ACORDO DE TRATAMENTO DE DADOS
ACORDO DE TRATAMENTO DE DADOS
Este Acordo de Tratamento de Dados (doravante "ATD ") faz parte de:
● Termos e Condições de Factorial; ou, caso possa ser,
● qualquer outro acordo celebrado entre si e a Factorial para reger o compromisso e utilização da Plataforma (colectivamente, o "Acordo").
O presente ATD e outras disposições do acordo são complementares, no entanto, em caso de conflito, prevalecerá este ATD
I. COMO EXECUTAR ESTE ATD?
Este ATD é pré-assinado pela Factorial. Para completar este ATD, o Cliente deve:
1. Preencher as informações apropriadas na caixa de assinatura e assinar na página [9].
2. Colocar o ATD no formulário específico do Portal do Cliente da Factorial.
Assim que a Factorial receber o ATD devidamente concluído e assinado pelo Cliente ("Data de Vigência"), este será juridicamente vinculativo
II. EFICÁCIA
Este ATD aplicar-se-á aos dados pessoais tratados em seu nome e à sua conta como Cliente no decurso da sua utilização da Plataforma ("Dados Pessoais do Cliente").
● A pessoa que assinou o ATD vem nome do Cliente declara à Factorial que tem autoridade legal para vincular o Cliente e que tem legalmente o direito de celebrar contratos.
● A duracao do presente ATD é a mesmo que a duracao do Acordo. Isto significa que o presente ATD será automaticamente rescindido com a rescisão do Acordo ou quando for previamente resolvido de acordo com os termos deste ATD.
III. TERMOS DO ACORDO DE TRATAMENTO DE DADOS.
1. Definições:
Os termos listados abaixo terão os seguintes significados:
"Factorial", "nós", "nosso" refere-se a EVERYDAY SOFTWARE, S.L. Empresa espanhola sediada em Xxxxx Xxxxx, 00, 0x-0x, 00000, Xxxxxxxxx, autora, criadora e desenvolvedora da Plataforma.
"Plataforma" significa o nosso software desenvolvido e executado numa plataforma com a finalidade de gerir os recursos humanos de uma organização na nuvem. A Plataforma é o produto que é fornecido a si nos termos do Acordo e inclui qualquer produto que fornecemos como parte da Plataforma.
"Responsável pelo tratamento", "interessado", "dados pessoais", "tratamento" e "medidas técnicas e organizacionais adequadas", "Cláusulas contratuais padrão", conforme utilizadas neste ATD, têm o significado que lhes é atribuído na Lei Europeia de Proteção de Dados.
"Cliente", "você", “seu" refere-se à entidade que contrata a Plataforma Factorial.
"Utilizadores finais" significa a(s) pessoa(s) que permite ou convida a utilizar a Plataforma. Para evitar dúvidas, "Utilizadores Finais" inclui os indivíduos por trás de contas geridas por si (em particular, os seus colaboradores).
"Lei Europeia de Proteção de Dados” significa: i) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção de pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados ("RGPD"); (ii) Diretiva 2002/58/CE sobre o tratamento de dados pessoais e a proteção da privacidade no setor das comunicações eletrónicas; (iii) qualquer implementação nacional aplicável.
2. Âmbito de aplicação da lei de proteção de dados
As partes reconhecem que a Lei Europeia de Proteção de Dados apenas se aplica aos Dados Pessoais do Cliente que são abrangidos pelas definições contidas nas referidas leis.
3. Identificação das Partes
Para os fins deste ATD:
● Factorial será considerada o Subcontrante de Tratamento de Dados.
● O Cliente será considerado o Responsável pelo Tratamento de Dados.
4. Descrição do Tratamento e padrões de segurança
Em anexo ao presente como Apêndice 1 encontra-se uma descrição detalhada do tratamento a realizar.
No Apêndice 2 encontra-se uma lista de padrões de segurança aplicáveis. Uma lista dos subprocessadores pode ser encontrada no Apêndice 3.
5. Responsabilidade do Cliente
O Cliente, na sua qualidade de Responsável pelo tratamento dos Dados Pessoais do Cliente, é responsável por garantir que a sua utilização da Plataforma cumpre a Lei Europeia de Proteção de Dados e por garantir e supervisionar, ao longo do tratamento, que Factorial cumpra com a Lei Europeia de Proteção de Dados.
Neste sentido, e antes de contratar a Plataforma ou solicitar a ativação de funcionalidades adicionais, o Cliente compromete-se a determinar por conta própria a necessidade de (i) realizar uma avaliação de impacto relacionada com a proteção de dados, (ii) realizar as correspondentes consultas; (iii) bem como qualquer outra análise ou avaliação relativa à proteção de dados. Na medida em que seja exigido por força da Lei Europeia de Proteção de Dados, a Factorial prestará ao Cliente toda a assistência razoável neste processo ou em outros de natureza e objetivo semelhantes.
O Cliente compromete-se a não solicitar à Factorial a contratação ou ativação de qualquer funcionalidade da Plataforma para a qual a respetiva avaliação do impacto da proteção de dados tenha dado um resultado negativo. O Cliente exonera a Factorial da responsabilidade derivada da violação por parte do Cliente da presente cláusula.
IV. DISPOSIÇÕES GERIS SOBRE O TRATAMENTO DE DADOS PESSOAIS.
No tratamento dos Dados Pessoais do Cliente, a Factorial compromete-se a cumprir a Lei Europeia de Proteção de Dados.
O objetivo do tratamento de dados será exclusivamente fornecer o serviço da Plataforma nos termos ditados pelo Cliente. Este ATD estabelece a natureza e finalidade do tratamento, os tipos de Dados Pessoais de Clientes que a Factorial irá processar e as partes interessadas cujos Dados Pessoais de Clientes serão processados.
Nesse sentido, o tratamento será realizado:
● Cumprindo as nossas obrigações nos termos do artigo 28º do RGPD, ou seja:
a. tratando os Dados Pessoais do Cliente apenas de acordo com as instruções documentadas por si (conforme estabelecido neste ATD ou Acordo, ou conforme as suas indicações através da Plataforma) para a realização do serviço.
b. tomando as providências cabíveis de acordo com o artigo 32º do RGPD, nos termos estabelecidos na Cláusula VII deste ATD e conforme previsto no Apêndice 2.
c. notificá-lo sem atraso indevido caso, na nossa opinião, uma instrução para o Tratamento de Dados Pessoais dada pelo Cliente violar a Lei Europeia de Proteção de Dados;
d. disponibilizando a si todas as informações que razoavelmente solicitar, a fim de demonstrar que as suas obrigações em relação à nomeação de subcontratantes foram cumpridas, sem prejuízo do que está especificado na Cláusula VI;
e. auxiliando no cumprimento das suas obrigações nos termos dos artigos 35º e 36º do RGPD.
f. auxiliando no cumprimento das suas obrigações nos termos dos artigos 15º a 18º do RGPD,
fornecendo-lhe documentação ou ajudando-o a recuperar, corrigir, excluir ou bloquear os Dados Pessoais do Cliente;
x. xxxxxxxxxx que o pessoal da Factorial que deve aceder aos Dados Pessoais do Cliente está sujeito a um dever vinculativo de confidencialidade com respeito aos Dados Pessoais do referido Cliente;
h. excluindo com segurança os Dados Pessoais do Cliente que estão em nossa posse mediante solicitação por escrito devido à finalização ou rescisão antecipada do Acordo, a menos que a retenção dos Dados Pessoais do Cliente seja exigida em virtude do Direito da União ou dos Estados Membros;
● Da mesma forma, e com a condição de que tenha assinado previamente um acordo de confidencialidade e não divulgação com a Factorial:
a. Permitiremos a si e aos seus representantes autorizados que acedam e revejam documentos para garantir o cumprimento dos termos deste ATD.
b. Durante a vigência do Acordo e sempre que exigido pela Lei Europeia de Proteção de Dados, permitiremos a si e aos seus representantes autorizados realizem auditorias para garantir o cumprimento dos termos deste Acordo de Tratamento de Dados. Não obstante o acima exposto, qualquer auditoria deve ser realizada durante o nosso horário comercial normal, avisando-nos com antecedência razoável e sujeita a protocolos de confidencialidade razoáveis.
O desígnio de qualquer auditoria não nos obriga a divulgar ou permitir a si ou aos seus representantes autorizados que tenham acesso: (i) a quaisquer dados ou informações de qualquer outro cliente Factorial; (ii) quaisquer informações contabilísticas ou financeiras internas da Factorial; (iii) qualquer segredo comercial da Factorial; (iv) qualquer informação que, na nossa opinião razoável, possa comprometer a segurança dos nossos sistemas ou instalações; ou fazer com que violemos as nossas obrigações ao abrigo da Lei Europeia de
Proteção de Dados ou as nossas obrigações de segurança, confidencialidade ou privacidade para com qualquer outro cliente da Factorial ou qualquer terceiro; ou (v) qualquer informação que tente os seus representantes autorizados tentem aceder por qualquer motivo que não seja o cumprimento de boa fé das suas obrigações nos termos da Lei Europeia de Proteção de Dados e o nosso cumprimento dos termos deste Acordo.
Além disso, as auditorias serão limitadas a uma vez por ano, a menos que tenhamos sofrido uma violação de segurança nos 12 (doze) meses anteriores que tenha afetado os Dados Pessoais do Cliente; ou uma auditoria revele uma não conformidade substancial.
V. DIREITO DAS PARTES INTERESSADAS.
Se a Factorial, como responsável pelo tratamento, recebe uma notificação de qualquer reclamação, queixa, solicitação, direção, consulta, investigação, procedimento ou outra ação de qualquer parte interessada, tribunal, autoridade reguladora ou fiscalizadora, ou qualquer órgão, organização ou associação, que se relaciona de alguma forma com os dados pessoais tratados por nós em nome do Cliente, a Factorial compromete-se a:
● notificar o Cliente de tal circunstância para que ele possa prosseguir com o pedido na medida em que tal notificação seja legalmente permitida;
● fornecer ao Cliente cooperação e assistência razoáveis; e
● não responder pelos seus próprios meios, a menos que o Cliente indique o contrário por escrito (obrigatório por lei).
VI. SUBCONTRATANTE DE TRATAMENTO.
O Cliente consente a utilização por Factorial dos sub-processadores listados no Apêndice 3. Da mesma forma, o Cliente autoriza a Factorial a contratar subcontratantes externos adicionais para tratar os Dados Pessoais do Cliente, sempre e quando:
Caso o Cliente se oponha à substituição ou contratação de um novo subcontratante, as partes devem negociar de boa fé soluções alternativas que sejam comercialmente razoáveis.
● Factorial exige que o novo subcontratante proteja os Dados Pessoais do Cliente a um padrão não menos rigoroso do que o exigido por este ATD e pela Lei Europeia de Proteção de Dados.
● O Cliente compreende que, em virtude de quaisquer restrições de confidencialidade que possam aplicar-se aos subcontratantes, Factorial pode estar limitada na sua capacidade de revelar acordos de subcontratantes ao Cliente. A este respeito, a Factorial compromete-se a utilizar todos os esforços razoáveis para exigir a qualquer subcontratante que nomear para lhe permitir revelar o acordo de subcontratante ao Cliente. Quando, apesar dos melhores esforços, a Factorial não puder revelar um acordo de subcontratante ao Cliente, as partes concordam que, a pedido do Cliente, a Factorial fornecerá, numa base confidencial, as informações que razoavelmente puder em relação a tal acordo de subcontratação ao Cliente.
VII. SEGURANÇA DO TRATAMENTO.
Factorial aplicará e manterá as medidas técnicas e organizacionais adequadas para proteger os Dados Pessoais do Cliente contra tratamento não autorizado ou ilegal e contra perda acidental, destruição, dano, roubo, alteração ou divulgação, de acordo com o Acordo de Tratamento de Dados. As referidas medidas serão adequadas aos danos que podem resultar de qualquer tratamento não autorizado ou ilegal, perda acidental, destruição, dano ou roubo dos Dados Pessoais do Cliente e adequadas à natureza dos Dados Pessoais do Cliente que devem ser protegidos. Neste sentido, a Factorial pode atualizar as medidas técnicas e organizacionais, desde que as referidas modificações não diminuam o nível geral de segurança.
Se a Factorial tiver conhecimento e confirmar qualquer destruição, perda, alteração, divulgação ou
acesso acidental, não autorizado ou ilegal aos seus Dados Pessoais do Cliente ("Violação de Segurança") com a qual lidamos durante o fornecimento da Plataforma, iremos notificá-lo sem atraso indevido e, em qualquer caso, dentro de um período que não excederá 48 horas.
VIII. TRANSFERÊNCIAS DE DADOS.
Faz parte da política da Factorial conceder preferência na contratação de fornecedores às empresas localizadas no Espaço Económico Europeu que cumpram em maior grau as normas de privacidade e proteção de dados.
Sem prejuízo do anterior, caso a Factorial processe os Dados Pessoais do Cliente num país que não tenha uma decisão de adequação (no sentido do artigo 45.º do RGPD), adotará um mecanismo de transferência adequado de acordo com o RGPD.
Se a Factorial fizer uma transferência internacional para a qual o mecanismo de transferência usado deixe de ser válido de acordo com o RGPD (por exemplo, como resultado de uma decisão judicial invalidante, etc.), o Cliente concederá à Factorial um período de tempo razoável para corrigir a violação ("Período de Sanação"), a fim de identificar que salvaguardas adicionais ou outras medidas podem ser tomadas para garantir a sua conformidade com a Lei Europeia de Proteção de Dados.
IX. DIVERSOS.
● O Cliente reconhece e aceita que, como parte do fornecimento da Plataforma, a Factorial tem o direito de usar os dados relacionados ou obtidos em conexão com a operação, assistência ou uso da Plataforma para os seus fins comerciais internos legítimos, como suporte para processos de facturamento, administração da plataforma, melhoria, benchmarking e desenvolvimento dos seus produtos e serviços, conformidade com as leis aplicáveis (incluindo solicitações de aplicação da lei), garantia de segurança da plataforma e prevenção de fraude ou mitigação de risco.
Em relação aos Dados Pessoais do Cliente, a Factorial garante que serão utilizados para os
seus próprios fins, a menos que tenha agregado e tornado anónimos os dados para que não identifique o Cliente ou qualquer outra pessoa ou entidade, em particular os Utilizadores Finais.
● Este ATD está sujeito às leis aplicáveis e às condições de jurisdição do Acordo.
● Não obstante o acima exposto, na medida do permitido pela lei aplicável, todas as responsabilidades decorrentes deste Acordo de Tratamento de Dados serão regidas pelas limitações de responsabilidade (incluindo limites de responsabilidade) do Acordo.
● No caso de qualquer uma das disposições deste ATD ser declarada inválida, ilegal ou inexequível, a validade, legalidade e aplicabilidade das restantes disposições não serão afetadas ou prejudicadas por este e tal disposição apenas será ineficaz na medida da referida invalidez, ilegalidade ou inaplicabilidade.
● O Cliente pode obter uma cópia deste contrato assinado pela Factorial a qualquer momento, preenchendo o seguinte formulário.
ASSINATURAS
POR PARTE DO FACTORIAL POR PARTE DO CLIENTE
DENOMINAÇÃO | EVERYDAY SOFTWARE, S.L. |
SIGNATÁRIO | |
NA QUALIDADE DE | |
DENOMINAÇÃO | |
SIGNATÁRIO | |
NA QUALIDADE DE | |
ASSINATURA |
ASSINATURA | |
DATA |
Apêndice 1 (Descrição do tratamento)
Xxxxxxx a quem os dados se referem |
Os dados pessoais referem-se aos Utilizadores Finais da Plataforma, além dos indivíduos cujos dados pessoais são fornecidos pelos Utilizadores Finais da Plataforma |
Categorias de dados |
Os dados pessoais processados podem incluir as seguintes categorias de dados: • Informações de identificação direta (por exemplo, nome, endereço de e-mail, telefone). • Informações de identificação indireta (por exemplo, cargo, sexo, data de nascimento, ID do utilizador). • Informações de natureza laboral (currículo, contrato de trabalho, oferta de trabalho, etc.) • Informações económicas (conta bancária, entidade bancária, etc., declaração de vencimento). • Dados de identificação do dispositivo e dados de tráfego (por exemplo, endereços IP, endereços MAC, registos web). • Quaisquer dados pessoais fornecidos pelos utilizadores da Plataforma na cloud. • Quaisquer dados pessoais contidos num documento fornecido pelo Cliente. |
Categorias especiais de dados |
Caso o Cliente solicite a ativação da funcionalidade de reconhecimento facial para o carimbo de horário dos Utilizadores Finais: ● Imagem facial do utilizador final e modelo biométrico |
Finalidade do tratamento |
Os dados pessoais são processados com a finalidade de fornecer a Plataforma de acordo com o Acordo. |
Tipos de tratamento |
● Recolha ou registo de dados pessoais. |
Apêndice 2
(Padrões de segurança aplicáveis)
Controlo de acesso aos locais e instalações |
Devem ser tomadas medidas para impedir o acesso físico não autorizado a locais e instalações que contenham dados pessoais. As medidas incluirão: ● Sistema de controlo de acesso. ● Leitor de identidade, cartão magnético, cartão com chip. ● (Emissão de) chaves. ● Fechadura de porta (fechadura elétrica, etc.). ● Instalações de vigilância. ● Sistema de alarme, monitor de vídeo / CFTV. ● Registo das saídas/entradas das instalações. |
Controlo de acesso de sistemas |
Devem ser tomadas medidas para prevenir o acesso não autorizado aos sistemas de computador. Estas devem incluir as seguintes medidas técnicas e organizacionais para a identificação e autenticação de utilizadores: ● Protocolos de passwords (incluindo caracteres especiais, comprimento mínimo, alteração forçada de password). ● Não há acesso para utilizadores convidados ou contas anónimas. ● Gestão centralizada de acesso ao sistema. ● O acesso aos sistemas informáticos está sujeito à aprovação da gestão de RH e dos administradores do sistema informático. |
Controlo de acesso a dados |
Devem ser tomadas medidas para evitar que utilizadores autorizados tenham acesso a dados além dos seus direitos de acesso autorizados e para evitar a entrada, leitura, cópia, exclusão, modificação ou divulgação não autorizada dos dados. Essas medidas devem incluir: |
• Direitos de acesso diferenciados. • Direitos de acesso definidos de acordo com as funções. • Registo automatizado de acesso do utilizador através de sistemas de computador. • Medidas para prevenir o uso de sistemas automatizados de tratamento de dados por pessoas não autorizadas utilizando equipamentos de comunicação de dados |
Controlo de divulgação |
Devem ser tomadas medidas para evitar o acesso não autorizado, alteração ou exclusão de dados durante a transferência e para garantir que todas as transferências são seguras e registadas. Estas medidas incluirão: • Uso obrigatório de redes criptografadas privadas para todas as transferências de dados. • Criptografia utilizando VPN para acesso remoto, transporte e comunicação de dados. • Criação de um registo de auditoria de todas as transferências de dados. |
Controlo de entrada |
Devem ser implementadas medidas para garantir que todo a gestão e manutenção de dados sejam registados, e deve ser mantido um registo indicando se os dados foram inseridos, modificados ou excluídos (apagados) e por quem. As medições devem incluir: • Registo de atividades do utilizador em sistemas de computador. • Que seja possível verificar e estabelecer a que entidades os dados pessoais foram ou podem ser transmitidos ou disponibilizados através dos equipamentos de comunicação de dados. • Que seja possível verificar e estabelecer quais dados pessoais foram inseridos em sistemas automatizados de tratamento de dados e quando e por quem. |
Controlo do pedido |
Devem ser estabelecidas medidas para garantir que o tratamentopo de dados esteja estritamente de acordo com as instruções do responsável de tratamento. Estas medidas devem incluir: |
• Acompanhamento da execução do contrato |
Controlo de disponibilidade |
Devem ser adotadas medidas para garantir a proteção dos dados contra a destruição ou perda acidental. Estas medidas devem incluir: • Os sistemas instalados podem, em caso de interrupção, ser restaurados. • Que os sistemas funcionem e as falhas sejam relatadas. • Os dados pessoais armazenados não podem ser corrompidos pelo mau funcionamento do sistema. • Fonte de alimentação ininterrupta (UPS). • Protocolos de continuidade de negócios. • Armazenamento remoto. • Sistemas antivírus/firewall. |
Controlo da segregação |
Devem ser estabelecidas medidas que permitam que os dados recolhidos para diferentes fins sejam tratados separadamente. Estas medidas devem incluir: • Restrição de acesso aos dados armazenados para diferentes fins, dependendo das funções da equipa. • Segregação dos sistemas de informática da empresa. • Segregação de ambientes de teste e produção de TI. |
Apêndice 3
(Lista de sub-processadores)
Subcarregado | Função | País |
Serviços Web da Amazon (AWS) | Alojamento Web | Frankfurt (Alemanha) |
Serviços Web da Amazon (AWS) | Função de reconhecimento facial | Frankfurt (Alemanha) |
Hubspot | Inbound marketing, vendas e atendimento ao cliente. | Irlanda |
Sendgrid (Twilio) | Serviço de entrega de e-mail | Irlanda |
Get site control | Conversão de tráfego Web | Chipre |
Chargebee | Processamento de pagamentos on-line | Estados Unidos |
Typeform | Ferramenta para melhorar a interacção com o utilizador através de questionários. | Espanha |
Microsoft Clarity | Ferramenta de análise de dados on-line que fornece informações sobre o comportamento do usuário em um site. | Estados Unidos |