Termos e Condições
Termos e Condições
Entre:
Entidade subscritora da plataforma ZAPIFY, adiante abreviadamente designada por “Cliente”, E
Zapify, Lda, com sede social na Xxx xx Xxxxxxx 000, 0000-000 Xxxxx, Xxxxxxxx matriculada na Conservatória do Registo Comercial sob o número único de matrícula e de pessoa colectiva 517696070, adiante abreviadamente designada por “Subcontratante”,
Também, em conjunto, denominados por Partes,
Considerando que:
A. Vigora entre as Partes um “Contrato de Prestação de Serviços”, doravante “Contrato”;
B. Por aquele Contrato, o Subcontratante obrigou-se a prosseguir serviços que implicam o Tratamento de Dados Pessoais em nome e por conta do Cliente;
C. As Partes pretendem através deste Acordo regular de forma detalhada as obrigações do Subcontratante, bem como cumprir os requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril – Regulamento Geral sobre a Protecção de Dados Pessoais (também denominado por “RGPD”) e demais legislação aplicável.
D. Além das obrigações relativas ao tratamento de dados pessoais, as Partes reconhecem a importância da segurança, infraestrutura e conformidade técnica na prestação dos serviços, comprometendo-se a manter e descrever apropriadamente o alojamento técnico da solução,
incluindo as medidas de segurança implementadas e o cumprimento com o “RGPD” e legislação aplicável.
E. As Partes concordam com a importância de definir claramente as políticas de retenção de dados, os procedimentos de backup e os controles de acesso, assegurando que todas as operações com dados pessoais sejam realizadas de forma segura, conforme estabelecido pelo Regulamento (UE) 2016/679 e demais normativas aplicáveis, garantindo a integridade e confidencialidade dos dados.
F. É de interesse mútuo das Partes estabelecer Service Level Agreements (SLAs) claros e objetivos, detalhando expectativas em relação à disponibilidade, desempenho e suporte técnico da solução fornecida, bem como definir procedimentos de resposta e compensação em caso de não cumprimento desses níveis de serviço.
É celebrado o presente Acordo que se rege pelo disposto nas seguintes Xxxxxxxxx:
Definições e Interpretação
1. As expressões “Cliente”, “Subcontratante”, “Dados Pessoais”, “Tratamento”, “Alojamento Técnico da Solução”, “Políticas de Retenção e Backups”, “Controle de Acesso” e “Service Level Agreements (SLAs)”, assim como quaisquer outras expressões e termos relacionados, devem ser interpretados nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril – Regulamento Geral sobre a Proteção de Xxxxx Xxxxxxxx (doravante “RGPD”), complementado pela demais legislação nacional ou europeia, por interpretações e linhas de orientação emitidas por autoridades europeias e nacionais, por cláusulas modelo aprovadas pela Comissão Europeia ou por autoridades de controlo, bem como por qualquer jurisprudência relevante, e, quando aplicável, pelas melhores práticas de segurança e normas técnicas pertinentes ao alojamento de soluções, gestão de dados e serviços providenciados (conjuntamente referidos como “Regime de Proteção de Dados e Segurança”).
2. Os títulos das Cláusulas do presente Acordo são incluídos por razões de mera conveniência, não constituindo suporte da interpretação ou integração do mesmo.
3. As expressões supra definidas no singular poderão ser utilizadas no plural, e vice-versa, com a correspondente alteração do respectivo significado.
4. As alterações ao presente Acordo só serão consideradas válidas se celebradas por documento escrito, assinado por ambas as Partes, assumindo a forma de aditamento ao mesmo.
5. O presente Xxxxxx é composto pelo texto deste documento, que inclui as definições e termos, as obrigações das partes, a descrição do alojamento técnico da solução, políticas de retenção e backups, service level agreements (SLAs), entre outras disposições pertinentes, bem como pelo seguinte Anexo, todos eles devidamente assinados ou rubricados pelos representantes de ambas as Partes e que dele ficam a fazer parte integrante:
Anexo I – Termos do Tratamento de Dados Pessoais
6. Caso alguma das disposições do presente Acordo venha a ser declarada nula ou por qualquer forma inválida, ineficaz ou inexequível, por uma entidade competente para o efeito, tal nulidade, invalidade, ineficácia ou inexequibilidade não afetará a validade das restantes disposições do Acordo, comprometendo-se as Partes a acordar, de boa-fé, uma disposição que substitua aquela e que, tanto quanto possível, produza efeitos semelhantes.
Objecto
O presente Acordo visa estabelecer as obrigações e responsabilidades de ambas as Partes não apenas em relação ao tratamento de Dados Pessoais pelo Subcontratante em nome e por conta do Cliente, mas também quanto à garantia da segurança, disponibilidade e integridade da solução técnica providenciada, incluindo a infraestrutura de alojamento, políticas de retenção e backups, e o cumprimento dos Service Level Agreements (SLAs) estabelecidos.
Obrigações do Cliente
1. Nos termos, e para efeitos do presente Acordo, constituem obrigações do Cliente, designadamente:
a) Aplicação de medidas técnicas e organizativas adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o RGPD;
b) Informar o Subcontratante de todas as circunstâncias relevantes para a realização do tratamento dos dados, atendendo sobretudo à especificidade do âmbito descrito no presente Acordo e potenciais riscos envolvidos;
c) Comunicar ao Subcontratante qualquer alteração que se tenha verificado nos dados pessoais em tratamento e que possam afectar a actividade daqueles;
Obrigações do Subcontratante
1. O Subcontratante garante possuir as medidas técnicas e organizativas adequadas de uma forma que o tratamento satisfaça os requisitos do RGPD e assegure a defesa dos direitos do titular dos dados;
2. O Subcontratante só pode tratar os Dados Pessoais nos termos e para os efeitos definidos no presente Acordo, em estrita observância das instruções documentadas do Cliente durante a vigência do Acordo, incluindo no que respeita às transferências de dados para países terceiros ou organizações internacionais, a menos que seja obrigado a fazê-lo pelo direito da União ou do Estado-Membro a que está sujeito, informando nesse caso o Cliente desse requisito jurídico antes do tratamento, salvo se a lei proibir tal informação por motivos importantes;
3. O Subcontratante compromete-se, designadamente, a não copiar, reproduzir, adaptar, modificar, alterar, apagar, destruir, difundir, transmitir, divulgar ou por qualquer outra forma colocar à disposição de terceiros os Dados Xxxxxxxx a que tenha acesso ou que lhe tenham sido transmitidos pelo Cliente, sem que para tal tenha sido expressamente instruído, por escrito, pelo Cliente;
4. Sem prejuízo das demais obrigações previstas no presente Acordo, o Subcontratante obriga-se a cumprir rigorosamente o disposto na legislação aplicável em matéria de Tratamento de Dados Pessoais e designadamente a:
a) Cumprir quaisquer regras relacionadas com o Tratamento de Dados Pessoais a que o Cliente esteja vinculado;
b) Tomar em conta a natureza do tratamento, e a prestar assistência ao Cliente através de medidas técnicas e organizativas adequadas, para permitir que este cumpra a sua obrigação de dar resposta aos pedidos dos titulares dos dados, nos termos do Regime de Protecção de Dados;
c) Prestar assistência ao Cliente no sentido de assegurar o cumprimento das obrigações previstas nos artigos 32.º a 36.º do RGPD, tendo em conta a natureza do tratamento e a informação ao dispor do subcontratante;
d) Xxxxxx o Cliente informado em relação ao Tratamento de Xxxxx Xxxxxxxx, obrigando-se a comunicar de imediato qualquer situação que possa afetar o Tratamento dos dados em causa ou que de algum modo possa dar origem ao incumprimento das disposições legais em matéria de protecção de Dados Pessoais;
e) Informar imediatamente o Cliente, em qualquer circunstância de qualquer inquirição ou reclamação de qualquer autoridade de controlo, garantindo a sua cooperação com tal autoridade;
d) Não comunicar dados pessoais a terceiros e/ou prestadores de serviços não autorizados ou não indicados pelo Cliente;
e) Se e quando aplicável, informar o Cliente da nomeação de um Encarregado da Protecção de Dados.
Service Level Agreements (SLAs)
1. O Subcontratante compromete-se a cumprir com os seguintes níveis de serviço, para garantir uma resposta eficaz e tempestiva às necessidades do Cliente:
a) Primeira Resposta: O Subcontratante compromete-se a fornecer uma primeira resposta ao cliente dentro de 2 horas após a recepção de qualquer pedido, com a classificação do pedido de acordo com as prioridades definidas.
b) Classificação de Pedidos: Os pedidos recebidos serão classificados nas seguintes prioridades e o Subcontratante compromete-se a resolvê-los dentro dos seguintes prazos:
● Crítico: Resolução até 2 horas.
● Alta: Resolução até 24 horas.
● Média: Resolução até 36 horas.
● Baixa: Resolução até 48 horas.
● Muito Baixa: Resolução até 76 horas.
● Sem prioridade: Resolução até 96 horas.
2. Os prazos acima são contínuos, mas serão interrompidos durante fins de semana e feriados, retomando a contagem no próximo dia útil.
3. Horário de Funcionamento: O serviço de suporte do Subcontratante opera nos dias úteis das 9 às 18 horas. O horário de funcionamento refere-se ao período em que as respostas aos pedidos serão fornecidas.
4. O Subcontratante deverá manter registros adequados de todos os pedidos e das comunicações correspondentes, garantindo transparência e rastreabilidade no cumprimento dos SLAs.
5. O desempenho do Subcontratante em relação aos SLAs é objeto de revisão regular como parte das avaliações de desempenho internas.
Registo das Actividades de Tratamento
1. O Subcontratante e, se aplicável, os seus representantes, conserva, pelo menos até ao termo do presente Acordo, um registo de todas as actividades de Tratamento exercidas, no âmbito do presente Acordo, nos termos e para os efeitos do artigo 30.º, n.º 2, do RGPD.
2. O registo das actividades de Tratamento, mencionado no número anterior, deve incluir pelo menos a seguinte informação:
a) O nome e os contactos do Subcontratante e do Cliente e, sendo caso disso, dos representantes do Cliente e do Subcontratante e do Encarregado de Protecção de Dados;
b) As categorias de tratamentos de dados realizadas em nome do Cliente;
c) Se aplicável, as transferências de Dados Pessoais para países terceiros ou organizações internacionais, incluindo a identificação desses países terceiros ou organizações internacionais e, no caso das transferências referidas no artigo 49.º, n.º 1, segundo parágrafo, do RGPD, a documentação que comprove a existência das garantias adequadas; e
d) Uma descrição geral das medidas técnicas e organizativas no domínio da segurança referidas no artigo 32.º, n.º 1, do RGPD.
Cláusula 7.ª
Violação de Dados Pessoais e Requisitos de Notificação
1. O Subcontratante fica obrigado a prestar assistência ao Cliente, tendo em conta a natureza do Tratamento e a informação ao seu dispor, no sentido de assegurar as obrigações referentes à notificação de violações de dados pessoais.
2. O Subcontratante fica obrigado a notificar o Cliente, por escrito, com a maior brevidade possível e no prazo máximo de 24 (vinte e quatro) horas, de qualquer violação que comprometa ou potencialmente comprometa a segurança de Dados Pessoais, tais como a transferência, o acesso, a perda, a alteração ou a revelação a terceiros, acidental, não autorizada ou ilícita, em violação do presente Acordo ou do Regime de Protecção de Dados, ou qualquer incidente que directa ou indirectamente afecte, ou seja susceptível de afectar, a confidencialidade, a integridade ou a autenticidade dos dados.
3. A notificação nos termos do número anterior deve conter, pelo menos:
a) A descrição da natureza da violação dos Dados Pessoais incluindo, se possível, as categorias e o número aproximado de titulares de dados afectados, bem como as categorias e o número aproximado de registos de Dados Pessoais em causa;
b) O nome e os contactos do Encarregado da Protecção de Dados ou de outro ponto de contacto onde possam ser obtidas mais informações;
c) A descrição das consequências prováveis da violação de Xxxxx Xxxxxxxx.
4. Se não for possível fornecer todas as informações referidas no número anterior ao mesmo tempo, essas informações podem ser fornecidas por fases, sem demora injustificada.
5. Em caso de violação ou de incidente, o Subcontratante deve imediatamente:
a) Investigar o incidente ou a violação de Xxxxx Xxxxxxxx;
b) Adoptar as medidas adequadas, aprovadas pelo Cliente, para garantir a segurança dos Dados Xxxxxxxx e para atenuar os seus eventuais efeitos negativos sobre os titulares afectados; e
c) Prevenir quaisquer futuros incidentes ou violações de Xxxxx Xxxxxxxx.
6. O Subcontratante não disponibiliza, publica, ou, por qualquer modo, divulga qualquer registo, comunicação, aviso, relatório ou conferência de imprensa, relativos ao incidente ou à violação de Xxxxx Xxxxxxxx sem autorização prévia do Cliente.
Avaliações de Impacto sobre a Protecção de Dados
Quando solicitado pelo Cliente, o Subcontratante auxiliará na concretização de qualquer avaliação de impacto sobre a protecção de dados e colaborará com o Cliente para a implementação de acções de mitigação dos riscos de privacidade identificados.
Segurança do Tratamento
1. O Subcontratante obriga-se a aplicar medidas técnicas e organizativas adequadas para proteger os Dados Pessoais contra a destruição, acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizados e contra qualquer outra forma de Tratamento ilícito. Essas medidas devem compreender pelo menos as seguintes:
a) A pseudonimização e a cifragem dos Dados Xxxxxxxx;
b) A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de Tratamento;
c) A capacidade de detectar uma violação de Dados Pessoais, resolvê-la e relatá-la;
d) A capacidade de restabelecer a disponibilidade e o acesso aos Dados Pessoais de forma atempada no caso de um incidente físico ou técnico;
e) Um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do Tratamento.
2. Em relação ao alojamento técnico da solução, o Subcontratante utiliza serviços de cloud fornecidos pela Amazon Web Services (AWS) localizados na Europa. O Subcontratante compromete-se a:
a) Garantir que o alojamento técnico da solução na AWS cumpre com todas as medidas de segurança necessárias, em conformidade com o RGPD e outras normativas de proteção de dados aplicáveis;
b) Assegurar que todas as questões relacionadas com o alojamento da solução na AWS estão de acordo com as melhores práticas de segurança, incluindo, mas não se limitando a, gestão de acessos, proteção contra ameaças, monitorização de segurança e resposta a incidentes;
c) Manter registros detalhados das configurações de segurança e das políticas aplicadas no âmbito dos serviços AWS utilizados, disponibilizando-os para revisão ou auditoria pelo Cliente ou autoridades competentes, quando necessário;
d) Garantir que os serviços AWS utilizados para o alojamento da solução estão configurados para garantir a máxima segurança dos Dados Pessoais, incluindo a utilização de controles de acesso rigorosos, criptografia em repouso e em trânsito, e segurança de rede adequada.
3. As medidas a que se refere o n.º 1 da presente Cláusula devem garantir um nível de segurança adequado em relação aos riscos que o Tratamento de dados apresenta, à natureza dos dados a proteger e aos riscos, de probabilidade e gravidade variável para os direitos e liberdades das pessoas singulares.
Confidencialidade
1. O Subcontratante compromete-se a guardar a confidencialidade relativamente a todos os Dados Pessoais a que tenha acesso ou que lhe tenham sido transmitidos pelo Cliente no âmbito da prestação dos serviços acordados com este.
2. O Subcontratante assegura que quem acede a Dados Xxxxxxxx está sujeito a obrigações legais de confidencialidade, ou assumiram um compromisso de confidencialidade, consoante o aplicável ao tratamento de dados que efectuam.
3. O Subcontratante garante que os seus colaboradores, independentemente da natureza e da validade do seu vínculo com o Subcontratante (incluindo, mas não restringindo, os que cooperam com o Subcontratante com base em contratos de direito civil, prestadores de serviços, trabalhadores, agentes, auxiliares, representantes, sócios, gerentes, administradores, procuradores, trabalhadores temporários, fornecedores, consultores, auditores e estagiários) cumprem as obrigações estabelecidas no presente Acordo, às quais se encontram vinculadas, por escrito..
4. A obrigação de confidencialidade prevista, vincula durante a vigência do contrato e subsiste após a sua cessação, independentemente da causa da cessação.
Obrigações de Informação e Auditorias
1. O Subcontratante obriga-se a disponibilizar, imediatamente, e num prazo não superior a 5 (cinco) dias úteis, ao Cliente, todas as informações e documentos que forem necessários para demonstrar o cumprimento das suas obrigações referidas neste Acordo,
2. O Subcontratante obriga-se a permitir e contribuir para as auditorias, inclusive as inspeções, conduzidas pelo Cliente ou por outra entidade por si mandatada.
Políticas de Retenção e Backups
1. O Subcontratante compromete-se a implementar e manter políticas de retenção de dados e procedimentos de backup eficazes para proteger a integridade e disponibilidade dos Dados Pessoais processados em nome do Cliente.
2. Políticas de Retenção: O Subcontratante deverá:
a) Retirar todos os Dados Pessoais cujo período de retenção tenha expirado, assegurando que tais dados sejam removidos de forma segura e definitiva de todas as suas bases de dados e sistemas de armazenamento;
b) Manter registros documentados dos períodos de retenção aplicáveis para diferentes categorias de Dados Pessoais, em conformidade com as exigências legais, regulamentares e contratuais;
c) Revisar periodicamente as políticas de retenção de dados para garantir sua conformidade com as leis aplicáveis e os requisitos do presente Acordo.
3. Procedimentos de Backup: O Subcontratante deverá:
a) Assegurar que as bases de dados que contêm Dados Pessoais, hospedadas nos serviços Database Services (DBS) da Amazon Web Services (AWS), estão configuradas para manter pontos de restauração de qualquer momento do dia, disponíveis por um período de 24 horas;
b) Realizar três backups diários dessas bases de dados, que devem ser mantidos por um período de sete dias para possibilitar a recuperação eficaz em caso de perda de dados, corrupção de dados ou falha técnica;
c) Garantir que os backups sejam realizados de forma segura, utilizando técnicas de criptografia adequadas para proteger os Dados Pessoais contra acesso não autorizado durante a transferência e armazenamento;
d) Testar regularmente os procedimentos de backup para verificar a sua eficácia na restauração de dados, garantindo que a recuperação de dados possa ser realizada de maneira atempada e eficiente em caso de necessidade.
4. O Subcontratante deverá informar o Cliente sobre quaisquer alterações significativas nas políticas de retenção ou nos procedimentos de backup que possam afetar a segurança ou a integridade dos Dados Pessoais.
Subcontratantes do Subcontratante
1. O Subcontratante só pode subcontratar para uma ou mais operações de Tratamento de Dados Pessoais, com autorização específica, prévia e escrita do Cliente
2. Para conceder tal autorização, o Cliente poderá exigir ao Subcontratante, entre outros requisitos que considere adequados, uma prova de que o subcontratante do Subcontratante apresenta garantias suficientes de cumprimento do Regime de Protecção de Dados e que se obriga a cumprir as mesmas obrigações em matéria de protecção de dados que as estabelecidas no presente Acordo.
3. Caso o Tratamento de Dados por subcontratante do Subcontratante seja feito fora da União Europeia/Área Económica Europeia, antes do início de tal Tratamento, deverão ser observados os requisitos referentes às transferências internacionais de dados previstos no RGPD.
4. O Subcontratante será plenamente responsável perante o Cliente pelo cumprimento das obrigações da entidade sub-subcontratada.
5. O Subcontratante obriga-se a enviar ao Cliente uma cópia de qualquer acordo de sub-subcontratação referido nesta Cláusula.
Vigência
Este Acordo entrará em vigor na data da sua assinatura e assim permanecerá até ao termo do Contrato, sem prejuízo do direito de resolução do Cliente.
Cessação do Tratamento
O Subcontratante apagará todos os dados pessoais que tiver em seu poder 12 (doze) meses após o término do contrato, salvo pedido expresso de antecipação do apagamento pelo Cliente. O utilizador pode optar por apagar os seus próprios dados, caso tenha acesso aos seus perfis, e neste caso, o processo ocorrerá em até 5 dias. Isto é automatizado, e nenhuma notificação é enviada.
Responsabilidade
1. Provando-se dolo ou negligência, o Subcontratante será responsável pelos prejuízos em que o Cliente venha a incorrer em consequência do tratamento em violação das normas legais aplicáveis e/ou do disposto no presente Acordo.
2. Nos termos do número anterior da presente Cláusula, o Subcontratante deverá reembolsar o Cliente sobre os custos, perdas ou despesas, incluindo indemnizações a titulares de Xxxxx Xxxxxxxx, e coimas ou multas perante autoridades competentes, em que o Cliente incorra ou a que seja sujeito, em consequência do Tratamento de Dados Pessoais em violação do presente Acordo ou do Regime de Protecção de Dados, efetuado pelo Subcontratante.
3. No caso de incumprimento de qualquer das obrigações do Subcontratante assumidas neste Acordo, o Cliente poderá resolver o Contrato, de imediato, sem aviso prévio, por comunicação escrita dirigida ao Subcontratante.
4. Os direitos do Cliente de indemnização e de resolução do contrato que se convencionam neste Acordo serão calculados nos termos gerais do direitos, podendo ser cumuláveis com outros direitos que o Contrato entre as Partes ou o Regime de Protecção de Dados atribuam ao Cliente.
Comunicação do Acordo à Autoridade de Controlo
As Partes ficam desde já autorizadas a comunicar o conteúdo do presente Acordo, bem como os elementos com este relacionados, à autoridade de controlo competente.