ACORDO DE TRATAMENTO DE DADOS PESSOAIS PARA SERVIÇOS SAP CLOUD
ACORDO DE TRATAMENTO DE DADOS PESSOAIS PARA SERVIÇOS SAP CLOUD
1. CONTEXTO
1.1 Finalidade e Aplicação. Este documento (“ATD”) está incorporado no Contrato e constitui parte de um contrato por escrito (que inclui a forma eletrónica), celebrado entre a SAP e o Cliente. Este ATD é aplicável aos Dados Pessoais tratados pela SAP e respetivos Subcontratantes Ulteriores, em conjugação com a disponibilização do Serviço Cloud. Este ATD não se aplica a ambientes não produtivos do Serviço Cloud, caso tais ambientes sejam disponibilizados pela SAP, não podendo o Cliente armazenar Dados Pessoais em tais ambientes.
1.2 Estrutura. Os Apêndices 1 e 2 estão incorporados no presente ATD, constituindo parte integrante do mesmo. Eles estabelecem a matéria acordada, a natureza e a finalidade do tratamento, o tipo de Dados Pessoais, as categorias de titulares dos dados e as medidas técnicas e organizacionais aplicáveis.
1.3 RGPD. A SAP e o Cliente aceitam que é da responsabilidade de cada uma das partes analisar e adotar os requisitos impostos aos Responsáveis pelo Tratamento de Dados e Subcontratantes pelo Regulamento Geral de Proteção de Dados 2016/679 (“RGPD”), em particular no que se refere aos Artigos 28º e 32º a 36º do RGPD, se e na medida do aplicável aos Dados Pessoais do Cliente/Responsáveis pelo Tratamento de Dados, tratados ao abrigo do ATD. Para efeitos de ilustração, o Apêndice 3 enumera os requisitos relevantes do RGPD e as secções correspondentes no presente ATD.
1.4 Regulamentação. A SAP atua na qualidade de Subcontratante e o Cliente e as entidades autorizadas a utilizar o Serviço Cloud atuam como Responsáveis pelo Tratamento de Dados, nos termos do presente ATD. O Cliente atua como único ponto de contacto, sendo o responsável exclusivo por obter todos os consentimentos, autorizações e permissões relevantes para o tratamento de Dados Pessoais, de acordo com o presente ATD, incluindo, quando aplicável, a aprovação dos Responsáveis pelo Tratamento de Dados para utilizar a SAP como Subcontratante. Quando o Cliente disponibilizar autorizações, consentimentos, instruções ou permissões, não o faz exclusivamente em seu nome, mas também em nome de qualquer outro Responsável pelo Tratamento de Dados que utilize o Serviço Cloud. Quando a SAP disponibilizar informações ou avisos ao Cliente, tais informações ou avisos são considerados recebidos pelos Responsáveis pelo Tratamento de Dados autorizados pelo Cliente a utilizar o Serviço Cloud, sendo da responsabilidade do Cliente encaminhar tais informações e avisos aos Responsáveis pelo Tratamento de Dados relevantes.
2. SEGURANÇA DO TRATAMENTO
2.1 Medidas Técnicas e Organizacionais Adequadas. A SAP implementou e aplicará as medidas técnicas e organizacionais definidas no Apêndice 2. O Cliente analisou essas medidas e aceita que, no que se refere ao Serviço Cloud selecionado pelo Cliente no Formulário de Encomenda, as medidas são adequadas, tendo em consideração o estado da tecnologia, os custos de implementação, a natureza, o âmbito, o contexto e as finalidades do tratamento de Dados Pessoais.
2.2 Alterações. A SAP aplica as medidas técnicas e organizacionais definidas no Apêndice 2 à totalidade da base de clientes da SAP, alojada no mesmo Centro de Tratamento de Dados e que recebe o mesmo Serviço Cloud. A SAP poderá alterar as medidas definidas no Apêndice 2 em qualquer momento sem aviso prévio, desde que mantenha um nível de segurança equivalente ou superior. Medidas individuais poderão ser substituídas por novas medidas que sirvam o mesmo propósito sem diminuir o nível de segurança que protege os Dados Pessoais.
3. OBRIGAÇÕES DA SAP
3.1 Instruções do Cliente. A SAP tratará os Dados Pessoais exclusivamente de acordo com as instruções documentadas do Cliente. O Contrato (incluindo o presente ATD) constitui essas
instruções iniciais documentadas e cada utilização do Serviço Cloud configura mais instruções. A SAP envidará todos os esforços, na medida do razoável, para seguir quaisquer outras instruções do Cliente, desde que tais instruções sejam exigidas pela Legislação sobre Proteção de Dados, tecnicamente viáveis e não requeiram alterações ao Serviço Cloud. Caso qualquer uma das exceções acima mencionadas seja aplicável, ou a SAP não possa cumprir, de outro modo, uma instrução ou considere que uma instrução viola a Legislação sobre Proteção de Dados, a SAP notificará, de imediato, o Cliente (e-mail permitido).
3.2 Tratamento por Requisito Legal. A SAP poderá igualmente tratar Dados Pessoais quando tal lhe seja exigido pela legislação aplicável. Nesse caso, a SAP informará o Cliente sobre tal requisito legal antes do tratamento, salvo se a legislação proibir tal informação, com base em fundamentos importantes de interesse público.
3.3 Pessoal. Para o tratamento de Dados Pessoais, a SAP e respetivos Subcontratantes Ulteriores apenas concederão acesso a pessoal autorizado que se tenha comprometido a manter a confidencialidade. A SAP e respetivos Subcontratantes Ulteriores darão regularmente formação a pessoal com acesso aos Dados Pessoais sobre medidas aplicáveis de segurança e privacidade de dados.
3.4 Cooperação. Mediante pedido do Cliente, a SAP apoiará, na medida do razoável, o Cliente e Responsáveis pelo Tratamento de Dados a lidar com pedidos de Titulares dos Dados de ou autoridades reguladoras, relativamente ao tratamento de Dados Pessoais por parte da SAP ou a qualquer Violação dos Dados Pessoais. A SAP notificará o Cliente, logo que viável na medida do razoável, sobre qualquer solicitação que tenha recebido de um Titular dos Dados, relativamente ao tratamento dos Dados Pessoais, antes de responder a tal solicitação sem receber instruções do Cliente, caso tal seja aplicável. A SAP disponibilizará funcionalidades que suportem a capacidade do Cliente para corrigir ou remover Dados Pessoais do Serviço Cloud, ou restringir o seu tratamento, de acordo com a Legislação sobre Proteção de Dados. Quando tais funcionalidades não sejam disponibilizadas, a SAP corrigirá ou removerá quaisquer Dados Pessoais, ou restringirá o respetivo tratamento, de acordo com a instrução do Cliente e a Legislação sobre Proteção de Dados.
3.5 Notificação de Violação de Xxxxx Xxxxxxxx. A SAP notificará o Cliente, de imediato, depois de tomar conhecimento sobre qualquer Violação de Xxxxx Xxxxxxxx e fornecerá, na medida do razoável, as informações que estejam na sua posse, para ajudar o Cliente a cumprir as respetivas obrigações de notificação de uma Violação de Xxxxx Xxxxxxxx, nos ternos da Legislação sobre proteção de Dados. A SAP poderá disponibilizar tais informações de modo faseado, à medida que se tornem disponíveis. Tal notificação não será interpretada nem considerada como uma admissão de culpa ou de responsabilidade por parte da SAP.
3.6 Avaliação do Impacto da Proteção de Dados. Caso, nos termos da Legislação sobre Proteção de Dados, seja exigida ao Cliente (ou respetivos Responsáveis pelo Tratamento de Dados) a realização de uma avaliação do impacto da proteção de dados ou a consulta prévia de um regulador, a SAP, mediante pedido do Cliente, disponibilizará todos os documentos disponíveis de modo geral, relativos ao Serviço Cloud (por exemplo, o presente ATD, o Contrato, relatórios de auditoria ou certificações). Qualquer assistência adicional será acordada mutuamente entre as Partes.
4. EXPORTAÇÃO E ELIMINAÇÃO DE DADOS
4.1 Exportação e Recuperação por parte do Cliente. Durante o Período de Subscrição, e sujeito ao Contrato, o Cliente pode aceder em qualquer momento aos respetivos Dados Pessoais. O Cliente poderá exportar e recuperar os seus Dados Pessoais num formato padrão. A exportação e recuperação poderão estar sujeitas a limitações técnicas, caso em que a SAP e o Cliente encontrarão um método razoável que permita ao Cliente aceder aos Dados Pessoais.
4.2 Eliminação. Antes de o Período de Subscrição caducar, o Cliente poderá utilizar as ferramentas de exportação self-service da SAP (quando disponíveis) para realizar uma exportação final dos
Dados Pessoais a partir do Serviço Cloud (o que constituirá uma "devolução" de Dados Pessoais"). No final do Período de Subscrição, o Cliente instruirá a SAP no sentido de eliminar os Dados Pessoais que permaneçam nos servidores que alojam o Serviço Cloud, dentro de um prazo razoável de acordo com a Legislação sobre Proteção de Dados (que não excederá os seis meses), salvo se a legislação aplicável exigir a retenção.
5. CERTIFICAÇÕES E AUDITORIAS
5.1 Auditoria do Cliente. O Cliente, ou o respetivo auditor externo independente razoavelmente aceite pela SAP (que não incluirá quaisquer auditores externos que sejam concorrentes da SAP ou que não sejam adequadamente qualificados ou independentes), poderá auditar o ambiente de controlo e as práticas de segurança da SAP, relevantes para os Dados Pessoais tratados pela SAP, exclusivamente se:
(a) A SAP não tiver comprovado, em medida suficiente, o respetivo cumprimento das medidas técnicas e organizacionais que protegem os sistemas produtivos do Serviço Cloud, disponibilizando: (i) uma certificação relativa ao cumprimento da ISO 27001 ou de outras normas (âmbito definido no certificado); ou (ii) um relatório de certificação ISAE3402 e/ou ISAE3000, ou outro relatório de certificação SOC1-3, válidos. Mediante pedido do Cliente, os relatórios de auditoria ou as certificações ISO são disponibilizados pelo auditor externo ou pela SAP;
(b) Tiver ocorrido uma Violação dos Dados Pessoais;
(c) Tiver sido formalmente solicitada uma auditoria pela autoridade para proteção de dados do Cliente; ou
(d) A Legislação obrigatória sobre Proteção de Dados conceder ao Cliente um direito de auditoria direto e desde que o Cliente apenas efetue uma auditoria em cada período de doze meses, salvo se a Legislação obrigatória sobre Proteção de Dados exigir auditorias mais frequentes.
5.2 Auditoria de outro Responsável pelo Tratamento de Dados. Qualquer outro Responsável pelo Tratamento de Dados poderá auditar o ambiente de controlo e as práticas de segurança da SAP, relevantes para os Dados Pessoais tratados pela SAP, de acordo com a Secção 5.1, exclusivamente se qualquer um dos casos estabelecidos na Secção 5.1 for aplicável a esse outro Responsável pelo Tratamento de Dados. Tal auditoria terá de ser realizada pelo Cliente, tal como definido na Secção 5.1, a menos que a auditoria tenha de ser realizada pelo outro Responsável pelo Tratamento de dados, ao abrigo da Legislação sobre Proteção de Dados. Caso vários Responsáveis pelo Tratamento de Dados, cujos Dados Pessoais sejam tratados pela SAP com base no Contrato, requeiram uma auditoria, o Cliente utilizará todos os meios necessários, na medida do razoável, para combinar as auditorias e evitar auditorias múltiplas.
5.3 Âmbito da Auditoria. O Cliente fornecerá um aviso prévio de, pelo menos, sessenta dias, relativamente a qualquer auditoria, salvo se a Legislação obrigatória sobre Proteção de Dados ou qualquer autoridade competente para proteção de dados exigir um aviso mais curto. A frequência e o âmbito de quaisquer auditorias serão acordados mutuamente entre as partes, de modo razoável e em boa-fé. As auditorias do Cliente serão temporalmente limitadas a um máximo de três dias úteis. Além destas restrições, as partes utilizarão certificações atuais ou outros relatórios de auditoria para evitar ou minimizar a existência de auditorias repetidas. O Cliente disponibilizará à SAP os resultados de qualquer auditoria.
5.4 Custo de Auditorias. O Cliente suportará os custos de qualquer auditoria, a menos que tal auditoria revele uma violação grave, por parte da SAP, deste ATD, caso em que a SAP suportará as respetivas despesas em relação a uma auditoria. Caso uma auditoria determine que a SAP violou as suas obrigações nos termos do ATD, a SAP sanará, de imediato, a violação às suas próprias custas.
6. SUBCONTRATANTES ULTERIORES
6.1 Utilização Permitida. É concedida à SAP uma autorização geral para subcontratar o tratamento de Dados Pessoais a Subcontratantes Ulteriores, desde que:
(a) A SAP, ou a SAP SE em seu nome, contrate os Subcontratantes Ulteriores ao abrigo de um contrato por escrito (incluindo a forma eletrónica), consistente com os termos do presente ATD, no que se refere ao tratamento dos Dados Pessoais por parte do Subcontratante Ulterior. A SAP assumirá a responsabilidade por quaisquer violações do Subcontratante Ulterior, de acordo com os termos do presente Contrato;
(b) A SAP avalie as práticas de segurança, privacidade e de confidencialidade de um Subcontratante Ulterior antes da seleção, de modo a estabelecer que tal entidade tem capacidade para fornecer o nível de proteção dos Dados Pessoais exigido pelo presente ATD; e
(c) A lista de Subcontratantes Ulteriores da SAP disponíveis na data de entrada em vigor do Contrato esteja publicada pela SAP ou a SAP a disponibilize ao Cliente, mediante pedido, devendo tal lista incluir o nome, endereço e função de cada Subcontratante Ulterior que a SAP utiliza para prestar o Serviço Cloud.
6.2 Novos Subcontratantes Ulteriores. A utilização de Subcontratantes Ulteriores por parte da SAP é efetuada a título próprio, desde que:
(a) A SAP informe antecipadamente o Cliente (por e-mail ou publicação no portal de suporte disponível através do Suporte SAP) sobre quaisquer adições ou substituições pretendidas à lista de Subcontratantes Ulteriores, incluindo o nome, endereço e função do novo Subcontratante Ulterior; e
(b) O Cliente possa opor-se a tais alterações, conforme o definido na Secção 6.3.
6.3 Objeções a Novos Subcontratantes Ulteriores.
(a) Caso o Cliente tenha um motivo legítimo, ao abrigo da Legislação sobre Proteção de Dados, para se opor ao tratamento dos Dados Pessoais por parte do novo Subcontratante Ulterior, o Cliente poderá cessar o Contrato (de modo limitado ao Serviço Cloud para o qual se pretende utilizar o novo Subcontratante Ulterior), mediante aviso, por escrito, à SAP. Tal cessação entrará em vigor no momento determinado pelo Cliente, o mais tardar trinta dias desde a data em a SAP notificou o Cliente sobre o novo Subcontratante Ulterior. Caso o Cliente não efetive a cessação durante esse período de trinta dias, considerar-se-á que o Cliente aceitou o novo Subcontratante Ulterior.
(b) Durante o período de trinta dias desde a data em a SAP notificou o Cliente sobre o novo Subcontratante Ulterior, o Cliente poderá solicitar um encontro entre as partes, em boa-fé, para discutir uma solução para a objeção. Tais discussões não prorrogarão o período para a cessação e não afetam o direito da SAP de utilizar o novo Subcontratante Ulterior, após esse período de trinta dias.
(c) Qualquer cessação nos ternos desta Secção 6.3 será considerada isenta de culpa por qualquer uma das partes e estará sujeita aos termos do Contrato.
6.4 Substituição de Urgência. A SAP poderá substituir um Subcontratante Ulterior sem aviso prévio, quando o motivo para a alteração se encontre fora do controlo razoável da SAP e seja necessária uma substituição imediata, por motivos de segurança ou outros motivos urgentes. Nesse caso, a SAP informará o Cliente sobre o Subcontratante Ulterior de substituição logo que possível, após a sua nomeação. A Secção 6.3 aplica-se de modo correspondente.
7. TRATAMENTO INTERNACIONAL
7.1 Condições para o Tratamento Internacional. A SAP terá o direito de tratar Dados Pessoais, incluindo através da utilização de Subcontratantes Ulteriores, de acordo com o presente ATD, fora do país onde o Cliente está localizado, conforme permitido pela Legislação sobre Proteção de Dados.
7.2 Cláusulas Contratuais-tipo. Quando (i) os Dados Pessoais de um Responsável pelo Tratamentos dos Dados sediado no EEE ou na Suíça sejam tratados num país fora do EEE, Suíça e qualquer país, organização ou território reconhecido pela União Europeia como um país seguro, com um nível adequado de proteção dos dados, ao abrigo do Artigo 45º do RGPD, ou quando (ii) os Dados Pessoais de outro Responsável pelo Tratamento de Dados sejam tratados internacionalmente e esse tratamento internacional requeira um esforço de adequação ao abrigo da legislação do país do Responsável pelo Tratamento de Dados, e esse esforço de adequação possa ser cumprido mediante a celebração das Cláusulas Contratuais-tipo, do seguinte modo:
(a) A SAP e o Cliente celebram as Cláusulas Contratuais-tipo;
(b) O Cliente celebra as Cláusulas Contratuais-tipo com cada Subcontratante Ulterior relevante, do modo seguinte: (i) o Cliente junta-se às Cláusulas Contratuais-tipo, celebradas pela SAP, ou SAP SE, e o Subcontratante Ulterior, na qualidade de um titular independente de direitos e obrigações ("Modelo de Adesão"), ou (ii) o Subcontratante Ulterior (representado pela SAP) celebra as Cláusulas Contratuais-tipo com o Cliente ("Modelo de Procuração"). O Modelo de Procuração aplicar-se-á se e quando a SAP tenha confirmado expressamente que um Subcontratante Ulterior é elegível, por meio da lista de Subcontratantes Ulteriores fornecida ao abrigo da Secção 6.1(c) ou de uma notificação ao Cliente; e/ou
(c) Outros Responsáveis pelo Tratamento de Dados, cuja utilização dos Serviços Cloud tenha sido autorizada pelo Cliente nos termos do Contrato, poderão igualmente celebrar as Cláusulas Contratuais-tipo com a SAP e/ou os Subcontratantes Ulteriores relevantes, do mesmo modo que o Cliente, de acordo com as Secções 7.2 (a) e (b), acima incluídas. Nesse caso, o Cliente celebrará as Cláusulas Contratuais-tipo em nome dos outros Responsáveis pelo Tratamento de Dados.
7.3 Relação das Cláusulas Contratuais-tipo com o Contrato. Nada no Contrato será interpretado como sendo prevalecente sobre qualquer Cláusula Contratual-tipo contraditória. Para fins de esclarecimento, quando este ATD especifique ainda regras relativas a auditorias e a subcontratantes ulteriores nas secções 5 e 6, tais especificações aplicar-se-ão também no que se refere às Cláusulas Contratuais-tipo.
7.4 Legislação Aplicável das Cláusulas Contratuais-tipo. As Cláusulas Contratuais-tipo serão reguladas pela legislação do país onde o Responsável pelo Tratamento de Dados relevante está estabelecida.
8. DOCUMENTAÇÃO; REGISTOS DO TRATAMENTO
Cada uma das partes é responsável por cumprir os respetivos requisitos de documentação, em particular, mantendo registos do tratamento, quando exigido ao abrigo da Legislação sobre Proteção de Dados. Cada uma das partes ajudará, na medida do razoável, a outra parte com os requisitos de documentação, incluindo através do fornecimento de informações de que a outra parte necessita, do modo solicitado, na medida do razoável, pela outra parte (por exemplo, utilizando um sistema eletrónico), de modo a permitir que a outra parte cumpra quaisquer obrigações relativas à manutenção de registos do tratamento.
9. ACESSO DA UE
9.1 Serviço Opcional. O Acesso da UE é um serviço opcional que poderá ser oferecido pela SAP., a SAP fornecerá o Serviço Cloud elegível para Acesso da EU exclusivamente para instâncias produtivas, de acordo com esta Secção 9. Quando o Acesso da UE não esteja expressamente especificado e acordado no Formulário de Encomenda, esta Secção 9 não será aplicável.
9.2 Acesso da UE. A SAP utilizará apenas Subcontratantes Ulteriores Europeus para prestar suporte na solicitação de acesso a Dados Pessoais no Serviço Cloud, não podendo a SAP exportar Dados Pessoais para fora do EEE ou da Suíça, salvo se tal for expressamente autorizado, por escrito (e- mail permitido), pelo Cliente, caso a caso; ou conforme excluído nos ternos da Secção 9.4.
9.3 Localização dos Centros de Tratamento de Dados (“Data Centers”). Na data de entrada em vigor do Contrato, os Centros de Tratamento de Dados utilizados para alojar Dados Pessoais no Serviço Cloud estão localizados no EEE ou na Suíça. A SAP não migrará a instância do Cliente para um Centro de Tratamento de Dados fora do EEE ou da Suíça, sem consentimento prévio, por escrito, do Cliente (e-mail permitido). Caso a SAP planeie migrar a instância do Cliente para um Centro de Tratamento de Dados dentro do EEE ou da Suíça, a SAP notificará o Cliente, por escrito (e-mail permitido), no prazo máximo de trinta dias, antes da migração planeada.
9.4 Exclusões. Os seguintes Dados Xxxxxxxx não estão sujeitos a 9.2 e 9.3:
(a) Detalhes de contacto do remetente de um pedido de suporte; e
(b) Quaisquer outros Dados Pessoais submetidos pelo Cliente ao apresentar um pedido de suporte. O Cliente poderá optar por não transmitir Xxxxx Xxxxxxxx ao apresentar um pedido de suporte. Caso esses dados sejam necessários para o processo de gestão de incidentes, o Cliente poderá optar por tornar esses Dados Pessoais anónimos, antes de qualquer transmissão da mensagem de incidente à SAP.
10. DEFINIÇÕES
Os termos em maiúsculas não definidos aqui terão os significados que lhes são atribuídos no Acordo.
10.1 “Responsável pelo Tratamento de Dados” designa uma pessoa singular ou jurídica, autoridade pública, agência ou outro órgão que, individualmente ou em conjunto com outros, determina as finalidades e os recursos do tratamento de Dados Pessoais; para os efeitos deste ATD, quando o Cliente atua na qualidade de subcontratante de outro responsável pelo tratamento de dados, ele será considerado, no que se refere à SAP, como um Responsável pelo Tratamento de Dados adicional e independente, com os direitos e obrigações correspondentes dessa função, nos termos do presente ATD.
10.2 “Centro de Tratamento de Dados” designa a localização onde a instância produtiva do Serviço Cloud está alojada para o Cliente na respetiva região, tal como publicado em: xxxx://xxx.xxx.xxx/xxxxxxxxx-xx/xxxxx/xxx-xxxxxxx/xxxxxxxx/xxxx-xxxxxxx-xxx- security/location-of-data-center.html ou notificado ao Cliente, ou de outro modo acordado num Formulário de Encomenda.
10.3 “Legislação sobre Proteção de Dados” designa a legislação aplicável que protege os direitos e liberdades fundamentais dos indivíduos e o seu direito à privacidade, no que se refere ao tratamento dos Dados Pessoais ao abrigo do Contrato (e inclui, desde que se refira à relação entre as partes relativamente ao tratamento de Dados Pessoais por parte da SAP em nome do Cliente, o RGPD como norma mínima, independentemente de os Dados Pessoais estarem ou não sujeitos ao RGPD).
10.4 “Titular dos Dados” designa uma pessoa singular identificada ou identificável, conforme definido pela Legislação sobre Proteção de Dados.
10.5 “EEE” designa o Espaço Económico Europeu, nomeadamente os Estados-Membros da União Europeia, em conjunto com a Islândia, o Liechtenstein e a Noruega.
10.6 “Subcontratante Ulterior Europeu” designa um Subcontratante Ulterior que trata fisicamente os Dados Pessoais no EEE ou na Suíça.
10.7 “Dados Pessoais” designa quaisquer informações relativas ao Titular dos Dados que estejam protegidas ao abrigo da Legislação sobre Proteção de Dados. Para os efeitos do ATD, incluem apenas dados pessoais que (i) sejam introduzidos pelo Cliente ou respetivos Utilizadores Autorizados no Serviço Cloud ou que sejam derivados pela sua utilização do mesmo, ou (ii) sejam fornecidos à ou acedidos pela SAP ou respetivos Subcontratantes Ulteriores, de modo a fornecer suporte ao abrigo do Contrato. Os Dados Pessoais são um subconjunto dos Dados do Cliente (tal como definidos no Contrato).
10.8 “Violação dos Dados Pessoais” designa (1) uma destruição, perda ou alteração acidentais ou ilícitas, ou uma divulgação de ou acesso não autorizados de terceiros a Dados Pessoais, desde que confirmados, ou (2) incidentes semelhantes que envolvam Dados Pessoais, casos em que, ao abrigo da Legislação sobre Proteção de Dados, é exigido a um Responsável pelo Tratamento de Dados que notifique as autoridades competentes para proteção de dados ou os Titulares dos Dados.
10.9 “Subcontratante” designa uma pessoa singular ou jurídica, autoridade pública, agência ou outro órgão que trata dados pessoais em nome do responsável pelo tratamento de dados, quer seja diretamente como subcontratante de um responsável pelo tratamento dos dados, ou indiretamente como subcontratante ulterior de um subcontratante que trata dados pessoais em nome do responsável pelo tratamento de dados
10.10 “Cláusulas Contratuais-tipo” ou por vezes igualmente referidas como “Cláusulas-tipo da UE” designa (Cláusulas Contratuais-tipo (subcontratantes)) ou qualquer versão subsequente das mesmas, publicada pela Comissão Europeia (que será automaticamente aplicável). As Cláusulas Contratuais Tipo em vigor à data da assinatura deste DPA seguem anexas no Apêndice 4”
10.11 “Subcontratante Ulterior” designa as Filiais da SAP, a SAP SE, as Filiais da SAP SE e terceiros contratados pela SAP, SAP SE ou Filiais da SAP SE em relação ao Serviço Cloud e que tratam Dados Pessoais de acordo com este ATD.
Apêndice 1 ao ATD e, caso aplicável, às Cláusulas Contratuais-tipo
Exportador de Dados
O Exportador de Dados é o Cliente que subscreveu um Serviço Cloud, que permite aos Utilizadores Autorizados introduzir, emendar, utilizar, eliminar ou tratar de outro modo os Dados Pessoais. Quando o Cliente permite que outros Responsáveis pelo Tratamento de Dados também utilizem o Serviço Cloud, esses outros Responsáveis pelo Tratamento de Dados também são Exportadores de Dados.
Importador de Dados
A SAP e os respetivos Subcontratantes Ulteriores fornecem o Serviço Cloud que inclui o seguinte suporte:
As Filiais da SAP SE suportam os centros de tratamento de dados do Serviço Cloud remotamente a partir de instalações da SAP em St. Leon/Rot (Alemanha), Índia e outras localizações onde a SAP emprega pessoal que desempenha funções de Operações/Entrega Cloud. O suporte inclui:
• Controlo do Serviço Cloud
• Cópia de segurança e restauro dos Dados do Cliente armazenados no Serviço Cloud
• Lançamento e desenvolvimento de correções e upgrades para o Serviço Cloud
• Monitorização, resolução de problemas e administração da base de dados e da infraestrutura subjacente do Serviço Cloud
• Controlo de segurança, suporte de deteção de intrusões com base em rede, testes de penetração As Filiais da SAP SE fornecem suporte quando um Cliente apresenta um pedido de suporte porque o Serviço Cloud não está disponível ou não funciona como previsto para alguns ou todos os Utilizadores Autorizados. A SAP atende chamadas, realiza resolução de problemas básicos e trata de pedidos de suporte num sistema de controlo separado da instância produtiva do Serviço Cloud.
Titulares dos Dados
Salvo se disposto de outro modo pelo Exportador de Dados, os Dados Xxxxxxxx transferidos referem- se às seguintes categorias de Titulares dos Dados: empregados, contratados, parceiros de negócios ou outros indivíduos cujos Dados Pessoais estejam armazenados no Serviço Cloud.
Categorias de Dados
Os Dados Xxxxxxxx transferidos referem-se às seguintes categorias de dados:
O Cliente determina as categorias de dados por Serviço Cloud subscrito. O Cliente pode configurar os campos de dados durante a implementação do Serviço Cloud ou tal como disposto em contrário pelo Serviço Cloud. Os Dados Pessoais transferidos habitualmente referem-se às seguintes categorias de dados: nome, números de telefone, endereço de e-mail, fuso horário, dados de endereço, dados de autorização/utilização/acesso ao sistema, nome da empresa, dados de contrato, dados de fatura, mais quaisquer dados específicos de aplicação que os Utilizadores Autorizados introduzem no Serviço Cloud, e poderão incluir dados de conta bancária e dados de cartão de crédito ou débito.
Categorias de Dados Especiais (se apropriado)
Os Dados Xxxxxxxx transferidos referem-se às seguintes categorias especiais de dados: tal como definido no Contrato (incluindo o Formulário de Encomenda), caso existam.
Operações/Finalidades de Tratamento
Os Dados Xxxxxxxx transferidos estão sujeitos às seguintes atividades de tratamento básico:
• utilização dos Dados Pessoais para configurar, operar, controlar e prestar o Serviço Cloud (incluindo Suporte Técnico e Operacional)
• disponibilização de Serviços de Consultoria;
• comunicação a Utilizadores Autorizados
• armazenamento de Dados Pessoais em Centros de Tratamento de Dados dedicados (arquitetura de vários inquilinos)
• carregamento de quaisquer correções ou upgrades para o Serviço Cloud
• cópia de segurança dos Dados Pessoais
• tratamento informático dos Dados Pessoais, incluindo transmissão, obtenção e acesso aos dados
• acesso à rede para permitir a transferência dos Dados Pessoais
• execução de instruções do Cliente de acordo com o Contrato.
Apêndice 2 ao ATD e, caso aplicável, às Cláusulas Contratuais-tipo – Medidas Técnicas e Organizacionais
1. MEDIDAS TÉCNICAS E ORGANIZACIONAIS
As secções que se seguem definem as medidas técnicas e organizacionais atuais da SAP. A SAP poderá alterar estas medidas em qualquer momento sem aviso, desde que mantenha um nível de segurança comparável ou superior. Medidas individuais poderão ser substituídas por novas medidas que sirvam o mesmo propósito sem diminuir o nível de segurança que protege os Dados Pessoais.
1.1 Controlo de Acesso Físico. É impedido o acesso físico de pessoas não autorizadas às instalações, edifícios ou salas onde estão localizados os sistemas de tratamento de dados que tratam e/ou utilizam Dados Pessoais.
Medidas:
• A SAP protege os seus recursos e instalações utilizando os meios adequados, com base na Política de Segurança da SAP
• Regra geral, os edifícios são protegidos através de sistemas de controlo de acesso (por exemplo, sistema de acesso com smart card).
• Como requisito mínimo, nos pontos de acesso exterior do edifício tem de ser montado um sistema de chave certificado, que inclui uma gestão de chaves ativa e moderna.
• Dependendo da classificação de segurança, os edifícios, áreas individuais e instalações circundantes poderão estar ainda protegidos por medidas adicionais. Estas medidas incluem perfis de acesso específicos, videovigilância, sistemas de alarme de intrusão e sistemas de controlo de acesso biométricos.
• São concedidos direitos de acesso a pessoas autorizadas numa base individual, de acordo com as medidas de Controlo do Acesso a Dados e a Sistemas (consulte as Secções 1.2 e 1.3 abaixo incluídas). Isto é igualmente aplicável ao acesso de visitantes. Os convidados e visitantes dos edifícios da SAP têm de registar o seu nome na receção e ser acompanhados por pessoal da SAP autorizado.
• Os empregados e pessoal externo da SAP têm de usar os cartões de identificação em todas as localizações da SAP.
Medidas adicionais para Centros de Tratamento de Dados:
• Todos os Centros de Tratamento de Dados aderem a procedimentos de segurança rigorosos, assegurados por guardas, câmaras de vigilância, detetores de movimento, mecanismos de controlo de acesso e outras medidas para impedir que os equipamentos e as instalações de Centro de Tratamento de Dados sejam comprometidos. Apenas representantes autorizados terão acesso a sistemas e a infraestruturas nas instalações do Centro de Tratamento de Dados. Para proteger o funcionamento adequado, é realizada uma manutenção regular dos equipamentos físicos de segurança (por exemplo, sensores de movimento, câmaras, etc.).
• Tanto a SAP como todos os prestadores externos do Centro de Tratamento de Dados registam os nomes do pessoal autorizado que entra nas áreas privadas da SAP dentro dos Centros de Tratamento de Dados, assim como as horas em que isso é efetuado.
1.2 Controlo de Acesso ao Sistema. Tem de ser evitado que os sistemas de tratamento de dados utilizados para prestar o Serviço Cloud sejam utilizados sem autorização.
Medidas:
• São utilizados múltiplos níveis de autorização ao conceder acesso a sistemas sensíveis, incluindo aqueles que armazenam e tratam Dados Pessoais. As autorizações são administradas através de processos definidos, de acordo com a Política de Segurança da SAP
• Todo o pessoal acede aos sistemas da SAP com um identificador exclusivo (ID de utilizador).
• A SAP dispõe de procedimentos para garantir que as alterações de autorização solicitadas são implementadas exclusivamente de acordo com a Política de Segurança da SAP (por exemplo, não
são outorgados quaisquer direitos sem autorização). Os direitos de acesso de pessoal que deixa a empresa são revogados.
• A SAP estabeleceu uma política de palavras-passe que proíbe a partilha de palavras-passe, regula as respostas caso uma palavra-passe seja divulgada e exige a alteração regular das palavras-passe e a modificação de palavras-passe predefinidas. São atribuídos IDs de utilizador personalizados para autenticação. Todas as palavras-passe têm de cumprir requisitos mínimos predefinidos e são armazenadas de forma encriptada. No caso de palavras-passe de domínio, o sistema força a alteração da palavra-passe a cada seis meses, que deve cumprir os requisitos para palavras-passe complexas. Cada computador tem uma proteção de ecrã protegida por palavra-passe.
• A rede da empresa está protegida da rede pública por meio de firewalls.
• A SAP utiliza software antivírus atualizado em pontos de acesso à rede da empresa (para contas de e-mail) e em todos os servidores de ficheiros e estações de trabalho.
• É implementada uma gestão de patches de segurança para fornecer implementação regular e periódica de atualizações de segurança relevantes. O acesso remoto total à rede empresarial e à infraestrutura crítica da SAP está protegido por autenticação forte.
1.3 Controlo de Acesso aos Dados. As pessoas com direito a utilizar os sistemas de tratamento de dados só terão acesso aos Dados Pessoais aos quais têm direito de aceder; os Dados Pessoais não poderão ser lidos, copiados, modificados ou removidos sem autorização, durante o tratamento, a utilização e o armazenamento.
Medidas:
• Como parte da Política de Segurança da SAP, os Dados Pessoais exigem, pelo menos, os mesmos níveis de proteção que a informação “confidencial”, de acordo com a norma de Classificação da Informação da SAP.
• O acesso a Dados Pessoais é concedido apenas se absolutamente necessário. O pessoal tem acesso à informação de que necessita para cumprir o seu dever. A SAP utiliza conceitos de autorização que documentam os processos de concessão de autorização e as funções atribuídas por conta (ID de utilizador). Todos os Dados de Cliente estão protegidos de acordo com a Política de Segurança da SAP.
• Todos os servidores de produção funcionam nos Centros de Tratamento de Dados ou em salas de servidor seguras. As medidas de segurança que protegem as aplicações para o tratamento de Dados Pessoais são verificadas regularmente. Para esse efeito, a SAP realiza verificações de segurança internas e externas e testes de penetração nos seus sistemas de IT.
• A SAP não permite a instalação de software não aprovado pela SAP.
• Um padrão de segurança da SAP regula o modo como os dados e suportes de dados são eliminados ou destruídos assim que deixam de ser necessários.
1.4 Controlo de Transmissão de Dados. Com exceção da medida necessária para a prestação dos Serviços Cloud de acordo com o Contrato, os Dados Pessoais não podem ser lidos, copiados, modificados ou removidos sem autorização durante a transferência. Quando os suportes de dados são transportados fisicamente, são implementadas na SAP medidas adequadas para fornecer os níveis de serviço acordados (por exemplo, encriptação e contentores revestidos a chumbo).
Medidas:
• Os Dados Pessoais em transferência por meio de redes internas da SAP são protegidos de acordo com a Política de Segurança da SAP.
• Quando os dados são transferidos entre a SAP e os respetivos clientes, as medidas de proteção para os Dados Pessoais transferidos são mutuamente acordadas, constituindo parte integrante do contrato relevante. Isto é aplicável tanto à transferência de dados física como à transferência baseada na rede. Em qualquer um dos casos, o Cliente assume a responsabilidade por qualquer transferência de dados, assim que esta se encontrar fora dos sistemas controlados pela SAP (por exemplo, dados transmitidos fora da firewall do Centro de Tratamento de Dados da SAP).
1.5 Controlo de Entrada de Dados. Será possível examinar e estabelecer retrospetivamente se e por quem os Dados Pessoais foram introduzidos, modificados ou removidos dos sistemas de tratamento de dados da SAP.
Medidas:
• A SAP só permite que pessoal autorizado aceda a Dados Xxxxxxxx se isso for necessário para a realização das suas obrigações.
• A SAP implementou um sistema de registo para a inserção, modificação e eliminação ou bloqueio de Dados Pessoais pela SAP ou respetivos subcontratantes ulteriores no Serviço Cloud, até ao limite máximo tecnicamente possível.
1.6 Controlo de Trabalho. Os Dados Pessoais que estão a ser tratados em comissão (isto é, Dados Pessoais tratados em nome de um cliente) são exclusivamente tratados de acordo com o Contrato e com as instruções relacionadas do cliente.
Medidas:
• A SAP utiliza controlos e processos para controlar o cumprimento dos contratos celebrados entre a SAP e os seus clientes, subcontratantes ulteriores ou outros prestadores de serviços.
• Como parte da Política de Segurança da SAP, os Dados Pessoais exigem, pelo menos, os mesmos níveis de proteção que a informação “confidencial”, de acordo com a norma de Classificação da Informação da SAP.
• Todos os empregados da SAP e subcontratantes ulteriores ou outros prestadores de serviços de contrato estão vinculados contratualmente a respeitar a confidencialidade de todas as informações sensíveis, incluindo segredos comerciais dos clientes e parceiros da SAP.
1.7 Controlo de Disponibilidade. Os Dados Pessoais serão protegidos contra destruição ou perda acidentais ou não autorizadas.
Medidas:
• A SAP emprega processos de cópia de segurança regulares para fornecer o restauro dos sistemas críticos para o negócio, se e quando necessário.
• A SAP utiliza fontes de alimentação ininterruptas (UPS, baterias, geradores, etc.) para garantir que os Centros de Tratamento de Dados dispõem de energia.
• A SAP definiu planos de contingência empresariais para processos críticos para o negócio e pode oferecer estratégias de recuperação de desastres para serviços críticos, tal como definido em maior detalhe na Documentação ou incorporado no Formulário de Encomenda para o Serviço Cloud relevante.
• Os processos e sistemas de emergência são testados regularmente.
1.8 Controlo de Separação de Dados. Os Dados Pessoais recolhidos com finalidades diferentes podem ser tratados em separado.
Medidas:
• A SAP utiliza as capacidades técnicas do software implementado (por exemplo: arquitetura de vários inquilinos ou estruturas de sistemas separadas) para conseguir a separação de dados entre os Dados Pessoais de vários clientes.
• O Cliente (incluindo os respetivos Responsáveis pelo Tratamento de Dados) tem acesso apenas aos seus próprios dados.
• Se os Dados Pessoais forem necessários para tratar um incidente de suporte do Cliente, os dados serão atribuídos a essa mensagem específica e utilizados apenas para o tratamento dessa mensagem. Os dados não são acedidos para tratar quaisquer outras mensagens. Esses dados são armazenados em sistemas de suporte específicos.
1.9 Controlo de Integridade dos Dados. Os Dados Pessoais permanecerão intactos, completos e atuais durante as atividades de tratamento.
Medidas:
A SAP implementou uma estratégia de defesa em várias camadas como proteção contra modificações não autorizadas.
Em particular, a SAP utiliza o seguinte para implementar as secções sobre controlo e medidas acima descritas.
• Firewalls;
• Centro de Controlo de Segurança;
• Software antivírus;
• Cópia de segurança e recuperação;
• Testes de penetração externos e internos;
• Auditorias externas regulares para comprovar medidas de segurança.
Apêndice 3 ao ATD e, caso aplicável, às Cláusulas Contratuais-tipo
A tabela que se segue estabelece os Artigos relevantes do RGPD e termos correspondentes do ATD, apenas para fins de ilustração.
Artigo do RGPD | Secção do ATD | Clicar no link para ver a Secção |
28(1) | 2 e Apêndice 2 | Segurança do Tratamento e Apêndice 2, Medidas |
28(2), 28(3) (d) e 28 (4) | ||
28 (3) frase 1 | 1.1 e Apêndice 1, | |
28(3) (a) e 29 | ||
28(3) (b) | Pessoal. | |
28(3) (c) e 32 | 2 e Apêndice 2 | Segurança do Tratamento e Apêndice 2, Medidas |
28(3) (e) | ||
28(3) (f) e 32-36 | 2 e Apêndice 2, | Segurança do Tratamento e Apêndice 2, Medidas Técnicas e Organizacionais. Notificação de Violação de Xxxxx Xxxxxxxx. Avaliação do Impacto da Proteção de Dados. |
28(3) (g) | ||
28(3) (h) | ||
28 (4) | ||
30 | ||
46(2) (c) | Cláusulas Contratuais-tipo. |
Apêndice 4
CLÁUSULAS CONTRATUAIS-TIPO (SUBCONTRATANTES)
1
As Cláusulas Contratuais tipo referidas neste ATD estão localizadas no seguinte link: xxxxx://xxx-xxx.xxxxxx.xx/xxxxx-xxxxxxx/XX/XXX/?xxxxxxxxx%0X00000X0000.
Para os efeitos do Artigo 26(2) da Diretiva 95/46/CE (ou, após 25 de maio de 2018, Artigo 44 e seguintes do Regulamento 2016/79) para a transferência de dados pessoais para subcontratantes estabelecidos em países terceiros que não assegurem um nível adequado de proteção dos dados
Cliente, também em nome de outros Responsáveis pelo Tratamento de Dados
(doravante referido nas Cláusulas como o ‘exportador de dados’)
e
SAP
(doravante referida nas Cláusulas como o ‘importador de dados’) cada um deles uma ‘parte’; em conjunto ‘as partes’,
ACORDARAM as seguintes Cláusulas Contratuais (as Cláusulas), de modo a apresentarem garantias adequadas, relativas à proteção da vida privada e dos direitos e liberdades fundamentais das pessoas para a transferência, pelo exportador de dados para o importador de dados, de dados pessoais especificados no Apêndice 1.
Cláusula 1
Definições
Para os efeitos das Cláusulas:
(a) 'dados pessoais', 'categorias especiais de dados', 'tratamento', 'responsável pelo tratamento', 'subcontratante', 'titular dos dados' e 'autoridade fiscalizadora’ terão o mesmo significado que o estipulado na Diretiva 95/46/CE do Parlamento Europeu e do Conselho de 24 de outubro de 1995, sobre a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados;
(b) 'o exportador de dados' designa o responsável pelo tratamento que transfere os dados pessoais;
(c) 'o importador de dados' designa o subcontratante que aceita receber, do exportador de dados, dados pessoais para tratamento em seu nome após a transferência, de acordo com as suas instruções e com os termos das Cláusulas, e que não está sujeito a que o sistema de um país terceiro assegure a proteção adequada na aceção do Artigo 25(1) da Diretiva 95/46/CE;
(d) 'o subcontratante ulterior' designa qualquer subcontratante, contratado pelo importador de dados ou por qualquer outro dos seus subcontratantes ulteriores, que aceita receber do importador de dados ou de qualquer outro dos seus subcontratantes ulteriores, dados pessoais exclusivamente para atividades de tratamento a efetuar em nome do exportador de dados após a transferência, de acordo com as suas instruções, com os termos das Cláusulas e com os termos do subcontrato escrito;
(e) 'a legislação aplicável sobre proteção de dados' designa a legislação que protege os direitos e liberdades fundamentais das pessoas e, em particular, o seu direito à vida privada no que se refere ao tratamento de dados pessoais, aplicável a um responsável pelo tratamento de dados no Estado-Membro em que o exportador de dados está estabelecido;
(f) 'medidas de segurança técnicas e organizacionais' designa as medidas que têm por objetivo proteger os dados pessoais contra destruição acidental ou ilícita, perda acidental, alteração, divulgação ou acesso não autorizados, nomeadamente quando o tratamento implicar a transmissão de dados através de uma rede, e contra qualquer outra forma de tratamento ilícito.
Cláusula 2
Detalhes da transferência
Os detalhes da transferência e, em particular, as categorias especiais de dados pessoais, quando aplicável, estão especificados no Apêndice 1, que constitui parte integrante das Cláusulas.
Cláusula 3
Cláusula do terceiro beneficiário
1. O titular dos dados pode fazer aplicar, contra o exportador de dados, a presente Cláusula, a Cláusula 4(b) a (i), a Cláusula 5(a) a (e), e (g) a (j), a Cláusula 6(1) e (2), a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 a 12, como terceiro beneficiário.
2. O titular dos dados pode fazer aplicar, contra o importador de dados, a presente Cláusula, a Cláusula 5(a) a (e) e (g), a Cláusula 6, a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 a 12, em caso de desaparecimento de facto ou de extinção legal do exportador de dados, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações legais do exportador de dados mediante contrato ou por força da lei, e consequentemente assuma os direitos e obrigações do exportador de dados, podendo nesse caso o titular dos dados fazê-las aplicar contra tal entidade.
3. O titular dos dados pode fazer aplicar, contra o subcontratante ulterior, a presente Cláusula, a Cláusula 5(a) a (e) e (g), a Cláusula 6, a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 a 12, em caso de desaparecimento de facto ou de extinção legal tanto do exportador de dados como do importador de dados, ou se esses se tornarem insolventes, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações legais do exportador de dados mediante contrato ou por força da lei, e consequentemente assuma os direitos e obrigações do exportador de dados, podendo nesse caso o titular dos dados fazê-las aplicar contra tal entidade. Essa responsabilidade civil do subcontratante ulterior será limitada às suas próprias atividades de tratamento ao abrigo das Cláusulas.
4. As partes não se opõem a que um titular dos dados seja representado por uma associação ou outro organismo se, expressamente, assim o desejar e a legislação nacional o permitir.
Cláusula 4
Obrigações do exportador de dados
O exportador de dados aceita e garante:
(a) que o tratamento dos dados pessoais, incluindo a própria transferência, foi e continuará a ser feito de acordo com as disposições pertinentes da legislação aplicável sobre proteção de dados (e que, se aplicável, foi notificado às entidades competentes do Estado-Membro em que o exportador de dados está estabelecido) e que não viola as disposições pertinentes desse Estado;
(b) que deu e continuará a dar instruções ao importador de dados, durante os serviços de tratamento de dados pessoais, para tratar os dados pessoais transferidos apenas por conta do exportador de dados e em conformidade com a legislação aplicável sobre proteção de dados e com as Cláusulas;
(c) que o importador de dados oferecerá garantias suficientes em relação às medidas de segurança técnicas e organizacionais especificadas no Apêndice 2 do presente contrato;
(d) que, depois de avaliar os requisitos da legislação aplicável sobre proteção de dados, as medidas de segurança são adequadas para proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a divulgação ou o acesso não autorizados, nomeadamente quando o tratamento implicar a sua transmissão através de uma rede, e contra qualquer outra forma de tratamento ilícito, e que estas medidas asseguram um nível de segurança adequado em relação aos riscos que o tratamento representa e à natureza dos dados a proteger, atendendo aos conhecimentos técnicos disponíveis e aos custos resultantes da sua aplicação;
(e) que assegurará o cumprimento das medidas de segurança;
(f) que, se a transferência envolver categorias especiais de dados, o titular dos dados foi informado ou será informado antes ou o mais depressa possível após a transferência, de que os seus dados poderão ser transmitidos para um país terceiro que não garante a proteção adequada na aceção da Diretiva 95/46/CE;
(g) que enviará qualquer notificação recebida do importador de dados ou de qualquer subcontratante ulterior à autoridade fiscalizadora responsável pela proteção dos dados, nos termos da Cláusula 5(b) e da Cláusula 8(3), se o exportador de dados decidir continuar a transferência ou levantar a suspensão;
(h) que disponibilizará aos titulares dos dados, mediante pedido, uma cópia das Cláusulas, com exceção do Apêndice 2, e uma descrição sumária das medidas de segurança, bem como uma cópia de qualquer contrato de serviços de subcontratação ulterior que tenha de ser celebrado em conformidade com as Cláusulas, a menos que estas ou o contrato contenham informações comerciais, caso em que poderá remover essas informações;
(i) que, em caso de subcontratação ulterior, a atividade de tratamento é realizada em conformidade com a Cláusula 11 por um subcontratante ulterior que assegure pelo menos o mesmo nível de proteção dos dados pessoais e dos direitos do titular dos dados que o importador de dados em conformidade com as Cláusulas; e
(j) que assegurará o cumprimento da Cláusula 4(a) a (i).
Cláusula 5
Obrigações do importador de dados
O importador de dados aceita e garante:
(a) que tratará os dados pessoais apenas em nome do exportador de dados e em conformidade com as suas instruções e as Cláusulas; no caso de não poder cumprir estas obrigações por qualquer razão, concorda em informar imediatamente o exportador de dados desse facto, tendo neste caso o exportador de dados o direito de suspender a transferência de dados e/ou de cessar o contrato;
(b) que não tem qualquer razão para crer que a legislação que lhe é aplicável o impede de respeitar as instruções recebidas do exportador de dados e as obrigações que lhe incumbem por força do contrato e que, no caso de haver uma alteração nesta legislação que possa ter um efeito adverso substancial nas garantias e obrigações conferidas pelas Cláusulas, notificará imediatamente essa alteração ao exportador de dados, logo que dela tiver conhecimento, tendo neste caso o exportador de dados o direito de suspender a transferência de dados e/ou de cessar o contrato;
(c) que aplicou as medidas de segurança técnicas e organizacionais previstas no Apêndice 2 antes de tratar os dados pessoais transferidos;
(d) que notificará imediatamente o exportador de dados no que respeita a:
(i) qualquer pedido juridicamente vinculativo de divulgação dos dados pessoais por parte de uma autoridade competente para a aplicação da lei, a não ser que exista uma proibição em contrário, como uma proibição prevista no direito penal para preservar a confidencialidade de uma investigação policial;
(ii) qualquer acesso acidental ou não autorizado; e
(iii) qualquer pedido recebido diretamente dos titulares dos dados, sem responder a esse pedido, a não ser que tenha sido autorizado a fazê-lo;
(e) que responderá rápida e adequadamente a todos os pedidos de informação do exportador de dados relacionados com o tratamento por si efetuado dos dados pessoais objeto da transferência e que se submeterá aos conselhos da autoridade fiscalizadora relativamente ao tratamento dos dados transferidos;
(f) que, a pedido do exportador de dados, apresentará as suas instalações de tratamento de dados para auditoria das atividades de tratamento abrangidas pelas Cláusulas, que será efetuada pelo exportador de dados ou por um organismo de inspeção, composto por membros independentes que possuam as qualificações profissionais exigidas e estejam vinculados por um
dever de confidencialidade, escolhido pelo exportador de dados e, se necessário, de acordo com a autoridade fiscalizadora;
(g) que disponibilizará ao titular dos dados, mediante pedido, uma cópia das Cláusulas ou de qualquer contrato existente de subcontratação ulterior, a menos que as Cláusulas ou o contrato contenham informações comerciais, caso em que poderá remover as informações comerciais, com exceção do Apêndice 2, que será substituído por uma descrição sumária das medidas de segurança, no caso de o titular dos dados não poder obter uma cópia do exportador de dados;
(h) que, em caso de subcontratação ulterior, informou previamente o exportador de dados e obteve o seu consentimento escrito prévio;
(i) que os serviços de tratamento de dados efetuados pelo subcontratante ulterior serão prestados em conformidade com a Cláusula 11;
(j) que enviará rapidamente ao exportador de dados uma cópia de qualquer contrato de subcontratação ulterior que celebrar ao abrigo das Cláusulas.
Cláusula 6
Responsabilidade
1. As partes aceitam que qualquer titular dos dados que tenha sofrido danos resultantes de qualquer incumprimento das obrigações referidas nas Cláusulas 3 ou 11, por qualquer parte ou subcontratante ulterior, tem o direito de obter reparação do exportador de dados pelos danos sofridos.
2. Se o titular dos dados não puder intentar uma ação de reparação em conformidade com o parágrafo 1 contra o exportador de dados, por incumprimento pelo importador de dados ou o seu subcontratante ulterior de quaisquer das suas obrigações referidas nas Cláusulas 3 ou 11, devido ao desaparecimento de facto ou extinção legal ou à insolvência do exportador de dados, o importador de dados aceita que o titular dos dados lhe possa intentar uma ação como se fosse
o exportador de dados, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações legais do exportador de dados, mediante contrato ou por força da lei, caso em que o titular dos dados pode invocar os seus direitos contra essa entidade.
O importador de dados não pode invocar o incumprimento da parte de um subcontratante ulterior das suas obrigações para se eximir às suas próprias responsabilidades.
3. Se um titular dos dados não puder intentar a ação referida nos parágrafos 1 e 2 contra
o exportador ou o importador de dados, por incumprimento por parte do subcontratante ulterior de quaisquer das suas obrigações referidas nas Cláusulas 3 ou 11, devido ao desaparecimento de facto ou extinção legal ou à insolvência do exportador e do importador de dados, o subcontratante ulterior aceita que o titular dos dados lhe possa intentar uma ação relativamente às suas próprias atividades de tratamento de dados ao abrigo das Cláusulas, como se fosse o exportador ou o importador de dados, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações legais do exportador ou do importador de dados, mediante contrato ou por força da lei, caso em que o titular dos dados pode invocar os seus direitos contra essa entidade. A responsabilidade do subcontratante ulterior será limitada às suas próprias atividades de tratamento de dados ao abrigo das Cláusulas.
Cláusula 7
Mediação e jurisdição
1. O importador de dados aceita que se o titular dos dados invocar contra ele os direitos de terceiro beneficiário e/ou exigir uma indemnização por danos nos termos das Cláusulas, o importador de dados aceitará a decisão do titular dos dados de:
(a) submeter o litígio a mediação de uma pessoa independente ou, quando aplicável, da autoridade fiscalizadora;
(b) submeter o litígio aos tribunais do Estado-Membro em que o exportador de dados está estabelecido.
2. As partes aceitam que a opção do titular dos dados não prejudicará os direitos materiais ou processuais do mesmo de obter reparação em conformidade com outras disposições do direito nacional ou internacional.
Cláusula 8
Cooperação com as autoridades fiscalizadoras
1. O exportador de dados aceita depositar uma cópia deste contrato junto da autoridade fiscalizadora se esta o solicitar ou se a legislação sobre proteção de dados aplicável assim o exigir.
2. As partes aceitam que a autoridade fiscalizadora tem o direito de realizar auditorias ao importador de dados e a qualquer subcontratante ulterior, com o mesmo âmbito e nas mesmas condições das auditorias efetuadas ao exportador de dados, em conformidade com a legislação aplicável sobre proteção de dados.
3. O importador de dados notificará imediatamente o exportador de dados da existência de legislação que lhe é aplicável ou a qualquer subcontratante ulterior e que impede a realização de uma auditoria ao importador de dados ou a qualquer subcontratante ulterior, nos termos do parágrafo 2. Nesse caso, o exportador de dados terá o direito de adotar as medidas previstas na Cláusula 5(b).
Cláusula 9
Legislação aplicável
As Cláusulas serão regidas pela legislação do Estado-Membro onde o exportador de dados está estabelecido.
Cláusula 10
Alteração do contrato
As partes comprometem-se a não alterar ou modificar as Cláusulas. Tal não impede que as partes aditem cláusulas de carácter comercial sempre que necessário, desde que as mesmas não contrariem a Cláusula.
Cláusula 11
Subcontratação ulterior
1. O importador de dados não subcontratará nenhuma das suas atividades de tratamento executadas em nome do exportador de dados nos termos das Cláusulas sem o consentimento escrito prévio deste. Sempre que o importador de dados subcontratar as suas obrigações nos termos das presentes Cláusulas, com o consentimento do exportador de dados, fá-lo-á apenas mediante contrato por escrito com o subcontratante ulterior que imponha a este último as mesmas obrigações do importador de dados ao abrigo das Cláusulas. Em caso de incumprimento pelo subcontratante ulterior das obrigações em matéria de proteção de dados que lhe incumbem nos termos do referido contrato escrito, o importador de dados continuará a ser plenamente responsável perante o exportador de dados pelo cumprimento destas obrigações do subcontratante ulterior ao abrigo do referido contrato.
2. O contrato escrito prévio entre o importador de dados e o subcontratante ulterior deve prever igualmente uma cláusula do terceiro beneficiário, tal como previsto na Cláusula 3, para os casos em que o titular dos dados não puder intentar a ação de reparação referida no parágrafo 1 da Cláusula 6, contra o exportador ou o importador de dados por estes terem desaparecido de facto ou terem sido extintos legalmente ou por se terem tornado insolventes e nenhuma entidade sucessora ter assumido a totalidade das obrigações do exportador ou do importador de dados, mediante contrato ou por força da lei. Essa responsabilidade civil do subcontratante ulterior será limitada às suas próprias atividades de tratamento de dados nos termos das presentes Cláusulas.
3. As disposições relativas aos aspetos ligados à proteção de dados no que se refere à subcontratação ulterior do contrato referido no parágrafo 1 serão regidas pela legislação do Estado-Membro onde o exportador de dados está estabelecido.
4. O exportador de dados manterá uma lista dos contratos de subcontratação ulterior celebrados ao abrigo das Cláusulas e notificados pelo importador de dados em conformidade com a cláusula 5(j), que será atualizada pelo menos uma vez por ano. A lista será colocada à disposição da autoridade fiscalizadora da proteção de dados do exportador de dados.
Cláusula 12
Obrigação depois de terminados os serviços de tratamento de dados pessoais
1. As partes aceitam que, após terminada a prestação de serviços de tratamento de dados, o importador de dados e o subcontratante ulterior, conforme preferência do exportador de dados, devolverão todos os dados pessoais transferidos e as suas cópias ao exportador de dados ou destruirão todos os dados pessoais e certificarão ao exportador de dados que o fizeram, exceto se a legislação imposta ao importador de dados o impedir de devolver ou destruir a totalidade ou parte dos dados pessoais transferidos. Nesse caso, o importador de dados garante a confidencialidade dos dados pessoais transferidos e não voltará a tratar ativamente os dados pessoais transferidos.
2. O importador de dados e o subcontratante ulterior garantem que, a pedido do exportador de dados e/ou da autoridade fiscalizadora, submeterão as suas instalações de tratamento de dados a uma auditoria das medidas referidas no parágrafo 1.