ANEXO III - ADENDO SOBRE PROCESSAMENTO DE DADOS DA THE COCA-COLA COMPANY 

Este Adendo sobre Processamento de Dados (“Adendo”) complementa e altera o(s) contrato(s) entre The Coca-Cola Company (“TCCC”) e (“Fornecedor”) de acordo com os quais o Fornecedor é obrigado a realizar Serviços para TCCC ou qualquer Afiliada da TCCC (juntamente com quaisquer cronogramas e outros anexos a tais contratos, o “Contrato”). 1. Proteção de Dados. Este Adendo se aplica ao Fornecedor se o Fornecedor processar Informações Pessoais como parte ou em conexão com a realização dos Serviços por parte do Fornecedor. 

1.1 Definições. Para os efeitos deste Adendo, aplicam-se as seguintes definições: 

a. “Decisão de Adequação” significa uma decisão emitida pela Comissão Europeia ao abrigo do Artigo 45 do GDPR (General Data Protection Regulation – Regulamento Geral de Proteção de Dados). 

b. “Afiliada” significa uma entidade que controla, é controlada ou está sob controle comum com a parte aplicável. Para fins desta definição, “controle” significa a propriedade de mais de cinquenta por cento (50%) das ações com direito a voto ou outra participação acionária em uma entidade. 

c. “Lei Aplicável” significa todas as leis aplicáveis (inclusive as do direito comum), estatutos, casos, decretos, constituições, regulamentos, tratados, regras, códigos, decretos e outros pronunciamentos que tenham efeito de lei dos Estados Unidos, de qualquer país estrangeiro ou qualquer estado, município, cidade ou outra subdivisão política, nacional ou estrangeira, incluindo aqueles promulgados, interpretados ou aplicados por qualquer autoridade governamental. Referências a “Lei Aplicável” significam Lei Aplicável conforme possa ser alterada ou complementada. 

d. “GDPR” significa o Regulamento 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção das pessoas naturais no que diz respeito ao Processamento de dados pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/EC, conforme possa ser alterada ou complementada. 

e. “Estado Membro” significa qualquer estado membro da Área Econômica Europeia 

(European Economic Area - EEA). 

f. "Violação de Dados Pessoais" significa qualquer acesso, aquisição, uso, modificação, divulgação, perda, destruição ou dano acidental, ilegal ou não autorizado a Informações Pessoais ou qualquer outro Processamento de Informações Pessoais não autorizado. 

Classified - Confidential 

g. “Informação Pessoal” significa qualquer informação relativa a uma pessoa natural identificada ou identificável que o Fornecedor acesse ou obtenha da TCCC ou suas Afiliadas, que a TCCC ou suas Afiliadas forneçam ao Fornecedor, ou que o Fornecedor colete ou obtenha em nome da TCCC ou suas Afiliadas; uma pessoa natural identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador como um nome, número de identificação, dados de localização, identificador on-line ou a um ou mais fatores específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa natural. Informações Pessoais incluem, sem limitação: (a) nome; (b) endereço postal; (c) número de telefone ou fax; (d) endereço de e-mail; e (e) número de identificação do governo. 

h. “Leis de Privacidade” significa todas as Leis Aplicáveis relativas à privacidade, confidencialidade, retenção ou segurança de Informações Pessoais, inclusive sem limitação, o GDPR. 

i. “Processo” ou “Processamento” significa qualquer operação ou conjunto de operações envolvendo Informações Pessoais ou conjuntos de Informações Pessoais, realizada por meios automatizados ou não, tais como coleta, registro, organização, estruturação, alteração, uso, acesso, divulgação, cópia, transferência, armazenamento, exclusão, alinhamento ou combinação, restrição, adaptação, recuperação, consulta, destruição, descarte ou outro uso de Informações Pessoais. 

j. “Anexo sobre Segurança” significa o Anexo sobre Segurança anexado ao Contrato. 

k. “Serviços” significa os serviços que o Fornecedor está obrigado a fornecer nos 

termos do Contrato. 

l. “Transferência” significa o acesso de, a transferência, entrega ou divulgação para uma pessoa, entidade ou sistema de Informações Pessoais quando tal pessoa, entidade ou sistema estiver localizado em um país ou jurisdição que não o país ou jurisdição de origem das Informações Pessoais. 

1.2 Limitação de Uso. 

a. Processamento de acordo com as Instruções da TCCC. O Fornecedor processará Informações Pessoais somente em nome da TCCC para entregar Serviços de acordo com o Contrato (inclusive este Adendo) e de acordo com as instruções da TCCC conforme emitidas de tempos em tempos por escrito (em conjunto, as “Instruções”). O Fornecedor reconhece que, com respeito às Informações Pessoais, a TCCC é a controladora e o Fornecedor é o processador de dados conforme definido nas Leis de Privacidade aplicáveis. O Fornecedor está proibido de Processar Informações Pessoais em desacordo com as Instruções, a não ser com a concordância por escrito da TCCC. Se a Lei Aplicável exige que o Fornecedor 

Classified - Confidential 

realize Processamento que é ou possa ser interpretado como inconsistente com as instruções da TCCC, o Fornecedor deve comunicar à TCCC imediatamente e antes de iniciar o Processamento, a menos que a Lei Aplicável proíba tal comunicação por motivos importantes de interesse público. Se o Fornecedor acreditar que qualquer instrução da TCCC viole ou resultaria em Processamento que viole a Lei Aplicável, o Fornecedor deve informar a TCCC imediatamente. 

b. Escopo do Processamento. O escopo, classificação, finalidades e detalhes do Processamento estão descritos no Anexo 1 (Descrição do Processamento). O Fornecedor processará as Informações Pessoais sempre em conformidade com a Lei Aplicável. O Fornecedor não poderá: (i) usar as Informações Pessoais para qualquer finalidade não prevista na Seção 1.2.a; (ii) vender, ceder ou arrendar para terceiros quaisquer Informações Pessoais; ou (iii) explorar comercialmente Informações Pessoais, por exemplo, através do uso de Informações Pessoais para análise. 

1.3 Limitação de Divulgação. O Fornecedor não divulgará Informações Pessoais a quaisquer terceiros sem primeiro obter o consentimento por escrito da TCCC, exceto conforme disposto na Seção 1.8 (Cooperação para Facilitar Solicitações de Titulares de Dados) ou na Seção 1.9 (Solicitações de Produção). O Fornecedor imporá obrigações escritas exequíveis a todos os funcionários, contratados e agentes que processem Informações Pessoais em nome do Fornecedor para proteger a confidencialidade das Informações Pessoais e para cumprir os demais requisitos relevantes deste Adendo (inclusive durante o período de seu emprego ou engajamento e após). 

1.4 Medidas Técnicas e Organizacionais. O Fornecedor adotará todas as medidas de segurança técnicas e organizacionais necessárias contra o Processamento de Informações Pessoais não autorizado ou ilegal e contra a perda, alteração, destruição ou danos a Informações Pessoais. O Processador implementará medidas técnicas e organizacionais apropriadas para assegurar um nível de segurança correspondente ao risco. Ao avaliar o nível apropriado de segurança, o Fornecedor levará em consideração o estado da arte, os custos de implementação e a natureza, escopo, contexto e propósitos do Processamento de Informações Pessoais, bem como o risco da variação de probabilidade e gravidade dos direitos e liberdades das pessoas naturais. Essas medidas técnicas e organizacionais incluirão, no mínimo, conformidade com o Anexo sobre Segurança ou, se o Contrato não incluir um Anexo sobre Segurança, conformidade com as normas aplicáveis da indústria para segurança da informação. O Fornecedor reconhece que seu dever de adotar medidas de segurança nos termos desta Seção 1.4 e do Anexo 2 é adicional e não limita as obrigações do Fornecedor de adotar medidas de segurança técnicas e organizacionais apropriadas de acordo com a Lei Aplicável. As medidas técnicas e organizacionais que o Fornecedor implementar nos termos desta Seção 1.4 e do Anexo 2 estarão sujeitas a contínuo aprimoramento. 

1.5 Violações de Dados Pessoais. 

Classified - Confidential 

a. Se o Contrato possuir um Anexo sobre Segurança qualquer Violação de Dados Pessoais constituirá um Incidente de Segurança. No caso de uma Violação de Dados Pessoais, o Fornecedor deverá, portanto, cumprir todos os requisitos do Anexo sobre Segurança decorrentes de ou relacionados a um Incidente de Segurança. 

b. Se o Contrato não exigir que o Fornecedor notifique a TCCC sobre uma Violação de Dados Pessoais, o Fornecedor sujeitar-se-á a esta Seção 1.5.b. O Fornecedor comunicará à TCCC por escrito (no prazo de 24 horas) sempre que o Fornecedor acreditar razoavelmente que tenha havido uma Violação de Dados Pessoais. Após a comunicação, o Fornecedor investigará a Violação de Dados Pessoais, tomará todas as medidas necessárias para eliminar ou conter a exposição das Informações Pessoais e manterá a TCCC informada sobre a situação da Violação de Dados Pessoais e todos os assuntos a ela relacionados. O Fornecedor concorda ainda em fornecer, às expensas exclusivas do Fornecedor, assistência e cooperação razoáveis solicitadas pela TCCC e/ou pelos representantes designados pela TCCC, na promoção de qualquer correção, remediação ou investigação de Violação de Dados Pessoais e/ou mitigação de qualquer dano, inclusive o envio a indivíduos, reguladores ou terceiros afetados de notificação que a TCCC possa determinar como apropriado, e/ou o fornecimento a indivíduos afetados de qualquer serviço de relatório de crédito que a TCCC considere apropriado. A menos que seja exigido por lei, o Fornecedor não notificará qualquer indivíduo ou terceiros além da aplicação da lei sobre qualquer possível Violação de Dados Pessoais envolvendo Informações Pessoais sem primeiro consultar e obter a permissão por escrito da TCCC. Além disso, no prazo de 30 dias após identificar ou ser informado sobre uma Violação de Dados Pessoais, o Fornecedor desenvolverá e implementará um plano, sujeito à aprovação da TCCC, que reduza a probabilidade de recorrência de Violação de Dados Pessoais. 

c. O Fornecedor concorda que, além dos requisitos aplicáveis previstos no Anexo sobre Segurança ou na Seção 1.5.b: 

i. A comunicação do Fornecedor à TCCC sobre uma Violação de Dados Pessoais deve conter as seguintes informações: (1) uma descrição das categorias e o número aproximado de titulares de dados, assim como as categorias e o número aproximado de registros de Informações Pessoais afetados pela Violação de Dados Pessoais; (2) o nome e os detalhes para contato de qualquer Administrador de Proteção de Dados designado pela Fornecedor; e (3) avaliação do Fornecedor, desenvolvida através de diligência razoável, das prováveis consequências da Violação de Dados Pessoais com relação às Informações Pessoais e titulares de dados afetados. 

ii. Se a TCCC determinar que qualquer Violação de Dados Pessoais deve ser divulgada a terceiros, inclusive titulares de dados ou autoridades governamentais (incluindo sem limitação autoridades de proteção de dados da Área Econômica Europeia), o Fornecedor cooperará e ajudará a TCCC no cumprimento das obrigações da TCCC de apresentação de relatórios e de divulgação. 

Classified - Confidential 

1.6 Devolução e Descarte de Informações. Conforme apropriado e conforme instruído pela TCCC, o Fornecedor eliminará regularmente as Informações Pessoais mantidas pelo Fornecedor, mas que não são mais necessárias para a prestação dos Serviços. Na rescisão ou expiração do Contrato por qualquer razão ou a pedido da TCCC, o Fornecedor cessará imediatamente o manuseio das Informações Pessoais e, no prazo de 30 dias, devolverá, de maneira e em formato razoavelmente solicitados pela TCCC, ou, se especificamente instruído pela TCCC, destruirá toda e qualquer Informação Pessoal na posse ou controle do Fornecedor, exceto conforme exigido pela Lei Aplicável. Se o Fornecedor tiver a obrigação legal de reter Informações Pessoais além do período especificado neste Adendo, o Fornecedor notificará a TCCC por escrito sobre essa obrigação, na medida permitida pela Lei Aplicável, e devolverá ou destruirá as Informações Pessoais de acordo com este Adendo tão logo possível após o término do período de retenção legalmente exigido. O Fornecedor realizará a destruição de Informações Pessoais de acordo com este Adendo de forma a destruir permanentemente e com segurança as Informações Pessoais de acordo com as Leis de Privacidade e os padrões da indústria, para que as informações não possam ser lidas ou reconstruídas como matéria prática por meios forenses ou outros. Mediante solicitação, o Fornecedor fornecerá uma certificação escrita de que as Informações Pessoais foram devolvidas ou seguramente destruídas de acordo com este Adendo. A TCCC tem o direito de exigir que o Fornecedor forneça também uma certificação escrita de qualquer terceiro prestando serviços de destruição no prazo de quarenta e oito (48) horas após o término da destruição. 

1.7 Subcontratação. O Fornecedor poderá subcontratar o Processamento de Informações Pessoais somente com a autorização prévia por escrito da TCCC. Antes da divulgação de Informações Pessoais a um subcontratado ou do Processamento de Informações Pessoais por um subcontratado em nome do Fornecedor (cada um, a “Subcontratado”), o Fornecedor terá que ter assinado um contrato que exija que o Subcontratado cumpra as mesmas obrigações e restrições estabelecidas neste Adendo, inclusive garantias expressas por parte do Subcontratado de implementar medidas técnicas e organizacionais para assegurar que o Processamento satisfaça todas as exigências da Lei Aplicável. Todo Processamento de Informações Pessoais por parte de um Subcontratado deve estar em conformidade com tal contrato. O Fornecedor fornecerá o contrato à TCCC prontamente mediante solicitação. O Fornecedor permanecerá responsável pelo Processamento de Informações Pessoais por tais Subcontratados e por todas as ações e omissões de tais Subcontratados, como se tais atos ou omissões tivessem sido praticados pelo Fornecedor. 

1.8 Cooperação para Facilitar Solicitações de Titulares de Dados. O Fornecedor comunicará prontamente à TCCC por escrito (e, em qualquer caso, dentro de 2 dias do recebimento), a menos que especificamente proibido pela Lei Aplicável, se o Fornecedor receber: (i) solicitações de um indivíduo com relação a Informações Pessoais Processadas, incluindo sem limitação solicitações de exclusão, solicitações de acesso, retificação, eliminação, restrição ou portabilidade de dados, solicitações envolvendo objeção ao Processamento ou à tomada de decisão automatizada, e todas as solicitações semelhantes; ou (ii) reclamação relacionada ao Processamento de Informações Pessoais, incluindo sem limitação, alegações de que o Processamento infringe os direitos de um indivíduo de acordo 

Classified - Confidential 

com a Lei Aplicável. O Fornecedor não responderá a qualquer solicitação ou reclamação a menos que autorizado a fazê-lo por escrito pela TCCC ou obrigado a fazê-lo de acordo com a Lei Aplicável. O Fornecedor, sem qualquer custo adicional: (a) implementará processos apropriados (inclusive medidas técnicas e organizacionais) para auxiliar a TCCC a responder a tais solicitações ou reclamações de indivíduos; e (b) cooperará com a TCCC com relação a todas essas solicitações e reclamações, e facilitará a autenticação, registro, investigação, processamento, execução e resolução de todas essas solicitações e reclamações por parte da TCCC. 

1.9 Solicitações de Produção. O Fornecedor comunicará imediatamente a TCCC (exceto se de outra forma exigido pela Lei Aplicável) o recebimento de uma solicitação, ordem ou processo legal solicitando ou obrigando a divulgação de Informações Pessoais a uma autoridade governamental ou outro terceiro, exceto solicitações recebidas de indivíduos, as quais estarão sujeitas à Seção 1.8 (Cooperação para Facilitar Solicitações de Titulares de Dados). O Fornecedor não divulgará Informações Pessoais em resposta a uma solicitação, ordem ou processo legal sujeitos a esta Seção 1.9 (uma "Solicitação de Produção") sem fornecer à TCCC pelo menos 48 horas após a notificação do Fornecedor para permitir à TCCC exercer os direitos que possa ter de acordo com a Lei Aplicável para impedir ou limitar tal divulgação. Não obstante o disposto acima, o Fornecedor envidará esforços comercialmente razoáveis para impedir e limitar tal divulgação e para de qualquer outra forma preservar a confidencialidade das Informações Pessoais e cooperará com a TCCC com relação a qualquer medida tomada relativamente a tal Solicitação de Produção, inclusive para obter uma medida protetiva apropriada ou outra garantia confiável de que tratamento confidencial será concedido às Informações Pessoais. 

1.10 Investigações. Mediante notificação ao Fornecedor, o Fornecedor assistirá e apoiará a TCCC em caso de investigação por parte de órgão regulador, inclusive órgão regulador de proteção de dados ou autoridade semelhante, se e na medida em que tal investigação se relacione às Informações Pessoais com que o Fornecedor trabalha em nome da TCCC. Tal assistência será custeada exclusivamente pela TCCC, exceto quando tal investigação for exigida devido a atos ou omissões do Fornecedor, caso em que tal assistência será da exclusiva responsabilidade do Fornecedor. 

1.11 Garantias Adicionais. O Fornecedor fornecerá informações e assistência relevantes solicitadas pela TCCC para demonstrar a conformidade por parte do Fornecedor com suas obrigações nos termos do presente Adendo e das Leis de Privacidade e para auxiliar a TCCC a cumprir as obrigações da TCCC nas seguintes áreas conforme as Leis de Privacidade aplicáveis com respeito ao Processamento de Informações Pessoais pelo Fornecedor de acordo com este Adendo: (i) registro e notificação; (ii) responsabilidade; (iii) garantia da segurança das Informações Pessoais; (iv) Transferências de Informações Pessoais; e (v) realização de avaliações de impacto sobre a privacidade e a proteção de dados e consultas conexas com autoridades de proteção de dados e órgãos trabalhistas. O fornecedor notificará a TCCC imediatamente se o Fornecedor: (i) tiver razões para acreditar que não tem capacidade para cumprir qualquer uma de suas obrigações de acordo com o presente 

Classified - Confidential 

Adendo ou com as Leis de Privacidade aplicáveis e que não tem condição de remediar esta incapacidade dentro de um prazo razoável; ou (ii) tomar conhecimento de quaisquer circunstâncias ou mudança na Lei Aplicável que possam impedi-lo de cumprir suas obrigações nos termos deste Adendo. Se qualquer mudança no Processamento for exigida por uma modificação nas Leis de Privacidade, ou para garantir conformidade contínua com as Leis de Privacidade, a TCCC terá o direito de exigir que o Fornecedor implemente a mudança solicitada sem qualquer custo para a TCCC. 

2. Transferências Transfronteiras. Esta Seção 2 estabelece certos mecanismos disponíveis para Transferências de Informações Pessoais de acordo com ou em conexão com o Contrato. Se um mecanismo identificado nesta Seção 2 for invalidado por um tribunal de jurisdição competente ou invalidado ou rejeitado por outra autoridade governamental competente, tal mecanismo não estará mais disponível para tais Transferências e, nesse caso, o Fornecedor deve adotar e agir em conformidade com um dos outros mecanismos estabelecidos nesta Seção 2 imediatamente. O Fornecedor concorda em executar tais documentos adicionais, praticar tais atos e fornecer tal assistência adicional solicitada pela TCCC para assegurar que todas as Transferências de Informações Pessoais estejam em conformidade com as Leis de Privacidade aplicáveis. 

2.1 Transferências pela TCCC. Esta Seção 2.1 se aplica quando uma Afiliada da TCCC localizada num Estado Membro da EEA ou Suíça (em conjunto, para os efeitos deste Adendo, “EEA”) transferir Informações Pessoais para um Fornecedor (inclusive, para evitar dúvidas, para um Subcontratado) em um local que: (i) seja fora da EEA; e (ii) não seja coberto por uma Decisão de Adequação. 

a. BCR-P. Quando a Transferência para Fornecedor estiver coberta por Regras Corporativas Vinculantes para Processadores implementadas pelo Fornecedor e aprovadas por todas as autoridades de supervisão aplicáveis de acordo com o Artigo 47 do GDPR e com outras Leis de Privacidade aplicáveis (“BCR-Ps”), o Fornecedor declara, garante e concorda (i) que manterá e estenderá a autorização EEA de suas BCR-Ps por toda a vigência do Contrato; (ii) que informará prontamente a TCCC sobre quaisquer mudanças materiais subsequentes em tal autorização; e (iii) que repassará quaisquer de suas obrigações de acordo com suas BCR-Ps para Subcontratados celebrando um contrato de transferência apropriado com tais Subcontratados. 

b. Escudo de Privacidade. Na medida em que uma Transferência seja para um Fornecedor nos Estados Unidos e que tal Transferência esteja coberta por uma certificação de Fornecedor de acordo com o Programa Escudo de Privacidade UE- EEUU e com o Programa Escudo de Privacidade Suíça-EEUU, o Fornecedor declara, garante e concorda (i) que atestou ao Departamento de Comércio dos Estados Unidos que atua em conformidade com os princípios do Escudo de Privacidade e com os princípios complementares localizados em https://www.privacyshield.gov/, conforme possam ser alterados de tempos em tempos, mas que o Fornecedor não será responsável por fornecer aviso e opção e 

Classified - Confidential 

por responder a solicitações de acesso e execução, exceto conforme estabelecido neste Adendo (“Obrigações do Escudo de Privacidade”); (ii) que manterá sua certificação junto a tais Programas de Proteção de Privacidade por toda a vigência do Contrato; e (iii) que repassará todas as suas Obrigações do Escudo de Privacidade aos Subcontratados celebrando um contrato de transferência apropriado com tais Subcontratados. 

c. Cláusulas-Modelo. 

i. Em todos os casos não cobertos em 2.1.a ou 2.1.b, a Transferência relevante será regida pelas Cláusulas Contratuais Padrão (Controlador para Processador) (“Contrato de Cláusulas Modelo”). O Fornecedor deve obedecer ao Contrato de Cláusulas Modelo. O Contrato de Cláusulas Modelo é aqui incorporado a este Adendo por referência. Ao assinar este Adendo o Fornecedor assina também o Contrato de Cláusulas Modelo. O Fornecedor concorda também em assinar o Contrato de Cláusulas Modelo diretamente a pedido da TCCC. 

ii. O Contrato de Cláusulas Modelo também se aplicará a Transferências da TCCC ou de uma Afiliada da TCCC para um Fornecedor (inclusive um Subcontratado) se a TCCC ou a Afiliada da TCCC transferir as Informações Pessoais de um país não pertencente à EEA no qual a autoridade de proteção de dados competente tenha aprovado o uso das Cláusulas Contratuais Padrão conforme publicadas pela Comissão Europeia na Decisão 2010/87/EU (as “Cláusulas Modelo C2P”) para fornecer um mecanismo legal para transferência de Informações Pessoais para além das fronteiras nacionais. 

2.2 Transferências pelo Fornecedor. Se o Fornecedor coleta, armazena ou de qualquer outra forma Processa Informações Pessoais na EEA, o Fornecedor não transferirá as Informações Pessoais para fora da EEA sem o consentimento prévio por escrito da TCCC. Para todas essas Transferências, o Fornecedor seguirá as instruções da TCCC para fornecer salvaguardas adequadas para a privacidade de todos os titulares de dados relevantes e exigirá que quaisquer Subcontratados aplicáveis façam o mesmo. O Fornecedor deve garantir que todas as Transferências estejam sempre em conformidade com as Leis de Privacidade. Sem limitar a generalidade do exposto acima, transferências pelo Fornecedor (se houver) de Informações Pessoais desde a EEA para outra localidade devem ser: (a) para um Subcontratado nos Estados Unidos de acordo com os Programas de Escudo de Privacidade ou qualquer programa sucessor aprovado pela Comissão Europeia; (b) para um Subcontratado que tenha implementado e esteja vinculado por BCR-Ps em todas as jurisdições para as quais Informações Pessoais serão Transferidas e Processadas; (c) para um Subcontratado localizado em um país coberto por uma Decisão de Adequação de uma autoridade competente com jurisdição sobre a(s) Afiliada(s) da TCCC aplicável(eis); ou (d) de acordo com as Cláusulas Modelo C2P, desde que o Fornecedor tenha garantido todas as aprovações necessárias por parte das autoridades governamentais aplicáveis para a transferência. 

3 Auditorias. 

Classified - Confidential 

3.1 Auditoria Anual. Uma vez a cada 12 meses, observadas as disposições contrárias da Seção 3.3 deste Adendo, o Fornecedor fornecerá à TCCC, a uma Afiliada da TCCC, ou a um terceiro independente escolhido pela TCCC e razoavelmente aceitável para o Fornecedor, mediante notificação razoável: (i) acesso a informações do Fornecedor, dependências para o Processamento, e registros; (ii) assistência e cooperação razoáveis do pessoal relevante do Fornecedor; e (iii) instalações razoáveis nas dependências do Fornecedor para a auditoria por parte da TCCC do cumprimento pelo Fornecedor de suas obrigações de acordo com o presente Adendo. A TCCC poderá, ao invés de realizar uma auditoria no local, solicitar uma cópia da avaliação mais recente do Fornecedor realizada por terceiros, como uma avaliação ISO 27001, SSAE 18 SOC 2, ISAE 3402 ou semelhante. O Fornecedor fornecerá uma cópia de tal avaliação à TCCC imediatamente, mediante solicitação. A TCCC continua a ter o direito de realizar uma auditoria conforme descrito neste parágrafo, mesmo que tal certificado seja fornecido. Cada parte arcará com suas próprias despesas em conexão com uma auditoria de acordo com esta Seção 3.1. 

3.2 Auditoria de Violação de Dados Pessoais. Se o Fornecedor comunicar uma Violação de Dados Pessoais conforme descrito na Seção 1.5, a TCCC terá os seguintes direitos de auditoria, além de quaisquer outros direitos de auditoria nos termos do Contrato ou deste Adendo e sem considerar a limitação de frequência da Seção 3.1. Observadas quaisquer disposições em contrário da Seção 3.3 deste Adendo, a TCCC terá o direito de realizar, por meio de um terceiro independente escolhido pela TCCC e razoavelmente aceitável para o Fornecedor, ou através do próprio pessoal da TCCC, uma auditoria de acompanhamento para assegurar que todas as medidas corretivas razoavelmente necessárias tenham sido tomadas. Se tal auditoria concluir que o Fornecedor não tomou medidas corretivas de forma adequada para corrigir os problemas, (i) o Fornecedor tomará imediatamente as medidas corretivas que sejam razoavelmente necessárias para corrigir os problemas; e (ii) O Fornecedor reembolsará a TCCC por todos os custos razoáveis da auditoria. Os direitos e recursos concedidos à TCCC de acordo este parágrafo continuarão até que todas as medidas corretivas razoavelmente necessárias tenham sido tomadas. 

3.3 Confidencialidade da Auditoria. As partes concordam que se as políticas escritas pré- existentes do Fornecedor, fornecidas à TCCC mediante solicitação, não permitirem que o próprio pessoal da TCCC realize a auditoria ou análise de segurança exigida ou permitida de acordo com o presente Adendo, a TCCC realizará tal auditoria ou análise de segurança através de um auditor terceirizado selecionado pela TCCC e razoavelmente aceitável para o Fornecedor, e o Fornecedor reembolsará a TCCC pelos custos da realização de tal auditoria ou análise de segurança. A TCCC concorda que o auditor ou a firma de segurança terceirizado celebrará um contrato por escrito com o Fornecedor e a TCCC que exija que tal firma (i) use as informações confidenciais do Fornecedor exclusivamente para os fins da inspeção ou auditoria, (ii) mantenha confidenciais as informações confidenciais do Fornecedor (inclusive quaisquer informações relativas a seus outros clientes) de acordo com quaisquer disposições aplicáveis do Contrato e (iii) trate tais informações de acordo com os mesmos procedimentos que se aplicam ao tratamento por parte do Fornecedor de informações confidenciais da TCCC conforme descrito em quaisquer disposições aplicáveis do Contrato. As partes concordam 

Classified - Confidential 

ainda que se as políticas do Fornecedor também proibirem os auditores terceirizados da TCCC de realizar qualquer auditoria ou análise de segurança exigida ou permitida de acordo com o presente Adendo, o Fornecedor, mediante solicitação da TCCC, contratará firma de auditoria independente do Fornecedor, agindo com um dever perante o Fornecedor, para realizar tal auditoria ou revisão de segurança, às custas do Fornecedor, e tal firma, às expensas do Fornecedor, fornecerá à TCCC uma carta de representação da administração certificando perante a TCCC os resultados de tal auditoria ou análise, inclusive todas as descobertas, comentários e recomendações para ações adicionais. 

4 Disposições Gerais. 

4.1 Ordem de Precedência. No caso de conflito entre este Adendo e qualquer termo, condição ou outra disposição do Contrato, prevalecerão os termos, condições e disposições aplicáveis deste Adendo. 

4.2 Beneficiários de Terceiros. As Partes concordam que as Afiliadas da TCCC são beneficiárias terceirizadas do Contrato, inclusive deste Adendo, e que o Contrato se destina a reverter em benefício de tais Afiliadas. Sem limitar o exposto acima, as Afiliadas da TCCC terão direito de fazer cumprir o Contrato como se cada uma fosse uma signatária do Contrato. A TCCC também poderá fazer cumprir as disposições do presente Adendo em nome das Afiliadas da TCCC (ao invés da(s) Afiliada(s) da TCCC trazerem separadamente causas de pedir contra o Fornecedor). 

4.3 Sobrevivência. Não obstante qualquer disposição em contrário do Contrato, as obrigações do Fornecedor nos termos do presente Adendo continuarão enquanto o Fornecedor continuar a ter a acesso a, estiver de posse de ou obtiver Informações Pessoais, mesmo se todos os contratos entre o Fornecedor e a TCCC tiverem expirado ou sido rescindidos. 

Exceto conforme emendado pelo presente, o Contrato permanece em pleno vigor e efeito de acordo com seus termos. 

Classified - Confidential