Este adendo ("Adendo") à Lei de Resiliência Operacional Digital ("DORA") foi criado para documentar a conformidade com o REGULAMENTO (UE) 2022/2554 DO PARLAMENTO EUROPEU E DO CONSELHO de 14 de dezembro de 2022 sobre resiliência operacional digital para o setor financeiro e que altera os Regulamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 e (UE) 2016/1011.
Este adendo entrará em vigor na data de assinatura por ambas as partes.
No caso de qualquer inconsistência ou conflito entre as disposições deste Adendo e as disposições de qualquer outro documento referenciado no Contrato, os termos deste Adendo prevalecerão na medida de tal inconsistência ou conflito.
Acordo - significa a Confirmação do Pedido, Termos e Condições, Contrato de Processamento de Dados, Adendo DORA e os Contratos de Nível de Serviço acordados entre a Formalize e o Cliente.
Serviços de TIC - tem o significado prescrito no artigo 3 da DORA.
Dados pessoais - significa qualquer informação conforme definida no Artigo 4.1 do Regulamento Geral de Proteção de Dados (UE) 2016/679.
Processador - tem o significado prescrito no Artigo 4.8 do Regulamento Geral de Proteção de Dados (UE) 2016/679.
Serviços - significa os serviços fornecidos ao Cliente pela Formalize nos termos do Contrato.
Subcontratação - significa o uso de subcontratados pela Formalize para cumprir suas obrigações e entregar seus Serviços sob o Contrato e este Adendo.
O Cliente é uma entidade que se enquadra no Escopo da DORA, conforme definido no Artigo 2.º da DORA e/ou na sua legislação nacional implementadora.
A Formalize se compromete a fornecer ao Cliente Serviços que constituem Serviços de TIC conforme definido pela DORA. O propósito deste Adendo é garantir que esses requisitos e padrões sejam incluídos no Contrato.
Para os fins deste Adendo, as Partes assumem que a Formalize ApS está dando suporte às funções comerciais importantes ou críticas do Cliente.
Uma descrição clara e completa de todas as funções e serviços de ICT a serem fornecidos pela Formalize pode ser encontrada nos Termos e Condições que são parte deste Contrato. Esses Serviços de ICT serão considerados como serviços de Nuvem: SaaS.
O Cliente tem o dever de identificar quais desses serviços estão dando suporte às funções comerciais importantes ou críticas do Cliente.
O Cliente tem o direito de monitorar o desempenho da Formalize em conexão com o Contrato e os níveis de serviço acordados de forma contínua. Para esse fim, o Cliente tem direito a:
Para facilitar o exercício desses direitos, a Formalize fornecerá ao Cliente certificações de terceiros, relatórios de auditoria interna e externa. Eles estarão disponíveis a qualquer momento no centro de confiança da Formalize, conforme explicado abaixo em 4.3. Relatórios.
Além disso, o Cliente terá o direito de solicitar, com uma frequência razoável e legítima do ponto de vista de gerenciamento de risco, modificações no escopo das certificações ou relatórios de auditoria para outros sistemas e controles relevantes e o direito contratual de realizar auditorias individuais e coletivas a seu critério com relação aos acordos contratuais e executar esses direitos de acordo com a frequência acordada.
A Formalize concorda em notificar o Cliente, sem demora injustificada, por escrito, sobre quaisquer desenvolvimentos que possam ter um impacto material na capacidade da Formalize de executar efetivamente os Serviços em conformidade com:
A Formalize passa por auditorias anuais e, como parte das certificações e relatórios obtidos e renovados, o plano de contingência de negócios é revisado e testado. A Formalize realiza ainda, para manter as certificações e relatórios acima mencionados, um teste semestral do plano de Recuperação de Desastres. Além disso, a Formalize realiza um teste de penetração anual realizado por uma terceira parte independente. Os resultados desses exercícios são publicados na página da web da Formalize no Trust Center.
O Cliente tem o direito de exigir que a Formalize forneça relatórios (incluindo relatórios de auditoria interna ou externa), conforme apropriado, quando tais relatórios indicarem a incapacidade da Formalize de executar efetivamente os Serviços de acordo com os requisitos estabelecidos nesta Cláusula.
O Cliente tem a responsabilidade de fornecer à Formalize e manter atualizado um correio específico onde serão fornecidas as comunicações relacionadas com a DORA.
Os incidentes serão gerenciados e comunicados ao Cliente conforme descrito no Contrato de Nível de Serviço.
A Formalize fornecerá ao Cliente toda a assistência necessária no caso de um Incidente decorrente ou relacionado aos Serviços.
Qualquer assistência relacionada a um Incidente Relacionado a TIC será fornecida pela Formalize gratuitamente, a menos que acordado de outra forma entre as Partes.
A Formalize pode usar subcontratados para executar parte dos Serviços ("Subcontratação" para um "Parceiro Subcontratante").
Com relação aos Serviços subcontratados, localização, extensão da cadeia de fornecimento, natureza dos dados, subcontratante e locais dos serviços (processamento e armazenamento de dados), essas informações podem ser encontradas no formulário Formalizar - DORA - Dados do fornecedor e no Contrato de Processamento de Dados, fornecidos juntamente com este Adendo.
Caso a Formalize utilize Parceiros Subcontratados para executar parte dos serviços, a Formalize reconhece e concorda:
A Formalize fornece no Contrato de Processamento de Dados uma visão geral atualizada dos locais (países) onde os Serviços subcontratados são fornecidos e onde os dados são processados, incluindo o local de armazenamento.
A Formalize deverá informar o Cliente sobre quaisquer alterações nos locais onde as funções e Serviços subcontratados são fornecidos.
A Formalize implementou medidas técnicas e organizacionais adequadas, considerando o estado atual do desenvolvimento tecnológico e as medidas disponíveis, incluindo, entre outras, conforme apropriado:
Não obstante qualquer disposição em contrário, durante o prazo do Contrato, o Cliente terá o direito de acessar os dados pertencentes ao Cliente, a qualquer momento, de maneira consistente com a funcionalidade dos Serviços.
Em caso de insolvência ou descontinuação das operações comerciais da Formalize, o Cliente terá acesso irrestrito aos dados pertencentes ao Cliente.
A prestação de Serviços pela Formalize inclui o processamento dos Dados Pessoais do Cliente no âmbito do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção de pessoas singulares no que diz respeito ao processamento de Dados Pessoais e à livre circulação desses dados ("Regulamento Geral de Proteção de Dados"); para esse fim, as Partes celebraram um Contrato de Processamento de Dados separado que estabelece responsabilidades e obrigações com relação a esse processamento de Dados Pessoais.
Quando apropriado, e pelo menos uma vez por ano, formalize a participação do pessoal em programas de conscientização sobre segurança.
Os funcionários relevantes da Formalize podem ser solicitados a participar dos programas de conscientização sobre segurança de TIC e treinamento de resiliência operacional digital do Cliente se o Cliente considerar que o conteúdo dos programas de conscientização da Formalize não é suficiente para os propósitos da DORA.
Quando os programas e treinamentos tiverem impacto nas atividades comerciais normais da Formalize, a Formalize tem o direito de cobrar uma taxa determinada ex ante pela disponibilidade dos funcionários.
O prazo deste Adendo começa na data de sua assinatura e continua em pleno vigor e efeito até (i) a data em que o Contrato ativo expirar ou for rescindido de acordo com os termos do Contrato; (ii) a data em que o Contrato ativo for rescindido de acordo com as disposições deste Adendo; ou (iii) a data em que o Cliente não for uma empresa sujeita à DORA.
Além dos direitos de rescisão do Cliente, conforme estabelecido nos Termos e Condições, o Cliente pode rescindir um Contrato mediante:
Com relação aos direitos de rescisão descritos nas cláusulas a, b e c, o Cliente deverá fornecer à Formalize um aviso prévio por escrito de pelo menos 15 dias, que servirá como um período de cura para a Formalize remediar a violação, risco ou fraqueza identificada para a satisfação razoável do Cliente. Se a Formalize não resolver adequadamente o problema dentro do período de cura, o Cliente poderá rescindir o Contrato com efeito imediato.
Para rescisão nos termos da cláusula d, o Contrato será considerado rescindido imediatamente mediante notificação por escrito do Cliente, sem a necessidade de um período de correção.
A rescisão nos termos desta cláusula não prejudicará quaisquer outros direitos ou recursos disponíveis ao Cliente nos termos do Contrato ou da lei aplicável.
A intenção desta seção (doravante denominada "Plano de Saída") é fornecer clareza sobre um período de transição adequado para casos em que o Contrato foi ou foi rescindido (ou em breve será rescindido). O Plano de Saída prevê medidas para garantir uma transição suave e oportuna, por meio da qual a Formalize é obrigada a cooperar totalmente com a saída.
O Plano de Saída começa 30 dias antes do término do contrato.
Saída suave - 30 dias antes das rescisões
A partir deste dia, e pelos 30 dias seguintes, o Cliente ainda tem acesso aos Serviços, todos os aplicativos e todos os dados armazenados, o Cliente deve aproveitar a oportunidade para extrair os dados relevantes da infraestrutura da Formalize. Durante este prazo, o Cliente terá que comunicar à Formalize qualquer outra informação que não pôde ser extraída para permitir que o Cliente migre para outro provedor de serviços de terceiros de TIC ou mude para soluções internas consistentes com a complexidade do serviço fornecido.
Durante a fase de Soft Exit, o Cliente assume a responsabilidade de iniciar todas as atividades de exportação de dados. A Formalize dará suporte ao Cliente na exportação dos itens listados em Data acima.
Saída forçada - Exclusão de dados - Dias 1 a 30 após o término
Após a Soft Exit Phase, a Formalize revisará e garantirá a remoção de todos os dados do Cliente de sua infraestrutura. Essa remoção ocorrerá dentro de 30 dias após a conclusão da Soft Exit Phase, após o qual as informações serão retidas em armazenamento de backup por 90 dias.
Após a Soft Exit Phase, a Formalize revisará e garantirá a remoção de todos os dados do Cliente de sua infraestrutura. Essa remoção ocorrerá dentro de 30 dias após a conclusão da Soft Exit Phase, após o qual as informações serão retidas em armazenamento de backup por 90 dias.
Durante a Fase de Saída Dura, a Formalize é responsável pela exclusão final de todos os dados do Cliente de sua infraestrutura e por informar o Cliente por escrito sobre a conclusão do Plano de Saída.
Cooperação com a saída:
A Formalize se obriga a cooperar integralmente na execução da saída e a realizar todos os trabalhos necessários, observados os limites abaixo estabelecidos.
Os serviços da Formalize podem continuar após a data de término e continuar até que a transição para um novo provedor de serviços ou sistema esteja totalmente concluída. O Cliente deverá informar a Formalize sobre sua intenção de continuar acessando o Sistema. Esta notificação deverá ser feita antes da data de término e as partes concordarão com um acordo provisório por um período entre 6 meses a 1 ano, os custos do acordo provisório podem refletir um aumento de preço de no máximo 10% em relação ao Acordo anterior.
Atualização do Plano de Saída:
O Plano de Saída pode ser atualizado e revisado anualmente mediante solicitação por escrito do Cliente em consulta com a Formalize, incluindo um custo e cronograma.
Qualquer solicitação feita pelo Cliente sob este Adendo deve:
Na medida em que houver qualquer conflito ou inconsistência entre este Adendo e os termos do Contrato, este Adendo prevalecerá.
Alterações ao Contrato ou Adendo somente poderão ser acordadas entre as Partes por escrito.
Este Adendo é regido pela Lei Nacional Dinamarquesa e os Regulamentos Europeus aplicáveis fazem referência aqui, à DORA e aos regulamentos delegados relacionados.
Se o tribunal declarar os artigos deste Adendo inválidos, os outros artigos permanecerão totalmente em vigor.
As disposições deste Adendo são baseadas no Digital Operational Resilience Act (DORA), Atos Delegados relacionados, Implementing Technical Standards (ITS) e Regulatory Technical Standards (RTS). No caso de qualquer um desses instrumentos legais ser alterado ou revogado, e qualquer disposição deste Adendo não for mais refletida ou exigida sob a estrutura regulatória aplicável, tal disposição deixará de se aplicar. No entanto, as disposições restantes deste Adendo continuarão em pleno vigor e efeito, a menos que acordado de outra forma pelas partes.
