Estaduais em Vigor" significa (i) a Lei de Privacidade do Colorado de 2021, a Lei de Proteção de Dados do Consumidor da Virgínia de 2021 ou a Lei de Privacidade do Consumidor de Utah de 2022, conforme alterações, ou (ii) qualquer outra lei estadual americana promulgada com o fim de proteger Dados Pessoais, pelo meio da qual o Cliente seja um Controlador e o Zoom um processador e os termos e condições deste Adendo atendam aos requisitos de tais Leis Estaduais; (b) "Controlador", "Dados Pessoais", "Processar" e "Processador" devem ter os significados respectivos dados a eles nas Leis de proteção de dados em vigor e (c) "Instruções" tem o significado dado abaixo.
   
   
2. Processamento de Dados Pessoais: Funções, Escopo e Responsabilidade.
   
   
   1. As partes reconhecem e concordam com o seguinte: o Cliente é o Controlador dos Dados Pessoais do Cliente. O Zoom é o processador dos dados pessoais do cliente.
      
      
   2. Apenas na medida do que for necessário e proporcional, o Cliente sendo o Controlador, instrui o Zoom a realizar as seguintes atividades como Processador, em nome do Cliente (coletivamente, as "Instruções"):
      
      
      1. Fornecer e atualizar os Serviços, conforme licenciados, configurados e usados pelo Cliente e seus usuários, incluindo pelo uso por parte do Cliente das configurações, controles de administrador ou outras funcionalidades do Serviço do Zoom;
         
         
      2. Proteger e monitorar os Serviços em tempo real;
         
         
      3. Resolver problemas, bugs e erros;
         
         
      4. Fornecer suporte solicitado pelo Cliente, incluindo usar conhecimento conquistado em solicitações individuais do suporte ao cliente para beneficiar todos os clientes do Zoom, desde que esse conhecimento seja anonimizado; e
         
         
      5. processar Dados Pessoais do Cliente, conforme definido no Contrato (incluindo este Adendo e a Peça A aqui presentes), assim como qualquer outra instrução documentada fornecida pelo Cliente e reconhecida pelo Zoom como instruções constituídas.
   3. Na medida em que o Zoom atuar como Processador de Dados Pessoais do Cliente, ele processará esses dados exclusivamente de acordo com as instruções fornecidas pelo Cliente. O Cliente deve garantir que suas instruções ao Zoom estejam em conformidade com todas as leis, normas e regulamentos aplicáveis relacionados aos Dados Pessoais do Cliente, e que o processamento desses dados, conforme instruído pelo Cliente, não resultará em violação, por parte do Zoom, das Leis Estaduais de Proteção de Dados Aplicáveis. O Cliente é o único responsável pela exatidão, qualidade e legalidade: (i) dos Dados Pessoais do Cliente fornecidos ao Zoom por ele ou em seu nome; (ii) da forma como tais dados foram adquiridos; e (iii) das instruções fornecidas ao Zoom quanto ao processamento desses Dados Pessoais. O Cliente não deve fornecer nem disponibilizar ao Zoom quaisquer Dados Pessoais do Cliente em violação ao Contrato ou a este Adendo.
      
      
   4. O Cliente autoriza o Zoom a realizar o rastreamento e denúncia de Dados Pessoais em circunstâncias específicas (por exemplo, para detectar e denunciar Material de abuso sexual de crianças e adolescentes, para obedecer outras leis em vigor; para garantir a conformidade com as Diretrizes de uso aceitável do Zoom).
      
      
3. Pessoas autorizadas. O Zoom deve garantir que todas as pessoas autorizadas a processar Dados Pessoais do Cliente tenham ciência da natureza confidencial dos Dados Pessoais do Cliente e do seu dever de confidencialidade em relação a estes dados.
   
   
4. Subcontratantes e Subprocessadores. Visto que o Zoom é um Processador, o Cliente autoriza de forma geral, por meio deste, que o Zoom contrate subprocessadores e subcontratantes de acordo com esta Seção C(4).
   
   
   1. O Cliente aprova o uso pelo Zoom dos fornecedores listados em https://www.zoom.com/en/trust/subprocessors/ para processar os Dados Pessoais do Cliente.
      
      
   2. A Zoom pode remover, substituir ou nomear fornecedores adicionais. Desde que o Cliente se inscreva para receber atualizações em https://www.zoom.com/en/trust/subprocessors/, a Zoom notificará o Cliente sobre quaisquer alterações nesses compromissos de fornecedores. Quando exigido pelas Leis Estaduais de Proteção de Dados Aplicáveis, a Zoom também oferecerá ao Cliente a oportunidade de se opor ao compromisso, de acordo com as Seções C(4)(d) e C(4)(e) aqui mencionadas.
      
      
   3. Em caso de emergência a respeito de disponibilidade ou segurança dos Serviços, o Zoom não tem a obrigação de fornecer uma notificação prévia ao Cliente em relação à exclusão, substituição ou nomeação de subcontratantes, porém deve fornecer tal notificação no prazo de sete (7) dias úteis, após a alteração de um subcontratante.
      
      
   4. Também neste caso, o Cliente pode contestar, por escrito, a contratação de um subcontratante, no prazo de quinze (15) dias úteis a contar do recebimento do aviso dado pelo Zoom, mencionado previamente.
      
      
   5. Caso o cliente conteste a contratação de um novo subcontratante, o Zoom deve ter o direito de solucionar a contestação por meio de uma das seguintes opções (a ser escolhida exclusivamente a critério do Zoom):
      
      
      1. O Zoom pode cancelar seus planos de usar o subcontratante em relação aos Dados Pessoais do Cliente.
         
         
      2. O Zoom pode realizar ações corretivas solucionadas pelo Cliente na sua contestação (tornando nula a contestação do Cliente) e avançar para usar o subcontratante em relação aos Dados Pessoais do Cliente.
         
         
      3. O Zoom pode deixar de fornecer, ou o Cliente pode concordar em não utilizar (temporária ou permanentemente), o aspecto específico do Serviço que envolveria o uso desse subcontratado em relação aos Dados Pessoais do Cliente. O Zoom fornecerá ao Cliente uma descrição por escrito das alternativas comercialmente razoáveis, se houver, para tal contratação, incluindo, entre outras, modificações nos Serviços. Se o Zoom, a seu exclusivo critério, não puder fornecer tais alternativas, ou se o Cliente não concordar com as alternativas apresentadas, o Zoom e o Cliente poderão rescindir o Contrato, incluindo este Adendo, mediante aviso prévio por escrito com sessenta (60) dias de antecedência. A rescisão não isenta o Cliente de quaisquer taxas ou encargos devidos ao Zoom pelos Serviços prestados até a data efetiva da rescisão, conforme os termos do Contrato.
         
         
      4. Caso o Cliente não faça objeções à contratação de um novo subcontratante no prazo de quinze (15) dias úteis da publicação do aviso pelo Zoom, aquele novo subcontratante deve ser considerado aceito.
         
         
   6. O Zoom deverá contratar qualquer subcontratado que processe os Dados Pessoais do Cliente apenas por meio de um contrato escrito, exigindo que o subcontratado cumpra todas as obrigações do Zoom que lhe forem atribuídas em relação a esses Dados Pessoais. O Zoom continua sendo responsável perante o Cliente se tal subcontratante não cumprir suas obrigações de proteção de dados, em relação ao desempenho das obrigações deste subcontratante, na mesma medida que o Zoom seria ele mesmo responsável, de acordo com este Adendo, caso tivesse incorrido em tais atos ou omissões.
      
      
5. Segurança da informação. Levando em conta o contexto do Processamento, o Zoom deve manter medidas técnicas e organizacionais adequadas em relação aos Dados Pessoais do Cliente para garantir um nível de segurança adequado ao risco, de acordo com este Adendo e assim como, de qualquer outra forma, declarado neste Contrato.
   
   
6. Informações de conformidade. Mediante a solicitação razoável do Cliente, o Zoom deve disponibilizar ao Cliente, informações razoáveis, consistentes e de acordo com a legislação em vigor, em posse do Zoom, necessárias para demonstrar a conformidade do Zoom com suas obrigações neste Adendo.

Anexo A

Descrição de processamento

Controlador para Processador

Natureza e objetivo do processamento: o Zoom processará Dados Pessoais do Cliente para os seguintes objetivos, de acordo com o Contrato (incluindo este Adendo):

• Fornecer e atualizar os Serviços, conforme licenciados, configurados e usados pelo Cliente e seus usuários, incluindo pelo uso por parte do Cliente das configurações, controles de administrador ou outras funcionalidades do Serviço do Zoom;
  
  
• Proteger e monitorar os Serviços em tempo real;
  
  
• Resolver problemas, bugs e erros;
  
  
• Fornecer suporte solicitado pelo Cliente, incluindo usar conhecimento conquistado em solicitações individuais do suporte ao cliente para beneficiar todos os clientes do Zoom, desde que esse conhecimento seja anonimizado;
  
  
• Conforme definido no Contrato e/ou neste Adendo, ou qualquer outra instrução documentada fornecida pelo Cliente e reconhecida pelo Zoom como instruções constituídas; e
  
  
• Conforme necessário para cumprir as obrigações legais.
  
  

Tipo de dados pessoais a serem processados:

Informações do perfil da conta Zoom: dados associados com a conta Zoom do usuário final, foto de perfil, senha, nome da empresa e preferências do Cliente. Isso incluirá:

• ID de usuário exclusiva do Zoom,
  
  
• foto do perfil (opcional)
  
  

Dados de diagnóstico:

Metadados da reunião: métricas sobre utilização do Serviço, incluindo quando e como as reuniões foram realizadas).

Esta categoria inclui:

• logs de evento (incluindo ação tomada, tipo e subtipo de evento, localização do evento no aplicativo, carimbo de data e hora, UUID do cliente, ID do usuário e ID da reunião)
  
  
• informações de sessão da reunião, incluindo frequência, duração média e atual, quantidade, qualidade, atividade de rede e conectividade de rede
  
  
• número de reuniões
  
  
• número de sessões com e sem compartilhamento de tela
  
  
• número de participantes
  
  
• informações do anfitrião da reunião
  
  
• nome do anfitrião
  
  
• URL do site da reunião
  
  
• hora de início/término da reunião
  
  
• método de entrada
  
  
• informações de desempenho, resolução de problema e diagnósticos
  
  

Dados de telemetria: dados coletados de software instalado localmente (informações dos aplicativos e do navegador sobre a implantação dos Serviços Zoom, além do ambiente e informações de sistemas relacionados. Isso inclui:

• nome do computador
  
  
• microfone
  
  
• orador
  
  
• câmera
  
  
• domínio
  
  
• ID do disco rígido
  
  
• tipo de rede
  
  
• tipo e versão do sistema operacional
  
  
• versão do cliente
  
  
• endereço MAC
  
  
• logs de evento (incluindo ação tomada, tipo e subtipo de evento, localização do evento no aplicativo, carimbo de data e hora, UUID do cliente, ID do usuário e ID da reunião)
  
  
• logs de serviço (informações sobre eventos e estados do sistema)
  
  

Outros dados gerados pelo serviço:

• identificação de spam
  
  
• notificações push
  
  
• Identificadores exclusivos persistentes do Zoom, tais como UUID ou IDs de usuários combinados com outros dados, incluindo:
  
  
• endereço IP
  
  
• Datacenter
  
  
• nome do computador
  
  
• Microfone
  
  
• Palestrante
  
  
• Câmera
  
  
• Domínio
  
  
• ID do disco rígido
  
  
• Tipo de rede
  
  
• Tipo e versão do sistema operacional
  
  
• Versão do Cliente
  
  
• Endereços IP com o caminho de rede
  
  

Dados de suporte:

• Nome de contato do solicitante do chamado de suporte, horário, assunto, descrição do problema, feedback após reunião (polegar para cima ou para baixo)
  
  
• Anexos fornecidos pelo usuário, incluindo gravações, transcrições ou capturas de tela, feedback após reunião (texto livre fornecido com polegar para baixo
  
  

Duração do processamento: o prazo do Contrato adicionado ao período necessário para o Zoom excluir ou devolver todos os Dados Pessoais do Cliente, processados em nome do Cliente.

Atualizações

O Zoom pode alterar ou complementar este Adendo de Privacidade periodicamente. Quaisquer modificações serão publicadas neste local. Caso deseje receber notificações sobre alterações ou complementos a este Adendo de Privacidade, insira seu endereço de e-mail na caixa de texto abaixo.