Termos de utilização da aplicação Linde Service Manager
Termos de utilização da aplicação Linde Service Manager
A Linde Material Handling GmbH, Xxxx-xxx-Xxxxx-Xxxxx, 00000 Xxxxxxxxxxxxx, Xxxxxxxx («LMH») disponibiliza a utilização da aplicação «Linde Service Manager» («serviço») a alguns distribuidores (designados individualmente por «distribuidor» e em conjunto por «distribuidores») que possam ser considerados empresários na aceção da secção 14 do Código Civil alemão («BGB»).
O serviço permite a recolha e combinação de várias informações relacionadas com equipamentos de movimentação de cargas e a interação com o backend do serviço LMH através da rede de serviços LMH («LMH-Extranet»).
De acordo com os termos e condições da LMH-Extranet («TCG Extranet»), um distribuidor pode solicitar à LMH que conceda a determinados clientes dos distribuidores (designados individualmente por «cliente» e em conjunto por «clientes»), que possam ser considerados empresários na aceção da secção 14 do Código Civil alemão («BGB»), a possibilidade de acesso ao serviço em nome do distribuidor e que permita a outros indivíduos (por exemplo, funcionários dos clientes) o acesso ao serviço em nome do cliente.
1. Generalidades
1.1. A utilização do serviço está apenas sujeita aos presentes termos e condições gerais («TCG»). A versão atualizada dos TCG está disponível em xxxxx://xxx.xxxxx-xx.xxx/xx/Xxxxx- Notes/Privacy-Statement/. Em caso de alteração dos presentes TCG, a mesma deve ser publicada, o mais tardar, quatro semanas antes da respetiva data de entrada em vigor. As alterações introduzidas passam a fazer parte integrante do acordo entre a LMH e o distribuidor, permitindo a utilização do serviço, desde que o distribuidor não desrespeite as alterações em questão.
1.2. Qualquer indivíduo que obtenha acesso ao serviço, seja através do distribuidor (incluindo, para que não restem dúvidas, o cliente) ou através do cliente, nos termos dos TCG Extranet (designado individualmente por «utilizador» e em conjunto por «utilizadores») age como representante do distribuidor nos termos dos TCG. Caso o distribuidor rescinda ou altere os direitos do utilizador nesta matéria, a LMH reserva-se o direito de rescindir por justa causa o respetivo acordo com o distribuidor e cancelar o acesso dos utilizadores ao serviço.
1.3. Nenhuns outros termos e condições gerais, nomeadamente os termos e condições gerais dos distribuidores ou dos clientes, passam a fazer parte do acordo entre a LMH e o distribuidor relativamente ao serviço, mesmo que a LMH não se oponha explicitamente aos termos e condições gerais que lhe forem apresentados.
2. Celebração do contrato e acesso geral ao serviço
2.1. A título de requisito geral de acesso ao serviço, o utilizador deve utilizar as credenciais de início de sessão obtidas durante o registo na LMH-Extranet para aceder ao serviço ou ativar o serviço através da LMH-Extranet. O acesso à LMH-Extranet está sujeito aos TCG Extranet e, para que não restem dúvidas, nada do que aqui se estipula concede ao distribuidor ou ao utilizador o direito de acesso à LMH-Extranet.
2.2. Ao aceitar os TCG (por si próprio ou através do seu utilizador), o cliente aceita a oferta da LMH de celebração do presente acordo relativamente ao serviço.
1/15
3. Âmbito do Serviço
3.1. O âmbito do serviço encontra-se detalhadamente descrito em xxxxx://xxx.xxxxx- xx.xx/XXXXxxxx («Âmbito do Serviço») juntamente com o termo do serviço.
3.2. Salvo acordo em contrário, os serviços a prestar pela LMH decorrem exclusivamente do âmbito do serviço e devem ser prestados como serviços na aceção da secção 611 do BGB.
3.3. A LMH reserva-se o direito de alterar o âmbito do serviço por motivos substanciais, como, por exemplo, novos avanços tecnológicos, alteração da jurisdição pertinente ou outros equivalentes. Caso uma alteração do âmbito do serviço possa pôr em risco o equilíbrio contratual entre a LMH e o distribuidor, a LMH deverá abster-se de introduzir tal alteração. À exceção das situações anteriormente referidas, qualquer alteração do âmbito do serviço requer autorização do distribuidor, que pode ser concedida pelo utilizador.
4. Obrigações em matéria de cooperação
4.1. As obrigações do distribuidor em matéria de cooperação e os requisitos para a prestação do serviço (requisitos técnicos e configurações requeridas) encontram-se detalhados em Âmbito do Serviço.
4.2. O distribuidor e os seus utilizadores devem prestar a sua cooperação a título gratuito. Caso o distribuidor e os seus utilizadores não prestem a devida cooperação ou não o façam em tempo útil, a prestação do serviço é adiada em conformidade.
5. Direitos da LMH
5.1. A LMH é titular de todo e qualquer direito relativo ao serviço e respetivas informações, nomeadamente a sua configuração, em particular no que respeita a direitos de autor, invenções, bases de dados e direitos de propriedade técnica. O mesmo se aplica à utilização de dados desenvolvidos a partir do serviço através da sua utilização pelo utilizador («dados de utilização») e a qualquer tipo de documentação relacionada com o serviço fornecida pela LMH.
5.2. A LMH deve utilizar os dados de utilização de forma pseudonimizada para os seus próprios propósitos comerciais.
6. Licenças
6.1. As licenças de software padrão do distribuidor (caso existam) estão sujeitas aos termos pertinentes de licenciamento do mesmo. O software em questão só é disponibilizado ao distribuidor com base nos respetivos acordos de licença de utilizador final (EULA) ou similares. O distribuidor deve assegurar-se de que todos os utilizadores do software em questão cumprem os acordos de licença pertinentes.
6.2. Salvo acordo em contrário e contra o pagamento total de quaisquer taxas devidas pela prestação do serviço, a LMH concede ao distribuidor uma licença não exclusiva e intransmissível do serviço de forma compilada (sem alargamento ao código fonte) para os propósitos comerciais do distribuidor durante a vigência do presente acordo e permite ao distribuidor (como parte integrante da licença) que conceda ao utilizador, nos mesmos termos, acesso ao serviço.
7. Responsabilidade
7.3. Qualquer outra responsabilidade por parte da LMH é expressamente declinada.
8. Confidencialidade
8.1. O distribuidor e os seus utilizadores devem tratar confidencialmente qualquer informação que lhes seja facultada. O distribuidor e os seus utilizadores não têm o direito de transferir ou duplicar qualquer informação que lhes seja facultada sem autorização expressa da LMH. As informações que sejam já anteriormente do conhecimento do distribuidor e dos seus utilizadores não são consideradas informações confidenciais para fins da presente declaração.
8.2. No caso de o distribuidor e os seus utilizadores se verem obrigados a revelar informações confidenciais por solicitação de um tribunal, autoridade ou outra instância ou instituição com poderes especiais, ou por qualquer outro meio legal, devem comunicar obrigatoriamente o facto à LMH, de modo a permitir-lhe tomar medidas que impeçam a divulgação das referidas informações ou levantar a obrigação de confidencialidade nos termos da presente declaração de confidencialidade. No caso de a LMH não conseguir evitar a divulgação, o distribuidor e os seus utilizadores estão autorizados a revelar as informações confidenciais cuja divulgação o seu assessor jurídico considere ser sua obrigação legal, mesmo que a sua obrigação de confidencialidade não tenha sido levantada.
9. Proteção de dados
9.1. A LMH cumpre todas as disposições legais aplicáveis à proteção de dados e processa quaisquer dados pessoais que lhe sejam facultados de acordo com as mesmas.
9.2. Relativamente aos dados pessoais que lhe são fornecidos pelo distribuidor e pelos seus utilizadores, a LMH age na qualidade de subcontratante, na aceção do artigo 4.º do regulamento (UE) 2016/679 (Regulamento Geral de Proteção de Dados, «RGPD») e trata os referidos dados pessoais de acordo com o acordo de tratamento de dados celebrado entre a LMH e o distribuidor relativamente ao serviço («ATD»).
9.3. O distribuidor deve cumprir toda e qualquer disposição legal em matéria de proteção de dados aplicável às suas atividades, na qualidade de responsável pelo tratamento (na aceção do artigo 4.º do RGPD) de acordo com os TCG e o ATD, especialmente no que respeita ao acesso dos utilizadores ao serviço, e assegurar-se de que os dados pessoais fornecidos à LMH no âmbito do serviço, nomeadamente os dados pessoais dos utilizadores, são tratados de forma legítima.
10. Termo
O termo do presente acordo corresponde ao termo do serviço, tal como estabelecido em Âmbito do Serviço. No caso de o Âmbito do Serviço não definir um termo preciso, a LMH e o cliente podem rescindir o presente acordo em qualquer momento, respeitando um aviso prévio de três meses antes do final do ano civil. Fica ressalvado o direito de rescisão do contrato por justa causa. Considera-se, mais especificamente, justa causa
10.1. o facto de a outra parte violar disposições particularmente importantes do presente contrato e não compensar essa infração num período de tempo razoável, definido pela outra parte;
10.2. quando o ATD caduca ou é rescindido, qualquer que seja a razão;
11. Lei aplicável e foro competente
Ao presente contrato é aplicável a lei alemã. Exclui-se a aplicação da Convenção das Nações Unidas sobre os Contratos de Compra e Venda Internacional de Mercadorias (CISG) e de disposições em matéria de conflito de legislações. Em caso de litígio entre a LMH e o cliente relativamente ao presente contrato, o foro competente é o de Aschaffenburg.
Última revisão: 2018-10
Acordo de Tratamento de Dados («acordo») relativo ao Linde Service Manager
O presente acordo incide sobre os termos e condições gerais do «Linde Service Manager» («TCG»). Todos os termos utilizados e não definidos no presente acordo têm o significado que lhes é atribuído nos TCG.
O distribuidor («cliente» ou «responsável pelo tratamento»), representado pelo utilizador, e a LMH («subcontratante» designado em conjunto com o responsável pelo tratamento por «partes») celebram o presente acordo de tratamento de dados pessoais relativo ao Serviço. O presente acordo rege as obrigações das partes em matéria de proteção dos dados pessoais do cliente.
1. Definições
Para efeitos do presente acordo, entende-se por:
1.1. «subcontratante», uma pessoa singular ou coletiva, autoridade pública, agência ou outra entidade, que proceda ao tratamento de dados pessoais em nome do responsável pelo tratamento.
1.2. «terceiro», uma pessoa singular ou coletiva, autoridade pública, agência ou outra entidade que não o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas autorizadas a tratar dados pessoais sob a supervisão direta do responsável pelo tratamento ou do subcontratante.
1.3. «dados pessoais», quaisquer informações relativas a uma pessoa singular identificada ou identificável («titular dos dados»); uma pessoa singular identificável é uma pessoa que pode ser direta ou indiretamente identificada, nomeadamente por referência a um identificador, como o nome, um número de identificação, dados de localização, identificadores por via eletrónica ou um ou vários fatores específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social da pessoa singular em causa.
1.4. «pseudonimização», o tratamento de dados pessoais de modo a que os mesmos não possam ser relacionados especificamente com um titular de dados específico sem recorrer a informação adicional, desde que essa informação adicional seja conservada em separado e seja objeto de medidas técnicas e organizativas que garantam que esses dados não sejam associados a uma pessoa singular identificada ou identificável.
1.5. «responsável pelo tratamento», a pessoa singular ou coletiva, autoridade pública, agência ou outra entidade, que, sozinha ou em conjunto com outros, determina as finalidades e os meios do tratamento de dados pessoais; no caso de as finalidades e os meios do tratamento em questão serem determinados pela legislação da União ou de um Estado-Membro, a designação do responsável pelo tratamento ou os critérios específicos para a mesma podem reger-se pela legislação da União ou do Estado-Membro.
1.6. «tratamento», qualquer operação ou conjunto de operações executada com dados pessoais ou conjuntos de dados pessoais, por meios automatizados ou não, como a recolha, registo, organização, estruturação, conservação, adaptação ou alteração, recuperação, consulta, utilização, divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, alinhamento ou combinação, restrição, apagamento ou destruição.
1.7. «violação de dados pessoais», uma violação da segurança que, de forma acidental ou ilegítima, conduza à destruição, perda, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados ou submetidos a outro tipo de tratamento.
1.8. «acordo principal», o acordo celebrado entre a LMH e o distribuidor relativamente aos serviços, de acordo com os TCG.
2. Objeto e termo do presente acordo
2.1. O presente acordo rege os deveres do subcontratante relativamente aos dados pessoais do cliente tratados pelo subcontratante em nome do cliente.
2.2. As disposições do presente acordo não são aplicáveis, se e na medida em que, de acordo com o compromisso assumido, não forem necessárias atividades de tratamento dos dados pessoais do cliente por parte do subcontratante. Nesse caso, o cliente deverá assegurar-se de que os seus dados pessoais estão convenientemente protegidos pelo subcontratante.
2.3. Cabe exclusivamente ao cliente determinar se o tratamento é legítimo e assegurar a proteção dos direitos dos titulares dos dados.
2.5. Não obstante o disposto no ponto 2.4, as partes podem rescindir o presente acordo por justa causa. Se a referida causa estiver relacionada com o incumprimento de um dever decorrente do acordo, a rescisão só é possível se, depois de decorrido um período definido para sanar o incumprimento, este não tiver sido sanado, ou se uma advertência não tiver produzido quaisquer efeitos. Considera-se haver especial justa causa na perspetiva do subcontratante, se
2.5.1. o cliente tiver emitido repetidamente instruções ilegítimas, o subcontratante tiver sem demora informado o cliente do facto e o cliente não tiver anulado as instruções em causa;
2.5.2. o cliente tiver violado as disposições do presente acordo;
2.5.3. o cliente tiver contestado um subadjudicatário contratado em conformidade com o presente acordo.
Aplicam-se, além disso, mutatis mutandis ao presente acordo os termos do acordo principal.
3. Natureza, âmbito e local do tratamento
3.1. O subcontratante está autorizado a aceder aos dados pessoais do cliente para fins de prestação de serviços em conformidade com o acordo principal, se tal for pertinente nos termos do anexo 1. As disposições do presente acordo não ampliam os deveres do subcontratante, limitando-se a especificá-los mais pormenorizadamente. O presente acordo rege igualmente os deveres do cliente.
3.2. O cliente pode emitir instruções que especifiquem mais pormenorizadamente os deveres do subcontratante.
3.3. Salvo disposição em contrário no presente acordo, o subcontratante não está autorizado a utilizar os dados pessoais para outros fins diferentes dos descritos no acordo principal e no presente acordo, não devendo nomeadamente transferir os dados pessoais para terceiros nem divulgá-los a outros destinatários sem instruções explícitas prévias do cliente nesse sentido.
3.4. No âmbito do presente acordo, o tratamento de dados restringe-se ao território da União Europeia e do EEE, salvo disposição em contrário constante no(s) anexo(s) do presente acordo.
4. Instruções do cliente, direitos dos titulares dos dados, avaliação do impacto na proteção dos dados
4.1. Através das suas instruções, o cliente está autorizado a especificar ou atualizar a natureza, âmbito e método do tratamento dos dados, as medidas de segurança, os dados pessoais a processar e os grupos de titulares de dados. Isto aplica-se nomeadamente quando uma autoridade de controlo ou uma alteração da legislação impuserem ou solicitarem ao cliente a emissão de instruções. No caso de um titular de dados contactar diretamente o subcontratante, este deve informar sem demora o cliente, sob a forma de texto, e solicitar instruções sobre o procedimento a adotar.
4.2. No caso de o cliente levar a cabo uma avaliação do impacto na proteção dos dados, o subcontratante deve, na medida do necessário e do razoável, prestar-lhe assistência de acordo com as instruções, nomeadamente no que diz respeito a uma eventual consulta prévia por parte da autoridade de controlo competente.
4.3. As instruções do cliente limitam-se à aplicação dos requisitos legais ou regulamentares da legislação em matéria de proteção de dados. Essas instruções não devem ser confundidas com pedidos de alteração. Os pedidos de alteração referem-se a alterações do âmbito dos serviços que não são solicitadas para fins de aplicação dos requisitos legais ou regulamentares ou que ultrapassam as medidas necessárias à aplicação desses requisitos. Não constituem instruções na aceção do presente acordo, mas pedidos do cliente para alteração dos serviços. O subcontratante está autorizado, mas não obrigado, a aplicar as alterações pedidas. A aplicação das alterações pedidas é remunerada separadamente.
4.4. O cliente deve emitir sempre as suas instruções por escrito, via fax ou correio eletrónico. O cliente deve confirmar sem demora, por escrito ou sob a forma de texto, quaisquer instruções emitidas oralmente a título excecional.
4.5. Caso o subcontratante considere que uma instrução do cliente viola as disposições em matéria de proteção de dados ou está, para lá do negligenciável, errada, incompleta, contraditória ou é legal ou tecnicamente inexequível, o subcontratante deve informar sem demora o cliente sob a forma de texto. Ao fornecer estas informações, o subcontratante deve solicitar explicitamente ao cliente, sob a forma de texto, que declare sem demora se pretende que o subcontratante cumpra as instruções ou continue o tratamento de dados pessoais sem seguir as instruções, até que o cliente analise as informações e tome uma decisão.
5. Deveres de prestação de informações do subcontratante
5.1. Em caso de violação de dados pessoais, o cliente pode ter o dever de notificar essa violação. Caso suspeite ou tenha conhecimento de uma violação (para lá do negligenciável) da proteção de dados pessoais do cliente por parte do subcontratante ou de pessoas sob o seu controlo, o subcontratante deve informar o cliente.
5.2. O cliente pode solicitar ao subcontratante que tome todas as medidas razoáveis e necessárias para lhe prestar assistência no cumprimento dos seus deveres de notificação.
6. Deveres do cliente
6.1. O cliente deve informar sem demora o subcontratante, caso detete erros ou irregularidades, ao verificar o resultado dos serviços prestados.
6.2. O cliente deve certificar-se, tanto antes como depois do início do tratamento dos dados, de que estão a ser cumpridas pelo subcontratante as medidas técnicas e organizativas adotadas. O resultado destas verificações deve ficar registado.
6.3. O cliente é responsável pelo cumprimento das obrigações para com a autoridade de controlo e para com todos os titulares de dados afetados pela violação de dados pessoais, definidas nos artigos 33.º e 34.º do Regulamento Geral de Proteção de Dados da UE.
6.4. O cliente deve informar o subcontratante de todos os pedidos de apagamento e retenção de dados pessoais e da resposta a esses pedidos.
7. Responsável pela proteção de dados
7.1. O subcontratante nomeou um responsável pela proteção de dados («RPD»). Os seus dados de contacto são os seguintes: xxxxxxxxxxx@xxxxxxxxx.xxx. O subcontratante deve notificar ao cliente qualquer alteração introduzida ou iminente nesta matéria.
7.2. O cliente designou um responsável pela proteção de dados ou, caso o não tenha feito por não lhe ser exigida a designação de um responsável pela proteção de dados, comunica ao subcontratante o nome de um colaborador do cliente que aceite os deveres e responsabilidades de um responsável pela proteção de dados. O cliente deve notificar ao subcontratante qualquer alteração introduzida ou iminente nesta matéria, sem que o subcontratante tenha de o solicitar especificamente.
7.3. Se for solicitada ao cliente a designação de um representante na aceção do artigo 27.º do Regulamento Geral de Proteção de Dados da UE, o cliente deve notificar ao subcontratante a identidade desse representante. O cliente deve notificar ao subcontratante qualquer alteração introduzida ou iminente nesta matéria, sem que o subcontratante tenha de o solicitar especificamente.
8. Pessoas sob o controlo do subcontratante
8.1. O subcontratante deve apenas confiar o tratamento de dados nos termos do presente acordo a pessoas que tenham assinado um termo de confidencialidade e sido antecipadamente familiarizadas com as disposições legais em matéria de proteção de dados pertinentes para elas próprias e para as atividades de tratamento a executar em nome do cliente.
8.2. O subcontratante deve garantir que todas as pessoas sob o seu controlo com acesso aos dados pessoais do cliente tratam exclusivamente esses dados no âmbito das instruções do cliente e de acordo com essas instruções e com as disposições do presente acordo. A única exceção à disposição supra diz respeito a casos pontuais de atividades de tratamento, nomeadamente transferências de dados, a que o subcontratante ou as pessoas sob o seu controlo se vejam obrigados por ordem de um tribunal ou autoridade governamental, com base numa disposição legal. Na medida em que a lei o permita, o subcontratante deve informar o cliente de tais ordens antes da transferência de quaisquer dados pessoais.
9. Princípios de tratamento seguro
9.1. Tendo em conta a tecnologia atualmente disponível, os custos de aplicação, a natureza, âmbito, circunstâncias e finalidades do tratamento de dados estipulado com o cliente, assim como a probabilidade e potencial gravidade do risco para os direitos e liberdades individuais (análise de risco), o subcontratante deve adotar as medidas técnicas e organizativas necessárias para garantir uma proteção adequada dos dados pessoais.
9.2. Ao avaliar o nível de segurança adequado, o subcontratante deve ter em consideração os riscos inerentes ao tratamento dos dados pessoais do cliente, nomeadamente o risco de destruição inadvertida ou ilícita, e a perda, modificação, divulgação não autorizada ou acesso não autorizado aos dados pessoais do cliente.
9.3. No seu plano de segurança, o subcontratante deve atualizar e ajustar as medidas técnicas e organizativas de acordo com as alterações na tecnologia disponível, não devendo, porém, essas medidas ficar abaixo dos níveis de segurança e proteção especificados no presente acordo.
9.4. O subcontratante deve registar todas as medidas técnicas e organizativas adotadas ao abrigo do presente acordo, detalhadas no anexo do presente acordo. O subcontratante deve manter esta documentação atualizada e registar qualquer alteração substancial.
9.5. As medidas técnicas e organizativas constantes do anexo do presente acordo são consideradas aprovadas e necessárias a partir do momento de celebração do contrato e representam a totalidade dos requisitos que o subcontratante é obrigado a satisfazer.
9.6. O cliente é obrigado a rever as referidas medidas técnicas e organizativas com base na sua própria análise de risco. O cliente é responsável por garantir que as referidas medidas técnicas e organizativas proporcionem um nível de proteção de dados proporcional aos riscos dos dados pessoais a tratar. Se a análise de risco do cliente produzir resultados diferentes dos da análise de risco do subcontratante, o cliente tem direito a negociar com o subcontratante um ajustamento das medidas de segurança. Caso não seja possível um acordo entre as partes, qualquer uma delas tem direito a rescindir o acordo com um aviso prévio de 14 dias.
10. Controlos
10.1.O cliente tem direito a verificar o desempenho dos serviços prestados pelo subcontratante relativamente aos dados pessoais do cliente e o cumprimento das disposições do presente acordo, nomeadamente as medidas técnicas e organizativas para garantia da segurança do tratamento.
00.0.Xx tal lhe for solicitado, o subcontratante deve apresentar ao cliente provas da implementação das medidas técnicas e organizativas de segurança, designadamente
− provas do cumprimento dos códigos de conduta definidos no artigo 40.º do Regulamento Geral de Proteção de Dados ou
− certificação de acordo com um procedimento de certificação aprovado, nos termos do artigo 42.º do Regulamento Geral de Proteção de Dados ou
− autoavaliação idónea por meio de terceiro independente (por exemplo, um RPD, auditor ou auditor externo de proteção/segurança dos dados) sob a forma de texto ou
− certificação adequada por meio de uma auditoria de cibersegurança ou de proteção de dados (por exemplo, nos termos da ISO 27001).
As provas em questão devem conter todas as informações necessárias para provar o cumprimento e aplicação das obrigações decorrentes do presente acordo e de todas as medidas técnicas e organizativas, destinadas a garantir a segurança do tratamento. O cliente pode solicitar estas informações uma vez por ano civil e a intervalos mais curtos apenas em caso de suspeita legítima de violação do presente acordo pelo subcontratante, a qual deve ser notificada ao subcontratante sob a forma de texto.
10.3.O cliente tem direito a verificar o cumprimento do acordo, em particular o cumprimento em matéria de segurança do tratamento, levando a cabo inspeções in situ, previamente anunciadas, nas instalações comerciais do subcontratante, durante o horário normal de funcionamento (das 9h00 às 18h00), de três em três anos ou de confiar as referidas verificações a um auditor externo, sujeito a um obrigação legal ou contratual de confidencialidade. O cliente deve notificar as inspeções em causa com duas semanas de antecedência. Esta restrição não se aplica ao cliente em casos urgentes (por exemplo, se houver suspeita de violações não negligenciáveis do presente acordo por parte do subcontratante); nesses casos, o cliente não é obrigado a notificar o subcontratante sob a forma de texto.
11. Subadjudicatários
00.0.Xx e na medida em que um acordo explícito com o cliente permita ao subcontratante contratar subcontratantes adicionais (subadjudicatários) e não puder ser excluída a possibilidade de acesso desses subadjudicatários aos dados pessoais do cliente, o subcontratante pode contratar os referidos subadjudicatários e possibilitar, por conseguinte, o seu potencial acesso aos dados pessoais do cliente, se tiver informado previamente o cliente, sob a forma de texto, acerca dos elementos enunciados no parágrafo seguinte e concedido ao cliente a possibilidade de contestação, sem que este tenha contestado no prazo estipulado.
00.0.Xx informações a serem fornecidas pelo subcontratante nos termos supra devem incluir, pelo menos, os seguintes elementos, de forma específica e detalhada:
11.2.1. identidade do subcontratante,
11.2.2. serviços específicos a prestar pelo subadjudicatário ao subcontratante,
11.2.3. experiência, capacidade, fiabilidade e medidas de cibersegurança e proteção dos dados essenciais para cumprimento das obrigações estipuladas no presente acordo em matéria de proteção dos dados.
11.2.4. garantias e compromissos apresentadas pelo subadjudicatário de que irá cumprir as disposições do presente acordo.
11.3.Até sete dias após ter recebido as informações supra, o cliente tem o direito de apresentar, sob a forma de texto, uma contestação da contratação do subadjudicatário, se para isso dispuser de motivos legítimos. Na eventualidade de uma tal contestação, o subcontratante é obrigado a agir em conformidade com o presente acordo, prestando os seus serviços e cumprindo as suas obrigações sem recorrer ao subadjudicatário em questão, assistindo-lhe, no entanto, o direito de rescindir o presente acordo.
00.0.Xx e na medida em que seja concedido ao subadjudicatário acesso aos dados pessoais do cliente, o subcontratante é obrigado a celebrar com o subadjudicatário um acordo de tratamento de dados, que imponha ao subadjudicatário as obrigações definidas no presente acordo. O acordo em causa tem de ser celebrado antes de o subadjudicatário aceder pela primeira vez aos dados pessoais do cliente.
12. Devolução e apagamento
12.1.Após o termo do presente acordo ou antes disso, se o cliente o solicitar, o subcontratante é obrigado a devolver ou entregar todos os dados pessoais do cliente.
12.2.Podem ser acrescentados pormenores das obrigações de apagamento de dados no anexo do presente acordo e, se for o caso, por instruções explícitas do cliente. O subcontratante não é obrigado a dispor de um plano de apagamento próprio. Após o termo do presente acordo ou antes disso, se o cliente o solicitar, o subcontratante é obrigado a apagar todos os dados pessoais que não estejam sujeitos a um requisito legal de conservação ou de retenção pelo subcontratante ao abrigo da legislação da UE ou de um Estado-Membro da UE ou a disposição em contrário relativamente à conservação e apagamento de dados pessoais, constante de um acordo explícito celebrado com o cliente. O subcontratante deve registar os apagamentos e conservar esses registos.
13. Custos a cargo do subcontratante
Todos os custos incorridos pelo subcontratante ou pelos subadjudicatários para fins de tratamento de dados em nome do cliente ao abrigo do presente acordo, especialmente aqueles que decorram
13.1. de uma obrigação de resposta a pedidos dos titulares dos dados relativamente a instruções do cliente, nomeadamente no sentido de corrigir, apagar ou restringir dados pessoais ou de devolver dados pessoais ao cliente e, se for o caso, de transferir dados (portabilidade), ou de prestar ajuda nessas atividades,
13.2. de uma obrigação de ajuda na avaliação do impacto na proteção dos dados,
13.3. do cumprimento ou aplicação de instruções do cliente,
13.4. da obrigação de prestar ajuda no cumprimento de pedidos de fornecimento de informações à autoridade de controlo ou a titulares dos dados,
13.5. da realização de uma autoavaliação idónea,
13.6. de inspeções in situ por parte do cliente ou de auditores (externos) requeridas pelo cliente, a menos que a inspeção em questão tenha detetado deficiências graves; o ónus da prova cabe, neste caso, ao cliente,
13.7. de custos adicionais relativos a medidas técnicas e organizativas para garantia da segurança do tratamento, caso as referidas medidas sejam aplicadas devido a diferenças nas análises de risco das partes,
13.8. do cumprimento de obrigações de devolução ou apagamento de dados pessoais,
devem ser reembolsados ao subcontratante com base nas tarifas horárias do mercado. O subcontratante deve conservar um registo de todos os custos e despesas incorridos.
14. Emendas ao presente acordo
Se, por força da lei, o subcontratante for obrigado a introduzir alterações e emendas, o cliente é obrigado a apoiá-las e a aprová-las.
15. Responsabilidade
15.1. Caso um titular de dados e/ou terceiro intentar uma ação contra o subcontratante relativamente a atividades de tratamento de dados lavadas a cabo pelo subcontratante em nome do cliente, o cliente é obrigado a indemnizar o subcontratante e a assumir os custos legais, danos e/ou sanções administrativas e multas de direito penal.
15.2. A disposição supra não se aplica no caso de o subcontratante estar em situação de incumprimento das obrigações que lhe são impostas por força do Regulamento Geral de Proteção de Dados ou de instruções legitimamente emitidas pelo cliente ou ter atuado em sentido contrário a essas instruções.
15.3. Os limites de responsabilidade acordados entre o cliente e o subcontratante a favor do subcontratante aplicam-se igualmente à responsabilidade do subcontratante pelas atividades de tratamento de dados ao abrigo do presente acordo.
Anexo
I. Categorias de titulares de dados
- Clientes
- Outros: distribuidores, parceiros de rede
II. Tipos de dados
- Dados mestre do pessoal
- Dados mestre de comunicação
- Histórico do cliente
III. Âmbito do tratamento
Os principais requisitos do cliente são os seguintes:
Criação e processamento de notificações e ordens de serviço
IV. Local onde os dados pessoais devem ser tratados EEE
V. Sistema(s) de tratamento, nomeadamente de importação e exportação de dados pessoais de outros sistemas
Linde Global Extranet, SAP Netweaver Gateway, SAP ERP e outros sistemas ERP dos nossos distribuidores,
OneSignal Mobile Push Notifications
VI. Medidas técnicas e organizativas de segurança do subcontratante
Aplicação das medidas técnicas e organizativas
a. Confidencialidade (artigo 32.º, n.º 1, do RGPD)
(1) Controlo do acesso (instalações)
- Alarme
- Controlo automático do acesso
- Fechaduras de segurança
- Videovigilância nas entradas
- Controlo de chaves/lista
- Receção/porteiro
- Lista de visitantes
- Identificação de funcionários/visitantes
- Visitantes acompanhados por funcionários
(2) Controlo do acesso (sistemas)
- Login / utilizador + palavra-passe
- Software antivírus do servidor
- Software antivírus dos clientes
- Firewall
- Sistemas de deteção de intrusão
- Gestão de dispositivos móveis
- Utilização da rede VPN para acesso remoto
- Cifragem da conservação de dados
- Cifragem de smartphones
- Proteção da BIOS (palavra-passe própria)
(3) Controlo do acesso (dados)
- Administração dos direitos do utilizador
- Criação de perfis de utilizador
- Guia de «palavras-passe seguras»
- Guia de «apagamento / destruição»
- Guia geral de proteção dos dados e/ou segurança dos dados
- Manual de «bloqueio manual do ambiente de trabalho»
- Treino frequente dos funcionários
- Utilização do regime de autorizações
- Administração dos direitos do utilizador pelos administradores
(4) Controlo da separação
Separação dos ambientes de produção e de ensaio
(5) Pseudonimização (artigo 32.º, n.º 1, do RGPD; artigo 25.º, n.º 1, do RGPD)
n/a
b. Disponibilidade e resiliência (artigo 32.º, n.º 1, do RGPD)
- Detetores de incêndio e de fumo
- Extintores de incêndio na sala do servidor
- Controlo da temperatura e da humidade na sala do servidor
- Ar-condicionado na sala do servidor
- Sistema UPS
- Barra de tomadas de segurança utilizada na sala do servidor
- Sistema RAID / imagem do HD
- Videovigilância na sala do servidor
- Sinal de alarme em caso de acesso não autorizado à sala do servidor
- Sistema de backup e recuperação (formulado)
- Controlo do backup
- Sem equipamento sanitário na sala do servidor nem por cima da mesma
- Existência de um plano de emergência (iE BSI IT-Grundschutz 100-4)
- Partições separadas para os sistemas operativos e para os dados
c. Integridade (artigo 32.º, n.º 1, do RGPD)
- Os dados pessoais só podem ser modificados por um administrador
- Fornecimento de ligações cifradas, como sftp ou http
- Registo do acesso e recuperação
- Supervisão dos processos regulares de recuperação e transferência
- Seleção criteriosa do pessoal
d. Processo para testar, apreciar e avaliar regularmente (artigo 32.º, n.º 1, do RGPD; artigo 25.º, n.º 1, do RGPD)
(1) Gestão da proteção de dados
- Certificação da segurança nos termos da ISO 27001
- Eficiência das medidas técnicas de segurança verificada, pelo menos, uma vez por ano
- Funcionários treinados e obrigados a manter a confidencialidade
(2) Gestão da resposta a incidentes
- Utilização e atualização frequente de uma firewall
- Utilização e atualização frequente de filtros de spam
- Utilização e atualização frequente de um verificador de vírus
- Sistema de deteção de intrusão (SDI)
- Sistema de prevenção de intrusão (SPI)
Proteção de dados por defeito (artigo 25.º, n.º 2, do RGPD)
- A quantidade de dados pessoais deve ser limitada ao necessário para as finalidades do respetivo tratamento.