Versão: 1 Data: [12 de março de 2026] Este Adendo de Processamento de Dados, incluindo os anexos a ele ("DPA"), está incorporado ao Contrato Principal de Serviços e aos Pedidos Individuais (juntos, o "Contrato") que são celebrados entre o senhor ("Cliente" ou "Controlador") e a Doodle AG com o endereço comercial de Werdstrasse 21, 8004 Zurique, Suíça (juntamente com quaisquer subsidiárias e entidades afiliadas, coletivamente "Doodle" ou "Processadora") e estabelece termos adicionais que se aplicam na medida em que qualquer informação que o senhor forneça à Doodle nos termos do Contrato inclua Dados Pessoais (conforme definido abaixo).

A. "CCPA" significa a Lei de Privacidade do Consumidor da Califórnia (California Consumer Privacy Act of 2018, Cal. Civ. Code § [1798.100 - 1798.199.100]) e seus regulamentos de implementação, cada um conforme possa ser alterado periodicamente, incluindo, sem limitação, a Lei de Direitos de Privacidade da Califórnia de 2020.

B. "Estrutura(s) de Privacidade de Dados " significa, conforme aplicável, a Estrutura de Privacidade de Dados UE-EUA, a Extensão do Reino Unido para a Estrutura de Privacidade de Dados UE-EUA e a Estrutura de Privacidade de Dados Suíça-EUA desenvolvida pelo Departamento de Comércio dos EUA e pela Comissão Europeia, Governo do Reino Unido e Administração Federal Suíça, permitindo que as organizações sediadas nos EUA que participam dessas Estruturas de Privacidade de Dados recebam Dados Pessoais da União Europeia/Espaço Econômico Europeu, Reino Unido e Gibraltar e Suíça em conformidade com as Leis de Proteção de Dados aplicáveis nessas regiões.

C. "Leis de Proteção de Dados " significa todas as leis federais, estaduais e estrangeiras aplicáveis de proteção de dados, privacidade e segurança de dados, bem como regulamentos aplicáveis e diretivas formais que, por sua natureza, pretendem ter força de lei, todas emendadas de tempos em tempos e, quando se referirem ao processamento de Dados Pessoais pelo Processador, na medida diretamente aplicável a esse processamento, incluindo, sem limitação, as Leis de Proteção de Dados da UE, as Leis de Proteção de Dados do Reino Unido, as Leis de Proteção de Dados da Suíça, a Lei de Privacidade de 1988, a Lei de Proteção de Informações Pessoais e Documentos Eletrônicos e a CCPA.

D. "Titular dos Dados" significa o indivíduo ou consumidor a quem os Dados Pessoais se referem.

E. "Solicitação do Titular dos Dados" significa uma solicitação feita por um Titular dos Dados para exercer os direitos concedidos pelas Leis de Proteção de Dados com relação aos Dados Pessoais do Titular dos Dados.

F. "Leis de Proteção de Dados da UE" significa o GDPR juntamente com qualquer legislação ou regulamentação de implementação aplicável, bem como as leis da União Europeia ou dos Estados Membros, conforme alteradas periodicamente.

G. "GDPR" significa o Regulamento Geral de Proteção de Dados (Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas físicas no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados).

H. "Parte" significa o Cliente ou a Doodle.

I. "Partes" significa coletivamente o Cliente e a Doodle.

J. "Dados Pessoais"significa qualquer informação relacionada a uma pessoa física identificada ou identificável que é Processada pela Doodle em nome do Cliente em conexão com o fornecimento dos Serviços ao Cliente, quando essas informações são protegidas como "dados pessoais" ou "informações pessoais" ou um termo semelhante sob a(s) Lei(s) de Proteção de Dados.

K. "Processo" ou "Processamento" significa qualquer operação ou conjunto de operações realizadas sobre os Dados Pessoais, seja ou não por meios automáticos, como coleta, registro, organização, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização de outra forma, alinhamento ou combinação, bloqueio, exclusão ou destruição.

L."Violação de segurança" significa uma violação confirmada das medidas de segurança de informações da Doodle que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos Dados Pessoais cobertos por esta DPA.

M. "Serviços" significa os serviços fornecidos pela Doodle ao Cliente nos termos do Contrato.

N. "Cláusulas Contratuais Padrão" ou "SCCs" significa as cláusulas modelo para a transferência de Dados Pessoais para processadores estabelecidos em países terceiros aprovados pela Comissão Europeia, cuja versão aprovada está definida na Decisão de Implementação da Comissão Europeia 2021/914 de 4 de junho de 2021 e em: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=e.

O. "Leis Suíças de Proteção de Dados " significa todas as leis relacionadas à proteção de dados, ao Processamento de Dados Pessoais, à privacidade e/ou às comunicações eletrônicas em vigor periodicamente na Suíça, incluindo a Lei Federal Suíça sobre Proteção de Dados datada de 25 de setembro de 2020 e suas portarias.

P. "Leis de Proteção de Dados do Reino Unido " significa todas as leis relacionadas à proteção de dados, ao Processamento de Dados Pessoais, à privacidade e/ou às comunicações eletrônicas em vigor periodicamente no Reino Unido ("Reino Unido"), incluindo o GDPR do Reino Unido e a Lei de Proteção de Dados de 2018.

Q. "GDPR do Reino Unido" significa o Regulamento Geral de Proteção de Dados do Reino Unido, pois faz parte da lei do Reino Unido em virtude da seção 3 da Lei da União Europeia (Retirada) de 2018.

R. Os termos "Processador" e "Controlador" terão os significados dados a eles de acordo com a Lei de Proteção de Dados aplicável. Quaisquer termos em maiúsculas aqui contidos que não estejam definidos neste DPA terão os significados associados a eles no Contrato e são adotados por referência neste Adendo.

A. Obrigações do Cliente.O Cliente é, entre o Cliente e a Doodle, o Controlador de Dados Pessoais e deverá (a) determinar a finalidade e os meios essenciais do Processamento de Dados Pessoais de acordo com o Contrato; (b) ser responsável pela precisão dos Dados Pessoais; e (c) cumprir suas obrigações de acordo com as Leis de Proteção de Dados, incluindo, quando aplicável, garantir que o Cliente tenha uma base legal para coletar Dados Pessoais, fornecer aos Titulares dos Dados quaisquer avisos necessários e/ou obter o consentimento do Titular dos Dados para processar os Dados Pessoais.

B. Obrigações da Doodle. A Doodle é a Processadora de Dados Pessoais e deverá (a) Processar os Dados Pessoais em nome do Cliente de acordo com as instruções por escrito do Cliente (a menos que seja dispensada em um requisito por escrito) fornecidas durante a vigência deste DPA; e (b) cumprir suas obrigações de acordo com as Leis de Proteção de Dados. Uma descrição do processamento de Dados Pessoais a ser realizado nos termos deste DPA está definida no Anexo 1. As Partes concordam que o Contrato, incluindo este DPA, juntamente com o uso dos Serviços pelo Cliente em conformidade com o Contrato, constitui a instrução completa e final por escrito do Cliente para a Doodle em relação ao Processamento de Dados Pessoais, e instruções adicionais fora do escopo dessas instruções exigirão um acordo prévio por escrito e mutuamente executado entre o Cliente e a Doodle. No caso de a Doodle acreditar razoavelmente que há um conflito com qualquer Lei de Proteção de Dados e instruções do Cliente, a Doodle informará o Cliente imediatamente e as Partes cooperarão de boa fé para resolver o conflito e alcançar os objetivos de tal instrução.

C. Uso de dados. A Doodle não usará os Dados Pessoais, exceto para o uso de Dados Pessoais de acordo com as instruções do Cliente, conforme permitido pelo Contrato e conforme necessário para apresentar e defender reivindicações, para cumprir os requisitos do processo legal, para cooperar com as autoridades reguladoras e para exercer outros usos permitidos semelhantes, conforme expressamente previsto nas Leis de Proteção de Dados.

D. Localização do processamento.As Partes reconhecem e concordam que o processamento dos Dados Pessoais ocorrerá na União Europeia (UE), na Suíça e talvez em (outras) jurisdições fora da residência dos Titulares dos Dados, e o Cliente deverá cumprir todos os requisitos de notificação e consentimento para essa transferência e processamento na medida exigida pelas Leis de Proteção de Dados. E. Devolução ou destruição de dados.A Doodle deverá devolver ou destruir com segurança os Dados Pessoais, de acordo com as instruções do Cliente, mediante solicitação do Cliente ou após o encerramento da(s) conta(s) do Cliente, a menos que os Dados Pessoais devam ser retidos para cumprir a lei aplicável.

Esta Seção se aplicará ao Processamento de Dados Pessoais quando esse Processamento estiver sujeito às Leis de Proteção de Dados da Suíça, às Leis de Proteção de Dados da UE ou às Leis de Proteção de Dados do Reino Unido.

A. Transferências de Dados Pessoais. O Cliente reconhece e concorda que a Doodle está localizada na Suíça. A menos que uma exceção estabelecida nas Leis de Proteção de Dados da UE, nas Leis de Proteção de Dados da Suíça ou nas Leis de Proteção de Dados do Reino Unido (conforme aplicável) se aplique, as transferências de Dados Pessoais sujeitas às Leis de Proteção de Dados da UE, às Leis de Proteção de Dados da Suíça ou às Leis de Proteção de Dados do Reino Unido (conforme aplicável) para um destinatário em uma jurisdição não sujeita a uma decisão de adequação nos termos das Leis de Proteção de Dados aplicáveis deverão ser regidas por um contrato de transferência de dados em um formato prescrito pelas Leis de Proteção de Dados da UE, pelas Leis de Proteção de Dados da Suíça ou pelas Leis de Proteção de Dados do Reino Unido (conforme aplicável) (e.g. Cláusulas Contratuais Padrão ou equivalentes), na medida em que a formalização de tal documento represente um meio válido para a transferência de Dados Pessoais sujeitos às Leis de Proteção de Dados da UE, às Leis de Proteção de Dados da Suíça ou às Leis de Proteção de Dados do Reino Unido (conforme aplicável), ou seja conduzida de acordo com qualquer outro mecanismo de transferência válido prescrito pelas Leis de Proteção de Dados da UE, pelas Leis de Proteção de Dados da Suíça ou pelas Leis de Proteção de Dados do Reino Unido (conforme aplicável). Na medida em que medidas contratuais, técnicas ou organizacionais adicionais forem exigidas pelas Leis de Proteção de Dados da UE, pelas Leis de Proteção de Dados da Suíça ou pelas Leis de Proteção de Dados do Reino Unido (conforme aplicável) para realizar legalmente transferências de Dados Pessoais sujeitas às Leis de Proteção de Dados da UE, às Leis de Proteção de Dados da Suíça ou às Leis de Proteção de Dados do Reino Unido (conforme aplicável), cada Parte deverá cooperar de boa-fé e implementar e concordar com tais medidas, incluindo, mas não se limitando à conclusão das Cláusulas Contratuais Padrão (se necessário), conforme necessário para permitir e manter a legalidade de tal transferência.

A-1. Cláusulas Contratuais Padrão.

a. A Doodle (como "exportador de dados") e o Cliente (como "importador de dados") firmam as Cláusulas Contratuais Padrão, Módulo 4, em relação a quaisquer transferências de Dados Pessoais sujeitas às Leis de Proteção de Dados da UE, às Leis de Proteção de Dados da Suíça ou às Leis de Proteção de Dados do Reino Unido (conforme aplicável) da Doodle para o Cliente. As Partes concordam em ter acesso e conhecimento das Cláusulas Contratuais Padrão e, por meio deste, renunciam à reprodução das Cláusulas Contratuais Padrão neste DPA. Em caso de conflito entre este DPA e as Cláusulas Contratuais Padrão, as Cláusulas Contratuais Padrão prevalecerão.

b. Em relação às Cláusulas Contratuais Padrão, as Partes concordam que o Anexo 1.A. deste DPA constitui o Anexo I.A. das Cláusulas Contratuais Padrão e o Anexo 1.B.-I. constitui o Anexo I.B. As Partes concordam ainda que ( i) a Cláusula 7 se aplica; (ii) a Cláusula 11(a) se aplica sem a opção; (iii) as Cláusulas Contratuais Padrão são regidas pelas leis da Suíça e os tribunais de Zurique são competentes (Cláusulas 17 e 18).

c. Em relação às Cláusulas Contratuais Padrão, quando uma transferência da Doodle para o Cliente estiver sujeita às Leis de Proteção de Dados da Suíça, ( i) as referênciasà lei da União Europeia são interpretadas de modo a incluir uma referência à Lei Federal de Proteção de Dados da Suíça ("FDPA"); (ii) a Suíça será considerada um "estado membro" e as referências a um "estado membro" serão interpretadas de modo a incluir a Suíça; (iii) os termos usados nas Cláusulas Contratuais Padrão que são definidos na FDPA serão interpretados como sob a FDPA. d. Em relação às Cláusulas Contratuais Padrão, quando uma transferência da Doodle para o Cliente estiver sujeita às Leis de Proteção de Dados do Reino Unido, tais Cláusulas deverão ser lidas de acordo com, e consideradas alteradas pelas, disposições da Parte 2 (Cláusulas Obrigatórias) do Adendo de Transferência Internacional de Dados do Reino Unido às Cláusulas Contratuais Padrão da Comissão da UE ("UK IDTA"), e as Partes confirmam que as informações exigidas para os fins da Parte 1 (Tabelas) da UK IDTA são preenchidas da seguinte forma:

1. Para a Tabela 1: os campos das Partes serão considerados pré-preenchidos com as partes exportadoras e importadoras estabelecidas no Anexo 1.A deste documento;

2. Para a Tabela 2: as referidas Cláusulas, incluindo as Informações do Apêndice e apenas com os módulos, cláusulas ou disposições opcionais das Cláusulas listadas acima para a UE e a Suíça, entrarão em vigor para fins da IDTA do Reino Unido;

3. Para a Tabela 3: as Informações do Apêndice estão definidas a seguir:

i. Anexo IA: Lista de Partes: conforme estabelecido no Anexo 1.A do presente documento; ii. Anexo IB: Descrição da Transferência: conforme estabelecido no Anexo 1.B do presente documento; iii. Anexo II: N/A;

4. Para a Tabela 4: qualquer um deles pode encerrar o UK IDTA de acordo com as disposições da Seção 19 do UK IDTA.

B. Obrigações. A Doodle deverá: (i) auxiliar o Cliente, de forma razoável, no cumprimento de suas obrigações de acordo com os Artigos 32 a 36 do GDPR, seu equivalente nas Leis de Proteção de Dados do Reino Unido ou seu equivalente nas Leis de Proteção de Dados da Suíça, conforme aplicável a); (ii) manter um registro de todas as categorias de atividades de Processamento realizadas em nome do Cliente de acordo com o Artigo 30(2) do GDPR ou seu equivalente nas Leis de Proteção de Dados do Reino Unido ou seu equivalente nas Leis de Proteção de Dados da Suíça, conforme aplicável; e (iii) cooperar, mediante solicitação, com uma autoridade supervisora da UE, do Reino Unido ou da Suíça, conforme aplicável, em relação ao desempenho dos Serviços.

A. CCPA. Esta Seção se aplica à Doodle, e a Doodle atua como Provedora de Serviços do Cliente (exceto conforme disposto de outra forma nesta Seção) com relação ao Processamento de Dados Pessoais sujeitos à CCPA. O Cliente divulga os Dados Pessoais à Doodle, e a Doodle processará esses Dados Pessoais apenas para os fins estabelecidos neste Contrato, incluindo este DPA. Na medida em que houver um conflito entre os termos desta Seção, por um lado, e o Contrato, por outro lado, os termos estabelecidos nesta Seção prevalecerão. Todos os termos em letras maiúsculas usados nesta Seção, mas não definidos no Contrato, terão o significado dado a eles na CCPA, a menos que indicado de outra forma.

B. A Doodle não deverá: a. Vender ou compartilhar os Dados Pessoais; b. reter, usar ou divulgar os Dados Pessoais (i) para qualquer finalidade, incluindo uma Finalidade Comercial, diferente das Finalidades de Negócios conforme estabelecido no Contrato ou razoavelmente relacionado aos Serviços, ou diferente do que é permitido pela CCPA, ou (ii) fora do relacionamento comercial direto entre as Partes, a menos que expressamente permitido pela CCPA; c. combinar os Dados Pessoais com dados pessoais que a Doodle receba de, ou em nome de, outra pessoa ou pessoas, ou colete a partir de sua própria interação com o Consumidor, desde que a Doodle possa combinar Dados Pessoais para realizar qualquer Finalidade Comercial, conforme permitido pela CCPA. A Doodle cumprirá as obrigações aplicáveis a ela como Provedora de Serviços nos termos da CCPA e fornecerá aos Dados Pessoais o mesmo nível de proteção de privacidade que é exigido das Empresas pela CCPA. O Cliente terá o direito de tomar medidas razoáveis e apropriadas para ajudar a garantir que a Doodle use os Dados Pessoais de maneira consistente com as obrigações do Cliente nos termos da CCPA. O processo para tais medidas será conforme estabelecido na Seção 8 abaixo. E. A Doodle notificará o Cliente se determinar que não pode mais cumprir suas obrigações como Provedor de Serviços sob a CCPA. Se a Doodle notificar o Cliente, o Cliente terá o direito de tomar medidas razoáveis e apropriadas para interromper e remediar o uso não autorizado de Dados Pessoais. F. A Doodle pode contratar um subprocessador para auxiliar no Processamento dos Dados Pessoais para uma Finalidade Comercial em nome do Cliente, de acordo com um contrato por escrito (a forma de texto é suficiente) vinculando o subprocessador que está em conformidade com a CCPA. G. Na medida em que o Cliente divulga, compartilha ou de outra forma disponibiliza os Dados Pessoais para a Doodle, o Cliente o faz para a(s) Finalidade(s) Comercial(is) limitada(s) e especificada(s), conforme descrito no Anexo 1. H. Na medida em que o Cliente divulga ou disponibiliza dados desidentificados para a Doodle, ou a Doodle desidentifica os Dados Pessoais, a Doodle concorda em (i)tomar medidas razoáveis para garantir que os dados desidentificados não possam ser associados a um indivíduo ou família; (ii) comprometer-se publicamente a manter e usar os Dados Pessoais na forma desidentificada e não tentar reidentificar os Dados Pessoais, e (iii) obrigar contratualmente qualquer outro destinatário a cumprir todas as disposições deste parágrafo H. I. A Doodle fornecerá assistência razoável ao Cliente para garantir o cumprimento das obrigações do Cliente de realizar avaliações de risco e auditorias de segurança cibernética, e para cumprir os requisitos do Cliente com relação às tecnologias de tomada de decisão automatizada, considerando a natureza do processamento e as informações disponíveis para a Doodle. J. As Partes concordam que nenhuma Venda ou Compartilhamento de Dados Pessoais é pretendida como parte deste Contrato, e as Partes concordam que qualquer fornecimento de Dados Pessoais por uma Parte à outra nos termos deste Contrato é necessário para realizar uma Finalidade Comercial, conforme descrito na Seção 9 abaixo ou no Anexo 1, e não faz parte de, e é explicitamente excluída de, troca de consideração, ou qualquer outra coisa de valor, entre as Partes.

A. Lista de subprocessadores. O Cliente consente com o uso pela Doodle de subprocessadores que podem Processar Dados Pessoais em nome do Cliente para ajudar a Doodle a fornecer os Serviços. A lista dos subprocessadores atuais da Doodle está disponível aqui. A Doodle poderá atualizar sua lista de subprocessadores de tempos em tempos, e deverá disponibilizar quaisquer atualizações dessa lista on-line e notificar o Cliente. O Cliente poderá se opor por escrito dentro de duas (2) semanas a partir da notificação por justa causa. Se o Cliente contestar, as Partes deverão negociar de boa-fé para encontrar uma solução. Se as Partes não chegarem a um acordo sobre uma solução no prazo de 2 (dois) meses a partir da notificação da objeção, qualquer uma das Partes poderá rescindir o Pedido Individual afetado mediante notificação por escrito no prazo de 2 (duas) semanas após o término do período de negociação. B. Contratos de subprocessador. A Doodle firmará um contrato por escrito (a forma de texto é suficiente) com qualquer subprocessador que contenha obrigações de proteção de dados que sejam pelo menos tão restritivas quanto suas obrigações neste DPA.

A. Segurança dos dados. A Doodle utilizará medidas técnicas e organizacionais comercialmente razoáveis apropriadas à natureza dos Dados Pessoais para manter a segurança, a confidencialidade e a integridade dos Dados Pessoais e para proteger os Dados Pessoais contra acesso, destruição, uso, modificação ou divulgação não autorizados ou ilegais. A Doodle implementará e manterá, no mínimo, as medidas técnicas e organizacionais estabelecidas no Anexo 2. B. Pessoal autorizado. A Doodle deve garantir que os funcionários, contratados, agentes e auditores da Doodle que precisem conhecer ou acessar os Dados Pessoais com o objetivo de permitir que a Doodle cumpra suas obrigações nos termos do Contrato estejam sob o dever de confidencialidade com relação aos Dados Pessoais. C. Violações de segurança. Ao tomar conhecimento de uma Violação de Segurança, a Doodle prontamente: (i) notificará o Cliente sobre a Violação de Segurança; (ii) investigará a Violação de Segurança; (iii) fornecerá ao Cliente os detalhes necessários sobre a Violação de Segurança, conforme exigido pela lei aplicável; e (iv) tomará medidas razoáveis para evitar a recorrência da Violação de Segurança. A Doodle disponibilizará registros relevantes e outros materiais relacionados aos efeitos da Violação de Segurança sobre o Cliente na medida necessária para cumprir as Leis de Proteção de Dados, sujeito a quaisquer obrigações de confidencialidade vinculadas à Doodle sob quaisquer leis ou contratos aplicáveis.

A. Assistência do processador. Mediante solicitação por escrito do Cliente, a Doodle fornecerá assistência razoável ao Cliente, conforme necessário, a fim de ajudá-lo a cumprir suas obrigações de acordo com as Leis de Proteção de Dados, inclusive fornecendo informações ao Cliente sobre as medidas de segurança técnica e organizacional da Doodle e conforme necessário para concluir as avaliações de proteção de dados (cujo processo está definido na Seção 8 abaixo). B. Solicitações do Titular dos Dados. Se um convidado, um funcionário do Cliente ou outro Titular de Dados aplicável fizer uma Solicitação do Titular de Dados à Doodle, a Doodle aconselhará o Titular de Dados a enviar sua solicitação diretamente ao cliente da Doodle que é o Controlador aplicável desses Dados Pessoais e informará o Cliente sobre essa solicitação se o Titular de Dados identificar o Cliente como o Controlador aplicável à Doodle. O Cliente é responsável pelas Solicitações do Titular dos Dados. A Doodle fornecerá total cooperação e assistência ao Controlador em relação a qualquer solicitação dos Titulares dos Dados para ter acesso aos Dados Pessoais mantidos sobre eles ou em relação a qualquer outra solicitação, alegação ou reclamação por uma autoridade competente ou Titular dos Dados, inclusive notificando o Controlador por escrito, sem atraso indevido, do recebimento de qualquer aviso ou solicitação. As informações de contato para solicitações de titulares de dados podem ser encontradas em nosso site. C. Custos. Se a Doodle determinar de boa-fé que uma solicitação de assistência nos termos desta Seção não é razoável, é excessivamente onerosa e está fora das expectativas do setor para assistência com cada assunto respectivo, as Partes concordarão de boa-fé com os custos a serem pagos pelo Cliente à Doodle por essa assistência.

Dentro de trinta (30) dias da solicitação por escrito do Cliente, e não mais do que uma vez por ano, a Doodle disponibilizará ao Cliente (ou a um auditor terceirizado mutuamente acordado) as informações razoavelmente necessárias para demonstrar a conformidade da Doodle com as obrigações estabelecidas neste DPA na forma de sua auditoria de terceiros mais recente ou relatório(s) de certificação (como SOC 2 ou Cloud Verify). Se, após receber o(s) relatório(s), o Cliente, em seu julgamento razoável, determinar que são necessárias mais informações para confirmar que a Doodle está cumprindo suas obrigações neste DPA ou para que o Cliente conclua uma avaliação de proteção de dados, o Cliente poderá solicitar por escrito essas informações adicionais. As Partes trabalharão juntas de boa-fé para chegar a um acordo sobre as informações adicionais que a Doodle deverá fornecer, e a Doodle fornecerá as informações acordadas. Quando a Lei de Proteção de Dados aplicável exigir o direito a inspeções no local, a Doodle permitirá que o Cliente realize tais inspeções. Todas as informações fornecidas pela Doodle sob esta Seção são consideradas Informações Confidenciais da Doodle e estão sujeitas às obrigações de confidencialidade estabelecidas no Contrato.

As Partes reconhecem e concordam que a Doodle processa determinados dados pessoais como Controladora, que são descritos e processados de acordo com nosso Aviso de Privacidade para os seguintes fins quando as Leis de Proteção de Dados da UE, do Reino Unido ou da Suíça se aplicam a esses dados pessoais: (i) para gerenciar o relacionamento com o Cliente, incluindo a criação de contas de clientes, o processamento de faturamento e a realização de atividades de vendas e marketing; (ii) para fins relacionados às operações comerciais internas da Doodle, como contabilidade, auditorias, preparação e arquivamento de impostos e fins de conformidade; (iii) para monitorar, investigar, prevenir e detectar fraudes, incidentes de segurança e outros usos indevidos dos Serviços; (iv) para fins de verificação de identidade; (v) para cumprir obrigações legais ou regulamentares aplicáveis ao processamento e retenção de dados pessoais aos quais a Doodle está sujeita; (vi) para desenvolver, melhorar e entender o uso de seus produtos e serviços, e (vii) conforme permitido pelas Leis de Proteção de Dados e conforme estabelecido no Aviso de Privacidade da Doodle.

A. Conflito. No caso de qualquer conflito ou inconsistência entre este ATD e as Leis de Proteção de Dados, as Leis de Proteção de Dados prevalecerão. No caso de qualquer conflito ou inconsistência entre os termos deste ATD e os termos do Contrato, os termos deste ATD prevalecerão apenas na medida em que o assunto se refere ao processamento de Dados Pessoais. B. Alterações. Este ATD não deverá ser modificado, exceto por um instrumento escrito assinado pelas Partes. Na medida em que for determinado por qualquer autoridade de proteção de dados que o Contrato ou este ATD é insuficiente para cumprir as Leis de Proteção de Dados ou alterações nas Leis de Proteção de Dados, o Cliente e a Doodle concordam em cooperar de boa-fé para alterar o Contrato ou este ATD ou celebrar outros contratos de processamento de dados mutuamente acordados em um esforço para cumprir todas as Leis de Proteção de Dados. C. Responsabilidade. A responsabilidade de cada Parte decorrente ou relacionada a este DPA, seja em contrato, ato ilícito ou sob qualquer outra teoria de responsabilidade, está sujeita às limitações de responsabilidade contidas no Contrato. Para evitar dúvidas, cada referência aqui feita ao "DPA" significa este DPA, incluindo suas exposições e anexos. D. Lei Aplicável e Arbitragem. Para evitar dúvidas, a Seção 16.1 do Contrato Principal de Serviços ("Legislação Aplicável e Arbitragem") se aplica a este DPA. E. Acordo integral. Este APD não prejudica os direitos e as obrigações das Partes nos termos do Contrato, que continuará a ter pleno vigor e efeito. Este APD, juntamente com o Contrato, é o acordo final, completo e exclusivo das partes com relação ao assunto aqui tratado e substitui e mescla todas as discussões e acordos anteriores entre as Partes com relação a tal assunto.

A. Lista de partes a. Controlador.i. O Controlador é o Cliente. ii. Endereço: o endereço do Cliente estabelecido no Contrato. iii. Nome, cargo e detalhes de contato da pessoa de contato: Marko Midzor Head of IT, [email protected]iv. Atividades relevantes: atividades necessárias para fornecer os Serviços descritos no Contrato. v. Assinatura e data: considera-se que o Cliente assinou este Anexo I ao celebrar o Contrato de Serviços Principais.b.Processador.i. O Processador é a Doodle AG. ii. Endereço: Werdstrasse 21, 8004 Zurique, Suíça iii. Nome, cargo e detalhes de contato das pessoas de contato: Chefe de TI da Doodle: Marko Midzor E-mail: [email protected]. DPO da Doodle AG: Elena Frahm, TÜV Informationstechnik GmbH Am TÜV 1, 45307 Essen Alemanha, E-mail: [email protected] iv.Atividades relevantes: Atividades necessárias para fornecer os Serviços descritos no Contrato. v. Assinatura e data: Considera-se que a Doodle assinou este Anexo I ao celebrar o Contrato de Serviços Principais. B. Categorias de Titulares de Dados cujos Dados Pessoais são processados. O Cliente pode enviar Dados Pessoais à Doodle, cuja extensão é determinada e controlada pelo Cliente a seu exclusivo critério, e que pode incluir, mas não se limita a Dados Pessoais relacionados às seguintes categorias de Titulares de Dados: (i) usuários finais do Cliente (e Afiliados do Cliente), conforme permitido no Contrato, incluindo funcionários, contratados, representantes e agentes, e (ii) pessoas com quem o Cliente (e Afiliados do Cliente) está agendando compromissos e reuniões por meio do uso dos serviços da Doodle, que podem incluir seus representantes, parceiros de negócios, colaboradores, candidatos a emprego, clientes e clientes em potencial. C. Categorias de Dados Pessoais processados. O Cliente pode enviar Dados Pessoais à Doodle, cuja extensão é determinada e controlada pelo Cliente a seu exclusivo critério, e que pode incluir, mas não se limita às seguintes categorias de Dados Pessoais: Nome e sobrenome; Cargo; Posição; Empregador; Informações de contato (empresa, e-mail, telefone, endereço comercial físico); Dados Pessoais contidos nos detalhes do evento do calendário conectado; Localização aproximada e/ou fuso horário; e outros dados em formato eletrônico usados pelo Cliente no contexto dos Serviços. D. Dados confidenciais transferidos (se aplicável). Dados sensíveis podem ser transferidos em determinados casos de uso dos Serviços, como origem racial ou étnica, associação a sindicatos ou dados relacionados à saúde. E. A frequência da transferência. Contínuo. F. Assunto/Natureza do processamento. Os processos podem incluir coleta, armazenamento, recuperação, consulta, uso, apagamento ou destruição, divulgação por transmissão, disseminação ou disponibilização dos Dados Pessoais do Cliente, conforme necessário para fornecer os Serviços de acordo com as instruções do Cliente, incluindo finalidades internas relacionadas, quando permitido pelas leis aplicáveis (como controle de qualidade, solução de problemas, segurança das informações, prevenção e detecção de spam, fraude e abuso e desenvolvimento e aprimoramento de produtos). G. Finalidade(s) da transferência de dados e processamento posterior. O objetivo do processamento de Dados Pessoais pela Doodle é a execução dos Serviços contratuais nos termos do Contrato com o Cliente. H. O período pelo qual os Dados Pessoais serão retidos ou, se isso não for possível, os critérios usados para determinar esse período. Os Dados Pessoais são retidos pelo tempo que for razoavelmente necessário para cumprir as finalidades para as quais os dados foram coletados, para cumprir nossas obrigações contratuais e legais e para quaisquer períodos de prescrição aplicáveis para fins de apresentação e defesa de reivindicações. I. Para transferências para (sub) processadores, especifique também o assunto, a natureza e a duração do processamento. O objeto e a natureza do processamento por subprocessadores são os estabelecidos na lista de subprocessadores aqui. A duração do processamento pelos subprocessadores será pelo tempo em que a Doodle fornecer os Serviços sob o Contrato ao Cliente.

J. Objetivos comerciais. (1) Ajudar a garantir a segurança e a integridade dos Serviços (na medida em que o uso dos Dados Pessoais relevantes seja razoavelmente necessário e proporcional para esses fins). (2) Depuração para identificar e reparar erros que prejudicam a funcionalidade pretendida existente dos Serviços. (3) Execução dos Serviços em nome do Cliente, incluindo a prestação de serviço de suporte aos Usuários Autorizados, verificação das informações do Usuário Autorizado do Cliente e fornecimento de armazenamento de dados. (4) Realização de pesquisas internas para desenvolvimento tecnológico e demonstração dos Serviços.

A Doodle implementa e mantém pelo menos as medidas técnicas e organizacionais estabelecidas neste Anexo. Os subprocessadores da Doodle implementam e mantêm medidas técnicas e organizacionais que fornecem pelo menos o mesmo nível de proteção que as medidas da Doodle, mesmo que essas medidas não sejam idênticas.

A. Confidencialidade (Artigo 32(1)(a-b) do GDPR ou seu equivalente sob as Leis de Proteção de Dados aplicáveis)

a. Controle de acesso físico. Medidas para evitar que pessoas não autorizadas acessem o equipamento de processamento de dados com o qual os dados são processados ou usados:

• A Doodle implementa sistemas de gerenciamento de vídeo e controle de acesso físico em seus escritórios para evitar que pessoas não autorizadas (ou seja, sem privilégios de acesso adequados) acessem equipamentos de processamento de dados.

b. Controle de acesso eletrônico. Medidas para evitar o uso de sistemas de processamento de dados por pessoas não autorizadas:

• O acesso é restrito com base no princípio do menor privilégio e da necessidade de conhecimento.

• A Doodle usa uma plataforma de gerenciamento de identidade e acesso, nome de usuário/senha, SSO e MFA para restringir o acesso.

• A Doodle tem uma política de senha por escrito que é combinada e aplicada usando a política de senha do aplicativo de serviço de gerenciamento de identidade.

• Todos os laptops da Doodle são criptografados usando o aplicativo de armazenamento de arquivos.

• Os dados do cliente são criptografados na nuvem usando a criptografia de cifra de bloco AES-256 nativa do Cloud Environment Application e as chaves são gerenciadas por meio do Key Management Service (KMS) do Cloud Environment Application.

• A Doodle usa o TLS 1.2 ou superior para criptografar os dados do cliente em trânsito.

c. Controle de acesso interno. Medidas para evitar que as pessoas autorizadas a usar um sistema de processamento de dados só possam acessar os dados sujeitos à sua autorização de acesso e que os dados não possam ser lidos, copiados, modificados ou removidos sem autorização durante o processamento, uso e após o armazenamento:

• Os dados do cliente são criptografados na nuvem usando a criptografia de cifra de bloco AES-256 nativa do Cloud Environment Application e as chaves são gerenciadas por meio do Key Management Service (KMS) do Cloud Environment Application.

• A Doodle usa o TLS 1.2 ou superior para criptografar os dados do cliente em trânsito.

• A segregação de funções é explicitamente abordada na Política de Controle de Acesso, que contém uma explicação de alto nível da metodologia de segregação de acesso da empresa.

• Os direitos de acesso lógico são segregados por meio de permissões de grupo no aplicativo de serviço de gerenciamento de identidade.

• A Doodle realiza revisões periódicas dos direitos de acesso para reforçar a segregação de funções.

• A Doodle utiliza a plataforma de proteção de endpoints para monitorar os endpoints internos.

d. Controle de isolamento. Medidas para evitar que os dados coletados para diferentes fins possam ser processados separadamente:

• O acesso aos sistemas do Cliente e aos dados de configuração é restrito ao pessoal aprovado da Doodle.

• O acesso à produção é restrito ao pessoal autorizado, com todas as implantações de código e correções de emergência regidas por revisões obrigatórias por pares, fluxos de trabalho automatizados de aprovação de CI/CD e processos de gerenciamento de alterações com tíquetes.

• A Doodle mantém uma rede de convidados distinta e utiliza uma solução MDM para alternar e enviar senhas ocultas para a rede sem fio interna a cada seis meses, garantindo uma demarcação de acesso rigorosa.

e. Pseudonimização e criptografia. Processamento de dados pessoais de forma que os dados não possam mais ser atribuídos a um titular de dados específico sem o uso de informações adicionais, desde que essas informações adicionais sejam mantidas separadamente e que medidas técnicas e organizacionais apropriadas sejam tomadas:

• Todos os laptops da Doodle são criptografados usando o aplicativo de armazenamento de arquivos.

• A Doodle usa TLS 1.2 ou superior para criptografar os dados do cliente em trânsito.

• Os dados do cliente são criptografados na nuvem usando a criptografia de cifra de bloco AES-256 nativa do Cloud Environment Application e as chaves são gerenciadas por meio do Key Management Service (KMS) do Cloud Environment Application.

• O acesso às chaves de criptografia é estritamente regido pelo princípio do menor privilégio, restrito a um número limitado de pessoas autorizadas dentro da Doodle.

B. Integridade

(Artigo 32(1)(b) do GDPR ou seu equivalente sob as Leis de Proteção de Dados aplicáveis)

a. Controle de transferência. Medidas para evitar que os dados possam ser lidos, copiados, alterados ou removidos por pessoas não autorizadas durante a transmissão eletrônica ou durante seu transporte ou armazenamento em suportes de dados:

• Todos os laptops da Doodle são criptografados usando o aplicativo de armazenamento de arquivos.

• Os dados do cliente são criptografados na nuvem usando a criptografia de cifra de bloco AES-256 nativa do Cloud Environment Application e as chaves são gerenciadas por meio do Key Management Service (KMS) do Cloud Environment Application.

• A Doodle usa o TLS 1.2 ou superior para criptografar os dados do cliente em trânsito.

b. Controle de entrada e divulgação. Medidas para possibilitar a verificação retrospectiva de se e por quem os dados foram inseridos, modificados, divulgados (se aplicável, para quem) e removidos dos sistemas de processamento de dados:

• A Doodle mantém registros abrangentes para todos os ambientes de produção. Esses registros são armazenados em um repositório centralizado que é logicamente separado dos sistemas de produção para evitar adulterações e garantir a integridade forense.

• Todos os registros de acesso e atividade são retidos por um período mínimo de um ano, para fins de auditoria de conformidade e monitoramento de segurança.

c. Controle de armazenamento: Medidas para impedir que pessoas não autorizadas leiam, copiem, alterem, movam, excluam ou destruam dados armazenados:

• Os dados do cliente são gerenciados, processados e armazenados de acordo com a proteção de dados relevante e outros regulamentos formalmente estabelecidos em nossas políticas.

• A Doodle segue uma política de Controle de Acesso Baseado em Função (RBAC), conforme estabelecido nas políticas internas da Doodle.

• Os direitos de administração são restritos a contas acessíveis apenas pela equipe de serviços técnicos da Doodle, para as quais a função de administração foi aprovada e concedida por meio de procedimentos de controle de alterações.

C. Disponibilidade e resiliência

(Artigo 32(1)(c) do GDPR ou seu equivalente sob as Leis de Proteção de Dados aplicáveis)

a. Controle de disponibilidade: Medidas para proteger os dados contra destruição ou perda acidental:

• Como uma organização que prioriza a nuvem, todos os dados são hospedados em uma infraestrutura de nuvem de alta disponibilidade com redundância integrada em várias zonas de disponibilidade.

b. Recuperabilidade rápida: Medidas para permitir a rápida restauração dos dados no caso de um incidente físico ou técnico.

• A Doodle realiza backups completos diários de sua infraestrutura de nuvem.

• Os backups internos são criptografados em trânsito e em repouso. Para a criptografia em trânsito, a Doodle usa um mínimo de TLS 1.2 e, para a criptografia em repouso, a Doodle usa um algoritmo de criptografia AES-256 padrão do setor.

c. Segurança do sistema: Medidas para adaptar sistemas operacionais e softwares de aplicativos a novos padrões de segurança e resolver vulnerabilidades críticas:

• A política de gerenciamento de patches da Doodle rege um ecossistema centralizado em que os pontos de extremidade são corrigidos por meio do aplicativo de automação de gerenciamento de dispositivos móveis e do aplicativo de gerenciamento de nuvem, a infraestrutura é gerenciada por meio do Cloud Environment Application Patch Manager e as versões são implantadas por meio da ferramenta App-Dev, incorporando idealmente testes de pré-produção para avaliar os patches antes da implantação completa.

• A Doodle examina frequentemente sua infraestrutura interna e pública em busca de vulnerabilidades e exposições comuns.

D. Procedimentos para revisão, avaliação e análise regulares

(Artigo 32(1)(d) do GDPR ou seu equivalente sob as Leis de Proteção de Dados aplicáveis)

a. Gerenciamento de proteção de dados:

• A Doodle tem políticas, procedimentos e padrões que visam garantir que os dados pessoais dos clientes sejam tratados de forma responsável e em conformidade com os princípios, leis e regulamentos de proteção de dados aplicáveis à Doodle.

• A Doodle publicou e implementou uma Política de Classificação de Informações que aborda a classificação e a criptografia de informações. Os dados pessoais da equipe e dos clientes são criptografados com base na política.

• Todos os laptops da equipe são criptografados usando o Aplicativo de Armazenamento de Arquivos.

• De forma contínua, a Doodle oferece treinamento de conscientização sobre privacidade para toda a sua equipe e, quando permitido, registra a conclusão.

• A Doodle analisa e registra onde e como seus produtos e serviços coletam, usam, retêm e descartam dados pessoais. Os riscos são identificados, registrados e atenuados.

• A Doodle é transparente sobre como coleta, processa, retém e exclui dados pessoais. Os dados pessoais que a Doodle coleta, usa, processa e compartilha dependem dos serviços específicos que foram solicitados e/ou das atividades que estão sendo realizadas. Para obter mais informações, consulte nossa Política de Privacidade.

• A Doodle usa os dados pessoais que coleta de acordo com as regras e regulamentos de proteção de dados relevantes aplicáveis à Doodle. A Doodle é clara sobre os motivos pelos quais coleta e usa os dados pessoais e de maneira consistente com esses propósitos.

• Os dados dos clientes são protegidos por um processo SDLC que implementa as melhores práticas e controles de segurança para seus aplicativos, como criptografia AES de 256 bits para dados em repouso, monitoramento e registro, gerenciamento de vulnerabilidades e fortalecimento do sistema.

• A Doodle utiliza uma plataforma integrada para treinamento de conscientização de segurança combinado com ataques simulados de phishing regularmente para todos os seus funcionários.

• Anualmente, a Doodle realiza uma auditoria externa independente com base nos requisitos dos princípios de serviços de confiança do SOC 2 Tipo II da AICPA. A Doodle também alcançou o nível 3 da MSP Alliance Cyber Verify, o que significa que as áreas críticas de nossas operações de serviços em nuvem, incluindo privacidade de dados, segurança de rede, disponibilidade e tempo de atividade, planos de recuperação de desastres, escalabilidade e conformidade, foram auditadas e consideradas em conformidade com os regulamentos do setor.

• Para cumprir os requisitos do GDPR, a Doodle nomeou formalmente um Diretor de Proteção de Dados (DPO) externo para fornecer supervisão independente e integridade contínua de suas atividades de processamento de dados pessoais.

• A Doodle mantém um processo formalizado para lidar com solicitações de titulares de dados para permitir a conformidade com os direitos estatutários aplicáveis de acesso, retificação e exclusão dentro dos prazos regulamentares obrigatórios.

b. Gerenciamento de resposta a incidentes:

• A Doodle tem um Plano de Continuidade de Negócios, um Plano de Resposta a Incidentes de Segurança, Procedimentos de Resposta a Incidentes de Segurança e Política e Procedimentos de Gerenciamento de Violação de Dados que são testados anualmente.