ACORDO DE PROTEÇÃO DE DADOS FORNECEDOR
ACORDO DE PROTEÇÃO DE DADOS FORNECEDOR
Este Acordo de Proteção de Dados (“APD”) é celebrado entre a Cepheid em seu próprio nome e, na medida exigida pelas Leis e Regulamentos de Proteção de Dados aplicáveis em nome das suas filiais autorizadas, se e na medida em que o Fornecedor processar Dados Pessoais para os quais essas filiais autorizadas se qualifiquem como o Controlador e o Fornecedor (doravante designado como o “Fornecedor”). A Cepheid e o Fornecedor são doravante designados individualmente, por “Parte”, ou coletivamente designados por “Partes”.
Este Acordo é executado e faz parte da relação comercial entre a Cepheid e o Fornecedor (“Acordo”) para garantir padrões mínimos de proteção de dados e cibersegurança e requisitos relacionados, e é celebrado e entra em vigor no início de qualquer transferência de Dados Pessoais.
Os termos do APD aplicam-se quando e na medida em que são necessários pela Lei Aplicável (definida abaixo).
POR CONSEGUINTE, para uma boa e valiosa consideração, cujo recebimento e suficiência são aqui reconhecidos, as Partes acordam o seguinte:
1. Definições.
(A) “Legislação Aplicável” significa todas as leis (incluindo as leis e regulamentos mundiais de proteção de dados e privacidade aplicáveis aos Dados Pessoais em questão incluindo, quando aplicável, a Lei de Proteção de Dados da UE ou POPIA), regras ou regulamentos aplicáveis ao Acordo, os Serviços, ou Partes e padrões industriais aplicáveis relativos à privacidade, proteção de dados, confidencialidade, segurança da informação, disponibilidade e integridade, ou o tratamento ou processamento (incluindo retenção e divulgação) dos Dados Pessoais, conforme possam ser alterados, regulados, reformulados ou substituídos ocasionalmente.
(B) “Cepheid” significa a Cepheid e todas as filiais da Cepheid para as quais o Fornecedor presta ou é contratado para prestar Serviços.
(C) “Informações Cobertas” significa, sob qualquer forma, formato ou suporte de dados, qualquer (i) informação confidencial da Cepheid, e/ou (ii) Dados Pessoais, em cada caso juntamente com qualquer chave de encriptação usada para encriptar essas informações ou dados.
(D) “Incidente de Segurança de Dados” significa (i) a perda ou utilização indevida (por qualquer meio) de Informações Cobertas; (ii) o acesso, alteração, corrupção, transferência, venda, aluguer, destruição ou utilização involuntária, não autorizada e/ou ilícita de Informações Cobertas; (iii) qualquer outro ato ou omissão, que comprometa ou possa comprometer a segurança, confidencialidade ou integridade das Informações Cobertas ou um Sistema, ou
(iv) qualquer violação das garantias de segurança.
(E) “Pedido do titular dos dados” significa qualquer pedido feito por uma pessoa singular para aceder, atualizar, rever, corrigir, opor-se ao Processamento ou eliminar Dados Pessoais ou qualquer pedido semelhante, feito ou não de acordo com a Lei Aplicável.
(F) “Lei de Proteção de Dados da UE/RU/Suíça” significa (i) Regulamento 2016/679 do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares, no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral de Proteção de Dados (“RGPD UE”); (ii) o RGPD UE conforme salvo na lei do Reino Unido por virtude da secção 3 da Lei da União Europeia (Retirada) do Reino Unido de 2018 (o "RGPD do RU"); (iii) na Suíça, a Lei Federal de Proteção de Dados de 19 de junho de 1992 (versão revista) (a
“LFPD”); (iv) a Diretiva de Privacidade Eletrónica da UE (Diretiva 2002/58/CE); e (iv) todas e quaisquer leis nacionais de proteção de dados aplicáveis elaboradas ao abrigo do (i), (ii) ou (iii); em todos os casos que possam ser alterados ou substituídos periodicamente.
(G) “Dados Pessoais” significa todos os dados ou informações obtidas pelo Fornecedor de ou em nome da Cepheid, sob qualquer forma ou formato, que identifiquem, digam respeito, descrevam, sejam razoavelmente capazes de serem associados, ou possam ser razoavelmente ser vinculados, direta ou indiretamente, a uma pessoa singular identificada ou identificável. Para maior clareza, Dados Pessoais também significam Informações Pessoais.
(H) “POPIA” significa a Lei de Proteção de Informações Pessoais da África do Sul, uma Lei que trata da proteção e regulamentação do processamento de informações pessoais na República da África do Sul, aprovada a 13 de novembro de 2013 e iniciada a 1 de julho de 2020.
(I) “Processo” (incluindo “Processamento” ou “Processado”) significa qualquer operação ou conjunto de operações que é realizado em qualquer Informação Coberta, quer por meios automáticos ou não, incluindo, mas não se limitando a, recolha, registo, organização, armazenamento, acesso, adaptação, alteração, recuperação, consulta, utilização, divulgação, disseminação, disponibilização, alinhamento, combinação, bloqueio, exclusão, eliminação ou destruição.
(J) "Transferência Restrita" significa (i) quando o RGPD UE se aplicar, uma transferência de Dados Pessoais para um país fora da Área Económica Europeia que não está sujeito a uma determinação de adequação pela Comissão Europeia; (ii) quando o RGPD RU se aplicar, uma transferência de dados pessoais para qualquer outro país que não seja baseada em regulamentos de adequação de acordo com a Secção 17A da Lei de Proteção de Dados do Reino Unido de 2018; (iii) quando a LFPD se aplicar, uma divulgação transfronteiriça na ausência de legislação que garanta uma proteção adequada de acordo com o Artigo 6 da LFPD; e (iv) quando o POPIA se aplicar, uma transferência transfronteiriça, divulgação ou troca de informações fora da República da África do Sul.
(K) “Cláusulas Contratuais-Tipo” significa (i) quando o RGPD UE se aplicar, as cláusulas contratuais anexadas à Decisão de Aplicação da Comissão Europeia 2021/914 de 4 de junho de 2021 sobre as cláusulas contratuais-tipo para a transferência de dados pessoais para países terceiros nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho ("CCT UE"); (ii) quando o RGPD RU se aplicar, o "Aditamento da Transferência Internacional de Dados às Cláusulas Contratuais-Tipo da Comissão da UE" emitido pelo Comissário de Informação sob o s.119A(1) da Lei de Proteção de Dados de 2018 ("Aditamento do RU"); (iii) quando a LFPD se aplicar, os contratos modelo e as cláusulas contratuais-tipo reconhecidas pelo Comissário Federal Suíço de Proteção de Dados e Informações (“FDPIC”) de acordo com o Artigo 6, parágrafo 2, alínea a da LFPD de acordo com a declaração do FDPIC de 27 de agosto de 2021 (originalmente disponível em xxxxx://xxx.xxxxx.xxxxx.xx/xxx/xxxxx/xx/xxxxxxxxx/0000/Xxxxx%00XXX%00xxx.xx%0000000000.xxx.xx wnload.pdf/Paper%20SCC%20def.en%2024082021.pdf) (“Aditamento Suíço”); e (iv) quando o POPIA se aplicar, cláusulas contratuais relacionadas com a proteção, processamento e transferência de informações pessoais executadas por duas partes relativamente a essas informações.
(L) “Subprocessador” significa qualquer entidade ou pessoa que Processe Dados Pessoais em nome do Fornecedor.
(M) “Sistema” significa qualquer sistema, rede, plataforma, base de dados, computador ou telecomunicações ou outro sistema de informação detido, controlado ou operado por ou em nome de qualquer uma das partes ou qualquer uma das suas Filiais para efeitos de Processamento de Informações Cobertas.
Quaisquer termos e expressões que sejam utilizados neste APD e não definidos previamente têm o significado que lhes é atribuído pela Lei Aplicável.
2. Requisitos Gerais. Se o Fornecedor Processar Informações Cobertas em nome da Cepheid, o Fornecedor deve:
(A) Processar Informações Cobertas exclusivamente conforme necessário para prestar os Serviços à Cepheid, e de acordo com a Lei Aplicável e as instruções por escrito da Cepheid. O Fornecedor está especificamente proibido de vender Informações Cobertas e de reter, usar ou divulgar Dados Pessoais para fins comerciais que não sejam o fornecimento dos Serviços ou de qualquer forma fora do relacionamento comercial direto entre o Fornecedor e a Cepheid;
(B) Manter a confidencialidade de todas as Informações Cobertas;
(C) Ser responsável pelo cumprimento da sua equipa dos termos deste APD;
(D) Não divulgar as Informações Cobertas a terceiros (incluindo Subprocessadores):
(1) sem a aprovação prévia por escrito da Xxxxxxx, e desde que o Fornecedor continue a responsabilizar-se por esse terceiro perante a Cepheid, e celebre um acordo escrito e executório com o mesmo, que inclua termos que não sejam menos restritivos do que as obrigações aplicáveis ao Fornecedor, ao abrigo do presente APD; ou
(2) a menos que exigido pela Legislação Aplicável, caso em que o Fornecedor deve, sempre que possível: (a) notificar imediatamente a Cepheid por escrito antes de cumprir qualquer requisito de divulgação, (b) cumprir todas as instruções razoáveis da Cepheid no que diz respeito a essa mesma divulgação, e (c) informar imediatamente a Cepheid de qualquer Informação Coberta assim divulgada;
(E) Notificar de imediato a Cepheid de:
(1) qualquer pedido, inquérito, reclamação, aviso ou comunicação recebidos através de terceiros, incluindo um titular de dados ou uma autoridade de supervisão, com relação a quaisquer Informações Cobertas e cumprir as instruções da Cepheid ao responder a tal pedido, inquérito, reclamação, aviso ou comunicação. Sem limitar a generalidade do acima exposto, o Fornecedor deve notificar a Cepheid por escrito dentro de cinco (5) dias úteis após o recebimento de qualquer Pedido de Titular de Dados relativamente a Dados Pessoais Processados pelo Fornecedor de acordo com este APD e deve fornecer à Cepheid a sua assistência razoável para responder a esse Pedido de Titular de Dados (recebido ou não diretamente pelo Fornecedor);
(2) qualquer instrução da Cepheid que o Fornecedor considere estar a violar a Legislação Aplicável; e
(3) quaisquer alterações substanciais nas notificações, políticas ou procedimentos do Fornecedor que impeçam a capacidade do Fornecedor em cumprir os termos deste APD no que diz respeito à proteção dos Dados Pessoais;
(F) Mediante pedido razoável da Cepheid, apresentar os recursos que utiliza para o Processamento de Informações Cobertas e/ou Dados Pessoais para auditoria que serão realizados por representantes da Cepheid ou por um órgão de auditoria acordado por ambas as partes;
(G) Xxxxxx registos que demonstrem o seu cumprimento com as obrigações nos termos deste APD e disponibilizá-las à Cepheid relativamente a qualquer auditoria supramencionada no ponto (F);
(H) Prestar assistência e cooperar com a Cepheid na medida do possível, inclusive fornecer informações pela Cepheid, para permitir que a Cepheid cumpra as suas obrigações nos termos da Lei Aplicável;
(I) Manter as Informações Cobertas apenas durante o tempo necessário para a execução dos Serviços, e no final da prestação dos Serviços, à escolha da Cepheid, apagar ou devolver as Informações Cobertas à Cepheid conforme especificado no Anexo 1 abaixo, a menos que tenha sido expressamente requerido em contrário pela Lei Aplicável. Sem limitação da generalidade do acima exposto e da duração definida no Anexo 1 abaixo, o Fornecedor deve, dentro de cinco (5) dias úteis de um pedido aplicável da Xxxxxxx, eliminar ou destruir todas as cópias de Dados Pessoais, conforme indicado pela Cepheid, e fornecer uma cópia desses dados num formato portátil e facilmente utilizável, conforme indicado pela Cepheid; e
(J) Se o Fornecedor tiver suspeitas concretas, ou tiver conhecimento de um Incidente de Segurança de Dados:
(1) fornecer à Cepheid uma notificação por escrito, sem atrasos indevidos, e não deixar passar mais de vinte e quatro (24) horas após ter tomado conhecimento de tal suspeita, ou confirmação do Incidente de Segurança de Dados;
(2) garantir uma investigação de tal Incidente de Segurança de Dados, e cooperando da melhor forma com a Cepheid, os seus reguladores e autoridades de aplicação da lei;
(3) não fazer quaisquer anúncios públicos relacionados com tal Incidente de Segurança de Dados sem a aprovação prévia por escrito da Xxxxxxx, que não deverá ser indevidamente recusada; e
(4) tomar medidas corretivas adequadas em tempo útil, a cargo do Fornecedor, para remediar e prevenir uma recorrência de tal Incidente de Segurança de Dados.
3. Cibersegurança e Segurança da Informação. O Fornecedor representa e garante que deve estabelecer, manter e cumprir:
(A) Garantias administrativas, técnicas e físicas criadas para garantir a segurança, confidencialidade, confiabilidade e integridade das Informações Cobertas, assim como quaisquer Sistemas, recursos ou software que o Fornecedor forneça acesso ou suporte. Essas garantias devem:
(1) ser proporcional com o tipo e a quantidade de Informações Cobertas Processadas pelo Fornecedor, tendo em conta a situação e os padrões industriais, e deve, no mínimo, proteger as Informações Cobertas e Sistemas contra ameaças ou perigos razoavelmente antecipados, inclusive de acesso não autorizado, perda, roubo, destruição, uso, modificação, recolha, ataque ou divulgação;
(2) abordar os controlos de segurança estabelecidos na série ISO 27000 e dos Controlos de Segurança Críticos do Center for Internet Security, anteriormente conhecidos como SANS Top 20; e
(3) cumprir os Padrões de Segurança de Dados do Setor de Cartões de Pagamento se o Fornecedor Processar os dados do titular do cartão ou dados de outras contas financeiras;
(B) Um programa e política de segurança por escrito que satisfaça ou exceda os requisitos impostos pela Lei Aplicável e coincida com as práticas estabelecidas do setor. Este programa e política de segurança devem abordar, no mínimo, os seguintes pontos:
(1) identificação de funções organizacionais adequadamente definidas relacionadas com a segurança da informação;
(2) controlos relativos ao emprego e acesso dados às Informações Cobertas por funcionários, agentes e subcontratantes do Fornecedor, incluindo verificações de antecedentes, autorizações de segurança que atribuam privilégios de acesso específicos a pessoas e formação relativa ao tratamento de Informações Cobertas;
(3) um programa de segurança de rede adequado que inclua, sem limitação, encriptação e divisão de rede e aplicações;
(4) identificação e autenticação de acesso;
(5) manutenção e eliminação de suporte de dados;
(6) auditoria e prestação de contas;
(7) proteção física e ambiental;
(8) segurança de sistemas e comunicações;
(9) resposta a incidentes e planeamento; e
(10) a integridade e a confiabilidade de recursos, sistemas e serviços, incluindo identificação de ativos críticos, configuração e gestão de mudanças para sistemas de software e planeamento/redundância de contingência.
4. Direitos de terceiros. As partes neste APD confirmam e reconhecem expressamente que, sempre que o Fornecedor realizar serviços para ou em nome da Cepheid, a Cepheid deve ter o benefício não exclusivo dos direitos decorrentes do presente APD. Deste modo, a Cepheid pode tomar qualquer medida para impor direitos e obrigações decorrentes deste APD.
5. Transferências Internacionais.
(A) As partes concordam que, quando a transferência dos Dados Pessoais da Cepheid para o Fornecedor for uma Transferência Restrita, ela estará sujeita às Cláusulas Contratuais-Tipo apropriadas, conforme estabelecido no Anexo 3.
(B) O Fornecedor não irá participar em (nem irá permitir que qualquer Subprocessador participe em) quaisquer outras Transferências Restritas de Dados Pessoais (seja como exportador ou importador de Dados Pessoais), a menos que:
(i) obtenha primeiro o consentimento prévio por escrito da Xxxxxxx que, quando a Cepheid for um processador em nome de um controlador terceiro, deve refletir as instruções do controlador; e (ii) a Transferência Restrita é feita em total conformidade com a Lei Aplicável e de acordo com as Cláusulas Contratuais-Tipo implementadas entre o exportador e o importador relevantes dos Dados Pessoais.
6. Diversos. Se aplicável, as Cláusulas Contratuais-Tipo, incluindo os Anexos 1-5, devem reger e controlar na eventualidade de qualquer conflito ou inconsistência entre os termos deste APD e as Cláusulas Contratuais-Tipo.
Anexo 1 do APD
Descrição do Processamento de Dados
Lista das Partes Controlador:
1. | Nome: | Cepheid |
Morada: | Conforme definido no Acordo principal entre as Partes | |
Nome da pessoa de contacto, cargo e informação de contacto: | Conforme definido no Acordo principal entre as Partes | |
Atividades relevantes aos dados transferidos de acordo com estas Cláusulas: | Descrito neste Anexo 1 | |
Função | Controlador |
Processador:
1. | Nome: | Fornecedor |
Morada: | Conforme definido no Acordo principal entre as Partes | |
Nome da pessoa de contacto, cargo e informação de contacto: | Conforme definido no Acordo principal entre as Partes | |
Atividades relevantes aos dados transferidos de acordo com estas Cláusulas: | Descrito neste Anexo 1 | |
Função | Processador |
Descrição da transferência Objeto do Processamento
Os Dados Pessoais são processados para os seguintes objetivos:
Os dados serão utilizados conforme necessário para prestar os Serviços e quaisquer instruções por escrito adicionais da Cepheid.
Duração do Processamento
Os Dados Pessoais serão processados até:
A conclusão dos Serviços, salvo acordado de outra forma por escrito. No final do Processamento, o Fornecedor irá realizar uma das seguintes ações:
• Devolver os Dados Pessoais à Cepheid
• Desidentificar/Anonimizar os Dados Pessoais
• Purgar/Destruir os Dados Pessoais
Frequência da transferência
Os Dados Pessoais serão Processados numa base pontual ou contínua.
Natureza do processamento:
Processamento das operações
Os Dados Pessoais serão sujeitos às seguintes atividades básicas de Processamento:
O tempo necessário para a execução dos Serviços e conforme as instruções da Cepheid, incluindo o registo, armazenamento, consulta, utilização, divulgação por transmissão, combinação, restrição, eliminação ou destruição, anonimização, análise, relatórios.
Categorias dos titulares dos dados
Os Dados Pessoais a serem processados podem incluir qualquer uma das seguintes categorias de titulares de dados: Funcionários ou pessoas de contacto de qualquer uma das partes, contratantes independentes, clientes, pacientes, outros terceiros
Categorias de Dados Pessoais
Os Dados Pessoais a serem processados podem incluir qualquer uma das seguintes categorias de dados:
Informações de contacto, informações de emprego, identificação pessoal, dados de saúde, detalhes e dados geográficos do paciente, disposição do paciente
Categorias Especiais de Dados (se aplicável)
Os Dados Pessoais a serem processados podem as seguintes Categorias Especiais de Dados: Informações biométricas, número da segurança social, informações de saúde
Autoridade Competente
Esta será a autoridade supervisora do Estado-membro da UE onde o exportador está estabelecido, a Comissão de Informação se o exportador estiver estabelecido no Reino Unido ("RU") ou o FDPIC se o exportador estiver estabelecido na Suíça. Quando o exportador não estiver estabelecido num Estado-membro da UE, do RU ou da Suíça, mas estiver sujeito à Lei de Proteção de Dados da UE/RU/Suíça, será a autoridade supervisora na jurisdição onde o representante da Cepheid estiver estabelecido (conforme exigido pela Lei de Proteção de Dados da UE/RU/Suíça). Quando a nomeação de um representante não for exigida pela Lei de Proteção de Dados da UE/RU/Suíça, a autoridade supervisora será o CNIL na França se os indivíduos cujos dados a transferir estiverem localizados na UE, o Comissário de Informação se os indivíduos estiverem localizados no RU ou o FDPIC se os indivíduos estiverem localizados na Suíça. Se os Dados Pessoais forem originários do Canadá, a autoridade supervisora será um dos Comissários com jurisdição sobre a matéria, conforme determinado pela Lei Aplicável de Proteção de Dados.
Medidas de segurança técnicas e organizacionais
O Processador garante que implementou e irá continuar a implementar nos termos deste APD medidas técnicas e organizacionais apropriadas de forma a que o seu Processamento de Dados Pessoais nos termos deste APD satisfaça os requisitos da Lei de Proteção de Dados Aplicável e garanta a proteção dos direitos do Titular dos Dados.
Descrição das medidas de segurança técnicas e organizacionais mínimas necessárias a serem implementadas pelo Fornecedor:
• Padrões estabelecidos com os quais todos os utilizadores devem concordar que determinam que computadores podem ou não ser utilizados
• Execução de avaliações de risco para novas empresas integradas que interagem com os dados da Cepheid e para quando grandes mudanças são feitas
• Controlo de que softwares os utilizadores podem instalar e utilizar e ter um processo de aprovação de novos softwares
• Execução de várias versões de formação de segurança anual, newsletters de segurança e testes de phishing mensais
• Processos estabelecidos e testados para identificar e responder a eventos de segurança
• Processos estabelecidos e testados para a realização de backups e recuperação de dados e sistemas
• Regras para o provisionamento, desaprovisionamento e alteração do acesso dos utilizadores
• Requisito de palavra-passe com 12 caracteres, complexa e alterada a cada 90 dias
• Padrões para a forma como os serviços na nuvem são comprados e configurados
• Padrão para como os computadores e sistemas são rastreados num único lugar
• Execução das reuniões de gestão de mudanças para revisão antes de fazer alterações
• Padrões para como os dispositivos de rede são configurados, ligados e mantidos
• Bases de segurança mínima para todos os tipos de sistema definidos
o Os Portáteis/Computadores requerem software de proteção contra Malware, software de acesso à rede e proteção USB
• Padrões para o envio de registos de eventos para um sistema central de rastreio (SIEM)
• Um processo para identificar e corrigir vulnerabilidades de segurança e patches regularmente
Disposições de Transferência do RU/UE e Suíça
(a) O Módulo Dois “Controlador para o Processador” aplicar-se-á na medida em que a Cepheid for um controlador dos Dados Pessoais;
(b) na Cláusula 7, não se irá aplicar a cláusula de acoplamento opcional;
(c) na Cláusula 9, a Opção 1 aplicar-se-á, e o período de tempo para o aviso prévio de alterações do Subprocessador deve ser de (15) dias;
(d) na Cláusula 11, a linguagem opcional não aplicar-se-á;
(e) na Cláusula 17, a Opção 2 aplicar-se-á, e as CCT UE serão regidas pela lei da jurisdição de estabelecimento do exportador de dados, quando aplicável e onde tal lei permitir direitos de terceiros e, caso contrário, a lei da França;
(f) na Cláusula 18(b), as disputas serão resolvidas perante os tribunais do país do exportador de dados e, caso contrário, os tribunais da França;
(i) Parte A: com a informação constante no Anexo 1 a este APD;
(ii) Parte B: com a descrição de Processamento relevante constante no Anexo 1 a este APD; e
(iii) Parte C: em conformidade com os critérios constantes na Cláusula 13(a) das CCT UE;
(h) Anexo II: com as Medidas Mínimas de Segurança; e
(i) Anexo III: com Anexo 5 deste APD.
2. Quando o Aditamento do RU for considerado celebrado e incorporado neste APD por referência entre as Partes, o Aditamento do RU será celebrado da seguinte forma:
(a) As CCT UE, executadas conforme estabelecido acima na cláusula 1 deste Anexo 3, também se aplicam às transferências de tais Dados Pessoais, sujeitos à subcláusula 2; (b) deste Anexo 3 abaixo;
3. Quando o Aditamento da Suíça for considerado celebrado e incorporado neste APD por referência entre as Partes, o Aditamento da Suíça será celebrado da seguinte forma:
(a) As CCT UE, executadas conforme estabelecido acima na cláusula 1 deste Anexo 3, também se aplicam às transferências de tais Dados Pessoais, sujeitos à subcláusula 3; (b) deste Anexo 3 abaixo;
(b) as Cláusulas Contratuais-Tipo incorporadas por referência irão proteger os Dados Pessoais das entidades legais na Suíça até à entrada em vigor do LFPD revisto.
Anexo 4 do APD
4.1 Requisitos adicionais para a transferência de Dados Pessoais fora do Espaço Económico Europeu
Os seguintes requisitos adicionais devem ser aplicados a qualquer Transferência Restrita:
1. O Fornecedor deve disponibilizar regularmente à Cepheid informações relativamente aos pedidos de autoridades públicas para acesso a Dados Pessoais e à forma de resposta fornecida (se permitida por lei);
2. O Fornecedor garante que não criou propositadamente backdoors técnicos ou processos internos para facilitar o acesso direto das autoridades públicas aos Dados Pessoais, e não é exigido pela lei aplicável ou prática criar ou manter backdoors;
3. O Fornecedor deve questionar qualquer autoridade pública que efetue um pedido de acesso sobre Xxxxx Xxxxxxxx se está a cooperar com quaisquer outras autoridades estatais em relação ao assunto;
4. O Fornecedor deve prestar assistência razoável aos titulares de dados no exercício dos seus direitos aos Dados Pessoais na jurisdição recetora;
5. O Fornecedor deve cooperar com a Cepheid na eventualidade de uma autoridade supervisora relevante ou tribunal determinar que uma transferência de Xxxxx Xxxxxxxx deve estar sujeita a garantias adicionais específicas;
6. O Fornecedor deve implementar encriptação e/ou outras medidas técnicas suficientes para proteger razoavelmente contra a interceção de Xxxxx Xxxxxxxx durante o tráfego ou outro acesso não autorizado por autoridades públicas; e
7. O Fornecedor deve ter políticas e procedimentos apropriados em vigor, incluindo formação, de forma a que os pedidos de acesso aos Dados Pessoais das autoridades públicas sejam encaminhados para a função adequada e devidamente tratados.
4.2 Requisitos adicionais para a transferência de Dados Pessoais fora da República da África do Sul
Os seguintes requisitos adicionais aplicam-se à transferência de Dados Pessoais fora da República da África do Sul:
1. A transferência de dados pessoais fora da África do Sul deve satisfazer os seguintes parâmetros:
(A) a Parte destinatária das informações está sujeita a uma lei, a regras corporativas vinculativas ou a um acordo vinculativo que forneça um nível adequado de proteção que:
(a) defenda efetivamente princípios para o processamento razoável das informações substancialmente semelhantes às condições de processamento legal de informações pessoais relativas a um titular de dados que seja uma pessoa singular e, quando aplicável, uma pessoa jurídica; e
(b) inclua disposições, relativamente à transferência adicional de informações pessoais do destinatário para terceiros que se encontrem num país estrangeiro;
(B) o titular dos dados consente com a transferência;
(C) a transferência é necessária para a execução de um contrato entre o titular dos dados e a parte responsável, ou para a implementação de diligências prévias à formação do contrato decididas em respostas ao pedido do titular dos dados;
(D) a transferência é necessária para a celebração ou execução de um contrato celebrado no interesse do titular dos dados entre a parte responsável e um terceiro; ou
(E) a transferência é em benefício do titular dos dados, e:
(a) não é razoavelmente praticável obter o consentimento do titular dos dados para essa transferência; e
(b) se fosse razoavelmente praticável obter o consentimento esse consentimento, o titular dos dados provavelmente o concederia.
2. Para efeitos desta secção:
(A) “regras corporativas vinculativas” significa políticas de tratamento de informações pessoais, dentro de um grupo de empresas, que são aplicáveis a uma parte responsável ou operador desse grupo de empresas ao transferir informações pessoais para uma parte responsável ou operador dentro desse mesmo grupo de empresas num país estrangeiro; e
(B) «grupo de empresas», significa uma empresa que exerce o controlo e as suas empresas controladas;
Anexo 5 do APD Lista de subprocessadores
O Fornecedor deve manter processos documentados para selecionar, avaliar, qualificar e manter subprocessadores usados e terceiros envolvidos na prestação de serviços à Cepheid. O Fornecedor irá fornecer à Cepheid uma lista dos subprocessadores atuais e informar a Cepheid de quaisquer alterações planeadas no que diz respeito à adição ou substituição de subprocessadores pelo menos 15 dias antes da adição/substituição produzir efeitos. A Cepheid tem a oportunidade de se opor a tais alterações.