Termos e Condições de Processamento de Dados
Termos e Condições de Processamento de Dados
(“Termos e Condições do DPA”)
1. APLICABILIDADE
1.1. Os presentes Termos e Condições do DPA são celebrados entre as partes de um pedido de compra (sujeito aos Termos e Condições do Pedido de Compra) ou de um acordo geral.
1.2. Para todos os efeitos, (o “Responsável pelo Tratamento”) referir-se-á à entidade MultiChoice, incluindo as suas Afiliadas e a referência a (o “Subcontratante”) referir-se-á ao terceiro de acordo com o previsto no Acordo (conforme definido abaixo). Para efeitos dos presentes Termos e Condições do DPA, cada um dos Responsáveis pelo tratamento e Subcontratantes deverá informar o outro, por escrito, do seu responsável pela protecção de dados ou da pessoa que detenha uma função comparável em tal organização.
1.3. Salvo quando as partes assinaram um acordo de processamento de dados por escrito, os presentes Termos e Condições do DPA regerão o relacionamento entre as partes na medida em que os Dados Pessoais (conforme definido abaixo) sejam Processados (conforme definido abaixo).
2. DEFINIÇÕES E INTERPRETAÇÃO
2.1. Os presentes Termos e Condições do DPA foram redigidas para o benefício das partes e, consequentemente, a regra de interpretação segundo a qual o acordo deve ser interpretado contra ou em desvantagem da parte responsável pela redacção ou preparação do acordo (ou seja, a regra contra proferentem) não se aplica.
2.2. Definições, partes e acordo
2.2.1. Definições. Nos presentes Termos e Condições do DPA, os seguintes termos terão os seguintes significados atribuídos:
2.2.1.1. “Afiliadas” significa todas as seguintes entidades do grupo de empresas do Responsável pelo Tratamento, incluindo, mas não se limitando a: MultiChoice South Africa (Pty) Limited; MultiChoice Support Services (Pty) Limited; MultiChoice Africa Holdings BV, SuperSport International; (Pty) Ltd, DStv Media Sales (Pty) Ltd e Showmax s.r.o.
2.2.1.2. “Acordo” significa um pedido de compra e/ou acordo escrito celebrado entre o Responsável pelo Tratamento e o Subcontratante para a prestação dos Serviços.
2.2.1.3. “Lei(s) de Protecção de Dados Aplicáveis” significa (sujeito às disposições da cláusula 3) a legislação, regulamentos e directivas vinculantes e/ou códigos respectivos de privacidade e protecção de dados aplicáveis ao Processamento realizado em relação ao Acordo e aos presentes Termos e Condições do DPA e quaisquer outras leis acordadas entre as partes por escrito. Para evitar qualquer dúvida, tal inclui (sem limitação) toda e qualquer legislação de privacidade e protecção de dados relevante do país onde os Serviços são fornecidos.
2.2.1.4. “Titular dos Dados” é qualquer ser humano vivo identificado ou identificável e inclui, nalguns casos, pessoas jurídicas pelas Leis de Protecção de Dados Aplicáveis, a quem os Dados Pessoais se referem.
2.2.1.5. “EEE” significa que o Espaço Económico Europeu, consiste nos estados membros da União Europeia.
2.2.1.6. “Data Efectiva” significa a data em que os presentes Termos e Condições do DPA forem assinados pela Parte que assinou por último.
2.2.1.7. “Cláusulas Contratuais-tipo da UE” significa as Cláusulas Contratuais Padrão para transferências de dados fora do EEE adoptadas pela Comissão Europeia, no que diz respeito aos módulos aplicáveis, de acordo com o estabelecido no Anexo 4 dos presentes Termos e Condições do DPA.
2.2.1.8. “RGPD” significa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de Abril de 2016, sobre a protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Directiva 95/46/EC (Regulamento Geral de Protecção de Dados), conforme alterado ou substituído no futuro.
2.2.1.9. “Partes” nos presentes Termos e Condições do DPA:
2.2.1.9.1. o "Responsável pelo Tratamento", conforme especificado no Acordo, é a pessoa ou entidade que determina o âmbito dos Dados Pessoais (categorias de dados), a finalidade do Processamento ("por que") e os meios ("como") do Processamento dos Dados Pessoais Dados, e onde o termo for usado, terá o mesmo significado para o termo correspondente e/ou similar usado nas Leis de Protecção de Dados Aplicáveis; e
2.2.1.9.2. o “Subcontratante” é o subcontratante, conforme especificado no Acordo e significa a pessoa ou entidade que:
2.2.1.9.2.1. Processa Dados Pessoais em nome do Responsável pelo Tratamento com a finalidade de fornecer os Serviços nos termos do Acordo e dos presentes Termos e Condições do DPA; e
2.2.1.9.2.2. celebra os presentes Termos e Condições do DPA com o Responsável pelo Tratamento,
onde o termo for usado, terá o mesmo significado do termo correspondente e/ou similar usado nas Leis de Protecção de Dados Aplicáveis.
2.2.1.10. “Dados Pessoais” ou “Informação Pessoal” significa qualquer informação sobre um Titular de Dados que seja capaz de identificá-lo directa ou indirectamente com base nessa informação.
2.2.1.11. “Violação de Dados Pessoais” significa a destruição acidental, não autorizada ou ilegal, perda, alteração, divulgação ou acesso não autorizado aos Dados Pessoais e, quando aplicável, de acordo com as Leis de Protecção de Dados Aplicáveis, onde houver motivos razoáveis para acreditar que quaisquer Xxxxx Xxxxxxxx foram acedidos ou adquiridos por uma pessoa não autorizada.
2.2.1.12. “Pessoal” significa qualquer:
2.2.1.12.1. director, trabalhador ou outra pessoa que trabalha (permanente ou temporariamente) sob supervisão do Subcontratante; ou
2.2.1.12.2. a pessoa que presta serviços ao Subcontratante para efeitos de obrigações do Subcontratante ao abrigo dos presentes Termos e Condições do DPA, na qualidade de seu agente, consultor, contratado ou outro representante.
2.2.1.13. “Processamento” ou "Tratamento" significa qualquer operação ou conjunto de operações que seja realizada nos Dados Pessoais, incluindo, entre outros, recolha, recebimento, registo, processamento, organização, agrupamento, estruturação, manipulação, adaptação ou alteração, análise, armazenamento, eliminação, revelação ou divulgação por transmissão; disseminação ou disponibilização de outra forma; recuperação; consulta; uso; alinhamento ou combinação, ou combinação com outra informação, restrição; anonimização ou anonimato dos dados ou desidentificação; cifragem ou encriptação; e destruição.
2.2.1.14. “Dados Pessoais Sensíveis” ou “Informação Pessoal Sensível” significam Dados Pessoais que revelem origem racial ou étnica, persuasão ou opiniões políticas, crenças religiosas ou filosóficas, filiação sindical, dados genéticos ou dados biométricos, dados relativos à saúde ou vida sexual, ou dados relativos ao
comportamento criminoso e/ou condenações criminais e delitos ou dados de crianças.
2.2.1.15. “Serviços” significa os serviços que o Subcontratante é designado para fornecer ao Responsável pelo Tratamento de acordo com o Acordo e que exigem o Processamento de Dados Pessoais em nome do Responsável pelo Tratamento.
2.2.1.16. “Subcontratante Ulterior” significa qualquer subcontratante a jusante contratado pelo Subcontratante para processar Dados Pessoais como previsto no Acordo e nos presentes Termos e Condições do DPA, sendo tal subcontratante Ulterior pré-aprovado pelo Responsável pelo Tratamento de acordo com os termos do Acordo e os presentes Termos e Condições do DPA.
2.2.1.17. “Autoridade de Controlo Competente” significa a autoridade ou regulador de protecção de dados relevante que é competente em relação ao Processamento respectivo de acordo com a Lei de Protecção de Dados Aplicável.
2.2.1.18. “País Terceiro” significa o seguinte: (i) para transferências de Dados Pessoais do EEE, significa qualquer país fora do EEE para o qual não haja uma decisão de adequação aplicável adoptada pela Comissão Europeia; ou (ii) para transferências de Dados Pessoais para fora do Reino Unido, deve significar qualquer país, excepto os países do EEE, os países para os quais há uma decisão de adequação aplicável adoptada pela Comissão Europeia e os países para os quais há uma decisão aplicável regulamento de adequação adoptado pelo governo do Reino Unido ou (iii) significa o país em que os Dados Pessoais são transferidos para fora do país em que a Lei de Protecção de Dados Aplicável se aplica.
2.2.1.19. “RGPD do Reino Unido” significa o RGPD, conforme alterado pelo Anexo 1 dos Regulamentos de Protecção de Dados, Privacidade e Comunicações Electrónicas (Alterações, etc.) (Saída da UE) de 2019 (SI 2019/419), conforme alterado ou substituído no futuro.
2.2.1.20. “Cláusulas Contratuais-tipo do Reino Unido” significa Cláusulas Contratuais- tipo de transferências de dados pessoais para Responsáveis pelo tratamento adoptadas pela Comissão Europeia ao abrigo da decisão 2001/497/EC e Cláusulas Contratuais-tipo para transferências de dados pessoais para Subcontratante adoptadas pela Comissão Europeia ao abrigo da decisão 2010
/87/EU, conforme adaptado pela autoridade de controlo competente do Reino Unido, o Information Commissioner's Office.
2.3. Acordo: Os Termos e Condições do DPA são celebrados em conjunto com o Acordo. Em caso de contradição entre os termos dos presentes Termos e Condições do DPA e as disposições do acordo, os termos dos presentes Termos e Condições do DPA prevalecerão. Os Termos e Condições do DPA e os seus anexos devem ser interpretados com a seguinte ordem de prevalência:
(1) Anexo 4: Cláusulas Contratuais-tipo da UE e Cláusulas Contratuais-tipo do Reino Unido, conforme previsto nas cláusulas 11 dos Termos e Condições do DPA, (2) Anexo 1: Detalhes de Processamento,
(3) corpo principal dos Termos e Condições do DPA, (4) Anexo 3: Medidas Técnicas e Organizativas e (5) Anexo 2: Subcontratante Ulteriores Autorizados. Não obstante, os termos dos presentes Termos e Condições do DPA não devem ser interpretados de forma que entrem em conflito com quaisquer direitos e obrigações previstos nas Leis de Protecção de Dados Aplicáveis.
3. Instruções do Responsável pelo Tratamento e Lei de Protecção de Dados Aplicável
3.1. Durante a prestação dos Serviços ao Responsável pelo Tratamento e ao abrigo do Acordo, o Subcontratante tem a obrigação de aceder e Processar determinados Dados Pessoais. Por conseguinte, o Responsável pelo Tratamento permite que o Subcontratante processe os Dados Pessoais, conforme especificado no presente instrumento, em seu nome e estritamente de acordo com:
3.1.1. as instruções do Responsável pelo Tratamento previstas no presente instrumento e nos termos de outras instruções documentadas que o Responsável pelo Tratamento possa emitir a seu critério a qualquer momento; e
3.1.2. os termos dos presentes Termos e Condições do DPA.
3.2. O Subcontratante apenas processará os tipos de Dados Pessoais relacionados com as categorias de Titulares de Dados e para as finalidades específicas previstas no Anexo 1 e não processará Dados Pessoais a terceiros, excepto de acordo com as instruções documentadas do Responsável pelo Tratamento.
3.3. Para evitar qualquer dúvida, as Partes acordam que o Subcontratante não está autorizado a Processar os Dados Pessoais para quaisquer outras finalidades para além daquelas especificados nos presentes Termos e Condições do DPA e, em particular, não pode Processar os Dados Pessoais para as finalidades próprias do Subcontratante, salvo se exigido pela lei aplicável, de acordo com a cláusula 3.4 abaixo.
3.4. Caso o Subcontratante seja obrigado a Processar os Dados Pessoais em conformidade com qualquer lei (incluindo qualquer Lei de Protecção de Dados Aplicáveis), o
Subcontratante deverá informar o Responsável pelo Tratamento por escrito de tal exigência antes do início do Processamento, salvo se a lei o proíba por motivos de interesse público. Nesse caso, o Subcontratante informará o Responsável pelo Tratamento o mais rápido possível.
3.5. O Subcontratante deve garantir o cumprimento total e contínuo de todas as disposições respectivas das Leis de Protecção de Dados Aplicáveis que se aplicam ao Processamento em questão. Sempre que a lei de protecção de dados no país em que tal Processamento ocorre:
3.5.1. não é equivalente ao RGPD; ou
3.5.2. tal país não possui nenhuma lei local de protecção de dados em vigor e efeito,
por conseguinte. as disposições do RGPD prevalecerão para efeito dos presentes Termos e Condições do DPA, desde que a cláusula 3.5.1 seja aplicável, o Subcontratante permanecerá responsável pelo cumprimento integral das disposições específicas da Lei de Protecção de Dados Aplicável, particularmente quando os requisitos são adicionais aos previstos no RGPD.
3.6. O Subcontratante é obrigado a notificar imediatamente o Responsável pelo Tratamento por escrito no caso de deixar de garantir o cumprimento da(s) lei(s) aplicável(eis), incluindo as Leis de Protecção de Dados Aplicáveis.
3.7. Se o Responsável pelo Tratamento emitir uma instrução que infrinja as Leis de Protecção de Dados Aplicáveis, o Subcontratante deverá notificar o Responsável pelo Tratamento imediatamente por escrito de tal violação alegada, após o que o Responsável pelo Tratamento deverá (i) fornecer uma resposta por escrito quanto ao motivo pelo qual na sua opinião a instrução não infringe as Leis de Protecção de Dados Aplicáveis (incluindo o rigor jurídico da instrução); ou (ii) alterar a instrução inicial fornecida ao Subcontratante para garantir a conformidade com as Leis de Protecção de Dados Aplicáveis. O Subcontratante pode rescindir os presentes Termos e Condições do DPA mediante notificação por escrito de 1 (um) mês ao Responsável pelo Tratamento após a resposta do Responsável pelo Tratamento em resposta à notificação do Subcontratante referida na presente cláusula 3.7, caso a resposta não forneça fundamentação jurídica e não for considerada legalmente válida, e, por conseguinte, infringe as Leis de Protecção de Dados Aplicáveis.
3.8. Na medida em que quaisquer Dados Pessoais sejam Processados pelo Subcontratante fora do país em que o Responsável pelo Tratamento disponibilizou os Dados Pessoais ao Subcontratante e/ou no qual o próprio Responsável pelo Tratamento Processa tais Dados Pessoais, o Subcontratante deve garantir que as medidas técnicas e organizativas para
transferências de dados transfronteiriças ao abrigo das Leis de Protecção de Dados Aplicáveis são implementadas e cumpridas.
3.9. Na medida em que o Processamento inclua o Processamento de Dados Pessoais Sensíveis dos Titulares de Dados, o Subcontratante deverá garantir que as Leis de Protecção de Dados Aplicáveis sejam cumpridas neste Processamento. Ainda, deve assegurar que as medidas técnicas e organizativas sejam implementadas e cumpridas.
4. Duração e Violação
4.1. Os Termos e Condições do DPA entrarão em vigor a partir da Data Efectiva (i) até que os Serviços que exijam o Processamento de Dados Pessoais em nome do Responsável pelo Tratamento sejam terminados; (ii) ou até a rescisão ou terminação do Acordo, o que ocorrer mais tarde.
4.2. Se o Subcontratante cometer uma violação material de qualquer disposição dos presentes Termos e Condições do DPA, o Responsável pelo Tratamento deverá solicitar por escrito que o Subcontratante corrija a violação dentro de um período especificado pelo Responsável pelo Tratamento. O Responsável pelo Tratamento terá o direito, em caso de falha do Subcontratante em corrigir a violação, de cancelar o Acordo Principal e os presentes Termos e Condições do DPA com efeito imediato mediante notificação por escrito ao Subcontratante. Uma violação material de qualquer disposição dos presentes Termos e Condições do DPA também será considerada uma violação material do Acordo.
4.3. O Responsável pelo Tratamento também tem o direito de rescindir o Acordo com efeito imediato se (i) o Subcontratante estiver em violação substancial ou persistente dos presentes Termos e Condições do DPA ou das suas obrigações ao abrigo das Leis de Protecção de Dados Aplicáveis; ou (ii) não cumprir uma decisão vinculativa de um tribunal competente ou da(s) Autoridade(s) Supervisora(s) em relação às suas obrigações ao abrigo dos presentes Termos e Condições do DPA ou Leis de Protecção de Dados Aplicáveis.
4.4. A terminação ou rescisão dos presentes Termos e Condições do DPA não afectará as disposições dos presentes Termos e Condições do DPA que são expressamente fornecidas para operar após tal terminação ou rescisão, ou que, por necessidade, devem continuar em vigor após tal terminação ou rescisão, não obstante que as próprias disposições pertinentes não o prevejam. Sem derrogar ou limitar o precedente, a presente cláusula 4.4 e as cláusulas 10,12 e 13 continuarão em pleno vigor e efeito após a terminação ou rescisão dos presentes Termos e Condições do DPA.
5. Segurança
5.1. Tendo em consideração o progresso, os custos de implementação e a natureza, âmbito, contexto e finalidades do Processamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades dos Titulares de Dados, o Subcontratante é obrigado a implementar medidas técnicas e organizativas para proteger adequadamente os Dados Pessoais contra uma Violação de Dados Pessoais e contra qualquer uso indevido e perda de acordo com os requisitos das Leis de Protecção de Dados Aplicáveis. Em particular, mas não limitado a, o Subcontratante compromete-se a implementar e exigir que os seus Subcontratantes Ulteriores implementem as medidas técnicas e organizativas descritas no Anexo 3: Medidas Técnicas e Organizativas.
5.2. Ao avaliar o nível de segurança adequado, devem ser tidos em consideração, em particular, os riscos apresentados pelo Processamento, em particular de destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais transmitidos, armazenados ou processados de outra forma bem como quaisquer leis do país em questão onde tal processamento envolva transferências de dados transfronteiriças. Quando necessário, o Subcontratante deve cumprir as medidas de segurança adicionais solicitadas pelo Responsável pelo Tratamento sob instruções documentadas.
5.3. Para além das obrigações previstas acima, o Subcontratante fornecerá assistência e informações necessárias ao Responsável pelo Tratamento para as seguintes finalidades:
5.3.1. realizar uma avaliação de impacto na protecção de dados ou avaliação de risco inerente onde o Processamento possa ser considerado um alto risco para os direitos e liberdades dos Titulares dos Dados;
5.3.2. consultar a(s) Autoridade(s) de Supervisão antes do Processamento quando uma avaliação de impacto na protecção de dados indicar que o Processamento resultaria num alto risco na ausência de medidas tomadas pelo Responsável pelo Tratamento para mitigar o risco; e
5.3.3. assegurar que os Dados Pessoais sejam exactos e actualizados, informando sem demora o Responsável pelo Tratamento se o Subcontratante tomar conhecimento de que os Dados Pessoais que está a processar são imprecisos ou estão desactualizados.
5.4. O Subcontratante deve manter um registo das actividades de Processamento relacionadas ao Processamento de Dados Pessoais em nome do Responsável pelo Tratamento, bem como o registo dos riscos associados. O Subcontratante fornecerá esses registos ao Responsável pelo Tratamento mediante solicitação.
5.5. O Subcontratante deve realizar verificações regulares de controlo sobre o cumprimento das suas obrigações e dos seus Subcontratante Ulteriores em relação à protecção e segurança de dados.
6. O Pessoal do Subcontratante
6.1. O Subcontratante tomará as medidas razoáveis para garantir a confiabilidade de qualquer Pessoal que possa ter acesso aos Dados Pessoais, garantindo em cada caso que o acesso seja estritamente limitado àqueles indivíduos que necessitam de aceder os Dados Pessoais, conforme estritamente necessário para o desempenho dos deveres dessa pessoa em relação aos Serviços e garantindo que todos esses indivíduos:
6.1.1. são informados da natureza confidencial dos Dados Pessoais e têm conhecimento das obrigações do Subcontratante ao abrigo dos presentes Termos e Condições do DPA em relação aos Dados Pessoais do Responsável pelo Tratamento;
6.1.2. ter realizado formação adequada em relação à segurança e privacidade da informação e nas Leis de Protecção de Dados Aplicáveis;
6.1.3. estejam sujeitos a compromissos de confidencialidade ou obrigações profissionais ou estatutárias de confidencialidade que perdurarão por 3 (três) anos após o término do acesso da pessoa relevante aos Dados Pessoais; e
6.1.4. estão sujeitos a processos de autenticação e início de sessão do utilizador ao aceder os Dados Pessoais do Responsável pelo Tratamento.
7. Sub-processamento
7.1. Sujeito à cláusula 7.2, o Subcontratante não deve contratar nenhum Subcontratante Ulterior para processar os Dados Pessoais do Responsável pelo Tratamento sem a aprovação prévia por escrito do Responsável pelo Tratamento, que o Responsável pelo Tratamento pode recusar a seu exclusivo critério.
7.2. A partir da Data Efectiva dos presentes Termos e Condições do DPA, o Responsável pelo Tratamento autoriza o Subcontratante a contratar os Subcontratantes Ulteriores definidos no Anexo 2 (Subcontratantes Ulteriores Autorizados). O Subcontratante garante que os termos contratuais que celebra com os Subcontratantes Ulteriores, definidos no Anexo 2, serão substancialmente os mesmos previstos nos presentes Termos e Condições do DPA. Mediante solicitação, o Subcontratante fornecerá uma cópia dos seus acordos com os Subcontratantes Ulteriores ao Responsável pelo Tratamento para a sua análise.
7.3. O Subcontratante deverá garantir que o Responsável pelo Tratamento tenha substancialmente os mesmos direitos de controlo sobre cada Subcontratante Ulterior que
o Subcontratante contrata como o Responsável pelo Tratamento tem sobre o Subcontratante ao abrigo dos presentes Termos e Condições do DPA. A extensão da cadeia de Subcontratantes Ulteriores não é permitida sem a aprovação prévia por escrito do Responsável pelo Tratamento. Se o Responsável pelo Tratamento conceder tal aprovação, as mesmas obrigações aplicar-se-ão a tais Sub-Subcontratantes Ulteriores adicionais.
7.4. Embora o Subcontratante permaneça totalmente responsável perante o Responsável pelo Tratamento pelo desempenho de cada Subcontratante Ulterior nos termos do Acordo, o Subcontratante tomará medidas para garantir que cada Subcontratante Ulterior cumpra as obrigações às quais o Subcontratante está sujeito ao abrigo dos presentes Termos e Condições do DPA e ao abrigo das Leis de Protecção de Dados Aplicáveis.
8. Direitos do Titular dos Dados e Pedidos da Autoridade de Controlo Competente
8.1. O Subcontratante notificará imediatamente o Responsável pelo Tratamento por escrito se receber um pedido de um Titular dos Dados ou qualquer solicitação, consulta, notificação, decisão ou outra comunicação de qualquer Autoridade de Controlo Competente em relação aos Dados Pessoais do Responsável pelo Tratamento. Este não responderá à solicitação em si, a menos que autorizado a fazê-lo pelo Responsável pelo Tratamento.
8.2. O Subcontratante deve cooperar conforme solicitado pelo Responsável pelo Tratamento para permitir que o Responsável pelo Tratamento cumpra qualquer pedido do Titular dos Dados ou da Autoridade de Controlo Competente ao abrigo das Leis de Protecção de Dados Aplicáveis em relação aos Dados Pessoais do Responsável pelo Tratamento ou dos presentes Termos e Condições do DPA, que devem incluir:
8.2.1. o fornecimento de todos os dados solicitados pelo Responsável pelo Tratamento dentro de qualquer prazo razoável especificado pelo Responsável pelo Tratamento em cada caso, mas em qualquer caso, não superior a três (3) dias, incluindo detalhes completos e cópias do pedido ou reclamação, comunicação ou solicitação, informações relacionadas e quaisquer Dados Pessoais do Responsável pelo Tratamento que este detenha relativos ao pedido;
8.2.2. quando aplicável, fornecer a assistência que seja razoavelmente solicitada pelo Responsável pelo Tratamento para permitir que o Responsável pelo Tratamento cumpra o pedido respectivo dentro dos prazos prescritos pela Lei de Protecção de Dados Aplicável ou pela Autoridade de Controlo Competente; e
8.2.3. implementar quaisquer medidas técnicas e organizativas adicionais que possam ser razoavelmente exigidas pelo Responsável pelo Tratamento para permitir que o
Responsável pelo Tratamento responda eficazmente a reclamações, comunicações ou pedidos respectivos.
8.3. O Subcontratante deverá ajudar o Responsável pelo Tratamento através de medidas técnicas e organizativas adequadas, com o cumprimento da obrigação do Responsável pelo Tratamento de responder a pedidos para exercer os direitos de um Titular dos Dados.
8.4. Se o Subcontratante receber qualquer pedido de acesso aos Dados Pessoais do Responsável pelo Tratamento de qualquer autoridade governamental, o Subcontratante esforçar-se-á para redireccionar a autoridade governamental respectiva para pedir acesso ao Responsável pelo Tratamento. Se tal não for possível, o Subcontratante notificará o Responsável pelo Tratamento imediatamente sobre o pedido. O Subcontratante verificará se o pedido de acesso é válido e legítimo e, de acordo com o Responsável pelo Tratamento, usará todos os recursos jurídicos disponíveis para defender o Responsável pelo Tratamento e recusar o acesso directo aos Dados Pessoais dos Responsáveis pelo Tratamento.
9. Violação de Dados Pessoais
9.1. O Subcontratante notificará o Responsável pelo Tratamento imediatamente e quando exigido pelas Leis de Protecção de Dados Aplicáveis, imediatamente e, em qualquer caso, dentro de vinte e quatro (24) horas, ao tomar conhecimento ou suspeitar razoavelmente de uma Violação de Dados Pessoais envolvendo o(s) Dados Pessoais do(s) Titular(es) de Dados, facultando ao Responsável pelo Tratamento informações suficientes (incluindo a identidade da pessoa ou pessoas conhecidas ou suspeitas de serem responsáveis pela Violação de Xxxxx Xxxxxxxx) que permitam ao Responsável pelo Tratamento cumprir quaisquer obrigações de relatar e abordar e mitigar o impacto de uma Violação de Dados Pessoais da Lei de Protecção de Dados Aplicável. Essa notificação deve, no mínimo:
9.1.1. descrever a natureza da Violação de Xxxxx Xxxxxxxx, as categorias e números de Titulares de Dados em questão e as categorias e números de registos de Xxxxx Xxxxxxxx em questão, bem como informações sobre quando ocorreu a violação de dados e quando o Subcontratante teve conhecimento;
9.1.2. comunicar o nome e os dados de contacto do Encarregado de Protecção de Dados do Subcontratante ou outro contacto relevante de quem possa obter mais informação;
9.1.3. descrever as prováveis consequências da Violação de Xxxxx Xxxxxxxx; e
9.1.4. descrever as medidas tomadas ou propostas a serem tomadas para lidar com a violação de dados pessoais e incluindo, quando adequado, descrever medidas para mitigar os seus possíveis efeitos adversos.
9.2. Quando, e na medida em que não seja possível ao Subcontratante fornecer todas as informações acima mencionadas ao mesmo tempo, a notificação inicial ao Responsável pelo Tratamento deve conter as informações então disponíveis e outras informações devem, assim que estiverem disponíveis, serem posteriormente fornecidas ao Responsável pelo Tratamento sem atraso indevido.
9.4. O Subcontratante deve cooperar com o Responsável pelo Tratamento e tomar as medidas comerciais razoáveis, como, entre outras, adquirir os serviços de uma parte externa independente e/ou adquirir software de segurança adicional, conforme instruído pelo Responsável pelo Tratamento para ajudar na investigação, mitigação e correcção de cada Violação de Dados Pessoais e para que o Responsável pelo Tratamento cumpra os requisitos da Lei de Protecção de Dados Aplicável e, ainda, o Subcontratante deve cumprir integralmente todas as obrigações impostas ao Subcontratante no que diz respeito ao tratamento de uma Violação de Dados Pessoais ao abrigo das Leis de Protecção Aplicáveis.
9.5. Em caso de Violação de Xxxxx Xxxxxxxx, o Subcontratante não deverá informar qualquer terceiro sem primeiro obter o consentimento prévio por escrito do Responsável pelo Tratamento, a menos que a notificação seja exigida pelas Leis de Protecção de Dados Aplicáveis às quais o Subcontratante está sujeito, caso em que o Subcontratante deverá na medida permitida por tal lei informar o Responsável pelo Tratamento sobre essa exigência legal, fornecer uma cópia da notificação proposta e considerar quaisquer comentários feitos pelo Responsável pelo Tratamento antes de notificar a Violação de Dados Pessoais à Autoridade de Controlo Competente respectiva.
9.6. Sem prejuízo da cláusula 9.1, o Subcontratante deverá, sem demora injustificada, informar o Responsável pelo Tratamento em caso de interrupção grave das operações, suspeita de Violação Pessoal, qualquer violação da Lei de Protecção de Dados Aplicável ou dos presentes Termos e Condições do DPA, e qualquer outra irregularidade no Processamento dos Dados Pessoais.
9.7. O Subcontratante manterá um registo de todas as Violações de Xxxxx Xxxxxxxx, incluindo informações sobre a causa da Violação de Xxxxx Xxxxxxxx, as suas consequências e medidas adoptadas para corrigir e prevenir a ocorrência da violação de Dados Pessoais no futuro. O Subcontratante fornecerá o registo ao Responsável pelo Tratamento mediante pedido.
10. Eliminação ou Destruição e/ou devolução dos Dados Pessoais
10.1. O Subcontratante deverá prontamente e em qualquer caso dentro de 60 (sessenta) dias corridos após a rescisão ou terminação do Acordo Principal e dos Termos e Condições do DPA, à escolha do Responsável pelo Tratamento (tal escolha deve ser notificada ao Subcontratante por escrito):
10.1.1. devolver todos os Dados Pessoais ao Responsável pelo Tratamento através de transferência segura de ficheiros no formato notificado pelo Responsável pelo Tratamento ao Subcontratante e excluir com segurança todas as outras cópias dos Dados Pessoais Processados pelo Subcontratante ou qualquer Subcontratante Ulterior autorizado; e/ou
10.1.2. eliminar ou destruir com segurança todos os Dados Pessoais Processados pelo Subcontratante ou qualquer Subcontratante Ulterior autorizado e, em cada caso, fornecer uma certificação por escrito ao Responsável pelo Tratamento de que cumpriu integralmente a presente cláusula 10.
10.2. O Subcontratante continuará a garantir a conformidade com o presente DPA durante a eliminação ou destruição.
11. Direitos de Auditoria e Documentação
11.1. O Subcontratante deve lidar prontamente e adequadamente com quaisquer dúvidas do Responsável pelo Tratamento sobre o Processamento ao abrigo dos presentes Termos e Condições do DPA. O Subcontratante deverá disponibilizar ao Responsável pelo Tratamento todas as informações necessárias para demonstrar o cumprimento dos presentes Termos e Condições do DPA e Leis de Protecção de Dados Aplicáveis. A pedido do Responsável pelo Tratamento, o Subcontratante também deverá permitir e contribuir para auditorias das actividades de Processamento ao abrigo dos presentes Termos e Condições do DPA, em intervalos razoáveis ou se houver indícios de não conformidade. Ao decidir sobre uma revisão ou auditoria, o Responsável pelo Tratamento pode ter em consideração as certificações relevantes detidas pelo Subcontratante.
11.2. O Responsável pelo Tratamento pode optar por conduzir a auditoria sozinho ou contratar um auditor independente. As auditorias também podem incluir inspecções nas instalações ou infraestruturas físicas do Subcontratante e devem, quando adequado, ser realizadas por aviso com antecedência razoável. O Subcontratante concederá acesso a tais instalações ou infraestruturas ao Responsável pelo Tratamento ou ao auditor independente.
11.3. O Subcontratante fornecerá total cooperação ao Responsável pelo Tratamento e ao auditor independente, conforme aplicável, em relação a qualquer auditoria e, a pedido do Responsável pelo Tratamento, fornecerá ao Responsável pelo Tratamento provas do cumprimento das suas obrigações ao abrigo dos presentes Termos e Condições do DPA.
11.4. As Partes devem disponibilizar as informações referidas na presente cláusula, incluindo os resultados de quaisquer auditorias, à(s) Autoridade(s) Supervisor(es) mediante pedido.
12. Transferências dos Dados Pessoais do Responsável pelo Tratamento para Países Terceiros
12.1. Se o Responsável pelo Tratamento, como exportador de dados, transferir Dados Pessoais sujeitos ao RGPD para o Subcontratante, como importador de dados, estabelecido num País Terceiro, tal transferência estará sujeita às Cláusulas Contratuais-tipo da UE na medida aplicável, conforme estabelecido no Anexo 4: Cláusulas Contratuais-tipo da UE; as informações relevantes exigidas pelos Anexos das Cláusulas Contratuais-tipo da UE devem ser fornecidas nos Anexos dos presentes Termos e Condições do DPA
12.2. Se o Responsável pelo Tratamento, como exportador de dados, transferir Dados Pessoais sujeitos ao RGPD do Reino Unido para o Subcontratante, como importador de dados, estabelecido num País Terceiro, tal transferência estará sujeita às Cláusulas Contratuais- tipo do Reino Unido relevantes na extensão mínima aplicável, que está incorporada nos presentes Termos e Condições do DPA (para evitar qualquer dúvida, cláusulas opcionais não se aplicam); as informações relevantes exigidas pelos Anexos das Cláusulas Contratuais-tipo da UE devem ser fornecidas nos Anexos dos presentes Termos e Condições do DPA.
12.3. As Partes reconhecem e acordam que, sujeito ao seu acordo mútuo, outras garantias adequadas para transferências de Dados Pessoais para Países Terceiros podem ser aplicáveis, sujeitas aos requisitos aplicáveis do RGPD e do RGPD do Reino Unido ou Leis de Protecção de Dados Aplicáveis.
12.4. Na medida em que quaisquer Dados Pessoais sejam transferidos pelo Responsável pelo Tratamento que esteja sujeito a quaisquer outras Leis de Protecção de Dados Aplicáveis, além do RGPD e do RGPD do Reino Unido, para o Subcontratante localizado noutro país terceiro, o Responsável pelo Tratamento reconhece que será obrigado a cumprir os requisitos aplicáveis às transferências de dados internacionais de acordo com as Leis de Protecção de Dados Aplicáveis e garantirá as salvaguardas adequadas para transferências de dados internacionais de acordo com as Leis de Protecção de Dados Aplicáveis.
12.5. Sempre que quaisquer Leis de Protecção de Dados Aplicáveis possam exigir a aprovação da Autoridade de Controlo Competente para transferência transfronteiriça de Dados Pessoais desse país para um terceiro país ou organização, tal transferência só poderá ser realizada pelo Subcontratante mediante a obtenção de tal aprovação.
12.6. As Partes comprometem-se a negociar e executar quaisquer outros acordos ou documentos que possam ser adoptados pelas autoridades públicas competentes com a finalidade de alterar, substituir, complementar ou suplementar as Cláusulas Contratuais- tipo da UE e/ou as Cláusulas Contratuais-tipo do Reino Unido, ou com a finalidade de cumprir quaisquer outros requisitos relativos às transferências de Dados Pessoais para Países Terceiros, conforme aplicável.
12.7. Quando o Subcontratante envolver um Subcontratante Ulterior em actividades de Processamento que incluam uma transferência (ou uma transferência posterior) de Dados Pessoais para um País Terceiro, o Subcontratante deverá garantir que os Dados Pessoais sejam processados legalmente. Antes da transferência para um País Terceiro, o Subcontratante deve garantir que o Subcontratante Ulterior implementou medidas técnicas e organizativas adequadas que forneçam garantias apropriadas, em particular (sem limitação), o Subcontratante e o Subcontratante Ulterior devem cumprir os requisitos das Leis de Protecção de Dados aplicáveis e, quando aplicável, devem executar as Cláusulas Contratuais-tipo da UE ou as Cláusulas Contratuais-tipo do Reino Unido. O Subcontratante garantirá que tais medidas também sejam aplicadas em caso de transferências posteriores aprovadas pelo Responsável pelo Tratamento.
13. Indemnização
13.1. O Subcontratante deverá indemnizar e isentar o Responsável pelo Tratamento de todos os danos, perdas, multas, penalidades e sanções decorrentes de qualquer reclamação de um terceiro ou Autoridade de Controlo Competente decorrente de qualquer violação dos termos dos presentes Termos e Condições do DPA e Leis de Protecção de Dados Aplicáveis, incluindo quaisquer multas administrativas que possam ser impostas por qualquer Autoridade de Controlo Competente relevante.
14. Comunicação
14.1. Salvo acordo em contrário pelas Partes, os detalhes de contacto relacionados com a comunicação diária sobre os assuntos que dizem respeito ao desempenho dos presentes Termos e Condições do DPA serão os previstos no Acordo.
15. Disposições Diversas
15.1. Nem os direitos nem as obrigações de qualquer Parte podem ser cedidos no todo ou em parte sem o consentimento prévio por escrito da outra Parte, desde que, no entanto, os presentes Termos e Condições do DPA possam ser transferidos ou cedidos nos termos e condições previstos no Acordo.
15.2. Cada Parte permanecerá responsável pelo seu cumprimento e pelo cumprimento de todos os seus trabalhadores, agentes e terceiros com as obrigações ao abrigo dos presentes Termos e Condições do DPA. Cada Parte fará ou obterá e manterá, desde que seja parte dos presentes Termos e Condições do DPA, todas as licenças ou notificações necessárias que tal parte seja obrigada a obter e manter de acordo com as Leis de Protecção de Dados Aplicáveis.
15.3. No caso de surgir qualquer litígio entre as Partes no que diz respeito aos presentes Termos e Condições do DPA, as Partes negociarão de boa-fé para resolver tal litígio. Se o litígio não puder ser resolvido por negociações de boa-fé pelas Partes, o litígio será resolvido definitivamente pelos tribunais competentes com jurisdição para resolver o litígio conforme previsto no Acordo.
15.4. Salvo se as cláusulas contratuais-tipo de acordo com o RGPD exijam a aplicação de uma lei aplicável diferente (nesse caso, tal lei será a lei que rege os presentes Termos e Condições do DPA), os presentes Termos e Condições do DPA são regidos pelas leis do país onde os Serviços são fornecidos.
15.5. Caso qualquer disposição dos presentes Termos e Condições do DPA seja inválida ou inexequível, o restante dos presentes Termos e Condições do DPA permanecerá válido e em vigor. A disposição inválida ou inexequível deve ser (i) alterada conforme necessário para garantir a sua validade e exequibilidade, preservando ao máximo as intenções das Partes ou, caso não for possível,
15.6. (ii) interpretada de forma como se a parte inválida ou inexequível nunca estivesse nela constante.
Anexo 1: DETALHES DO PROCESSAMENTO DOS DADOS PESSOAIS DO RESPONSÁVEL PELO TRATAMENTO
O presente Anexo 1 inclui determinados detalhes do Processamento de Dados Pessoais do Responsável pelo Tratamento conforme exigido pelas Leis de Protecção de Dados Aplicáveis.
Objecto e duração do Processamento dos Dados Pessoais
O objecto do Processamento é prestar Serviços ao abrigo do Acordo e a duração do Processamento dos Dados Pessoais é prevista no Acordo e nos Termos e Condições do DPA.
Natureza e finalidade do Processamento dos Dados Pessoais do Responsável pelo Tratamento
A natureza e a finalidade do Processamento correspondem à prestação de Serviços, conforme previsto no Acordo.
Categorias dos Dados Pessoais a serem Processados pelo Subcontratante
Sujeito a confirmação em contrário pelo Responsável pelo Tratamento, as seguintes categorias de Dados Pessoais são geralmente processadas pelo Subcontratante:
• Nome e apelido
• Endereço de email
• Endereço residencial
• Endereço de IP
• Número de telefone
• Dados de uso
• Cargo de trabalho
• Data de nascimento
Dados sensíveis Processados (se aplicável) e restrições ou salvaguardas aplicadas -
…………………….
Categorias de Titulares de Dados nas quais os Dados Pessoais do Responsável pelo Tratamento se relacionam
Sujeito a confirmação de outra forma pelo Responsável pelo Tratamento, os Dados Pessoais estarão relacionados com as seguintes categorias de Titulares de Dados geralmente processados pelo Subcontratante:
• Trabalhadores
• Fornecedores
• Clientes
• Clientes potenciais
• Consultores
• Visitantes
• Contratados Outros:
Frequência da transferência para fora do EEE
Sujeito a confirmação em contrário pelo Responsável pelo Tratamento, as transferências de Dados Pessoais serão
• Únicas
• Base contínua
Período de retenção
Durante a prestação dos Serviços do Subcontratante ao Responsável pelo Tratamento e como previsto no Acordo aplicável entre o Responsável pelo Tratamento e o Subcontratante.
Objecto e natureza - prestação de serviços, a ser notificado por escrito ao Responsável pelo Tratamento, usando substancialmente o mesmo formato definido no Anexo 2
Duração - duração da prestação de serviços do Subcontratante Ulterior.
As obrigações e direitos do Responsável pelo Tratamento
As obrigações e direitos do Responsável pelo Tratamento estão previstos nos presentes Termos e Condições do DPA.
Anexo 2: SUBCONTRATANTES ULTERIORES AUTORIZADOS
Nome de Registo Completo e Sede Social | Pessoa de Contacto | Detalhes de Contacto | Localização do Processamento | Descrição das Actividades de processamento |
O Subcontratante compromete-se a enviar as informações relativas aos Subcontratantes Ulteriores propostos ao Responsável pelo Tratamento para autorização, usando este mesmo formato definido no presente Anexo 2.
Anexo 3: MEDIDAS TÉCNICAS E ORGANIZATIVAS
O Subcontratante compromete-se a implementar e exigir que os seus Subcontratantes Ulteriores implementem as seguintes medidas técnicas e organizativas:
a) a capacidade de garantir a segurança, confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas, redes e serviços de processamento;
b) a capacidade de restabelecer a disponibilidade e acesso aos Dados Pessoais em tempo útil no caso de um incidente físico ou técnico;
c) um processo para monitorizar, testar, analisar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do Processamento;
d) prevenção do acesso de pessoas não autorizadas aos sistemas de processamento de dados (controlo de acesso físico);
e) prevenção da utilização de sistemas de processamento de dados sem autorização (controlo lógico de acesso);
f) manter os Dados Pessoais logicamente separados dos Dados Processados em nome de qualquer terceiro;
g) aplicação de cifragem e pseudonimização dos Dados Pessoais, se for o caso;
h) garantir que, durante o processamento ou uso e após o armazenamento, os Dados Pessoais não possam ser lidos, copiados, modificados ou eliminados sem autorização (controlo de acesso a dados);
i) garantir que os Dados Pessoais não possam ser lidos, copiados, modificados ou eliminados sem autorização durante a transmissão, transporte ou armazenamento electrónico, e que as entidades alvo para qualquer transferência dos Dados Pessoais através de meios de transmissão de dados possam ser estabelecidas e verificadas (controlo de transferência de dados);
j) assegurar o procedimento de registo e pista de auditoria para documentar se e por quem os Dados Pessoais foram inseridos, modificados ou removidos dos sistemas de processamento de dados (controlo de entrada);
k) manter uma política de segurança da informação e planos de gestão e continuidade de incidentes de segurança, consistindo, entre outros, na análise realizada a este respeito e na gestão de risco de dados pessoais, descrição das várias responsabilidades e regras organizativas, descrição de como são os incidentes de segurança geridos, as medidas que foram introduzidas para manter o sistema de segurança actualizado após a instalação;
l) organizar a segurança da informação através da selecção de um líder de segurança da informação que tenha as competências necessárias, seja formado adequadamente, assegurar que as diversas responsabilidades em matéria de segurança da informação tenham sido claramente expostas,
assegurar que as responsabilidades definidas na política de informação sejam cumpridas e que não pode exercer nenhuma função nem assumir qualquer responsabilidade que seja incompatível com a função de governança de segurança da informação;
m) assegurar a segurança do ambiente físico, nomeadamente através da segurança e vigilância dos edifícios, instalações e infraestruturas onde se encontrem os suportes de dados pessoais e sistemas informáticos que os tratem, bem como procedimentos de prevenção, detecção e operação em caso de incêndio, intrusão e danos causados pela água;
n) manter a documentação completa e actualizada proporcional ao perfil de risco das operações de processamento, incluindo, mas não se limitando a, documentação técnica das medidas de segurança implementadas e outras informações necessárias para demonstrar o cumprimento dos requisitos dos presentes Termos e Condições do DPA; e
o) assegurar que os Dados Pessoais sejam processados exclusivamente de acordo com as instruções do Responsável pelo Tratamento respectivo (controlo de instruções)
Anexo 4: CLÁUSULAS CONTRATUAIS-TIPO DA UE – MÓDULO 2 (TRANSFERÊNCIA DE RESPONSÁVEL PELO TRATAMENTO PARA SUBCONTRATANTE)
As presentes Cláusulas Contratuais-tipo da UE são celebradas entre a MultiChoice (o Responsável pelo Tratamento, conforme definido nos Termos e Condições do DPA) e o Fornecedor (o Subcontratante, conforme definido nos Termos e Condições do DPA).
CONSIDERANDOS:
(A) A MultiChoice adquire determinados Serviços e externaliza determinadas actividades de processamento ao Fornecedor com base no Acordo que exige o Processamento de Dados Pessoais. A MultiChoice actua principalmente como Responsável pelo Tratamento e o Fornecedor actua principalmente como Subcontratante e as partes celebram os Termos e Condições do DPA que regem o Processamento de Dados Pessoais da MultiChoice pelo Fornecedor em nome da MultiChoice.
(B) Sujeito à configuração dos Serviços fornecidos pelo Fornecedor, o Fornecedor pode Processar Dados Pessoais como Responsável pelo Tratamento. Caso (i) os Dados Pessoais estejam sujeitos ao RGPD, (ii) a MultiChoice processe Dados Pessoais como Responsável pelo Tratamento e o Fornecedor processe Dados Pessoais como Responsável pelo Tratamento e (iii) o Processamento exija uma transferência do EEE para um País Terceiro ou uma transferência posterior para um País Terceiro, conforme previsto nos Termos e Condições do DPA, qualquer transferência de Dados Pessoais estará sujeita às presentes Cláusulas Contratuais-tipo da UE na medida em que: MÓDULO DOIS: Transferência de Responsável pelo Tratamento para Subcontratante.
As secções assinaladas como “MÓDULO UM: Transferência entre Responsáveis pelo Tratamento”, “MÓDULO TRÊS: Transferência entre Subcontratantes” e as secções assinaladas como “MÓDULO QUATRO: Transferência de Subcontratante para Responsável pelo Tratamento” não se aplicam. Para evitar qualquer dúvida, se aplicável, as Partes celebrarão Cláusulas Contratuais-tipo da UE separadas em relação ao Módulo Um, Módulo Três e Módulo Quatro.
(C) As presentes Cláusulas Contratuais-tipo da UE são incorporadas aos Termos e Condições do DPA celebrados entre as Partes que regerão as questões não resolvidas pelas presentes Cláusulas Contratuais-tipo da UE. As presentes Cláusulas Contratuais-tipo terão controlo sobre os Termos e Condições do DPA e quaisquer outros acordos celebrados entre as Partes no que diz respeito ao Processamento de Dados Pessoais. Para evitar qualquer dúvida, se várias Cláusulas Contratuais-tipo da UE forem aplicáveis na medida do necessário aos módulos aplicáveis, nenhuma delas terá controlo sobre a outra.
(D) As presentes Cláusulas Contratuais-tipo da UE entrarão em vigor a partir da Data
Efectiva dos Termos e Condições do DPA e substituirão e prevalecerão quaisquer cláusulas contratuais-tipo já existentes concluídas entre as Partes no âmbito previsto na secção (B) acima.
(E) Os termos em maiúsculas usados e não definidos nestas Cláusulas Contratuais- tipo da UE têm o significado que lhes é atribuído nos Termos e Condições do DPA ou, conforme aplicável, no RGPD.
SECÇÃO I
Finalidade e âmbito de aplicação
(a) As presentes cláusulas contratuais-tipo visam assegurar o cumprimento dos requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Protecção de Dados) aplicáveis às transferências de dados pessoais para países terceiros.
(b) As Partes:
(i) a(s) pessoa(s) singular(es) ou colectiva(s), a(s) autoridade(s) pública(s), a(s) agência(s) ou outro(s) organismo(s) (adiante designado(s) por «entidade(s)») que transfere(m) os dados pessoais, conforme previsto nos Termos e Condições do DPA para os quais o presente Anexo 5 está anexado (a seguir designado, o “exportador de dados”), e
(ii) a(s) entidade(s) de um país terceiro que recebe(m) os dados pessoais do exportador de dados, directa ou indirectamente através de outra entidade também Parte nas presentes Cláusulas, previstas nos Termos e Condições do DPA ao qual este Anexo 5 está anexado (a seguir designado, o “importador de dados”)
acordaram nas presentes cláusulas contratuais-tipo (a seguir designadas por “Cláusulas”).
(c) As presentes cláusulas são aplicáveis no que diz respeito à transferência de dados pessoais, conforme especificado no anexo I.B.
(d) O apêndice das presentes cláusulas, que contém os anexos nelas referidos, é parte integrante das presentes cláusulas.
Cláusula 2
Efeito e invariabilidade das cláusulas
(a) As presentes cláusulas estabelecem garantias adequadas, incluindo direitos oponíveis dos titulares dos dados e medidas jurídicas correctivas eficazes, nos termos do artigo 46, nº1, e do artigo 46, nº2, alínea c), do Regulamento (UE) 2016/679 e, no que diz respeito às transferências de dados de responsáveis pelo
tratamento para subcontratantes e/ou entre subcontratantes, nos termos do artigo 28, nº 7, do Regulamento (UE) 2016/679, desde que não sejam alteradas, excepto para selecionar o(s) módulo(s) adequado(s) ou para acrescentar ou actualizar informações no apêndice. Tal não impede as Partes de incluir as cláusulas contratuais-tipo estabelecidas nas presentes cláusulas num contrato mais abrangente e/ou de acrescentar outras cláusulas ou garantias adicionais, desde que não colidam, direta ou indiretamente, com as presentes cláusulas, e sem prejuízo dos direitos ou das liberdades fundamentais dos titulares dos dados.
(b) As presentes Cláusulas não prejudicam as obrigações a que o exportador de dados está sujeito por força do Regulamento (UE) 2016/679.
Cláusula 3
(a) Os titulares dos dados podem invocar e fazer aplicar as presentes cláusulas, enquanto terceiros beneficiários, contra o exportador e/ou importador de dados, com as seguintes excepções:
(i) Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
(ii) Cláusula 8.1(b), 8.9(a), (c), (d) e (e);
(iii) Cláusula 9(a), (c), (d) e (e);
(iv) Cláusula 12(a), (d) e (f).
(v) Cláusula 13;
(vi) Cláusula 15.1(c), (d) e (e);
(vii) Cláusula 16(e)
(viii) Cláusula 18(a) e (b)
(b) A alínea a) não prejudica os direitos dos titulares dos dados ao abrigo do Regulamento (UE) 2016/679.
Cláusula 4
(a) Caso as presentes cláusulas utilizem termos que se encontram definidos no Regulamento (UE) 2016/679, esses termos têm o mesmo significado que lhes é atribuído nesse regulamento.
(b) As presentes Cláusulas devem ser lidas e interpretadas à luz das disposições do Regulamento (UE) 2016/679.
(c) As presentes Cláusulas não devem ser interpretadas de forma contrária aos direitos e obrigações previstos no Regulamento (UE) 2016/679.
Cláusula 5
Em caso de contradição entre as presentes Xxxxxxxxx e as disposições dos Termos e Condições do DPA celebrados entre as Partes, prevalecem as presentes Cláusulas.
Descrição da(s) transferência(s)
Os pormenores da(s) transferência(s), e em particular, as categorias de dados pessoais que são transferidos e a(s) finalidade(s) para a(s) qual(is) são transferidos, são especificados no Anexo I.B e/ou nos Termos e Condições do DPA.
Cláusula 7
(a) Uma entidade que não seja Parte nas presentes Cláusulas pode, com o acordo das Partes, aderir, a qualquer momento, às presentes Cláusulas quer como exportador de dados quer como importador de dados, preenchendo o Apêndice e assinando o Anexo I.A.
(b) Uma vez preenchido o Apêndice e assinado o Anexo I.A, a entidade aderente passa a ser Parte nas presentes Cláusulas e tem os direitos e obrigações de um exportador ou importador de dados em conformidade com a sua designação no anexo I.A.
(c) A entidade aderente não tem quaisquer direitos ou obrigações decorrentes das presentes Cláusulas em relação ao período antes de se ter tornado Parte.
SECÇÃO II – OBRIGAÇÕES DAS PARTES
Garantias em matéria de protecção de dados
O exportador de dados garante que envidou esforços razoáveis para determinar que o importador de dados tem capacidade, através da aplicação de medidas técnicas e organizativas adequadas, para cumprir as obrigações que lhe incumbem por força das presentes Cláusulas.
8.1 Instruções
(a) O importador de dados deve proceder ao tratamento dos dados pessoais apenas mediante instruções documentadas do exportador de dados. O exportador de dados pode dar essas instruções ao longo do período de vigência do contrato.
8.2 Limitação das finalidades
O importador de dados deve proceder ao tratamento dos dados pessoais apenas para a(s) finalidade(s) específica(s) da transferência, conforme estabelecido no anexo I.B e nos Termos e Condições do DPA, salvo se receber instruções adicionais do exportador de dados.
8.3 Transparência
Mediante pedido, o exportador de dados deve disponibilizar gratuitamente ao titular dos dados uma cópia das presentes Cláusulas, incluindo o Apêndice tal como preenchido pelas Partes. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo as medidas descritas no anexo II e dados pessoais,
o exportador de dados pode editar parte do texto do Apêndice das presentes Cláusulas antes de partilhar uma cópia do mesmo, mas deve disponibilizar um resumo significativo se, de outro modo, o titular dos dados não for capaz de compreender o seu conteúdo ou exercer os seus direitos. Mediante pedido, as Partes devem comunicar ao titular dos dados os motivos das ocultações, na medida do possível sem revelar as informações ocultadas. A presente Cláusula em nada prejudica as obrigações do exportador de dados nos termos dos artigos 13 e 14 do Regulamento (UE) 2016/679.
8.4 Exactidão
Se o importador de dados tomar conhecimento de que os dados pessoais que recebeu são inexactos ou estão desactualizados, deve informar o exportador de dados sem demora injustificada. Nesse caso, o importador de dados deve cooperar com o exportador de dados para apagar ou rectificar os dados.
8.5 Duração do tratamento e apagamento ou devolução dos dados
O tratamento pelo importador de dados só pode ocorrer durante o período especificado no Anexo I.B e/ou nos Termos e Condições do DPA. Depois de concluída a prestação dos serviços de tratamento, o importador de dados deve, consoante a escolha do exportador de dados, apagar todos os dados pessoais tratados por conta deste último e certificar ao exportador de dados que o fez ou devolver ao exportador de dados todos os dados pessoais tratados por sua conta e apagar as cópias existentes. Até que os dados sejam apagados ou devolvidos, o importador de dados deve continuar a assegurar o cumprimento das presentes Cláusulas. Caso a legislação local aplicável ao importador de dados proíba a devolução ou o apagamento dos dados pessoais, o importador de dados garante continuar a assegurar o cumprimento das presentes Cláusulas e só proceder ao tratamento dos dados pessoais em causa na medida em que e enquanto for necessário nos termos dessa legislação local. Tal não prejudica a cláusula 14, em particular a exigência de o importador de dados, nos termos da cláusula 14, alínea e), notificar o exportador de dados ao longo do período de vigência do contrato se tiver motivos para crer que está ou ficou sujeito a legislações ou práticas não conformes com os requisitos da cláusula 14, alínea a).
8.6 Segurança do tratamento
(a) O importador de dados e, durante a transmissão, também o exportador de dados devem aplicar medidas técnicas e organizativas adequadas para garantir a segurança dos dados pessoais, incluindo a protecção contra uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizados (a seguir designada por
«violação de dados pessoais»). Ao avaliar o nível de segurança adequado, as Partes devem ter em devida conta as técnicas mais avançadas, os custos de aplicação, a natureza, o âmbito, o contexto e a(s) finalidade(s) do tratamento e os riscos inerentes ao tratamento para os titulares dos dados. As Partes devem ter
em devida conta as técnicas mais avançadas, os custos de aplicação, a natureza, o âmbito, o contexto e a(s) finalidade(s) do tratamento e os riscos inerentes ao tratamento para os titulares dos dados. As Partes devem, em particular, ponderar o recurso à cifragem ou à pseudonimização, nomeadamente durante a transmissão, sempre que a finalidade do tratamento possa ser cumprida dessa forma. Em caso de pseudonimização, as informações adicionais para a atribuição dos dados pessoais a um titular de dados específico devem permanecer, sempre que possível, sob o controlo exclusivo do exportador de dados. No cumprimento das obrigações que lhe incumbem por força do presente número, o importador de dados deve, pelo menos, aplicar as medidas técnicas e organizativas especificadas no Anexo II e nos Termos e Condições do DPA. O importador de dados deve realizar controlos regulares para garantir que estas medidas continuam a proporcionar um nível de segurança adequado.
(b) O importador de dados só deve conceder acesso aos dados pessoais aos membros do seu pessoal na medida estritamente necessária para a execução, a gestão e o acompanhamento do contrato. Deve assegurar que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade ou estão sujeitas às obrigações legais de confidencialidade adequadas.
(c) Em caso de violação de dados pessoais relativa a dados pessoais tratados pelo importador de dados ao abrigo das presentes Cláusulas, o importador de dados deve tomar as medidas adequadas para reparar a violação de dados pessoais, incluindo medidas para atenuar os seus eventuais efeitos negativos. O importador de dados deve notificar igualmente, sem demora injustificada, o exportador de dados após ter tomado conhecimento da violação. Essa notificação deve conter os dados de um ponto de contacto junto do qual possam ser obtidas mais informações, uma descrição da natureza da violação (incluindo, se possível, as categorias e o número aproximado de titulares de dados e de registos de dados pessoais em causa), as suas consequências prováveis e as medidas adoptadas ou propostas para reparar a violação incluindo, se for caso disso, medidas para atenuar os seus eventuais efeitos negativos. Caso, e na medida em que, não seja possível comunicar todas as informações ao mesmo tempo, a notificação inicial deve conter as informações então disponíveis, devendo outras informações, à medida que fiquem disponíveis, ser fornecidas posteriormente sem demora injustificada.
(d) O importador de dados deve cooperar com o exportador de dados e prestar-lhe assistência para que este cumpra as obrigações que lhe incumbem nos termos do Regulamento (UE) 2016/679, em particular a obrigação de notificar a autoridade de controlo competente e os titulares de dados afectados, tendo em conta a
natureza do tratamento e as informações ao dispor do importador de dados.
8.7 Dados sensíveis
Sempre que a transferência envolva dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas ou a filiação sindical, dados genéticos ou biométricos destinados a identificar uma pessoa singular de forma inequívoca, dados relativos à saúde, à vida sexual ou à orientação sexual de uma pessoa ou dados relacionados com condenações penais ou com infracções (a seguir designados por «dados sensíveis»), o importador de dados deve aplicar limitações específicas e/ou garantias adicionais descritas no Anexo I.B.
8.8 Transferências Ulteriores
O importador de dados só deve divulgar os dados pessoais a terceiros mediante instruções documentadas do exportador de dados. Além disso, os dados só podem ser divulgados a terceiros localizados fora da União Europeia (4) (no mesmo país que o importador de dados ou noutro país terceiro, a seguir designada «transferência Ulterior») se o terceiro estiver ou aceitar estar vinculado pelas presentes cláusulas, ao abrigo do Módulo adequado, ou se:
(i) o destino da transferência Ulterior for um país que beneficie de uma decisão de adequação nos termos do artigo 45 do Regulamento (UE) 2016/679 que abranja a transferência Ulterior;
(ii) o terceiro assegurar, de qualquer outra forma, as garantias adequadas nos termos dos artigos 46 ou 47 do Regulamento (UE) 2016/679 no que diz respeito ao tratamento em questão;
(iii) a transferência Ulterior for necessária à declaração, ao exercício ou à defesa de um direito num processo judicial no contexto de processos administrativos, regulamentares ou judiciais específicos; ou
(iv) a transferência Ulterior for necessária para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular.
Qualquer transferência Ulterior está sujeita ao cumprimento, pelo importador de dados, de todas as outras garantias previstas nas presentes Cláusulas, em particular a limitação da finalidade.
8.9 Documentação e cumprimento
(a) O importador de dados deve responder, rápida e adequadamente, aos pedidos de informação do exportador de dados relacionados com o tratamento ao abrigo das presentes Cláusulas.
(b) As Partes devem poder demonstrar o cumprimento das presentes cláusulas. Em particular, o importador de dados deve conservar documentação adequada sobre as actividades de tratamento realizadas por conta do exportador de dados.
(c) O importador de dados deve disponibilizar ao exportador de dados todas as
informações necessárias para demonstrar o cumprimento das obrigações previstas nas presentes Cláusulas e, a pedido deste último, facilitar e contribuir para as auditorias das operações de tratamento abrangidas pelas presentes Cláusulas, a intervalos razoáveis ou se houver indícios de incumprimento. Ao decidir sobre uma revisão ou auditoria, o exportador de dados pode ter em conta as certificações pertinentes detidas pelo importador de dados.
(d) O exportador de dados pode optar por realizar, ele próprio, a auditoria ou mandatar um auditor independente. As auditorias podem incluir inspecções nos edifícios ou nas instalações físicas do importador de dados, devendo, se for caso disso, ser realizadas com uma antecedência razoável.
(e) As Partes devem disponibilizar as informações referidas nas alíneas b) e c), incluindo os resultados de quaisquer auditorias, à autoridade de controlo competente, mediante pedido.
Cláusula 9
Uso de subcontratantes ulteriores
(a) O importador de dados não deve subcontratar nenhuma de suas actividades de processamento realizadas em nome do exportador de dados ao abrigo das presentes Cláusulas a um subcontratante ulterior sem a autorização prévia por escrito específica do exportador de dados. O importador de dados deverá apresentar o pedido de autorização específica pelo menos 30 (trinta) dias antes da contratação do subcontratante ulterior, juntamente com as informações necessárias para permitir que o exportador de dados decida sobre a autorização. A lista de subcontratantes ulteriores já autorizados pelo exportador de dados pode ser encontrada no Anexo III. As Partes manterão o Anexo III actualizado.
(b) Caso o importador de dados contrate um subcontratante ulterior para realizar actividades de processamento específicas (em nome do exportador de dados), deve fazê-lo celebrando um acordo escrito que preveja, em substância, as mesmas obrigações de protecção de dados que aqueles que vinculam o importador de dados ao abrigo das presentes Cláusulas, inclusive em termos de direitos de beneficiários terceiros de titulares de dados. As Partes acordam que, ao cumprir a presente Xxxxxxxx, o importador de dados cumpre as suas obrigações ao abrigo da Cláusula 8.8. O importador de dados deve garantir que o subcontratante ulterior cumpra as obrigações às quais o importador de dados está sujeito de acordo com as presentes Cláusulas.
(c) O importador de dados deve fornecer, a pedido do exportador de dados, uma cópia de tal acordo de subcontratante ulterior e quaisquer alterações subsequentes ao exportador de dados. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o importador de dados pode redigir o texto do acordo antes de partilhar uma cópia.
(d) O importador de dados permanecerá totalmente responsável perante o exportador de dados pelo cumprimento das obrigações do subcontratante ulterior ao abrigo do seu acordo com o importador de dados. O importador de dados deve notificar o exportador de dados de qualquer falha do subcontratante ulterior em cumprir as suas obrigações ao abrigo desse acordo.
(e) O importador de dados deve acordar uma cláusula de beneficiário terceiro com o subcontratante ulterior segundo a qual – no caso de o importador de dados ter desaparecido de facto, deixado de existir legalmente ou se ter tornado insolvente
– o exportador de dados terá o direito de rescindir o acordo do subcontratante ulterior e instruir o subcontratante ulterior a apagar ou devolver os dados pessoais.
Direitos dos titulares dos dados
(a) O importador de dados deve notificar imediatamente o exportador de dados de qualquer pedido que tenha recebido de um titular de dados. Não pode responder ele próprio a esse pedido, salvo se tiver sido autorizado pelo exportador de dados.
(b) O importador de dados deve prestar assistência ao exportador de dados no cumprimento das suas obrigações de resposta aos pedidos dos titulares dos dados respeitantes ao exercício dos seus direitos ao abrigo do Regulamento (UE) 2016/679. Neste contexto, as Partes devem estabelecer no Anexo II e nos Termos e Condições do DPA as medidas técnicas e organizativas adequadas, tendo em conta a natureza do tratamento, através das quais a assistência deve ser prestada, bem como o âmbito e a amplitude da assistência necessária.
(c) No cumprimento das obrigações que lhe incumbem por força das alíneas a) e b), o importador de dados deve cumprir as instruções do exportador de dados.
Cláusula 11
(a) O importador de dados deve informar os titulares dos dados, de forma transparente e de fácil acesso, através de uma notificação individual ou no seu sítio Web, de um ponto de contacto autorizado a tratar as reclamações. Deve tratar imediatamente quaisquer reclamações que receba de um titular de dados.
(b) Em caso de litígio entre um titular dos dados e uma das Partes quanto ao cumprimento das presentes Cláusulas, essa Parte deve envidar todos os esforços para resolver a questão de forma amigável e atempada. As Partes devem manter- se mutuamente informadas sobre esses litígios e, quando adequado, cooperar na sua resolução.
(c) Se o titular dos dados invocar um direito de terceiro beneficiário nos termos da Cláusula 3, o importador de dados deve aceitar a decisão do titular dos dados de:
(i) apresentar uma reclamação à autoridade de controlo no Estado- Membro da sua residência habitual ou do seu local de trabalho ou
à autoridade de controlo competente, nos termos da Cláusula 13;
(ii) submeter o litígio à apreciação dos tribunais competentes na acepção da Cláusula 18.
(d) As Partes aceitam que o titular dos dados possa ser representado por um organismo, organização ou associação sem fins lucrativos, nas condições estabelecidas no artigo 80, nº 1, do Regulamento (UE) 2016/679.
(e) O importador de dados deve acatar uma decisão vinculativa nos termos do direito da UE ou dos Estados-Membros aplicável.
(f) O importador de dados acorda que a opção do titular dos dados não prejudica os direitos materiais e processuais do mesmo de obter reparação em conformidade com a legislação aplicável.
Cláusula 12
(a) Cada Parte é responsável perante a(s) outra(s) Parte(s) por quaisquer danos que lhe(s) cause decorrentes de qualquer violação das presentes Cláusulas.
(b) O importador de dados é responsável perante o titular dos dados, tendo o titular dos dados o direito de receber uma indemnização, por quaisquer danos materiais ou imateriais que o importador de dados ou o seu subcontratante Ulterior cause ao titular dos dados em consequência da violação dos direitos de terceiro beneficiário ao abrigo das presentes Cláusulas.
(c) Não obstante o disposto na alínea b), o exportador de dados é responsável perante o titular dos dados, tendo o titular dos dados o direito de receber uma indemnização, por quaisquer danos materiais ou imateriais que o exportador ou o importador de dados (ou o seu subcontratante Ulterior) cause ao titular dos dados em consequência da violação dos direitos de terceiro beneficiário ao abrigo das presentes Cláusulas. Tal não prejudica a responsabilidade do exportador de dados e, se este for um subcontratante que actue por conta de um responsável pelo tratamento, a responsabilidade do responsável pelo tratamento nos termos do Regulamento (UE) 2016/679 ou do Regulamento (UE) 2018/1725, consoante o caso.
(d) As Partes acordam que, se o exportador de dados for considerado responsável, nos termos da alínea c), por danos causados pelo importador de dados (ou pelo seu subcontratante), tem o direito de reclamar ao importador de dados a parte da indemnização correspondente à responsabilidade do importador de dados pelos danos.
(e) Quando mais de uma Parte for responsável por quaisquer danos causados ao titular dos dados devido a uma violação das presentes Cláusulas, todas as Partes responsáveis são solidariamente responsáveis e o titular dos dados tem o direito de intentar uma acção em tribunal contra qualquer uma destas Partes.
(f) As Partes acordam que, se uma Parte for considerada responsável nos termos da
xxxxxx e), tem o direito de reclamar à(s) outra(s) Parte(s) a parte da indemnização correspondente à sua responsabilidade pelos danos.
(g) O importador de dados não pode invocar o comportamento de um subcontratante Ulterior para se isentar da sua própria responsabilidade.
Controlo
(a) Quando o exportador de dados estiver estabelecido num Estado-Membro da UE, a autoridade de controlo com a responsabilidade de assegurar o cumprimento, pelo exportador de dados, do Regulamento (UE) 2016/679 no que diz respeito à transferência de dados, conforme indicado no anexo I.C, deve agir como autoridade de controlo competente.
(b) Quando o exportador de dados não estiver estabelecido num Estado-Membro da UE, mas for abrangido pelo âmbito de aplicação territorial do Regulamento (UE) 2016/679, em conformidade com o seu artigo 3, nº 2, e tiver nomeado um representante nos termos do artigo 27 nº 1, do Regulamento (UE) 2016/679, a autoridade de controlo do Estado-Membro em que o representante, na acepção do artigo 27, nº 1, do Regulamento (UE) 2016/679, está estabelecido, conforme indicado no anexo I.C, deve agir como autoridade de controlo competente.
(c) Quando o exportador de dados não estiver estabelecido num Estado-Membro da UE, mas for abrangido pelo âmbito de aplicação territorial do Regulamento (UE) 2016/679, em conformidade com o seu artigo 3, nº 2, sem, contudo, ter de nomear um representante nos termos do artigo 27, nº 2, do Regulamento (UE) 2016/679, a autoridade de controlo de um dos Estados-Membros onde se encontram os titulares dos dados cujos dados pessoais são transferidos ao abrigo das presentes Cláusulas no contexto da oferta que lhes é feita de bens ou serviços ou cujo comportamento é controlado, conforme indicado no anexo I.C, deve agir como autoridade de controlo competente.
(d) O importador de dados aceita submeter-se à jurisdição da autoridade de controlo competente e cooperar com a mesma em quaisquer procedimentos destinados a assegurar o cumprimento das presentes Cláusulas. Em particular, o importador de dados concorda em responder a pedidos de informação, submeter-se a auditorias e cumprir as medidas adoptadas pela autoridade de controlo, incluindo medidas correctivas e compensatórias. Deve fornecer à autoridade de controlo uma confirmação escrita de que foram tomadas as medidas necessárias.
SECÇÃO III – LEGISLAÇÃO LOCAL E OBRIGAÇÕES EM CASO DE ACESSO POR PARTE DE AUTORIDADES PÚBLICAS
Legislação e práticas locais que afectam o cumprimento das Cláusulas
(a) As Partes garantem que não têm motivos para crer que a legislação e as práticas
do país terceiro de destino aplicáveis ao tratamento dos dados pessoais pelo importador de dados, incluindo quaisquer requisitos de divulgação de dados pessoais ou medidas destinadas a autorizar o acesso de autoridades públicas, impedem o importador de dados de cumprir as obrigações que lhe incumbem por força das presentes Cláusulas. Tal baseia-se no entendimento de que a legislação e as práticas que respeitem a essência dos direitos e das liberdades fundamentais e não excedam o necessário e proporcional numa sociedade democrática para salvaguardar um dos objetivos enumerados no artigo 23, nº 1, do Regulamento (UE) 2016/679 não são contrárias ao disposto nas presentes Cláusulas.
(b) As Partes declaram que, ao apresentar a garantia referida na alínea a), tiveram em devida conta, em especial, os seguintes elementos:
(i) as circunstâncias específicas da transferência, incluindo a extensão da cadeia de tratamento, o número de intervenientes envolvidos e os canais de transmissão utilizados; transferências Ulteriores previstas; o tipo de destinatário; a finalidade do tratamento; as categorias e o formato dos dados pessoais transferidos; o sector económico em que a transferência ocorre; o local de conservação dos dados transferidos;
(ii) a legislação e as práticas do país terceiro de destino – nomeadamente as que exigem a divulgação de dados às autoridades públicas ou autorizam o acesso por parte dessas autoridades – pertinentes à luz das circunstâncias específicas da transferência e as limitações e garantias aplicáveis;
(iii) quaisquer garantias contratuais, técnicas ou organizativas pertinentes aplicadas para complementar as garantias previstas nas presentes Cláusulas, incluindo as medidas aplicadas durante a transmissão e ao tratamento dos dados pessoais no país de destino.
(c) O importador de dados garante que, ao efectuar a avaliação nos termos da alínea b), envidou todos os esforços para fornecer ao exportador de dados informações pertinentes e acorda que continuará a cooperar com o exportador de dados no sentido de assegurar o cumprimento das presentes Cláusulas.
(d) As Partes acordam em documentar a avaliação prevista na alínea b) e disponibilizá-la à autoridade de controlo competente, mediante pedido.
(e) O importador de dados acorda em notificar imediatamente o exportador de dados se, depois de ter subscrito as presentes Cláusulas e durante a vigência do contrato, tiver motivos para crer que está ou ficou sujeito a legislações ou práticas não conformes com os requisitos da alínea a), nomeadamente na sequência de uma alteração da legislação do país terceiro ou de uma medida (como um pedido
de divulgação) que indique uma aplicação dessa legislação na prática que não esteja em consonância com os requisitos da alínea a).
(f) Na sequência de uma notificação nos termos da alínea e), ou se o exportador de dados tiver motivos para crer que o importador de dados já não é capaz de cumprir as obrigações que lhe incumbem por força das presentes Cláusulas, o exportador de dados deve identificar imediatamente as medidas adequadas (por exemplo, medidas técnicas ou organizativas para garantir a segurança e a confidencialidade) a adoptar pelo exportador e/ou importador de dados para resolver a situação. O exportador de dados deve suspender a transferência de dados se considerar que não podem ser asseguradas garantias adequadas para essa transferência ou se receber instruções da autoridade de controlo competente nesse sentido. Neste caso, o exportador de dados tem o direito de rescindir o contrato, na medida em que este diga respeito ao tratamento de dados pessoais ao abrigo das presentes Cláusulas. Se o contrato envolver mais de duas Partes, o exportador de dados só pode exercer este direito de rescisão em relação à Parte pertinente, salvo decisão das Partes em contrário. Se o contrato for rescindido nos termos da presente Xxxxxxxx, aplica-se a Cláusula 16, alíneas d) e e).
Cláusula 15
Obrigações do importador de dados em caso de acesso por parte de autoridades públicas
15.1 Notificação
(a) O importador de dados acorda em notificar imediatamente o exportador de dados e, se possível, o titular dos dados (se necessário, com a ajuda do exportador de dados) se:
(i) receber um pedido juridicamente vinculativo de uma autoridade pública, incluindo autoridades judiciárias, ao abrigo da legislação do país de destino para a divulgação dos dados pessoais transferidos nos termos das presentes Cláusulas; esta notificação deve incluir informações sobre os dados pessoais solicitados, a autoridade requerente, o fundamento jurídico do pedido e a resposta fornecida, ou
(ii) tomar conhecimento de qualquer acesso directo das autoridades públicas aos dados pessoais transferidos nos termos das presentes Cláusulas, em conformidade com a legislação do país terceiro de destino; esta notificação deve incluir todas as informações de que o importador disponha.
(b) Se o importador de dados estiver proibido de notificar o exportador de dados e/ou o titular dos dados por força da legislação do país de destino, o importador de dados acorda em envidar todos os esforços para obter uma derrogação da
proibição com vista a comunicar, o mais rapidamente possível, o maior número possível de informações. O importador de dados aceita documentar todos os seus esforços a fim de poder comprová-los a pedido do exportador de dados.
(c) Quando tal for permitido pela legislação do país de destino, o importador de dados aceita fornecer periodicamente ao exportador de dados, durante a vigência do contrato, o maior número possível de informações pertinentes sobre os pedidos recebidos (em particular, o número de pedidos, o tipo de dados solicitados, a(s) autoridade(s)/entidade(s) requerente(s), se os pedidos foram contestados e o resultado dessas contestações, etc.).
(d) O importador de dados aceita conservar as informações nos termos das alíneas
a) a c) durante a vigência do contrato e em disponibilizá-las à autoridade de controlo competente, mediante pedido.
(e) As alíneas a) a c) não prejudicam a obrigação que incumbe ao importador de dados, nos termos da cláusula 14, alínea e), e da Cláusula 16, de informar imediatamente o exportador de dados se não puder cumprir as presentes Cláusulas.
15.2 Controlo da legalidade e minimização dos dados
(a) O importador de dados aceita controlar a legalidade do pedido de divulgação, em particular a questão de saber se este se mantém nos limites dos poderes concedidos à autoridade pública requerente, e em contestar o pedido se, após uma avaliação minuciosa, concluir que existem fundamentos razoáveis para considerar que o pedido é ilegal nos termos da legislação do país de destino, das obrigações aplicáveis ao abrigo do direito internacional e dos princípios de cortesia internacional. O importador de dados deve, nas mesmas condições, explorar as possibilidades de recurso. Ao contestar um pedido, o importador de dados deve procurar medidas provisórias com vista a suspender os efeitos do pedido até que a autoridade judiciária competente tenha decidido sobre o seu mérito. O importador de dados não pode divulgar os dados pessoais solicitados até que seja obrigado a fazê-lo ao abrigo das regras processuais aplicáveis. Estes requisitos não prejudicam as obrigações que incumbem ao importador de dados nos termos da cláusula 14, alínea e).
(b) O importador de dados aceita documentar a sua avaliação jurídica e qualquer contestação do pedido de divulgação e, na medida do permitido pela legislação do país de destino, disponibilizar a documentação ao exportador de dados. Deve igualmente disponibilizá-la à autoridade de controlo competente, mediante pedido.
(c) O importador de dados aceita fornecer a quantidade mínima de informação admissível ao responder a um pedido de divulgação, com base numa interpretação razoável do pedido.
SECÇÃO IV – DISPOSIÇÕES FINAIS
Cláusula 16
Incumprimento das Cláusulas e rescisão
(a) O importador de dados deve informar imediatamente o exportador de dados se, por qualquer motivo, não puder cumprir as presentes Cláusulas.
(b) Se o importador de dados violar ou não puder cumprir as presentes Cláusulas, o exportador de dados deve suspender a transferência de dados pessoais para o importador de dados até que o cumprimento seja novamente assegurado ou o contrato seja rescindido. Esta disposição não prejudica o disposto na cláusula 14, alínea f).
(c) O exportador de dados tem o direito de rescindir o contrato, na medida em que este diga respeito ao tratamento de dados pessoais ao abrigo das presentes Cláusulas, caso:
(i) o exportador de dados tenha suspendido a transferência de dados pessoais para o importador de dados nos termos da alínea b) e o cumprimento das presentes Cláusulas não for restabelecido num prazo razoável e, em todo o caso, no prazo de um mês a contar da suspensão;
(ii) o importador de dados viole, de forma substancial ou persistente, as presentes Cláusulas, ou
(iii) o importador de dados não cumpra uma decisão vinculativa de um tribunal ou autoridade de controlo competente relativamente às obrigações que lhe incumbem por força das presentes Cláusulas.
Nestes casos, deve informar a autoridade de controlo desse incumprimento. Se o contrato envolver mais de duas Partes, o exportador de dados só pode exercer este direito de rescisão em relação à Parte pertinente, salvo decisão das Partes em contrário.
(d) Os dados pessoais que tenham sido transferidos antes da rescisão do contrato nos termos da alínea c) devem, consoante a escolha do exportador de dados, ser imediatamente devolvidos ao exportador de dados ou apagados na sua totalidade. O mesmo se aplica a quaisquer cópias dos dados. O importador de dados deve certificar o apagamento dos dados ao exportador de dados. Até que os dados sejam apagados ou devolvidos, o importador de dados deve continuar a assegurar o cumprimento das presentes Cláusulas. Caso a legislação local aplicável ao importador de dados proíba a devolução ou o apagamento dos dados pessoais transferidos, o importador de dados garante continuar a assegurar o cumprimento das presentes Cláusulas e só proceder ao tratamento dos dados na medida em que e enquanto for necessário nos termos dessa legislação local.
(e) Qualquer das Partes pode revogar o seu consentimento em ficar vinculada pelas presentes Cláusulas se i) a Comissão Europeia adoptar uma decisão nos termos do artigo 45, nº 3, do Regulamento (UE) 2016/679 que abranja a transferência de
dados pessoais a que se aplicam as presentes Cláusulas; ou ii) o Regulamento (UE) 2016/679 se tornar parte do quadro jurídico do país para o qual os dados pessoais são transferidos. Tal não prejudica outras obrigações aplicáveis ao tratamento em questão nos termos do Regulamento (UE) 2016/679.
Cláusula 17
As presentes Cláusulas são regidas pelo direito de um dos Estados-Membros da UE, desde que tal direito permita o exercício dos direitos de terceiros beneficiários. As Partes acordam que é aplicável o direito dos Países Baixos.
Eleição do foro e jurisdição
(a) Qualquer litígio decorrente das presentes Cláusulas deve ser dirimido pelos tribunais de um Estado-Membro da UE.
(b) As Partes acordam que estes são os tribunais dos Países Baixos
(c) Um titular de dados pode igualmente intentar uma acção judicial contra o exportador e/ou importador de dados nos tribunais do Estado-Membro em que tem a sua residência habitual.
(d) As Partes aceitam submeter-se à jurisdição dos referidos tribunais.
ANEXO I
A. LISTA DAS PARTES – consultar o Acordo
B. DESCRIÇÃO DA TRANSFERÊNCIA
Consultar o Anexo 1 dos Termos e Condições do DPA para mais informação.
C. AUTORIDADE DE CONTROLO COMPETENTE
A autoridade de controlo competente de acordo com a Cláusula 13 é a Autoridade Holandesa de Protecção de Xxxxx (autoridade de controlo competente holandesa).
ANEXO II
MEDIDAS TÉCNICAS E ORGANIZATIVAS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZATIVAS DESTINADAS A GARANTIR A SEGURANÇA DOS DADOS
Consultar os Termos e Condições do DPA para mais informação
As medidas de segurança técnica e organizativa estão previstas no Anexo 3 dos Termos e Condições do DPA e podem ser comunicadas por escrito pelo exportador de dados ao importador de dados periodicamente.