ANEXO ++
ANEXO ++
Contrato de Processamento de Dados («DPA»)
Para os fins deste Contrato de Processamento de Dados (doravante, o «DPA»), os termos em letras maiúsculas são definidos de acordo com o Contrato ou este Anexo.
Artigo 1. Contexto e Objeto
O Cliente, responsável pelo tratamento (doravante, o «Responsável pelo Tratamento»), subscreveu um ou mais serviços da Partoo, no âmbito das Condições Gerais de Venda da Partoo (ou T&C) ou no âmbito de um contrato específico (doravante em conjunto, sejam as Condições Gerais de Venda da Partoo, os T&C ou um contrato específico, o
«Contrato»).
Neste contexto, o Cliente comunica os dados dos Utilizadores que serão necessários para ligar às Aplicações da Partoo, para permitir que a Partoo crie os acessos às Aplicações.
Além disso, é provável que o Cliente, dependendo dos serviços que subscrever, transfira dados pessoais para as Aplicações da Partoo nos servidores que alojam as Aplicações da Partoo, sendo especificado que a Partoo não tem conhecimento dos dados que passarão pelas Aplicações da Partoo por iniciativa do Cliente, o que confere à Partoo o estatuto, de acordo com a doutrina das autoridades de controlos, de subcontratante (doravante, «Subcontratante»).
O objetivo destas cláusulas é definir as condições em que o subcontrado se compromete a realizar, por conta do Responsável pelo Tratamento, as operações de processamento de dados pessoais definidas abaixo.
No âmbito das suas relações contratuais, as partes comprometem-se a respeitar a regulamentação em vigor aplicável ao processamento de dados pessoais e, em particular, o regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016, aplicável a partir de 25 de maio de 2018 (doravante, o «Regulamento Geral sobre a Proteção de Dados » ou «RGPD»).
Note que, como parte da sua relação comercial com o Responsável pelo Tratamento, a Partoo limita-se a fornecer o acesso às suas Aplicações e Serviços e, exceto para os Utilizadores cujos dados são processados para fins de prestação dos serviços, aos outros dados que aloja, a Partoo não tem obrigação geral de monitorizar o conteúdo que aloja e, a menos que subscreva um serviço específico, não sabe, pois, se os seus clientes alojam dados pessoais nos Serviços.
Artigo 2. Descrição do processamento sujeito a subcontratação
O Subcontratante está autorizado a processar os dados pessoais dos Utilizadores para lhes fornecer acesso e também alojar e transmitir, em nome do Responsável pelo Tratamento, os dados pessoais que o Responsável pelo Tratamento opte por transferir no âmbito dos Serviços.
Os dados dos Utilizadores processados são os dados de contacto destes Utilizadores para lhes permitir aceder às Aplicações da Partoo (nome, apelido e endereço de e-mail) e usar os Serviços.
A natureza das operações realizadas sobre os dados e a respetiva utilização para fins de identificação das pessoas que se ligam à plataforma, por um lado, e o alojamento e transmissão dos dados que são transferidos pelos Utilizadores e terceiros, incluindo os clientes dos Clientes, que interagem com os Serviços.
Além do processamento dos dados pessoais dos funcionários processados para fins de prestação dos serviços, a Partoo limita-se a alojar e transmitir os dados eventualmente comunicados pelo Responsável pelo Tratamento ou pelo seu interlocutor, se for necessário, nas Aplicações da Partoo.
As categorias de pessoas envolvidas são os Utilizadores e pessoas que interagem com o Responsável pelo Tratamento através das Aplicações da Partoo.
Artigo 3. Duração do Contrato
O presente DPA entra em vigor a partir da data de assinatura do Contrato pelas Partes e permanece em vigor durante toda a duração da relação contratual.
Artigo 4. Obrigações do Subcontratante para com o Responsável pelo Tratamento
O Subcontratante compromete-se a:
i. Processar os dados apenas para uma única finalidade que é objeto da subcontratação, nomeadamente para alojar os dados, estando entendido que o Subcontratante não realiza qualquer ação sobre os dados pessoais do Responsável pelo Tratamento fora do respetivo alojamento nos seus servidores, sejam servidores de produção e/ou servidores de backup, desde que o Responsável pelo Tratamento tenha subscrito o backup para este último caso.
ii. Processar os dados de acordo com os serviços subscritos pelo Cliente. Se o Subcontratante considerar que uma instrução constitui uma violação do Regulamento Europeu de Proteção de Dados ou de qualquer outra disposição da legislação da União Europeia ou da legislação dos Estados-membros relativa à proteção de dados, deve informar imediatamente o Responsável pelo Tratamento. Além disso, se o Subcontratante tiver de proceder a uma transferência de dados para um país terceiro ou uma organização mundial, ao abrigo da legislação da União Europeia ou da legislação do Estado-membro a que está sujeito, deverá informar o Responsável pelo Tratamento sobre esta obrigação jurídica antes do processamento, exceto se a legislação em questão proibir tal informação por razões importantes de interesse público.
iii. Garantir a confidencialidade dos dados pessoais processados no âmbito do presente Contrato (na medida em que o Responsável pelo Tratamento não torne o seu alojamento acessível a terceiros não autorizados e garanta que sejam tomadas medidas de segurança que permitam a confidencialidade, uma vez que o cliente tem pleno acesso aos dados pessoais alojados pela Partoo)
iv. Garantir que as pessoas autorizadas a processar os dados pessoais ao abrigo deste Contrato:
- Estão comprometidas em respeitar a confidencialidade ou sejam submetidas a uma obrigação legal apropriada de confidencialidade.
- Recebem a formação necessária em termos de proteção de dados pessoais.
v. Tenham em conta, no que diz respeito às ferramentas, produtos, aplicações ou serviços, os princípios de proteção de dados pessoais, desde a conceção, e de proteção de dados por predefinição.
Artigo 5. Subcontratação
O Subcontratante poderá utilizar outro subcontratante (doravante, o «Subcontratante Ulterior») para realizar atividades de processamento específicas. Em caso de adição, supressão ou qualquer outra modificação na lista de Subcontratantes Ulteriores, a Partoo informará o Responsável pelo Tratamento.
Esta informação deve indicar claramente as atividades de processamento subcontratadas, a identidade e os dados de contacto do subcontratado. O Responsável pelo Tratamento dispõe de um atraso máximo de 15 dias, a contar a partir da data de receção desta informação, para apresentar as suas objeções.
Esta subcontratação só pode ser efetuada se o Responsável pelo Tratamento não tiver levantado nenhuma objeção dentro do prazo acordado.
O Subcontratante Ulterior é obrigado a respeitar as obrigações deste DPA em nome de, e de acordo com, as instruções do Responsável pelo Tratamento. É responsabilidade do Subcontratado inicial garantir que o Subcontratante Ulterior apresente as mesmas garantias suficientes relativamente à implementação de medidas técnicas e organizacionais adequadas, para que o processamento responda às exigências do RGPD e qualquer outra legislação aplicável do Contrato.
Se o Subcontratante Ulterior não cumprir as suas obrigações de proteção de dados, o Subcontratado inicial permanecerá totalmente responsável, perante o Responsável pelo Tratamento, pelo desempenho das suas obrigações pelo Subcontratante Ulterior.
Para fins de execução dos serviços, a Partoo utiliza a AWS para alojar as suas Aplicações, estando os servidores localizados na União Europeia.
Artigo 6. Direito de informação das pessoas envolvidas
É responsabilidade do Responsável pelo Tratamento fornecer a informação às pessoas afetadas pelas operações de processamento no momento da recolha dos dados e a Partoo não pode ser responsabilizada por isto.
Artigo 7. Exercício dos direitos das pessoas
Na medida do possível, o Subcontratado deverá ajudar o Responsável pelo Tratamento a cumprir a sua obrigação de responder aos pedidos de exercícios dos direitos das pessoas envolvidas: direito de acesso, retificação, eliminação e oposição, direito à limitação do processamento, direito à portabilidade dos dados, direito de não estar sujeito a uma decisão individual automatizada (incluindo a definição de perfis).
Assim que as pessoas envolvidas apresentarem pedidos de exercício dos seus direitos ao Subcontratado, este deverá enviar esses pedidos, mediante receção, por correio eletrónico, para o endereço indicado pelo Cliente, no momento da subscrição dos serviços.
Artigo 8. Notificação de violações de dados pessoais
O Subcontratado notifica o Responsável pelo Tratamento de qualquer violação de dados pessoais o mais rapidamente possível, após tomar conhecimento da mesma e por correio eletrónico, para o endereço indicado pelo Cliente, no momento da subscrição dos Serviços.
Esta notificação é acompanhada por qualquer documentação útil, para permitir ao Responsável pelo Tratamento, se for necessário, notificar esta violação à autoridade de controlo competente.
A notificação contém, no mínimo:
• a descrição da natureza da violação de dados pessoais, incluindo, sempre que possível, as categorias e o número aproximado de pessoas afetadas pela violação e as categorias e o número aproximado de registos de dados pessoais afetados;
• o nome e os dados de contacto do responsável pela proteção de dados ou outro ponto de contacto, junto do qual possam ser obtidas mais informações;
• a descrição das consequências prováveis da violação de dados pessoais;
• a descrição das medidas tomadas ou propostas pelo Responsável pelo Tratamento, para remediar a violação de dados pessoais, incluindo, quando aplicável, as medidas para atenuar as eventuais consequências negativas.
Se, e na medida em que não for possível fornecer todas estas informações ao mesmo tempo, as informações poderão ser comunicadas de forma escalonada, sem demora injustificada.
O Responsável pelo Tratamento assume a comunicação junto das pessoas em causa sobre a violação de dados pessoais. Tenha em atenção que, o Subcontratado não tem conhecimento dos dados pessoais que ▇▇▇▇▇ e, portanto, não consegue determinar se uma violação de dados pessoais é suscetível de causar um risco elevado para os direitos e liberdades de uma pessoa singular.
Artigo 9. Assistência do Subcontratado para garantir que o Responsável pelo Tratamento cumpre as suas obrigações
O Subcontratado comunicará ao Responsável pelo Tratamento a documentação relevante para a realização de análises de impacto relativas à proteção de dados por este último, relativamente apenas aos aspetos pelos quais o Subcontratado é responsável, ou seja, para o Subcontratado, o alojamento de dados.
O Subcontratado deverá auxiliar, na medida do possível e de forma razoável, o Responsável pelo Tratamento na realização da consulta prévia à autoridade de controlo, fornecendo a documentação necessária.
Artigo 10. Medidas de segurança
O Subcontratado realiza o processamento com as medidas técnicas e organizacionais, que garantem um nível de segurança adequado para o risco de processamento relacionado, de acordo com as disposições do art. 32 do RGPD.
Estas medidas incluem encriptação de dados, controlos de acesso rigorosos, auditorias de segurança regulares e todas as outras medidas necessárias para garantir a confidencialidade, integridade e disponibilidade dos dados. O Subcontratado reserva-se o direito de atualizar estas medidas de segurança em função das exigências regulamentares e das práticas recomendadas da indústria.
Para avaliar o nível de segurança apropriado, o Subcontratado tem em conta o estado da técnica, os custos de implementação, bem como a natureza, o âmbito, o contexto e a finalidade do processamento, e os riscos para as pessoas envolvidas.
Artigo 11. Reversibilidade dos dados no fim da relação comercial
A reversibilidade dos dados no final da relação contratual entre a Partoo e o Cliente está especificada no Contrato.
Artigo 12. Oficial de proteção de dados
Os dados de contacto do DPO da Partoo são os seguintes:
▇▇▇▇▇▇▇ ▇▇▇▇▇▇▇▇ – ▇▇▇▇▇▇▇.▇▇▇▇▇▇▇▇@▇▇▇▇▇▇.▇▇
Artigo 13. Documentação
O Subcontratado disponibiliza ao Responsável pelo Tratamento a documentação necessária para demonstrar o cumprimento de todas as suas obrigações e permitir a realização de auditorias, incluindo inspeções, por parte do Responsável pelo Tratamento ou por outro auditor por ele mandatado, e contribuir para essas auditorias. Em caso de auditoria, deverão ser respeitadas as seguintes regras:
As auditorias previstas neste artigo só poderão ser realizadas nas seguintes condições:
i. O pedido de auditoria deverá ser realizado por carta registada com aviso de receção, pelo menos 30 dias úteis antes da data pretendida para a auditoria com apresentação dos motivos que justificam a mesma. Se for possível realizar a auditoria através do fornecimento de documentos, as Partes favorecerão uma auditoria baseada na apresentação de documentos;
ii. Não poderá ocorrer mais de uma (1) auditoria por ano;
iii. Se o Cliente decidir confiar a auditoria a um terceiro, este:
- não deverá ser concorrente, direto ou indireto, dos Subcontratados;
- ficará estritamente vinculado ao sigilo profissional e deverá assinar um acordo de confidencialidade, que lhe será apresentado pela Partoo antes da realização da auditoria;
- em qualquer caso, a Partoo poderá opor-se à escolha do auditor sob reserva de justificação razoável; e
- deverá respeitar todos os procedimentos internos da Partoo.
iv. Os resultados da auditoria não poderão ser tornados públicos e serão estritamente confidenciais;
v. O Subcontratado poderá, antes da versão final do relatório da auditoria, apresentar as suas observações e terá um prazo de 30 dias para o fazer, exceto se tal prazo for insuficiente, caso em que poderá solicitar mais 30 dias, por correio eletrónico;
vi. A auditoria não deve perturbar as atividades da Partoo além do estritamente necessário;
vii. A auditoria só poderá dizer respeito ao cumprimento das disposições do presente DPA pela Partoo;
viii. O Cliente permanece, em qualquer caso, totalmente responsável pelo auditor, sem se poder impor qualquer limitação de responsabilidade à Partoo, em caso de falha do referido auditor;
ix. A auditoria não poderá demorar mais de um (1) dia. Além disso, a Partoo poderá faturar o tempo dispendido pelas suas equipas no âmbito da auditoria, de acordo com as tarifas que serão comunicadas ao Cliente no momento da solicitação da auditoria ou a qualquer momento, mediante solicitação do Cliente.
Artigo 14. Obrigações do Responsável pelo Tratamento para com o Subcontratado
O Responsável pelo Tratamento compromete-se a:
i. Documentar por escrito quaisquer instruções relativas ao processamento de dados pelo Subcontratado.
ii. Assegurar, antecipadamente e durante todo o processamento, o cumprimento das obrigações na legislação aplicável por parte do Subcontratante;
iii. Supervisionar o processamento com o Subcontratado em conformidade com o Contrato.
Artigo 15. Âmbito das condições gerais de intercâmbio de dados
O presente DPA forma um documento único com o Contrato.
Como tal, todas as estipulações do Contrato, das quais este DPA não se desvia ou que não são contraditórias aos termos do Contrato, permanecem totalmente aplicáveis entre as Partes. Em particular, a cláusula de limitação de responsabilidade prevista no Contrato (e especificamente no artigo 10 dos T&Cs da Partoo, quando aplicável) é totalmente aplicável em caso de violação deste DPA. Em caso de qualquer discrepância entre as disposições do Contrato e o presente DPA, este DPA prevalecerá.
Se uma das estipulações do DPA se revelar nula, relativamente a uma norma jurídica em vigor ou de uma decisão judicial transitada em julgamento, será considerada não escrita, sem no entanto resultar na anulação deste DPA ou alterar a validade das suas outras disposições.