ACORDO DE PROCESSAMENTO DE DADOS (“DPA”)
ACORDO DE PROCESSAMENTO DE DADOS (“DPA”)
I) Geral
1. Âmbito
O DPA é incorporado por referência e forma parte integrante do Contrato (conforme definido nos Termos e Condições), a menos que as partes celebrem um contrato de tratamento de dados separado como parte de contratos específicos. No caso de qualquer inconsistência entre o DPA e quaisquer outros termos do Contrato, prevalecerá o DPA.
Este DPA aplica-se quando a TD SYNNEX, agindo na qualidade de subcontratante, processa dados pessoais em nome do Comprador e de acordo com as instruções deste, agindo em
seu próprio nome ou em nome dos seus clientes ou dos seus utilizadores finais (“Clientes”) na qualidade de responsável pelo tratamento. Também se aplica no caso de o Comprador, agindo na qualidade de subcontratante, tratar dados pessoais em nome e de acordo com as instruções da TD SYNNEX agindo [em nome próprio ou em nome de um terceiro] na qualidade de responsável pelo tratamento.
Este DPA não se aplica à TD SYNNEX e ao Comprador que partilham dados pessoais entre si como responsáveis pelo tratamento separados ou associados.
Normalmente, a TD SYNNEX atua como um responsável pelo tratamento separado se:
(a) recolher dados pessoais relacionados com as operações do Comprador (tais como dados pessoais relacionados com os funcionários do Comprador);
(b) a TD SYNNEX processar os dados pessoais do utilizador final fornecidos pelo cliente do Comprador para:
(i) realizar verificações de fraude, lavagem de dinheiro, sanções e quaisquer outras verificações, incluindo verificações de listas de partes recusadas, e investigar e processar violações de fraude, lavagem de dinheiro ou sanções relacionadas com o estabelecimento
e manutenção de uma relação com um cliente e prestação de serviços;
(ii) cumprimento das obrigações legais e regulamentares;
(iii) anonimização e/ou análise de dados; e
(iv) o cumprimento do Contrato, incluindo envios diretos e, se necessário para o cumprimento do Contrato, a transferência desses dados pessoais para terceiros que atuam como responsáveis pelo tratamento, tais como transportadores, fabricantes ou prestadores de serviços terceiros.
2. Definições
Qualquer termo não definido neste DPA ou noutras partes do Contrato terá o significado que lhes foi atribuído ao abrigo do Regulamento Geral de Proteção de Dados (UE 2016/679)
(“RGPD”). Referências a artigos do RGPD aqui referidos [Art....
RGPD] apenas se aplicará na medida em que o tratamento esteja sujeito ao RGPD - para todas as outras jurisdições
relevantes, aplicar-se-ão as leis de proteção de dados aplicáveis correspondentes.
“País Terceiro” significa qualquer país que não seja um Estado-Membro da União Europeia (“UE”) ou o Espaço Económico Europeu (“EEE”), nem que seja confirmado pela Comissão Europeia como fornecendo proteção adequada para dados pessoais nos termos do Artigo 45, número 3 do RGPD.
“Tratamento de Dados Pessoais do EEE” para fins deste DPA, significa o tratamento de dados pessoais que se enquadra no âmbito do RGPD ou das Leis de Privacidade do Reino Unido ou da Suíça.
“Cláusulas Contratuais-Tipo” ou “SCC” – as cláusulas contratuais-tipo para a transferência de dados pessoais para países terceiros, no que diz respeito à Decisão de Execução da Comissão (UE) 2021/914 de 4 de junho de 2021 ou qualquer decisão sucessora ou complementar;
“Lei de Privacidade” significa todas as leis e regulamentos aplicáveis relacionados com o processamento de dados pessoais e privacidade que possam existir nas jurisdições relevantes, para os estados-membros da UE ou do EEE, isto inclui o RGPD;
“TOM” significa as medidas técnicas e organizativas na aceção das Leis de Privacidade;
“Subcontratante ulterior” ou “Sub(sub)contratante ulterior” significa terceiros autorizados, ao abrigo deste DPA, a ter acesso lógico e a tratar dados pessoais em conformidade com o Contrato;
“Transferência de Dados” significa qualquer parte que transmite ou dá acesso a dados pessoais.
“Exportador” significa qualquer parte de uma Transferência de Dados localizada no EEE, Reino Unido ou Suíça.
II) Termos especiais para a TD SYNNEX na qualidade de Subcontratante
Esta secção II aplica-se quando a TD SYNNEX, agindo na qualidade de subcontratante, processa dados pessoais em nome do Comprador e vinculados pelas instruções deste, agindo
em seu próprio nome ou em nome dos Clientes na qualidade de responsável pelo tratamento. Aplica-se além da secção III abaixo. Em caso de inconsistência entre as secções II e III, prevalecerá esta secção II.
1. Comunicação eletrónica. A TD SYNNEX pode fornecer ao Comprador informações e avisos no contexto deste DPA eletronicamente, incluindo por e-mail, através do website padrão da TD SYNNEX ou através de um website que a TD SYNNEX identifique.
2. Detalhes do processamento. Ao utilizar os Serviços, o Comprador concorda com os detalhes do tratamento, incluindo natureza, finalidade e assunto do tratamento, categorias de titulares de dados, tipos de dados pessoais, categorias especiais de dados pessoais, XXX e outros subcontratantes – quando relevante – conforme definido no Contrato (incluindo este DPA) e conforme de outra forma disponibilizado e comunicado pela TD SYNNEX
eletronicamente, incluindo por e-mail, através do website padrão da TD SYNNEX ou através de um website que a TD SYNNEX identifique.
3. Cláusulas Contratuais-Tipo. As SCC, se aplicável entre a TD SYNNEX e o Comprador, podem ser encontradas no website da TD SYNNEX ou através de um website que a TD SYNNEX identifique.
4. Obrigações da TD SYNNEX e do Comprador.
4.1. A TD SYNNEX cumprirá toda a Lei de Privacidade aplicável ao mesmo na sua função de subcontratante. A TD SYNNEX não é responsável pelo cumprimento de quaisquer leis ou regulamentos aplicáveis à indústria do
Comprador ou dos seus Clientes que não sejam geralmente aplicáveis a fornecedores dos respetivos Produtos. A TD SYNNEX não determina se os dados do Comprador ou dos seus Clientes incluem informação sujeita a qualquer lei ou regulamento específico.
4.2. O Comprador avaliará e determinará a adequação e a conformidade da utilização dos Produtos por parte do Comprador ou dos seus Clientes com leis e regulamentos, incluindo Leis de Privacidade, especialmente em termos das TOM, outros subcontratantes envolvidos, localização do centro de dados e transferência relevante de dados conforme descrito no Contrato, incluindo o DPA e os detalhes do processamento.
4.3. Se o próprio Comprador não for o responsável pelo tratamento dos dados pessoais, mas tratar os dados pessoais em nome dos Clientes, o Comprador garante ter todos os contratos em vigor e ter todas as permissões e autorizações necessárias do(s) Cliente(s):
- para agir em relação à TD SYNNEX como responsável pelo tratamento de dados ao abrigo deste DPA e exercer todos os direitos enquanto responsável pelo tratamento de dados em relação à TD SYNNEX e aos seus outros subcontratantes, no que diz respeito ao DPA;
- para utilizar a TD SYNNEX como um subcontratante para tratar dados pessoais, conforme estabelecido no Contrato, incluindo este DPA e os detalhes do tratamento;
- para ser o único ponto de contacto para a TD SYNNEX em relação a todas as instruções, avisos, informações e comunicações relacionadas com este DPA e para interagir com a comunicação relevante entre os Clientes e a TD SYNNEX, quando legalmente exigido. A TD SYNNEX será exonerada de qualquer obrigação de informar ou notificar um Cliente quando a TD SYNNEX tiver fornecido essa informação ou notificação ao Comprador. A TD SYNNEX servirá como um único ponto de contacto, tendo em conta os outros subcontratantes da TD SYNNEX.
- para exercer os direitos dos Exportadores, de acordo com as Cláusulas Contratuais-Tipo – quando aplicável
– em relação (i) à TD SYNNEX e/ou (ii) aos seus outros subcontratantes, através da TD SYNNEX em nome do Exportador.
III) Termos Gerais de Processamento
Esta secção III aplica-se para além da secção II, em que a TD SYNNEX, agindo na qualidade de subcontratante, trata dados pessoais em nome e vinculados pelas instruções do Comprador, agindo em nome próprio ou em nome dos Clientes na qualidade de responsável pelo tratamento. Também se aplica no caso de
o Comprador, agindo na qualidade de subcontratante, tratar dados pessoais em nome e de acordo com as instruções da TD SYNNEX agindo [em nome próprio ou em nome de um terceiro] na qualidade de responsável pelo tratamento.
1. Obrigações do responsável pelo tratamento
1.1. O responsável pelo tratamento será o único responsável pelo cumprimento de todas as obrigações legais de um responsável pelo tratamento, em relação ao tratamento de acordo com as Leis de Privacidade. O responsável pelo
tratamento deverá, após a rescisão ou termo do Contrato e mediante a emissão de uma instrução, estipular as medidas para devolver os meios de transporte de dados, incluindo dados pessoais ou eliminar dados pessoais armazenados,
e notificar o subcontratante sem demora injustificada de quaisquer erros ou irregularidades de que tenha conhecimento relacionados com o tratamento de dados pessoais pelo subcontratante.
1.2. O responsável pelo tratamento não utilizará os Produtos em conjunto com dados pessoais, na medida em que tal viole as Leis de Privacidade e obrigue os seus Clientes em conformidade.
2. Obrigações do Subcontratante
2.1. Conformidade com as obrigações do Subcontratante. O Subcontratante cumprirá todas as obrigações aplicáveis aos subcontratantes de acordo com a Lei de Privacidade de dados do EEE. O Subcontratante não é responsável por determinar os requisitos das
leis aplicáveis ao negócio ou indústria do responsável pelo tratamento ou Clientes ou que o fornecimento do subcontratante dos Produtos atende aos requisitos de tais leis.
2.2. Instruções. O Subcontratante tratará os dados pessoais apenas de acordo com as instruções escritas do responsável pelo tratamento, definidas no Contrato, incluindo este
DPA e respetivos anexos, – se aplicável – utilização autorizada e configuração por parte dos responsáveis pelo tratamento dos Produtos ou de outra forma por escrito. O Subcontratante informará imediatamente o responsável pelo tratamento se o subcontratante
considerar que a instrução do responsável pelo tratamento está a violar a legislação aplicável em matéria de proteção de dados e/ou as obrigações contratuais previstas no Contrato, incluindo este DPA. O subcontratante tem o direito de suspender a implementação de tais instruções até que sejam examinadas pelo responsável pelo tratamento e confirmadas ou alteradas como resultado.
O Subcontratante está autorizado a tratar dados pessoais sem a instrução do responsável pelo tratamento, se tal for exigido pela legislação da UE ou dos seus estados- membros aos quais o subcontratante está sujeito; nesse caso, o subcontratante deve informar o responsável pelo tratamento desse requisito legal antes do tratamento, a
menos que essa legislação proíba essa informação por motivos importantes de interesse público.
2.3. Divulgação/Acesso. O Subcontratante não divulgará dados pessoais a terceiros, a menos que autorizado pelo responsável pelo tratamento ou exigido pela legislação da UE ou dos seus estados-membros. Se tal lei exigir que um terceiro, ou um governo, tribunal ou autoridade supervisora com base em tal lei exija acesso a dados pessoais, o subcontratante notificará o responsável pelo tratamento antes da divulgação, a menos que proibido por lei por motivos importantes de interesse público. A menos que seja obrigado a fazê-lo por lei da UE ou dos seus estados-membros, o subcontratante não divulgará quaisquer dados pessoais em resposta a tal pedido apresentado ao subcontratante sem consultar primeiro o responsável pelo tratamento. Quando os dados pessoais do responsável pelo tratamento ficarem sujeitos a busca e apreensão, confiscação durante processos de falência ou insolvência ou eventos ou medidas semelhantes por
terceiros durante o tratamento, o subcontratante informará
o responsável pelo tratamento sem demora injustificada.
2.4. Dever de confiança. O Subcontratante exige que todo o seu pessoal e pessoas a quem foi confiado o processamento de dados pessoais se comprometam com a confidencialidade - a menos que se aplique uma obrigação estatutária adequada de confidencialidade - e
não processem esses dados pessoais para qualquer outra finalidade, exceto sob instruções do responsável pelo tratamento ou de outra forma exigida pela lei da UE ou dos seus estados-membros.
2.5. Direitos do Titular dos Dados. O Subcontratante deverá auxiliar razoavelmente o responsável pelo tratamento a pedido e conforme exigido por lei, no fornecimento de acesso ao titular dos dados e para responder a quaisquer pedidos, reclamações ou outras comunicações de um titular de dados, incluindo pedidos de titulares de dados que procuram exercer os seus direitos ao abrigo das Leis de Privacidade. Se tal pedido, reclamação ou comunicação for recebido ou de outra forma feito
ao subcontratante, o subcontratante deverá informar o responsável pelo tratamento sem demora injustificada, se
o subcontratante for capaz de correlacionar o titular de dados ao responsável pelo tratamento.
2.6. Violação de Dados. O Subcontratante notificará o responsável pelo tratamento sem demora injustificada após tomar conhecimento de qualquer violação de dados pessoais (“Violação de Dados”) que afete os dados pessoais do responsável pelo tratamento. O Subcontratante
tomará as medidas e medidas razoáveis para remediar ou mitigar os efeitos da violação de dados pessoais e ajudará o responsável pelo tratamento a garantir o
cumprimento das suas obrigações, ao abrigo da legislação aplicável sobre Privacidade, para notificar a Violação de Xxxxx às autoridades supervisoras e aos titulares dos dados, tendo em conta a natureza do tratamento e as informações disponíveis ao subcontratante. Em particular, os subcontratantes devem cooperar com o responsável pelo tratamento fornecendo atualizações regulares e outras informações razoavelmente solicitadas. Qualquer comunicado de imprensa, notificação, anúncio público
ou regulamentar ou comunicação relativa a uma Violação de Dados será feito pelo responsável pelo tratamento, a critério exclusivo do responsável pelo tratamento, exceto conforme exigido pelas leis aplicáveis.
2.7. Assistência nas obrigações do Responsável pelo Tratamento. O Subcontratante deverá prestar assistência razoável ao responsável pelo tratamento a pedido deste, com as obrigações do responsável pelo tratamento no
que diz respeito à segurança do tratamento, avaliações do impacto sobre a proteção de dados e consultas prévias, tendo em conta a informação disponível à TD SYNNEX
e a natureza do tratamento. O Subcontratante prestará assistência no âmbito de auditorias a qualquer autoridade de controlo competente, na medida em que essa auditoria esteja relacionada com o tratamento de dados pessoais pelo subcontratante ao abrigo do presente Contrato e conforme razoavelmente solicitado pelo responsável pelo tratamento. A assistência do Subcontratante pode estar sujeita a encargos razoáveis, a menos que a assistência
do subcontratante já esteja tratada no Contrato em conformidade.
2.8. Fim do Contrato. O Subcontratante deverá, por opção do responsável pelo tratamento, eliminar ou devolver todos os dados pessoais ao responsável pelo tratamento, após a rescisão ou termo do Contrato, e eliminar as cópias existentes, a menos que a legislação da UE ou do Estado- Membro exija o armazenamento dos dados pessoais por parte do subcontratante.
3. Medidas de Segurança Técnicas e Oranizativas
3.1. O subcontratante e o responsável pelo tratamento devem implementar e manter as TOM conforme exigido pela Lei de Privacidade aplicável. Isto inclui a implementação e manutenção de TOM para garantir um nível de segurança adequado aos riscos ou danos aos dados pessoais, adequado ao dano que possa resultar do processamento não autorizado ou ilegal ou perda acidental, destruição ou danos e a natureza dos dados a proteger, tendo em conta o estado do desenvolvimento tecnológico e o custo de implementação de quaisquer medidas (estas medidas podem incluir, quando apropriado, pseudonimizar e encriptar dados pessoais, garantindo a confidencialidade,
integridade, disponibilidade e resiliência dos seus sistemas e serviços).
3.2. As XXX estão sujeitas a progresso técnico e a desenvolvimento adicional. O Subcontratante reserva- se o direito de modificar as medidas e salvaguardas implementadas, desde que, no entanto, a funcionalidade e a segurança dos Produtos não sejam degradadas. Quaisquer decisões substanciais relacionadas com a segurança sobre a organização do tratamento de dados
e os procedimentos aplicados devem ser notificados ao responsável pelo tratamento.
3.3. Ao utilizar um Produto, o responsável pelo tratamento reconhece as TOM conforme descrito no Contrato e/ou fornecidas pelo Subcontratante e confirma as XXX para fornecer um nível adequado de proteção em relação aos riscos associados ao tratamento de dados pessoais.
4. Documentação e obrigações de auditoria
4.1. Mediante pedido do responsável pelo tratamento, o subcontratante disponibilizará ao responsável pelo tratamento ou a um terceiro autorizado que aja em nome do responsável pelo tratamento, as informações
necessárias para que o responsável pelo tratamento ou os Clientes cumpram as suas próprias obrigações de auditoria ao abrigo das leis de proteção de dados aplicáveis ou do pedido de uma autoridade de supervisão, e permitirá e contribuirá para revisões e auditorias, incluindo inspeções conforme estipulado abaixo.
4.2. O responsável pelo tratamento pode solicitar ao subcontratante que forneça informações relevantes sobre as TOM, incluindo – quando disponível – certificados, relatórios ou excertos de auditores de relatórios fornecidos por organismos independentes (por exemplo, auditor, encarregado da proteção de dados, departamento de segurança informática, auditor de privacidade de dados, auditor de qualidade).
4.3. Na medida em que não seja possível de outra forma satisfazer uma obrigação de auditoria exigida pela Lei de Privacidade aplicável, o responsável pelo tratamento ou o seu auditor mandatado podem realizar auditorias pessoais no local, a expensas do responsável pelo tratamento, a título individual, normalmente não mais do que uma
vez por ano, durante o horário normal de expediente, com interferência razoável nas operações do responsável pelo tratamento e mediante aviso prévio razoável. O Subcontratante pode determinar que essas auditorias e inspeções estão sujeitas à execução de um compromisso de confidencialidade que protege os dados de outros clientes e a confidencialidade das TOM e salvaguardas implementadas.
4.4. O responsável pelo tratamento de dados informará o subcontratante, sem demora injustificada, de quaisquer erros ou irregularidades detetadas durante uma auditoria.
5. Subcontratante ulterior
5.1. O responsável pelo tratamento autoriza o subcontratante a transferir dados pessoais ou a conceder acesso a dados pessoais a outros subcontratantes contratados por si (e permitir que outros subcontratantes o façam de acordo com esta Cláusula 5) para efeitos de fornecer os Produtos sujeitos às obrigações do responsável pelo tratamento ao abrigo desta Cláusula 5. A autorização acima constitui
o consentimento prévio por escrito do responsável pelo tratamento para o envolvimento de outros subcontratantes pelo subcontratante se tal consentimento for exigido
ao abrigo das Cláusulas Contratuais-Tipo ou Lei de Privacidade. O subcontratante permanece responsável pelo cumprimento por parte dos outros subcontratantes das obrigações deste DPA. O subcontratante disponibiliza ao responsável pelo tratamento uma lista atual de outros subcontratantes, por exemplo, num site do subcontratante.
5.2 O responsável pelo tratamento de dados terá o direito de se opor à contratação de um novo subcontratante, no
prazo de 10 dias a contar da notificação. Caso contrário, o responsável pelo tratamento será considerado como tendo aprovado essa nova atribuição ou alteração. Quando existir
uma razão materialmente importante para uma objeção, e se as partes não conseguirem resolver amigavelmente esta questão, o responsável pelo tratamento terá o direito de rescindir o Contrato relativamente ao Produto em causa.
5.3 O Subcontratante celebra contratos por escrito com cada outro subcontratante que contrate, não menos protetor do que os estipulados neste DPA. Tal contrato, em particular, fornece garantias suficientes para implementar as XXX xxxxxxxxx.
6. Transferência internacional de dados
6.1. O responsável pelo tratamento autoriza o subcontratante a transferir ou dar acesso aos dados pessoais no contexto dos serviços descritos no Contrato, aos detalhes do tratamento e/ou às SCC – quando relevante.
6.2. Qualquer tratamento de dados pessoais fora do país ou região onde o responsável pelo tratamento está localizado está sujeito a um mecanismo adequado de transferência de dados se e conforme exigido pela Lei de Privacidade.
6.3. Para transferências internacionais de dados no contexto do Tratamento de Dados Pessoais do EEE, as SCC têm de ser executadas entre a TD SYNNEX e o Comprador se a parte que transmite ou dá acesso a dados pessoais estiver localizada no EEE, no Reino Unido ou na Suíça e a outra parte, recebendo ou tendo acesso a esses dados estiver localizada num País Terceiro. Os termos deste DPA não se destinam a alterar as SCC, mas sim a fornecer clareza em
termos de processos e procedimentos para cumprir os SCC. Em caso de conflito entre os termos deste DPA e as SCC, prevalecem as SCC.
6.4. Para Transferências de Dados relacionadas com subcontratantes que envolvam outros subcontratantes, o subcontratante celebra as Cláusulas Contratuais-Tipo aplicáveis (Subcontratante para Subcontratante) com os
outros subcontratantes e obriga os outros subcontratantes em conformidade relativamente a qualquer transferência posterior.
7. Confidencialidade
As partes não divulgarão quaisquer informações confidenciais partilhadas no âmbito deste DPA, exceto (i) conforme exigido neste DPA ou nas instruções das partes, (ii) conforme exigido por lei, (iii) em resposta a uma autoridade competente ou agência reguladora ou governamental, e (iv) para divulgações aos seus funcionários, agentes e contratantes vinculados pela confidencialidade numa base de necessidade de conhecimento.