Acordo de Processamento de Dados (DPA)
OS ABAIXO ASSINADOS:
e
a seguir designados conjuntamente por: Partes;
CONSIDERAÇÕES:
ACORDAM NO SEGUINTE:
Os termos escritos com letra maiúscula na presente DPA têm os seguintes significados:
1.2 Violação de dados: uma violação das medidas de segurança destinadas a proteger os dados pessoais contra a perda ou qualquer forma de tratamento ilícito, bem como qualquer incidente ou evento em que ocorra ou possa ocorrer perda ou tratamento ilícito de dados pessoais.
1.3 Acordo: o Acordo entre o Subcontratante e o Responsável pelo Tratamento relativo à solução SAAS de cibersegurança fornecida pelo Subcontratante, da qual decorre o tratamento dos Dados Pessoais.
1.4 Dados pessoais: qualquer informação relativa a uma pessoa singular identificada ou identificável. Uma pessoa singular identificável é aquela que pode ser identificada, direta ou indiretamente, em especial por referência a um identificador como um nome, um número de identificação, dados de localização, um identificador em linha ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.
1.5 Subcontratante: a pessoa singular ou colectiva que assiste um Subcontratante no tratamento de Dados Pessoais em nome do Responsável pelo Tratamento.
1.6 Tratamento: qualquer operação ou conjunto de operações efectuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.
1.7 Acordo de Processamento de Dados (DPA): este acordo entre o Controlador e o Processador relativo ao processamento de dados pessoais, incluindo considerações e anexos associados.
2.1 O presente APD entra em vigor na data em que as Partes assinam o Acordo.
2.2 O presente APD permanecerá em vigor enquanto o Subcontratante tratar os Dados Pessoais em nome do Responsável pelo Tratamento ao abrigo do Acordo.
3.1 Durante a execução do Acordo, o Responsável pelo Tratamento pode fornecer Dados Pessoais ao Subcontratante. Uma visão geral das categorias de Dados Pessoais que podem ser fornecidos ao Processador está incluída na Política de Privacidade.
3.2 O Responsável pelo Tratamento determina a finalidade e os meios de tratamento dos Dados Pessoais. Esta finalidade está registada na Política de Privacidade.
3.3 O Subcontratante processa estes Dados Pessoais exclusivamente para a execução do Acordo, da presente APD e das instruções escritas dadas pelo Responsável pelo Tratamento. O Subcontratante só processará os Dados Pessoais para os fins descritos na Política de Privacidade e não utilizará os Dados Pessoais para quaisquer outros fins ou para os seus próprios fins, exceto se tal for exigido por lei.
3.4 Se uma instrução referida no artigo 3.3, na opinião do subcontratante, estiver em conflito com uma disposição legal sobre proteção de dados, o subcontratante informará o responsável pelo tratamento antes do processamento, a menos que uma disposição legal proíba essa notificação.
3.5 O Responsável pelo Tratamento concede ao Subcontratante uma autorização geral para subcontratar o tratamento de Dados Pessoais a Subcontratantes, incluindo os Subcontratantes listados no sítio Web do Subcontratante.
3.6 Se o Processador contratar um Sub-Processador novo ou de substituição, o Processador irá:
(a) Actualiza a lista de subcontratantes ulteriores disponível no sítio Web do transformador.
(b) Impor a qualquer subcontratante ulterior substancialmente os mesmos termos de proteção de dados que os contidos no presente DPA (incluindo disposições de transferência de dados, quando aplicável).
(c) Continua a ser responsável perante o Responsável pelo Tratamento por qualquer violação do presente APD causada por um ato, erro ou omissão desse Subcontratante.
(d) Notificar o Controlador, se o Controlador estiver inscrito. Se o Controlador optar por ser notificado por escrito 14 dias antes de o Guardey contratar um Subprocessador novo ou substituto, o Controlador deve subscrever tais notificações através deste link.
3.7 O Responsável pelo Tratamento pode opor-se à nomeação, pelo Subcontratante, de qualquer Subcontratante ulterior novo ou de substituição, prontamente e por escrito, no prazo de catorze (14) dias após a receção da notificação nos termos da alínea d) do ponto 3.6, com base em motivos razoáveis relacionados com a capacidade do Subcontratante ulterior para cumprir a legislação aplicável em matéria de proteção de dados. Nesse caso, as Partes discutirão as preocupações do Responsável pelo Tratamento de boa fé, com vista a alcançar uma resolução comercialmente razoável. Se as Partes não conseguirem chegar a essa resolução, o Subcontratante terá o direito, segundo o seu critério exclusivo, de não nomear o Subcontratante em causa ou de permitir que o Responsável pelo Tratamento suspenda ou ponha termo à Encomenda aplicável e/ou ao Contrato.
3.8 O Processador prestará a assistência necessária para cumprir as obrigações previstas nos artigos 32º a 36º do RGPD. Em particular, o Subcontratante cooperará na execução das acções necessárias em resposta aos pedidos dos Titulares dos Dados relativamente ao acesso, retificação, restrição ou eliminação de Dados Pessoais.
3.9 O Subcontratante armazenará e processará os Dados Pessoais apenas na União Europeia, salvo acordo em contrário com o Responsável pelo Tratamento.
3.10 O responsável pelo tratamento garante que o processamento dos dados pessoais, tal como instruído ao subcontratante, não viola os regulamentos de proteção de dados e não é ilegal. O Responsável pelo tratamento indemniza o Subcontratante por todas as reclamações de terceiros, incluindo as das autoridades de supervisão, relacionadas com este assunto.
3.11 Transferências internacionais de dados:
(a) Se o processamento envolver a transferência de Dados Pessoais para fora da UE/EER, o Processador assegurará um nível adequado de proteção em conformidade com o Capítulo V do RGPD.
(b) No que respeita às transferências para países sem uma decisão de adequação, serão utilizadas cláusulas contratuais-tipo (CCP) ou outro mecanismo de transferência aprovado.
(c) O subcontratante notificará o responsável pelo tratamento dos subcontratantes fora da UE/EER e permitirá que o responsável pelo tratamento se oponha a essas transferências, em conformidade com o ponto 3.7.
4.1 O Subcontratante continuará a cumprir as disposições do presente APD após a cessação do Contrato e do APD, desde que o Subcontratante retenha quaisquer Dados Pessoais do Responsável pelo Tratamento.
5.1 Após a cessação do Contrato e da APD, todos os Dados Pessoais serão devolvidos ao Responsável pelo Tratamento (ou a um terceiro designado pelo Responsável pelo Tratamento) ou destruídos logo que razoavelmente possível a pedido do Responsável pelo Tratamento, à escolha deste.
6.1 O Processador implementará medidas técnicas e organizacionais adequadas para proteger os Dados Pessoais contra perda ou qualquer forma de processamento ilegal. Estas medidas garantirão um nível de segurança adequado ao risco apresentado pelo processamento e à natureza dos Dados Pessoais a serem protegidos, tendo em conta o estado da arte e os custos de implementação. Encontra uma lista pormenorizada destas medidas na Política de Segurança.
6.2 O Subcontratante actualizará as medidas referidas no artigo 6.1 se o Responsável pelo Tratamento solicitar essas actualizações por considerar que é necessário manter um nível de segurança adequado, tal como descrito no artigo 6.1. Nesses casos, o Subcontratante tem o direito de aumentar os preços acordados com o Responsável pelo Tratamento para cobrir os custos incorridos pelo Subcontratante em relação a essas actualizações.
7.1 Mediante pedido, o Processador fornecerá cópias de quaisquer certificações, resumos de relatórios de auditoria e/ou outra documentação relevante que detenha, sempre que o Controlador razoavelmente o exija para verificar a conformidade do Processador com esta APD.
7.2 Embora seja intenção das partes confiar normalmente nas obrigações do Processador estabelecidas na Secção 7.1 para verificar a conformidade do Processador com o presente APD, na sequência de um Incidente de Segurança confirmado ou quando uma autoridade de proteção de dados o exigir, o Responsável pelo Tratamento pode fornecer ao Processador um aviso prévio por escrito com trinta (30) dias de antecedência, solicitando que um terceiro efectue uma auditoria às operações e instalações do Processador ("Auditoria"); desde que (i) qualquer Auditoria seja realizada a expensas do Responsável pelo Tratamento; (ii) as partes acordem mutuamente o âmbito, o calendário e a duração da Auditoria; e (iii) a Auditoria não tenha um impacto injustificado nas operações regulares do Processador.
8.1 O Responsável pelo Tratamento é responsável por avaliar a necessidade de comunicar uma Violação de Dados à autoridade de controlo e/ou aos Titulares dos Dados e por efetuar a comunicação.
8.2 O Subcontratante comunicará qualquer violação de dados ou suspeita da mesma ao Responsável pelo Tratamento o mais rapidamente possível, mas sempre no prazo de 24 horas após ter descoberto a violação. O Processador fornecerá pelo menos as seguintes informações:
(a) a causa (suspeita) da violação de dados;
(b) as consequências (conhecidas ou previstas) da violação de dados;
(c) dados de localização da violação de dados;
(d) quaisquer destinatários não autorizados dos Dados Pessoais e todas as informações disponíveis sobre eles;
(e) Sugestões de medidas para limitar os danos;
(f) Quaisquer outras informações solicitadas pelo responsável pelo tratamento.
8.3 O Processador cooperará com o pedido do Controlador para informar adequadamente os Titulares dos Dados ou as autoridades de supervisão sobre a Violação de Dados e estará disponível para consulta com o Controlador. 8.4 O Responsável pelo Tratamento e o Subcontratante manterão entre si uma estrita confidencialidade relativamente à Violação de Dados, a qualquer receio de uma Violação de Dados e a outros assuntos relacionados, exceto no que diz respeito às obrigações ao abrigo da legislação nacional ou da UE.
9.1 Cada parte será responsável e indemnizará a outra parte por quaisquer reclamações, acções, danos e perdas decorrentes ou relacionados com qualquer violação do presente APD, na medida em que tal violação seja atribuível a negligência dessa parte, conduta dolosa ou incumprimento das leis de proteção de dados aplicáveis.
9.2 A responsabilidade do Processador por qualquer violação do presente APD será limitada apenas a danos diretos e não excederá os montantes pagos pelo Responsável pelo Tratamento ao Processador ao abrigo do Acordo durante os 12 meses anteriores à violação.
10.1 O Subcontratante deve notificar imediatamente o Responsável pelo Tratamento se receber um pedido de um Titular dos Dados para exercer os seus direitos ao abrigo do RGPD.
10.2 O Subcontratante cooperará com o Responsável pelo Tratamento e prestará assistência ao Responsável pelo Tratamento para que este possa cumprir esses pedidos dentro dos prazos estipulados pelo RGPD.
11.1 O Subcontratante designa a seguinte pessoa de contacto para coordenar as obrigações decorrentes da presente APD:
Informação de contacto do Processador:
11.2 Todas as comunicações relativas à presente DPA devem ser dirigidas à pessoa de contacto acima indicada.
11.3 O Responsável pelo Tratamento deve fornecer as suas informações de contacto através dos canais de comunicação designados no sítio Web do Subcontratante ou contactando a equipa de apoio do Subcontratante através dos dados de contacto acima indicados.
12.1 RGPD do Reino Unido: Se e na medida em que o processamento de Dados Pessoais ao abrigo do presente APD disser respeito a titulares de dados no Reino Unido, aplicar-se-ão as disposições do RGPD do Reino Unido. As referências ao RGPD no presente ATD também incluem referências ao RGPD do Reino Unido, quando aplicável.
12.2 CCPA / CPRA: Se e na medida em que o processamento de Dados Pessoais ao abrigo do presente DPA disser respeito a titulares de dados na Califórnia, aplicar-se-ão as disposições da Lei de Privacidade do Consumidor da Califórnia (CCPA) e da Lei de Direitos de Privacidade da Califórnia (CPRA). O Processador deverá:
(a) Notificar imediatamente o responsável pelo tratamento de quaisquer pedidos dos consumidores ao abrigo da CCPA/CPRA.
(b) Coopera com o responsável pelo tratamento de dados para garantir que esses pedidos sejam tratados atempadamente e em conformidade com a CCPA/CPRA.
(c) Não "vender" dados pessoais, tal como definido na CCPA/CPRA.
(d) Assegura o cumprimento dos requisitos da CCPA/CPRA, incluindo a transparência e as notificações relativas aos direitos dos consumidores.
13.1 Os desvios ao presente APD só são vinculativos se forem expressamente acordados por escrito entre as Partes.
13.2 Os termos e condições gerais ou outras condições gerais ou especiais do Processador não se aplicam a este DPA e são expressamente rejeitados pelo Controlador.
13.3 O presente APD complementa o Acordo. Em caso de conflito entre as disposições do presente APD e do Acordo, as disposições do presente APD prevalecerão.
13.4 A presente APD rege-se pela lei neerlandesa.
13.5 Os litígios entre as Partes que não possam ser resolvidos através de consultas serão submetidos ao tribunal neerlandês competente em Haia.