Adendo sobre processamento global de dados da Instructure

Este Adendo sobre Processamento Global de Dados da Instructure (“DPA”) faz parte do Contrato (definido abaixo) entre o Cliente (conforme definido abaixo) e a Instructure, Inc. (ou suas Afiliadas, coletivamente “Instructure”) (cada uma delas uma “Parte”, coletivamente “Partes”). Este DPA entrará em vigor na data de vigência do Contrato.

As Partes concordam que este DPA será adicionado como um adendo ao Contrato (definido abaixo na Seção 1). Em caso de discrepância ou conflito entre este DPA e o Contrato, este DPA prevalecerá em relação ao assunto aqui tratado. Quaisquer termos em maiúsculas não definidos neste documento terão os significados estabelecidos no Contrato.

Como este DPA se aplica: Este DPA consiste em duas partes: o corpo principal do DPA e os Anexos. Os Anexos se aplicam conforme descrito em cada Anexo.

• Anexo 1 – Anexo de processamento de dados
• Anexo 2 – Adendo para ensino fundamental e médio, e ensino superior nos EUA
• Anexo 3 – Adendo para o EEE e o Reino Unido
• Anexo 4 – Adendo específico para jurisdição
• Anexo 5 – Adendo do cliente dos serviços de pesquisa da LearnPlatform

1. Definições. Neste DPA, os seguintes termos terão os significados definidos abaixo:
   1. “Afiliada(s)” significa qualquer entidade que seja controlada por, controle ou esteja sob controle comum de uma Parte.
   2. “Contrato” significa o Formulário de Pedido de Serviços da Instructure, os Termos e Condições Padrão da Instructure ou outro contrato escrito ou eletrônico em vigor entre as Partes.
   3. “Dados da conta” significa os Dados Pessoais dos funcionários, pessoal, contratados, contatos comerciais e/ou agentes do Cliente relacionados ao relacionamento do Cliente com a Instructure, incluindo, sem limitação, os nomes ou informações de contato dessas pessoas autorizadas pelo Cliente a acessar a conta do Cliente para ou em nome do Cliente, e informações de contato e cobrança das pessoas que o Cliente associou à sua conta. Os Dados da Conta também incluem, sem limitação, quaisquer Dados Pessoais que a Instructure possa precisar processar para prestar serviços de suporte ou como parte de sua obrigação legal de manter registros.
   4. “Cliente” significa a entidade que assinou um Contrato com a Instructure.
   5. “Dados pessoais do cliente” significa os Dados Pessoais fornecidos pelo Cliente ou em seu nome para serem processados pela Instructure como Processadora em conexão com a prestação dos Serviços e exclui os Dados da Conta.
   6. “Controlador” significa a entidade que determina as finalidades e os meios do Processamento de Dados Pessoais.
   7. “Processador” significa a entidade que processa Dados Pessoais em nome de um Controlador.
   8. “Leis de proteção de dados” significa as leis e regulamentos aplicáveis ao Processamento de Dados Pessoais nos termos do Contrato.
   9. “Titular dos dados” significa um indivíduo cujos Dados Pessoais estão sendo processados pela Instructure nos termos do Contrato.
   10. “Solicitação do titular dos dados” significa uma solicitação feita por ou em nome de um Titular dos Dados para exercer seus direitos concedidos a um Titular dos Dados nos termos das Leis de Proteção de Dados
   11. “Dados desidentificados” e “Desidentificação” significa dados e informações dos quais todos os Dados Pessoais foram removidos ou ocultados, de forma que as informações restantes não identifiquem razoavelmente um indivíduo específico, incluindo, mas não se limitando a, qualquer informação que, isoladamente ou em combinação, possa ser vinculada a um Titular de Dados específico.
   12. “Dados pessoais” significa qualquer informação relacionada a uma pessoa identificada ou razoavelmente identificável.
   13. “Processamento” significa qualquer operação ou conjunto de operações realizadas sobre Dados Pessoais, por meios automáticos ou não, tais como coleta, registro, organização, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização, alinhamento ou combinação, bloqueio, apagamento ou destruição (“Processo”, “Processos” e “Processado” terão o mesmo significado).
   14. “Vender,” “Venda” e “Vendido” terão os significados previstos nas Leis de Proteção de Dados.
   15. “Violação de segurança” significa uma violação de segurança que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais do Cliente transmitidos, armazenados ou processados de outra forma pela Instructure.
   16. “Serviços” significa o software proprietário da Instructure como oferta(s) de serviço disponibilizada(s) por meio de uma URL em um ambiente hospedado disponibilizado pela Instructure ou em nome dela ao Cliente e identificado no Contrato.
   17. “Subprocessador(es)” significa qualquer terceiro que processe Dados Pessoais do Cliente para ou em nome da Instructure.
2. Prazo e rescisão. Este DPA entra em vigor na data da assinatura do Contrato pelo Cliente e permanecerá em vigor até que o Contrato seja rescindido ou até que a Instructure exclua todos os Dados Pessoais do Cliente.
3. Processamento de dados pessoais.
   1. Instructure como processadora de dados pessoais do cliente.  As Partes concordam que, no que diz respeito ao Processamento de Dados Pessoais do Cliente, o Cliente é o Controlador e a Instructure é o Processador. O objetivo do processamento dos Dados Pessoais do Cliente pela Instructure como Processadora é a execução dos Serviços de acordo com o Contrato. A Instructure só processará os Dados Pessoais do Cliente em nome e de acordo com o Contrato e as instruções escritas do Cliente, a menos que seja exigido por lei à qual a Instructure esteja sujeita; nesse caso, a Instructure informará o Cliente sobre essa exigência legal antes do processamento, a menos que a lei proíba tal notificação. A Instructure cumprirá as Leis de Proteção de Dados aplicáveis, incluindo, quando exigido por tais leis, fornecendo o mesmo nível de proteção de privacidade exigido do Cliente sob tais leis. Entre a Instructure e o Cliente, o Cliente mantém toda a propriedade dos Dados Pessoais do Cliente.
   2. Instruções do cliente.  O Cliente instrui a Instructure a processar os Dados Pessoais do Cliente para os seguintes fins: (a) Processamento de acordo com o Contrato e as Leis de Proteção de Dados; e (b) Processamento para cumprir outras instruções razoáveis fornecidas pelo Cliente, quando tais instruções forem consistentes com os termos do Contrato e das Leis de Proteção de Dados. A Instructure notificará imediatamente o Cliente caso determine que qualquer instrução do Cliente viola as Leis de Proteção de Dados. Se a Instructure determinar que não pode mais cumprir as Leis de Proteção de Dados, a Instructure notificará imediatamente o Cliente.
   3. Consentimentos para o processamento de dados pessoais do cliente.  O Cliente declara, garante e concorda que cumpriu todas as Leis de Proteção de Dados aplicáveis, incluindo, sem limitação, o fornecimento de todas as notificações e a obtenção de todos os consentimentos e direitos necessários sob as Leis de Proteção de Dados aplicáveis para que a Instructure processe quaisquer dados pessoais do cliente na prestação dos Serviços. Caso o Cliente determine que a declaração, garantia e compromisso acima mencionados são falsos em relação a quaisquer Dados Pessoais do Cliente, o Cliente notificará imediatamente a Instructure. A menos que proibido pelas leis aplicáveis, o Cliente indenizará a Instructure por todas as reclamações resultantes diretamente de qualquer violação material desta Seção 3.3 pelo Cliente, seus funcionários, agentes, contratados, subprocessadores ou subcontratados. A violação desta Seção 3.3 será considerada uma violação material deste DPA.
   4. Instructure como controladora dos dados da conta.  As Partes concordam que, no que diz respeito ao processamento dos Dados da Conta, o Cliente e a Instructure são Controladores independentes (e não Controladores conjuntos). A Instructure processará os Dados da Conta como Controladora para (a) gerenciar e administrar o relacionamento com o Cliente; (b) realizar as operações comerciais da Instructure, tais como, sem limitação, faturamento, contabilidade e declaração de impostos; (c) detectar, prevenir ou investigar incidentes de segurança, fraudes e outros abusos ou uso indevido dos Serviços; (d) fornecer serviços de suporte ao usuário final; (e) cumprir as obrigações legais ou regulatórias da Instructure; (f) exercer seus direitos e cumprir suas obrigações nos termos do Contrato; (g) melhorar, solucionar problemas e comercializar seus produtos e serviços; e (h) conforme permitido pelas Leis de Proteção de Dados aplicáveis e de acordo com este DPA, o Contrato e o Aviso de Privacidade do Produto da Instructure.
   5. Proibição de venda.  A Instructure não venderá nem compartilhará para fins de publicidade direcionada os Dados Pessoais do Cliente, exceto quando expressamente instruído pelo Cliente. A Instructure não combinará os Dados Pessoais do Cliente com outros Dados Pessoais, exceto conforme permitido pelas Leis de Proteção de Dados. A Instructure não coletará, reterá, utilizará ou divulgará os Dados Pessoais do Cliente fora do relacionamento comercial direto com o Cliente e apenas processará os Dados Pessoais do Cliente para fins limitados e específicos, de acordo com este DPA e o Contrato.
   6. Obrigações do cliente.  O Cliente deverá, ao usar ou receber os Serviços, processar os Dados Pessoais do Cliente e os Dados da Conta de acordo com as Leis de Proteção de Dados aplicáveis, e o Cliente garantirá que suas instruções para o processamento dos Dados Pessoais do Cliente estejam em conformidade com as Leis de Proteção de Dados aplicáveis. O Cliente será o único responsável pela precisão, qualidade e legalidade dos Dados Pessoais do Cliente e dos Dados da Conta; pelos meios pelos quais o Cliente obteve os Dados Pessoais do Cliente e os Dados da Conta; e pelo cumprimento de todos os requisitos das Leis de Proteção de Dados necessários para disponibilizar os Dados Pessoais do Cliente e os Dados da Conta à Instructure para Processamento, conforme previsto neste documento e no Contrato. O Cliente deverá notificar a Instructure imediatamente sobre qualquer acesso não autorizado conhecido aos Serviços. O Cliente auxiliará a Instructure em quaisquer esforços da Instructure para investigar e responder a qualquer acesso não autorizado aos Serviços.
   7. Termos específicos da jurisdição.  Na medida em que a Instructure processe Dados Pessoais originários de uma das jurisdições listadas no Anexo 4 (Termos Específicos da Jurisdição), os termos especificados no Anexo 4 (Termos Específicos da Jurisdição) com relação à(s) jurisdição(ões) aplicável(is) se aplicam além dos termos deste DPA.
4. Assistência ao cliente e direitos do titular dos dados.
   1. Na medida em que o Cliente, em seu uso ou recebimento dos Serviços, não tenha a capacidade de tomar as medidas necessárias para cumprir as Leis de Proteção de Dados, incluindo (a) atender às Solicitações do Titular dos Dados e (b) implementar segurança razoável projetada para proteger os Dados Pessoais do Cliente, a Instructure envidará esforços comercialmente razoáveis para cumprir as solicitações razoáveis do Cliente, na medida exigida pelas Leis de Proteção de Dados e na medida em que a Instructure estiver legalmente autorizada a fazê-lo, levando em consideração a natureza do Processamento dos Dados Pessoais do Cliente e as informações disponíveis para a Instructure.
   2. A Instructure deverá, na medida do legalmente permitido, notificar imediatamente o Cliente se receber uma Solicitação do Titular dos Dados. A Instructure não responderá a nenhuma solicitação do titular dos dados relacionada aos dados pessoais do cliente sem o consentimento prévio por escrito do cliente, exceto para confirmar que a solicitação se refere ao cliente ou conforme exigido pelas leis de proteção de dados. A Instructure fornecerá ao Cliente assistência comercialmente razoável no tratamento de uma Solicitação do Titular dos Dados, na medida em que (a) seja legalmente permitido e (b) o Cliente não tenha acesso a tais Dados Pessoais do Cliente através do uso ou recebimento dos Serviços, levando em consideração a natureza do Processamento dos Dados Pessoais do Cliente e as informações disponíveis para a Instructure.
   3. A Instructure deverá, mediante notificação por escrito, envidar esforços razoáveis para permitir que o Cliente tome medidas razoáveis e apropriadas para (a) interromper e remediar o processamento não autorizado dos Dados Pessoais do Cliente após notificação do mesmo e (b) garantir que a Instructure processe os Dados Pessoais do Cliente de maneira consistente com as obrigações do Cliente nos termos das Leis de Proteção de Dados.
5. Funcionários da Instructure.  A Instructure envidará esforços comercialmente razoáveis para garantir que seus funcionários envolvidos no Processamento de Dados Pessoais do Cliente estejam sujeitos a obrigações contratuais ou legais de confidencialidade e que o acesso aos Dados Pessoais do Cliente seja limitado aos funcionários que precisam desse acesso para prestar os Serviços. A Instructure garantirá que seu pessoal envolvido no processamento de dados pessoais do cliente seja informado sobre a natureza confidencial dos dados pessoais do cliente e tenha recebido treinamento adequado sobre suas responsabilidades. Conforme exigido pelas Leis de Proteção de Dados, a Instructure garantirá que seus funcionários tenham passado por verificações de antecedentes adequadas antes de acessar os Dados Pessoais do Cliente. A Instructure tomará medidas comercialmente razoáveis para garantir a confiabilidade de qualquer funcionário da Instructure envolvido no processamento de dados pessoais do cliente.
6. Subprocessadores.
   1. Exceto conforme permitido neste DPA ou no Contrato, a Instructure não transferirá ou disponibilizará os Dados Pessoais do Cliente a terceiros sem a autorização prévia por escrito do Cliente.
   2. O Cliente concede sua autorização geral à Instructure para usar as Afiliadas da Instructure como Subprocessadores, e a Subprocessadores em conexão com a prestação dos Serviços, desde que: (a) a Instructure garanta que obrigações não substancialmente menos protetoras do que as estabelecidas neste DPA sejam impostas aos seus Subprocessadores; (b) a Instructure seja responsável perante o Cliente pelos atos e omissões de seus Subprocessadores como se, e na mesma medida em que a Instructure seria responsável se prestasse os serviços de cada Subprocessador diretamente nos termos deste DPA, salvo disposição em contrário no Contrato; e (c) a Instructure forneça a lista de seus Subprocessadores mediante solicitação ou fornecendo um link para um site onde as informações sobre os Subprocessadores são mantidas atualizadas.
   3. A Instructure informará o Cliente sobre qualquer substituição ou adição aos seus Subprocessadores pelo menos 30 dias antes de tal alteração. O Cliente poderá se opor a tais alterações (por motivos razoáveis) notificando a Instructure por escrito dentro de 30 dias após o recebimento da notificação da Instructure. A Instructure não utilizará o Subprocessador proposto para Processar os Dados Pessoais do Cliente até que medidas razoáveis tenham sido tomadas para resolver as objeções do Cliente e que o Cliente tenha recebido uma explicação por escrito razoável sobre as medidas tomadas.
7. Segurança; auditorias; avaliações de impacto sobre a proteção de dados.

2. Segurança.  A Instructure manterá medidas técnicas e organizacionais adequadas para a proteção da segurança (incluindo proteção contra processamento não autorizado ou ilegal e contra destruição, perda ou alteração ou danos acidentais ou ilegais, divulgação não autorizada ou acesso a Dados Pessoais do Cliente ou Dados da Conta), confidencialidade e integridade dos Dados Pessoais do Cliente e Dados da Conta, conforme estabelecido na documentação de segurança da Instructure. A Instructure monitora regularmente o cumprimento dessas medidas. A Instructure não diminuirá significativamente a segurança geral dos Serviços durante a vigência do Contrato.
3. Auditorias.  O Cliente envidará primeiro todos os esforços razoáveis para satisfazer as necessidades de auditoria do Cliente por meio de (a) cópias do relatório de auditoria SOC-2 Tipo II mais recente da Instructure, seu certificado ISO 27001 público; (b) um resumo das práticas operacionais da Instructure relacionadas à proteção e segurança de dados; (c) resumo do teste de penetração anual mais recente; e (d) disponibilização razoável do pessoal da Instructure para discussões relacionadas à segurança.
   1. Não mais do que uma vez por ano, o Cliente poderá contratar um terceiro mutuamente acordado para auditar a Instructure exclusivamente para fins de cumprimento de seus requisitos de auditoria de acordo com as Leis de Proteção de Dados (“Auditoria”), desde que o Cliente ou seus representantes terceirizados estejam contratualmente vinculados por obrigações de confidencialidade para tais informações de Auditoria. O cliente deve fornecer imediatamente à Instructure informações sobre qualquer não conformidade detectada durante a auditoria. Para solicitar uma auditoria, o cliente deve enviar um plano detalhado com pelo menos três semanas de antecedência da data proposta para a auditoria, descrevendo o escopo, a duração e a data de início da auditoria. Os pedidos de auditoria devem ser enviados para security@Instructure.com com cópia para privacy@instructure.com. A Auditoria deve ser realizada durante o horário comercial normal, sujeita às políticas da Instructure, e não pode interferir de forma injustificada nas atividades comerciais da Instructure. O Cliente é responsável por suas próprias despesas na realização de uma Auditoria.
   2. Se tal auditoria exigir o uso de recursos da Instructure diferentes ou adicionais aos exigidos pelas Leis de Proteção de Dados, o Cliente reembolsará a Instructure por qualquer tempo gasto com a auditoria, de acordo com as taxas acordadas pelas Partes. Todas as taxas de reembolso devem ser razoáveis, considerando os recursos gastos pela Instructure ou em seu nome. 
   3. Qualquer direito de auditoria nos termos desta Seção 7.3 não exigirá que a Instructure divulgue ao Cliente ou a seus auditores terceirizados (a) qualquer informação de qualquer outro cliente da Instructure; (b) qualquer informação contábil ou financeira interna, salvo acordo em contrário por escrito; (c) qualquer segredo comercial e/ou; (d) qualquer informação que possa comprometer a segurança dos sistemas ou informações da Instructure, ou fazer com que a Instructure viole qualquer lei aplicável ou obrigação contratual.
4. Avaliações de impacto na proteção de dados.  Mediante solicitação por escrito do Cliente, a Instructure fornecerá ao Cliente a cooperação e assistência razoáveis necessárias para cumprir as obrigações do Cliente nos termos das Leis de Proteção de Dados para realizar uma avaliação de impacto sobre a proteção de dados ou outra avaliação de privacidade obrigatória relacionada ao uso dos Serviços pelo Cliente, na medida em que o Cliente não tenha acesso às informações relevantes e na medida em que tais informações estejam disponíveis para a Instructure.

8. Restrições ao recebimento de informações.  Nada neste DPA exigirá que a Instructure divulgue (a) quaisquer dados ou informações de qualquer outro cliente da Instructure ou de terceiros não diretamente envolvidos na prestação dos Serviços; (b) quaisquer informações contábeis ou financeiras confidenciais; (c) qualquer segredo comercial da Instructure; ou (d) qualquer informação que, na opinião razoável da Instructure, possa (i) comprometer a segurança das redes, sistemas ou instalações da Instructure, (ii) fazer com que a Instructure viole suas obrigações de segurança ou privacidade para com terceiros, ou (iii) qualquer informação solicitada por qualquer motivo que não seja os motivos descritos neste DPA. A Instructure pode exigir a concordância do Cliente com termos e condições razoáveis antes de fornecer relatórios de auditoria nos termos deste DPA.
9. Gerenciamento e notificação de violação de segurança.  No caso de uma violação de segurança, a Instructure deverá: (a) notificar o Cliente sobre a violação de segurança sem demora injustificada após tomar conhecimento da violação de segurança, e tal notificação deverá incluir, no mínimo, as informações exigidas pelas Leis de Proteção de Dados; (b) investigar a violação de segurança e fornecer ao Cliente informações sobre a violação de segurança; e (c) tomar medidas comercialmente razoáveis para mitigar os efeitos e minimizar quaisquer danos resultantes da violação de segurança, e permitir que o Cliente tome medidas razoáveis e apropriadas para fazer o mesmo, na medida em que tais medidas estejam sob o controle do Cliente. A Instructure cooperará com o Cliente e com quaisquer terceiros designados pelo Cliente para responder à violação de segurança.
10. Dados desidentificados:  Os Dados Desidentificados podem ser usados pela Instructure para os fins permitidos pela Lei de Proteção de Dados e para os seguintes fins: (a) auxiliar o Cliente ou outras agências governamentais na realização de pesquisas e outros estudos; e (b) pesquisa e desenvolvimento dos sites, serviços ou aplicativos educacionais da Instructure e para demonstrar ou melhorar a eficácia dos Serviços; e (c) para fins de aprendizagem adaptativa e aprendizagem personalizada dos alunos. O uso de dados desidentificados pela Instructure permanecerá válido após o término deste DPA ou qualquer solicitação do Cliente para devolver ou destruir os Dados Pessoais do Cliente. A Instructure concorda em (i) não tentar reidentificar dados desidentificados e (ii) não transferir dados desidentificados para nenhuma parte, a menos que essa parte concorde por escrito em não tentar a reidentificação.
11. Solicitações de acesso do governo.  Se a Instructure receber uma solicitação legalmente vinculativa para acessar os Dados Pessoais do Cliente de uma autoridade pública, a Instructure deverá, a menos que seja legalmente proibido, notificar imediatamente o Cliente, incluindo um resumo da natureza da solicitação. Na medida em que a Instructure seja proibida de fornecer tal notificação, a Instructure deverá envidar esforços comercialmente razoáveis para obter uma renúncia à proibição, a fim de permitir que a Instructure se comunique com o Cliente. A Instructure contestará tal pedido se, após uma avaliação cuidadosa, concluir que existem motivos razoáveis para considerar tal pedido ilegal. A Instructure concorda em fornecer o mínimo de informações permitido ao responder a um pedido de divulgação de uma autoridade pública com base em uma interpretação razoável do pedido. A Instructure notificará imediatamente o Cliente se tomar conhecimento de qualquer acesso direto por parte de uma autoridade pública aos Dados Pessoais do Cliente e fornecerá as informações disponíveis à Instructure a esse respeito, na medida do permitido por lei.
    1. Este DPA não exigirá que a Instructure tome medidas ou omissões que possam resultar em penalidades civis ou criminais para a Instructure, tais como desacato ao tribunal. A Instructure certifica que (a) não criou propositadamente backdoors ou programação semelhante com o objetivo de permitir o acesso aos Serviços e/ou Dados Pessoais por qualquer autoridade pública, (b) não criou ou alterou propositalmente seus processos de negócios de forma a facilitar o acesso aos Serviços e/ou aos Dados Pessoais do Cliente por qualquer autoridade pública, e (c) na Data de Entrada em Vigor, não tem conhecimento de qualquer lei nacional ou política governamental que exija que a Instructure crie ou mantenha backdoors, ou facilite o acesso aos Serviços e/ou aos Dados Pessoais do Cliente, ou entregue qualquer chave de criptografia a qualquer autoridade pública.
12. Devolução e exclusão dos dados pessoais do cliente.  No prazo de 90 dias após a rescisão ou expiração do Contrato, a Instructure fornecerá funcionalidade para que o Cliente baixe seus Dados Pessoais do Cliente armazenados nos Serviços, na medida do possível, ou exclua com segurança os Dados Pessoais do Cliente, de acordo com as políticas de retenção de dados da Instructure, que cumprem os requisitos das Leis de Proteção de Dados, e de maneira consistente com os termos do Contrato.
13. Rescisão.  Caso qualquer disposição deste DPA seja inválida ou inexequível, o restante deste DPA permanecerá válido e em vigor. A disposição inválida ou inexequível será alterada conforme necessário para garantir sua validade e exequibilidade, preservando as intenções das Partes o mais fielmente possível ou, se isso não for possível, interpretada de forma como se a parte inválida ou inexequível nunca tivesse sido incluída nele.
14. Efeito legal.  Este DPA só se tornará juridicamente vinculativo entre o Cliente e a Instructure quando ambas as Partes assinarem o Contrato.
15. Limitação de responsabilidade.  Na medida do permitido pelas Leis de Proteção de Dados, as soluções do Cliente em relação a qualquer violação pela Instructure ou suas Afiliadas dos termos deste DPA ou das Leis de Proteção de Dados estarão sujeitas a qualquer limitação agregada de responsabilidade que se aplique à Instructure e/ou ao Cliente nos termos do Contrato.

Anexo 1 – Anexo de processamento de dados

1. Anexo de dados. Os seguintes elementos de Dados Pessoais Processados pelos Serviços são descritos abaixo.

Seção 2 – Descrição do processamento e transferência (quando os dados são transferidos)

Anexo 2 – Adendo sobre ensino fundamental, médio e superior nos EUA

Este Anexo 2 se aplica a Clientes classificados como instituições de ensino fundamental e médio ou instituições de ensino superior sediadas nos EUA, reconhecidas pelo governo, formalmente credenciadas e que oferecem certificações ou diplomas aprovados nacionalmente nos níveis primário, secundário ou terciário, e complementa o DPA ao qual está anexado.

1. Definições. Além dos termos definidos no DPA, as seguintes definições se aplicam a este Anexo 2.
   1. “Registros educacionais” significa registros, arquivos, documentos e outros materiais diretamente relacionados a um aluno e mantidos pelo Cliente ou por uma pessoa agindo em nome do Cliente, conforme definido pela FERPA.
   2. “Funcionário escolar” para os fins deste Anexo e de acordo com 34 CFR § 99.31(b), um Funcionário Escolar é um contratado que (a) desempenha um serviço ou função institucional para o qual a agência ou instituição utilizaria funcionários; (b) está sob o controle direto da agência ou instituição no que diz respeito ao uso e manutenção de Dados do Aluno, incluindo Registros Educacionais; e (c) está sujeito ao 34 CFR § 99.33(a) que rege o uso e a redivulgação de Informações Pessoais Identificáveis de Registros Educacionais.
   3. “Dados do aluno” significa quaisquer dados, sejam eles coletados pela Instructure ou fornecidos pelo Cliente ou seus usuários dos Serviços, que sejam descritivos de um aluno, incluindo, mas não se limitando a, informações no Registro Educacional do aluno, endereço de e-mail, nome e sobrenome, data de nascimento, endereço residencial ou outro endereço físico, número de telefone ou outras informações que permitam contato físico ou online, vídeos, resultados de testes, dados de educação especial, notas, avaliações, deficiências, informações socioeconômicas, documentos, identificadores de alunos, atividades de pesquisa, fotos, gravações de voz, informações de geolocalização, nomes dos pais ou qualquer outra informação ou número de identificação que forneça informações sobre um aluno específico. Os Dados do Aluno incluem metadados que não são desidentificados. Os dados dos alunos também incluem “Informações de identificação pessoal ou (PII),” conforme definido em 34 C.F.R. § 99.3 ou conforme definido em qualquer lei estadual aplicável dos EUA. Os Dados dos Alunos constituirão Registros Educacionais para os fins deste DPA e para os fins das leis e regulamentos federais, estaduais e locais dos EUA. Os Dados dos Alunos, conforme especificado no Anexo 1, são confirmados como coletados ou processados pela Instructure de acordo com os Serviços. Os Dados dos Alunos não constituirão informações que tenham sido anonimizadas ou desidentificadas, nem dados de uso anônimos relativos ao uso dos Serviços por um usuário.
   4. “Conteúdo gerado pelo aluno” significa materiais ou conteúdos criados por um aluno nos Serviços, incluindo, entre outros, ensaios, relatórios de pesquisa, portfólios, escrita criativa, música ou outros arquivos de áudio, fotografias e vídeos. O Conteúdo Gerado pelo Aluno não inclui avaliações.
2. FERPA. Na medida em que o Cliente esteja sujeito à FERPA, as Partes concordam que a Instructure opera como uma Autoridade Escolar nos termos da FERPA e tem um interesse educacional legítimo nas Informações de identificação pessoal dos Registros educacionais recebidos do Cliente de acordo com este DPA. Para os fins do Contrato e deste DPA, a Instructure (a) fornece um serviço ou função para o qual o Cliente, de outra forma, utilizaria funcionários, (b) está sob o controle direto do Cliente no que diz respeito ao uso e manutenção de Registros Educacionais; e (c) está sujeita aos requisitos da FERPA que regem o uso e a redivulgação de Informações Pessoais Identificáveis dos Registros Educacionais recebidos do Cliente.
3. Acesso dos pais.  Na medida exigida pelas Leis de Proteção de Dados, a Instructure estabelecerá procedimentos razoáveis pelos quais um pai, responsável legal ou aluno elegível (conforme definido pela FERPA) poderá revisar os Registros Educacionais e/ou Dados do Aluno, corrigir informações errôneas e procedimentos para a transferência de Conteúdo Gerado pelo Aluno para uma conta pessoal consistente com a funcionalidade dos Serviços. A Instructure responderá em tempo razoável a partir da data da solicitação ou de acordo com o prazo exigido pela Lei de Proteção de Dados para que um Cliente responda a um pai, mãe, responsável legal ou aluno elegível, o que ocorrer primeiro, à solicitação do Cliente para visualizar ou corrigir, conforme necessário, os Dados do Aluno em um Registro Educacional mantido pela Instructure. Se um pai ou responsável legal de um aluno ou aluno elegível entrar em contato com a Instructure para revisar quaisquer Dados do Aluno acessados de acordo com os Serviços, a Instructure deverá encaminhar a pessoa que fez a solicitação ao Cliente para acesso a tais Registros Educacionais e/ou Dados do Aluno.
4. Conta separada.  Na medida exigida pelas Leis de Proteção de Dados, se o Conteúdo Gerado pelo Aluno for armazenado ou mantido pela Instructure, a Instructure deverá, a pedido do Cliente, transferir ou fornecer um mecanismo para que o Cliente transfira tal Conteúdo Gerado pelo Aluno para uma conta separada criada pelo aluno, de acordo com a funcionalidade dos Serviços.
5. Obrigações do cliente.  O Cliente deverá fornecer os Dados do Aluno para fins de obtenção dos Serviços em conformidade com todas as Leis de Proteção de Dados aplicáveis.
6. Privacidade das crianças. Crianças menores de 13 anos só podem usar os Serviços com o consentimento prévio dos pais ou de uma instituição educacional agindo em nome dos pais da criança. O Cliente concorda que obteve tal consentimento antes de permitir que qualquer criança menor de 13 anos acesse ou use os Serviços.
7. Anexo de dados. A lista de dados de alunos processados pela Instructure está descrita no Anexo 1.

Anexo 3 – Adendo sobre EEE e Reino Unido

Este Anexo 3 se aplica se o Cliente estiver no EEE, no Reino Unido ou estiver sujeito à jurisdição das leis de proteção de dados do EEE ou do Reino Unido e complementa o DPA ao qual está anexado.

1. Definições. Além dos termos definidos no DPA, as seguintes definições se aplicam a este Anexo 3.
   1. “EEE” significa o Espaço Econômico Europeu, composto pelos Estados-Membros da União Europeia e Islândia, Liechtenstein e Noruega.
   2. “RGPD” significa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas físicas no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Diretriz 95/46/CE e o equivalente do Reino Unido.
   3. “Estrutura de privacidade de dados” significa a Estrutura de Privacidade de Dados UE-EUA (“EU-US DPF”), a Estrutura de Privacidade de Dados Suíça-EUA e a Extensão do Reino Unido ao programa de autocertificação EU-U.S. DPF operado pelo Departamento de Comércio dos EUA.
   4. “Princípios de privacidade de dados” significa os princípios da Estrutura de Privacidade de Dados (conforme complementados pelos Princípios Complementares).
   5. “Cláusulas contratuais padrão” significa as cláusulas contratuais emitidas pela Comissão Europeia através da decisão de execução 2021/914, de 4 de junho de 2021, relativa às cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros, nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, o Adendo sobre Transferência Internacional de Dados do Reino Unido (“Adendo do Reino Unido”) e quaisquer medidas semelhantes promulgadas nos termos do RGPD para tratar da transferência de Dados Pessoais para um país terceiro e quaisquer alterações e substituições que possam ser promulgadas periodicamente.
   6. “Medidas complementares” significa medidas técnicas, organizacionais e contratuais, conforme descrito na Diretriz do EDPB adotada em 18 de junho de 2021, as Recomendações 01/2020 sobre medidas que complementam as ferramentas de transferência para garantir a conformidade com o nível de proteção de Dados Pessoais da UE.
   7. “País terceiro” significa um país que não faz parte do EEE nem do Reino Unido, nem foi declarado adequado por uma decisão da Comissão Europeia de acordo com o mecanismo descrito no Artigo 45 do RGPD ou abrangido pelos regulamentos de adequação do Reino Unido.
   8. “Reino Unido” significa o Reino Unido, País de Gales e Irlanda do Norte.
2. Instructure como processadora de dados pessoais do cliente. A duração do Processamento, a natureza e a finalidade do Processamento, os tipos de Dados Pessoais e as categorias de Titulares dos Dados sobre os quais os Dados Pessoais são Processados ao abrigo deste DPA são especificados em mais pormenor no Anexo 1.
3. Transferências transfronteiriças de dados. O Cliente reconhece e concorda que a prestação dos Serviços pode exigir a transferência e o processamento dos Dados Pessoais e Dados da Conta do Cliente para um país terceiro. Todas as transferências para um país Terceiro estão sujeitas às seguintes condições: (a) O Cliente deu autorização prévia para a transferência ao assinar o Contrato; (b) os Dados Pessoais e Dados da Conta do Cliente são processados nos termos do Contrato e deste DPA; (c) existe um mecanismo de transferência válido em vigor, de acordo com as Leis de Proteção de Dados aplicáveis; e (d) a Instructure implementará as Medidas Suplementares, quando necessário.
4. Ordem de precedência. Caso os Serviços sejam abrangidos por mais de um mecanismo de transferência ao abrigo das Leis de Proteção de Dados, a transferência dos Dados Pessoais do Cliente estará sujeita a um único mecanismo de transferência, conforme aplicável, e de acordo com a seguinte ordem de precedência: (a) a Estrutura de Privacidade de Dados, conforme estabelecido na Seção 4.1; (b) as Cláusulas Contratuais Padrão, conforme estabelecido na Seção 4.2; (c) os Termos Específicos da Jurisdição, conforme estabelecido no Anexo 4; e, se nem (a), (b) nem (c) forem aplicáveis, então (d) outros mecanismos de transferência de dados aplicáveis permitidos pelas Leis de Proteção de Dados.
   1. Estrutura de privacidade de dados. Na medida em que a Instructure processa quaisquer Dados Pessoais através dos Serviços originários da UE, Reino Unido ou Suíça, a Instructure declara que a Instructure, Inc. é autocertificada ao abrigo da Estrutura de Privacidade de Dados e cumpre os Princípios de Privacidade de Dados ao processar quaisquer Dados Pessoais. Na medida em que o Cliente (a) esteja localizado nos Estados Unidos da América e seja autocertificado de acordo com a Estrutura de Privacidade de Dados, ou (b) esteja localizado no EEE, Reino Unido ou Suíça, a Instructure concorda ainda (i) em fornecer pelo menos o mesmo nível de proteção a quaisquer Dados Pessoais do Cliente, conforme exigido pelos Princípios de Privacidade de Dados; (ii) notificar o Cliente por escrito, sem demora injustificada, se sua autocertificação na Estrutura de Privacidade de Dados for retirada, rescindida, revogada ou invalidada de outra forma (nesse caso, as Cláusulas Contratuais Padrão serão aplicadas de acordo com a Seção 4.2; e (iii) mediante notificação por escrito, trabalhar com o Cliente para tomar medidas razoáveis e apropriadas para interromper e remediar qualquer Processamento não autorizado de Dados Pessoais do Cliente.
   2. Cláusulas contratuais padrão: Um mecanismo de transferência válido referido na Seção 4 é: (a) quando a Instructure atua como Processador e o Cliente atua como Controlador, as Cláusulas Contratuais Padrão, Módulo DOIS: Transferência do Controlador para o Processador; (b) quando a Instructure atua como Controlador e o Cliente atua como Controlador, as Cláusulas Contratuais Padrão, Módulo UM: Transferência do Controlador para o Controlador; (c) e, em ambos os casos, o Adendo do Reino Unido anexado como Apêndice 2, e todos os itens acima são considerados incorporados neste documento por referência, conforme estabelecido abaixo.
      1. Com relação às Cláusulas Contratuais Padrão, as Partes concordam com o seguinte: (a) na cláusula 7, as Partes optam por incluir a “cláusula de acoplamento”; (b) quando o Módulo Dois se aplica, na cláusula 9, as Partes optam pela Opção 2: “autorização geral por escrito”; (c) quando o Módulo Dois se aplica, na cláusula 9, as Partes optam por vinte (20) dias como o prazo específico; (d) na cláusula 11, as Partes não optam pelo mecanismo opcional de reclamação; (e) na cláusula 17, a lei aplicável é a lei do Estado-Membro da UE: Opção 1 - quando o Cliente estiver estabelecido num Estado-Membro da UE, a lei desse Estado-Membro da UE; ou Opção 2 - quando o Cliente não estiver estabelecido num Estado-Membro da UE, mas tiver nomeado um representante nos termos do artigo 27.º, n.º 1, do RGPD, a lei do Estado-Membro da UE em que o representante do Cliente estiver localizado; ou Opção 3 - quando o Cliente não estiver estabelecido em um Estado-Membro da UE e não for obrigado a nomear um representante nos termos do Artigo 27(2) do RGPD, a lei do Reino Unido, ou conforme definido no Contrato; e na cláusula 18, o país do tribunal aplicável em relação a quaisquer disputas decorrentes das Cláusulas Contratuais Padrão são os tribunais nos quais as Partes indicaram a escolha da lei acima.
   3. Na medida em que a Instructure utilize um subprocessador em um país terceiro para o processamento de dados pessoais do cliente, além da Seção 4 acima, aplicam-se as seguintes disposições: (a) O Cliente deu autorização prévia para a transferência ao assinar o Contrato; (b) existe um mecanismo de transferência válido em conformidade com as Leis de Proteção de Dados; e (c) a Instructure disponibiliza ao Cliente, sem demora injustificada, informações sobre o mecanismo de transferência e, quando aplicável, as Cláusulas Contratuais Padrão.

ANEXO 1 - CLÁUSULAS CONTRATUAIS PADRÃO

Anexo I

A. LISTA DE PARTES

Exportador(es) de dados: Conforme definido no Contrato

Nome: Conforme definido no Contrato

Endereço: Conforme definido no Contrato

Nome, cargo e detalhes de contato da pessoa de contato: Conforme definido no Contrato

Atividades relevantes para os dados transferidos sob estas cláusulas: Conforme definido no Contrato

Assinatura e data: Conforme definido no Contrato

Papel: Controlador

Importador(es) de dados:

Nome: Instructure, Inc. e/ou Instructure Global Limited

Endereço:

6330 S 3000 E, Suite 700, Salt Lake City, Utah 84121, EUA.

Birchin Court, 5º andar, 19-25 Birchin Lane, Londres EC3V 9DU Reino Unido

Nome, cargo e detalhes de contato da pessoa de contato: Diretor de Proteção de Dados, privacy@instructure.com,

Atividades relevantes para os dados transferidos sob estas cláusulas: Conforme definido no Contrato.

Assinatura e data: Conforme definido no Contrato

Papel:  Processador (Dados Pessoais do Cliente) e Controlador (Dados da Conta)

B. DESCRIÇÃO DA TRANSFERÊNCIA. Conforme descrito no Anexo 1.

C. AUTORIDADE SUPERVISORA COMPETENTE. A autoridade supervisora competente é a autoridade supervisora indicada na Seção 4.2.

Anexo II - MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS

As medidas técnicas e organizacionais da Instructure estão descritas em: https://www.instructure.com/trust-center/resources 

Anexo III - LISTA DE SUBCONTRATANTES

https://community.canvaslms.com/t5/Privacy-Articles/Instructure-s-Third-Party-Processing-Guide/ta-p/606339

APÊNDICE 2 - Adendo sobre transferência internacional de dados do Reino Unido às cláusulas contratuais padrão da Comissão Europeia - VERSÃO B1.0, em vigor desde 21 de março de 2022

Este adendo foi emitido pelo Comissário de Informação para as partes que realizam transferências restritas. O Comissário de Informação considera que ele fornece salvaguardas adequadas para transferências restritas quando é celebrado como um contrato juridicamente vinculativo.

Parte 1: Tabelas

Tabela 1: Partes

Tabela 2: SCCs selecionados, módulos e cláusulas selecionadas

Tabela 3: Informações do apêndice

“Informações do apêndice” significa as informações que devem ser fornecidas para os módulos selecionados, conforme estabelecido no apêndice das SCCs aprovadas pela UE (exceto as Partes), e que, para este adendo, estão estabelecidas em:

Tabela 4: Rescisão deste adendo quando o adendo aprovado for alterado

Parte 2: Cláusulas obrigatórias - Cláusulas obrigatórias alternativas da Parte 2:

Anexo 4 – Termos específicos da jurisdição

Na medida em que os Serviços envolvam o Processamento de Dados Pessoais do Cliente originários dos seguintes países, as disposições relevantes estabelecidas abaixo serão aplicáveis e complementarão as disposições aplicáveis da DPA.

1. Disposições relevantes para a Turquia. As disposições desta Seção 1 se aplicam quando a Instructure processa Dados Pessoais do Cliente originários da Turquia.
   1. A Instructure cumprirá as disposições aplicáveis da Lei de Proteção de Dados da Turquia (“DPA turca”) de número 6698 e datada de 7 de abril de 2016 e quaisquer regulamentos relacionados, bem como todas as decisões da Autoridade de Proteção de Dados da Turquia.
   2. A Instructure prestará assistência imediata ao Cliente: (a) implementando medidas técnicas e organizacionais adequadas, na medida do possível, levando em consideração a natureza do processamento, para cumprir as obrigações do Cliente de responder às solicitações dos Titulares dos Dados que exercem seus direitos nos termos da Lei de Proteção de Dados aplicável ao Cliente (tais como, entre outros, os direitos de retificar, apagar ou bloquear os Dados Pessoais do Cliente); e (b) garantindo o cumprimento das obrigações do Cliente nos termos do Artigo 12 da Lei de Proteção de Dados da Turquia (segurança, notificação de violações de dados pessoais às autoridades e indivíduos), levando em consideração a natureza do Processamento e as informações disponíveis para a Instructure.
   3. Quando a Instructure processar, fora da Turquia, Dados Pessoais do Cliente sujeitos à DPA turca originários da Turquia, a Instructure deverá cooperar com o Cliente em todas as formalidades exigidas pela Autoridade de Proteção de Dados da Turquia.
2. Disposições relevantes para a Suíça. As disposições desta Seção 2 se aplicam quando a Instructure processa Dados Pessoais do Cliente e/ou Dados da Conta originários da Suíça.
   1. A definição de “Lei de Proteção de Dados Aplicável” inclui a Lei Federal Suíça sobre Proteção de Dados, conforme revisada (“FADP”).
   2. Quando a Instructure contrata um Subprocessador nos termos da Seção 6 (Subprocessadores) desta DPA, ela: (a) exige que qualquer Subprocessador nomeado proteja os Dados Pessoais do Cliente de acordo com o padrão exigido pela Lei de Proteção de Dados aplicável, incluindo as mesmas obrigações de proteção de dados referidas no Artigo 28(3) do GDPR, em particular fornecendo garantias suficientes para implementar medidas técnicas e organizacionais adequadas de forma que o Processamento atenda aos requisitos do GDPR, e (b) exige que qualquer subprocessador nomeado (i) concorde por escrito em processar os Dados Pessoais do Cliente apenas em um país que a Suíça tenha declarado ter um nível “adequado” de proteção ou (ii) processe os Dados Pessoais do Cliente apenas em termos equivalentes às Cláusulas Contratuais Padrão da UE.
   3. Na medida em que as transferências de Dados Pessoais do Cliente e/ou Dados da Conta da Suíça estejam sujeitas às Cláusulas Contratuais Padrão da UE, as seguintes alterações serão aplicáveis às Cláusulas Contratuais Padrão da UE; (a) as referências a “Estado-Membro da UE” e “Estado-Membro” serão interpretadas de forma a incluir a Suíça, e (b) na medida em que a transferência ou transferências subsequentes estejam sujeitas à FADP: (i) as referências ao “Regulamento (UE) 2016/679” devem ser interpretadas como referências à FADP; (ii) a “autoridade de supervisão competente” no Anexo I, Parte C, será o Comissário Federal Suíço para a Proteção de Dados e Informação; (iii) na Cláusula 17 (Opção 1), as Cláusulas Contratuais Padrão da UE serão regidas pelas leis da Suíça; e (iv) na Cláusula 18(b) das Cláusulas Contratuais Padrão da UE, os litígios serão resolvidos perante os tribunais da Suíça.
3. Disposições relevantes para a Austrália. As disposições desta Seção 3 se aplicam quando a Instructure processa Dados Pessoais do Cliente originários da Austrália.
   1. “APPs” significa os Princípios de Privacidade Australianos na Lei de Privacidade.
   2. “Informações pessoais” tem o significado atribuído a esse termo na Lei de Privacidade.
   3. “Lei de privacidade” significa a Lei de Privacidade Australiana de 1988 (Cth).
   4. A Instructure deverá, em relação a quaisquer Dados Pessoais do Cliente que receber ou aos quais tenha acesso nos termos do Contrato; (a) cumprir os APPs (exceto o APP 1) como se estivesse vinculada pelos APPs na mesma medida que o Cliente; e (b) sem limitar o subparágrafo (a), celebrar um acordo contratual semelhante com qualquer terceiro a quem divulgue as Informações Pessoais (pelo qual o terceiro concorda em cumprir os APPs em relação a tais informações (exceto o APP 1) como se esse terceiro estivesse vinculado aos APPs na mesma medida que o Cliente).
4. Disposições relevantes para Hong Kong. As disposições desta Seção 4 se aplicam quando a Instructure processa Dados Pessoais do Cliente originários de Hong Kong.
   1. Na medida em que a Instructure realiza marketing direto em nome do Cliente, a Instructure deverá implementar medidas eficazes destinadas a informar os titulares dos dados sobre o escopo do marketing e fornecer meios eficazes destinados a permitir que os titulares dos dados dêem seu consentimento de acordo com os requisitos da Lei de Dados Pessoais (Privacidade) (Cap. 486) (“PDPO”).
   2. A Instructure deverá cumprir os requisitos de retenção de dados (DDP2) e segurança de dados (DPP4) contidos na PDPO.
5. Disposições relevantes para a Índia. As disposições desta Seção 5 se aplicam quando a Instructure processa Dados Pessoais do Cliente originários da Índia. Ao prestar os Serviços, a Instructure deverá cumprir os requisitos da Lei de Tecnologia da Informação de 2000, das Regras de Tecnologia da Informação (práticas e procedimentos de segurança razoáveis e dados ou informações pessoais sensíveis) de 2011 (cada uma conforme alterada, modificada e complementada periodicamente) aplicáveis a uma pessoa jurídica, e quaisquer outras leis, regras, regulamentos, notificações e julgamentos relacionados à proteção de dados ou privacidade que estejam em vigor na data do Contrato ou que possam entrar em vigor na Índia a qualquer momento no futuro durante a vigência do Contrato.
6. Disposições relevantes para o Japão. As disposições desta Seção 6 se aplicam quando a Instructure processa Dados Pessoais do Cliente originários do Japão.
   1. A Instructure não obterá quaisquer Dados Pessoais do Cliente no Japão ou de outra parte por meios enganosos, fraudulentos ou outros meios ilícitos.
   2. A Instructure envidará esforços razoáveis para garantir que os Dados Pessoais do Cliente transferidos sejam precisos e atualizados e estejam dentro do escopo necessário para a prestação dos Serviços.
   3. A Instructure tomará as medidas de segurança técnicas e organizacionais adequadas, destinadas a proteger adequadamente todos os Dados Pessoais do Cliente no Japão contra não apenas uso indevido e perda, mas também vazamento e danos, de acordo com qualquer Pedido relevante, o Contrato, esta DPA e a Lei de Proteção de Informações Pessoais (Lei nº 57 de 2003, conforme alterada) (a “APPI”).
   4. A Instructure implementará medidas técnicas e organizacionais adequadas, na medida do possível, considerando a natureza do Processamento, para cumprir as obrigações do Cliente de responder às solicitações dos Titulares dos Dados que exercem seus direitos sob a Lei de Proteção de Dados aplicável ao Cliente (tais como, mas não se limitando a, direitos de retificar, apagar ou bloquear os Dados Pessoais do Cliente).
   5. Se a Instructure adquirir Dados Pessoais do Cliente de Titulares de Dados no Japão diretamente desses Titulares de Dados, em conexão com os Serviços da Instructure a esses Titulares de Dados, a Instructure processará os Dados Pessoais do Cliente desses Titulares de Dados em conformidade com a APPI e todos os regulamentos e diretrizes acompanhantes emitidos pela Comissão de Proteção de Informações Pessoais do Japão, e todas as outras legislações de privacidade e outras leis às quais a Instructure está sujeita, mesmo quando lidar com Dados Pessoais do Cliente desses titulares de dados fora do Japão.
   6. A Instructure notificará o Cliente sobre quaisquer avisos, solicitações, ordens ou consultas de Titulares de Dados, qualquer autoridade de proteção de dados ou outra autoridade governamental, órgão de aplicação da lei, ordem judicial ou tribunal, que o Cliente ou a Instructure sejam obrigados a cumprir de acordo com a APPI ou outras leis aplicáveis para facilitar a resolução oportuna de qualquer questão relacionada ao acima exposto ou qualquer investigação relacionada.
7. Disposições relevantes para a Malásia. As disposições desta Seção 7 se aplicam quando a Instructure processa Dados Pessoais do Cliente originários da Malásia.
   1. Para os fins desta Seção 7, “Dados pessoais”, “Dados pessoais sensíveis” e “Usuário de dados” têm os significados atribuídos a esses termos na Lei de Proteção de Dados Pessoais de 2010.
   2. A Instructure cumprirá a Lei de Proteção de Dados Pessoais de 2010 na medida em que esta se aplique aos Processadores e aos Dados Pessoais do Cliente a serem processados nos termos deste documento.
   3. Nenhum Dado Pessoal do Cliente será transferido para um país fora da Malásia, a menos que seja para um país especificado pelo Ministro por meio de notificação publicada no Diário Oficial (se houver) ou com o consentimento do Usuário dos Dados ou conforme permitido nas circunstâncias prescritas na Lei de Proteção de Dados Pessoais de 2010 no que diz respeito à transferência de Dados Pessoais.
   4. Nenhum processamento de categorias especiais de dados/dados sensíveis, na acepção de Dados Pessoais Sensíveis, incluindo qualquer transferência dos mesmos, poderá ser feito sem o consentimento explícito do Titular dos Dados ou conforme permitido nas circunstâncias previstas na Lei de Proteção de Dados Pessoais de 2010 no que diz respeito ao processamento de Dados Pessoais Sensíveis.
   5. A Instructure prestará assistência imediata ao Usuário de Dados para que este cumpra suas obrigações de responder às solicitações dos Titulares dos Dados que exercem seus direitos nos termos das Leis de Proteção de Dados aplicáveis ao Usuário de Dados dentro do prazo previsto na Lei de Proteção de Dados Pessoais de 2010.
8. Disposições relevantes para a Nova Zelândia. As disposições desta Seção 8 se aplicam quando a Instructure processa Dados Pessoais de Clientes originários da Nova Zelândia. A Instructure cumprirá os Princípios de Privacidade da Informação estabelecidos na Lei de Privacidade da Nova Zelândia de 1993 (a “Lei”) (como se a Instructure fosse o Cliente) e cooperará com o Cliente de forma a garantir que este possa cumprir as suas obrigações (incluindo em relação a solicitações e investigações de privacidade da informação) nos termos dessa Lei.
9. Disposições relevantes para as Filipinas. As disposições desta Seção 9 se aplicam: (a) quando a Instructure processar Dados Pessoais do Cliente sobre um cidadão ou residente filipino; (b) quando a Instructure, o Processador ou o Cliente estiverem localizados ou estabelecidos nas Filipinas; (c) quando o processamento dos Dados Pessoais do Cliente for feito nas Filipinas; ou (d) quando o processamento dos Dados Pessoais do Cliente for feito ou realizado por uma entidade com vínculos com as Filipinas.
   1. A Instructure cumprirá as seguintes obrigações: (a) cumprir as leis e regulamentos locais aplicáveis e as publicações da Comissão Nacional de Privacidade das Filipinas; (b) auxiliar o Cliente, por meio de medidas técnicas e organizacionais adequadas e na medida do possível, a cumprir a obrigação de responder às solicitações dos Titulares dos Dados relativas ao exercício de seus direitos; (c) auxiliar o Cliente a garantir o cumprimento das leis e regulamentos locais aplicáveis e das publicações da Comissão Nacional de Privacidade das Filipinas, levando em consideração a natureza do processamento e os Dados Pessoais do Cliente disponíveis para a Instructure; (d) disponibilizar ao Cliente todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas nas leis e regulamentos locais aplicáveis; e (e) informar imediatamente o Cliente se, em sua opinião, uma Diretriz do Cliente infringir qualquer lei, regulamento ou emissão local aplicável da Comissão Nacional de Privacidade das Filipinas.
   2. A Instructure hospedará e processará os Dados Pessoais do Cliente armazenados nos Serviços, conforme descrito no Anexo 1.
10. Disposições relevantes para Cingapura. A Instructure cumprirá a Lei de Proteção de Dados Pessoais de 2012 na medida em que esta se aplique aos Processadores e aos Dados Pessoais do Cliente a serem processados nos termos deste documento. A Instructure deverá hospedar os Dados Pessoais do Cliente armazenados nos Serviços, conforme descrito no Anexo 1. A Instructure deverá Processar os Dados Pessoais do Cliente conforme descrito no Anexo 1.
11. Disposições relevantes para a Coreia do Sul. As disposições desta Seção 11 se aplicam: (a) quando a Instructure processar Dados Pessoais do Cliente originários da Coreia do Sul; ou (b) quando a Instructure for uma entidade localizada na Coreia do Sul.
    1. A Instructure cumprirá as disposições aplicáveis da Lei de Proteção de Dados Pessoais (conforme alterada) e da Lei de Promoção da Utilização de Redes de Dados e Comunicações e Proteção de Dados, etc. (conforme alterada).
    2. Sujeito às limitações e renúncias de responsabilidade previstas no Contrato, a Instructure será responsável perante o Cliente por danos causados por qualquer violação das disposições desta DPA.
    3. A Instructure hospedará e processará os Dados Pessoais do Cliente armazenados nos Serviços, conforme descrito no Anexo 1.
12. Disposições relevantes para Taiwan. As disposições desta Seção 12 se aplicam quando a Instructure processar Dados Pessoais do Cliente originários de Taiwan ou que sejam Dados Pessoais do Cliente de Titulares de Dados taiwaneses em qualquer lugar do mundo. A Instructure deverá hospedar os Dados Pessoais do Cliente armazenados nos Serviços, conforme descrito no Anexo 1. A Instructure deverá Processar os Dados Pessoais do Cliente conforme descrito no Anexo 1.
    1. A Instructure cumprirá as disposições aplicáveis da atual Lei de Informações Pessoais de Taiwan (a “PIPA”), as Regras de Execução da Lei de Proteção de Informações Pessoais (as “Regras de execução da PIPA”) e quaisquer outras regulamentações de proteção de dados atualmente em vigor em Taiwan.
    2. A Instructure prestará assistência imediata ao Cliente: (a) implementando medidas técnicas e organizacionais adequadas, na medida do possível, levando em consideração a natureza do processamento, para cumprir as obrigações do Cliente de responder às solicitações dos Titulares dos Dados que exercem seus direitos sob a PIPA que se aplicam ao Cliente (tais como, mas não se limitando a, direitos de revisar, copiar, retificar, cessar a coleta, o processamento ou o uso, ou apagar os Dados Pessoais do Cliente); (b) garantindo o cumprimento das obrigações do Cliente nos termos do Artigo 12 da PIPA (investigação imediata de violação de dados e notificação às pessoas) e quaisquer regulamentos específicos do setor aplicáveis emitidos nos termos do Artigo 27 da mesma (incluindo, mas não se limitando a, qualquer obrigação específica do setor de notificar o regulador sobre uma violação de dados), levando em consideração a natureza do processamento e as informações disponíveis para a Instructure; e (c) informando imediatamente o Cliente se, na opinião da Instructure, uma instrução do Cliente para coletar, processar ou usar Dados Pessoais do Cliente violar a PIPA.
    3. A Instructure adotará as medidas técnicas e organizacionais estabelecidas no Artigo 12(2) das Regras de Aplicação da PIPA proporcionais à finalidade de prevenir que os Dados Pessoais do Cliente sejam roubados, alterados, danificados, destruídos ou divulgados.
    4. Além de informar o Cliente sobre qualquer interrupção grave das operações de Processamento da Instructure, qualquer suspeita de Violações de Segurança ou violação da PIPA, das Regras de Execução da PIPA ou de outros regulamentos de proteção de dados de Taiwan, a Instructure informará o Cliente sobre todas as medidas corretivas tomadas para remediar a interrupção, violação ou infração.
    5. A Instructure deverá cumprir qualquer instrução reservada do Cliente e tem a obrigação de fornecer informações que comprovem o cumprimento de qualquer instrução reservada ao Cliente.
13. Disposições relevantes para o Brasil.  As disposições desta Seção 14 se aplicam quando a Instructure processa Dados Pessoais do Cliente originários do Brasil.
    1. A definição de “Leis de Proteção de Dados” inclui a Lei Geral de Proteção de Dados (LGPD).
    2.  A definição de “Violação de segurança” inclui um incidente de segurança que pode resultar em qualquer risco ou dano relevante para os Titulares dos Dados.
    3.  A definição de “Processador” inclui “operador”, conforme definido na LGPD.
    4.  Na medida em que os Dados Pessoais do Cliente forem processados pela Internet, as disposições da Lei Brasileira da Internet (Lei 12.965/2014) devem ser observadas. A Instructure cumprirá a chamada Lei do Habeas Data (Lei 9.507/1997) na medida em que for aplicável.
14. Disposições relevantes para o Chile.  As disposições desta Seção 15 se aplicam quando a Instructure processa Dados Pessoais do Cliente originários do Chile.
    1.  A Instructure cumprirá a Seção 14 deste Anexo 4.
    2.  A Instructure cumprirá a Lei de Proteção de Dados nº 19.628, conforme alterada. As disposições substantivas da Lei de Proteção de Dados entraram em vigor em 27 de outubro de 1999 e 22 de agosto de 2000.
15. Disposições relevantes para a Colômbia.  As disposições desta Seção 15 se aplicam quando a Instructure processa Dados Pessoais do Cliente originários da Colômbia.
    1. A Instructure cumprirá a Seção 15 deste Anexo 4.
    2. Para os fins desta Seção 15: (a) “PIB colombiano” significa o quadro jurídico geral de proteção de dados da Colômbia (Lei 1581 de 2012 e Decreto 1074 de 2015); e (b) Os fluxos de Dados Pessoais do Cliente entre a Instructure e o Cliente serão entendidos como “transmissões de dados” nos termos do PIB colombiano.
    3.  A Instructure cumprirá as seguintes obrigações: (a) Processar os Dados Pessoais do Cliente apenas para os fins autorizados pelas pessoas que são os titulares dessas informações; (b) Processar os Dados Pessoais do Cliente de acordo com as instruções e o aviso de privacidade do Cliente; e (c) Processar os Dados Pessoais do Cliente de acordo com os princípios estabelecidos no PIB colombiano.
16. Disposições relevantes para o México.  As disposições desta Seção 16 se aplicam quando a Instructure processa Dados Pessoais do Cliente originários do México.
    1. A Instructure cumprirá a Seção 16 deste Anexo 4.
    2. A Instructure cumprirá as medidas de segurança estabelecidas no Artigo 52 do Regulamento Mexicano de Proteção de Dados (Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares), quando aplicável.
    3.  A Instructure processará os Dados Pessoais do Cliente de acordo com a declaração de privacidade do Cliente, desde que o Cliente garanta que a declaração de privacidade do Cliente descreva adequadamente o processamento dos Dados Pessoais do Cliente pela Instructure nos termos do Contrato, de maneira compatível com a legislação mexicana.
17. Disposições relevantes para a República Argentina.  As disposições desta Seção 17 se aplicam quando a Instructure processa Dados Pessoais do Cliente originários da República Argentina.
    1. A Instructure concorda em cumprir as obrigações de um importador de dados, conforme estabelecido no contrato modelo intitulado Contrato Modelo de Transferencia Internacional de Datos Personales con Motivo de Prestación de Servicios adotado pela Agência de Proteção de Dados da República Argentina nos termos da Disposição 60 — E/2016 (os “SCCs argentinos”) para a transferência de Dados Pessoais para processadores de dados estabelecidos em países terceiros (conforme definido na mesma).
    2.  A Instructure reconhece que cada Afiliada do Cliente na República Argentina será um Cliente. Em particular, e sem limitar a obrigação acima: (a) A Instructure concorda em conceder direitos de terceiro beneficiário aos Titulares dos Dados, conforme estabelecido na Cláusula 3 das SCCs Argentinas, desde que a responsabilidade da Instructure se limite às suas próprias operações de Processamento; e (b) a Instructure concorda que suas obrigações nos termos das SCCs argentinas serão regidas pelas leis da República Argentina, onde as Afiliadas do Cliente que são exportadoras de dados estão estabelecidas; e (c) os detalhes dos apêndices aplicáveis às SCCs argentinas estão estabelecidos no Anexo 1 deste DPA.
    3. Para os fins do Anexo A das SCCs argentinas, o exportador de dados é uma instituição educacional; o importador de dados é uma empresa internacional de tecnologia educacional e os detalhes sobre os titulares dos dados, categorias de dados, operações de processamento e medidas de segurança estão estabelecidos no Anexo 1 deste DPA.
    4. A Instructure não aplicará nem utilizará os Dados Pessoais do Cliente para qualquer finalidade que não seja a especificada neste DPA, nem comunicará a outras partes tais Dados Pessoais do Cliente, mesmo para fins de armazenamento, exceto conforme permitido neste DPA e no Contrato. Uma vez cumpridas as obrigações contratuais correspondentes, os Dados Pessoais do Cliente processados devem ser destruídos, exceto quando houver autorização expressa da pessoa em nome da qual tais serviços são prestados, devido à possibilidade de os Dados Pessoais do Cliente serem utilizados para serviços futuros, caso em que os Dados Pessoais do Cliente podem ser armazenados em condições de segurança adequadas por um prazo máximo de até dois (2) anos. As partes concordam em adotar medidas de confidencialidade para proteger os Dados Pessoais do Cliente, de acordo com a seção 9 da Lei de Proteção de Dados e seus Regulamentos. A Instructure processará os Dados Pessoais do Cliente seguindo apenas as instruções do Cliente.
18. Disposições relevantes para o Canadá. As disposições desta Seção 18 se aplicam quando a Instructure processa Dados Pessoais do Cliente originários do Canadá.
    1. A Instructure deve cumprir a Lei de Proteção de Informações Pessoais e Documentos Eletrônicos e qualquer estatuto provincial que seja declarado substancialmente semelhante de acordo com a seção 26(2)(b), quando aplicável, e a Instructure deve informar imediatamente o Cliente se o local onde os Dados Pessoais do Cliente estão hospedados mudar.

Anexo 5 – Adendo do cliente dos serviços de pesquisa da LearnPlatform

Este Anexo 5 se aplica aos Clientes que são provedores de tecnologia educacional que adquiriram os serviços de pesquisa da LearnPlatform da Instructure nos termos do Contrato e complementa o DPA ao qual está anexado.

1. Definições. Para os fins deste Anexo 5, as seguintes definições se aplicam além dos termos definidos no DPA.
   1. “LEA” significa instituição educacional, agência educacional local, escola ou distrito que fornece os Dados Compartilhados à Instructure para Processamento nos termos deste DPA.
   2. “Finalidade” significa avaliar a eficácia dos produtos e serviços educacionais do Cliente, incluindo através da coleta de feedback de uma LEA e através da medição da utilidade do produto, para aprimorar, complementar e melhorar o ensino para os alunos.
   3. "Resultados” significa a análise dos Dados Compartilhados realizada pela Instructure.
   4. “Dados compartilhados” significa quaisquer dados ou informações compartilhados com a Instructure pelo Cliente ou uma LEA para que a Instructure forneça os Serviços, incluindo, mas não se limitando a, quaisquer dados não identificados, conjuntos de dados agregados, informações de identificação pessoal (PII) sobre alunos e outras informações sobre alunos, incluindo, mas não se limitando a, dados de alunos, metadados e conteúdo do usuário.
2. Finalidade. O Cliente é uma empresa de tecnologia educacional que mantém “registros educacionais”, conforme definido pela FERPA. A Instructure está solicitando acesso a determinados registros educacionais fornecidos pelo Cliente com a finalidade de prestar os Serviços ao Cliente.
3. Funções das Partes. As partes concordam que, com relação aos Dados Compartilhados, o Cliente é a “empresa” ou “controladora” e a Instructure é a “processadora” ou “prestadora de serviços”, em cada caso, conforme os termos definidos pelas Leis de Proteção de Dados aplicáveis.
4. Propriedade e processamento dos dados compartilhados.
   1. O Cliente declara, garante e concorda que cumpriu todas as leis de proteção de dados aplicáveis, incluindo, sem limitação, o fornecimento de todas as notificações e a obtenção de todos os consentimentos e direitos necessários sob as leis de proteção de dados aplicáveis para que a Instructure processe quaisquer dados compartilhados pelo Cliente ou pela LEA com a Instructure. Caso o Cliente determine que a declaração, garantia e compromisso acima mencionados são falsos em relação a quaisquer Dados Compartilhados, o Cliente notificará imediatamente a Instructure. O Cliente indenizará a Instructure por todas as reclamações resultantes diretamente de qualquer violação material desta Seção 4.1 pelo Cliente, seus funcionários, agentes, contratados, subprocessadores ou subcontratados. A violação desta Seção 4.1 será considerada uma violação material deste DPA.
   2. Salvo disposição expressa em contrário neste DPA e no Contrato, as Partes concordam que os Dados Compartilhados e todos os direitos sobre os Dados Compartilhados permanecerão, entre a Instructure e o Cliente, propriedade exclusiva do Cliente ou da LEA que forneceu os Dados Compartilhados à Instructure. A Instructure entende que o DPA não transfere a propriedade dos Dados Compartilhados para a Instructure.
   3. O Cliente reconhece que quaisquer Dados Compartilhados compartilhados e fornecidos à Instructure nos termos do Contrato têm como único objetivo avaliar produtos e serviços educacionais para aprimorar, complementar e melhorar o ensino para os alunos. O Cliente deverá usar os Dados Compartilhados com o único objetivo de avaliar produtos educacionais para informar decisões instrucionais, operacionais e fiscais, bem como as práticas e processos relacionados à tecnologia educacional nas escolas.
   4. As partes concordam que os Resultados, incluindo, sem limitação, os Dados Desidentificados derivados dos Dados Compartilhados, serão, entre a LEA e o Cliente, propriedade exclusiva da Instructure. Os Dados Desidentificados terão todos os identificadores pessoais diretos e indiretos removidos, incluindo, mas não se limitando a, nome, números de identificação, data de nascimento, informações demográficas, informações de localização e identificação escolar. O Cliente concorda em não tentar reidentificar quaisquer Dados Desidentificados fornecidos pela Instructure ao Cliente. O Cliente concorda em conceder à LEA uma licença limitada e não exclusiva para usar os Resultados exclusivamente para seu planejamento interno e decisões de compra.
5. Proibição de uso ou divulgação não autorizada de dados compartilhados. As partes concordam em manter todos os dados compartilhados em sigilo absoluto. As partes não usarão ou divulgarão quaisquer dados compartilhados recebidos de ou em nome de uma LEA, exceto conforme autorizado neste DPA, ou conforme indicado por escrito pela LEA, ou conforme exigido por lei. As partes concordam em não divulgar quaisquer Dados Compartilhados obtidos da LEA de forma que possa identificar qualquer aluno individualmente a qualquer outra entidade ou pessoa, tentar inferir ou deduzir a identidade de qualquer aluno individual com base nos Dados Compartilhados fornecidos pela LEA, ou alegar ter identificado ou deduzido a identidade de qualquer aluno com base nos Dados Compartilhados fornecidos pela LEA.
   1. As partes estão proibidas de extrair Dados Compartilhados para quaisquer fins que não sejam os estabelecidos neste DPA e no Contrato ou de outra forma acordados previamente por escrito pela LEA. A extração ou varredura de dados do conteúdo do usuário com a finalidade de anunciar e/ou comercializar quaisquer produtos ou serviços não educacionais para alunos ou seus pais é estritamente proibida.
   2. Em nenhuma circunstância as partes usarão quaisquer Dados Compartilhados para seus próprios fins comerciais de marketing ou publicidade, ou para fins comerciais de marketing ou publicidade de terceiros. Sem limitar o acima exposto, as partes concordam que o uso dos Resultados para fins de marketing ou publicidade de uma parte é permitido, desde que a identidade individual do aluno não seja divulgada ou possa ser deduzida. As partes não usarão nenhum Dado Compartilhado para anunciar ou comercializar produtos ou serviços não educacionais para os alunos da LEA ou seus pais.
   3. As partes só podem compartilhar os Dados Compartilhados, ou qualquer parte deles, com funcionários, agentes, contratados e subcontratados que tenham concordado por escrito em aderir e estar vinculados aos termos deste DPA no que diz respeito à posse e uso de quaisquer Dados Compartilhados e reconhecendo que os funcionários, agentes, contratados e subcontratados estão cientes de suas obrigações nos termos da lei aplicável no que diz respeito à posse, uso e redivulgação dos Dados Compartilhados.
   4. A Instructure reconhece que os Dados Compartilhados têm como único objetivo avaliar a eficácia dos produtos e serviços educacionais do Cliente, inclusive por meio da coleta de feedback da LEA nos termos dos Serviços.

1. 2. Uso autorizado dos dados compartilhados. Caso o acesso do Cliente aos Dados Compartilhados seja de acordo com a “exceção oficial escolar” conforme estabelecido em 34 CFR 99.31(a)(1)(i), o uso dos Dados Compartilhados pelo Cliente será sempre limitado às funções institucionais da LEA que poderiam ser desempenhadas por um funcionário escolar e que a LEA está “terceirizando” para o Cliente de acordo com 34 CFR 99.31(a)(1)(B). O Cliente concorda em usar os Dados Compartilhados para nenhuma outra finalidade além da Finalidade. O Cliente compreende que este DPA não transfere a propriedade dos Dados Compartilhados para o Provedor. O Cliente reconhece especificamente que o uso dos Dados Compartilhados e dos Resultados em conexão com quaisquer atividades de marketing não excederá os usos aceitáveis permitidos pelo 20 U.S.C. § 1232h(c)(4)(A).