CONTRATO DE TRATAMENTO DE DADOS PESSOAIS
CONTRATO DE TRATAMENTO DE DADOS PESSOAIS
Última versão datada de 26.02.2020
O presente Contrato de Tratamento de Dados Pessoais (“CTDP”), parte integrante de qualquer acordo de prestação de serviços, referido doravante como “Contrato”, é celebrado entre a OVH HOSTING Sistemas Informáticos Unipessoal, Lda. (“OVHcloud”), e o Cliente, e define os termos e condições aplicáveis aos serviços prestados pela OVHcloud (os “Serviços”). Este CTDP e outros contratos são complementares. Contudo, em caso de conflito, o CTDP prevalecerá.
Termos que comecem com letra maiúscula e que não estejam definidos neste CTDP terão o significado definido no Contrato. As expressões “Regras Vinculativas Aplicáveis às Empresas”, “Responsável pelo Tratamento”, “Dados Pessoais”, “Violação de Dados Pessoais”, “Tratamento”, “Subcontratante”, “Autoridade de Controlo” deverão ser interpretadas tal como definidas no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (“Regulamento Geral sobre Proteção de Dados” ou “RGPD”)
Parte 1 – Dados pessoais tratados pela OVHcloud na qualidade de Subcontratante ao abrigo de instruções do Cliente
O objetivo desta parte é definir, nos termos do artigo 28.º do RGPD, as condições sob as quais a OVHcloud tem direito, como Subcontratante e como parte dos Serviços definidos no Contrato, para proceder ao tratamento por intermédio e sob instrução do Cliente, de dados pessoais nos termos definidos no RGPD (“Dados Pessoais”).
Para efeitos desta parte, o Cliente pode atuar tanto como “Responsável pelo Tratamento” ou “Subcontratante relativamente aos Dados Pessoais. Se o Cliente estiver a atuar como Subcontratante em nome de um terceiro Responsável pelo Tratamento, as Partes concordam expressamente com as seguintes condições:
a) O Cliente deverá assegurar que (i) todas as autorizações necessárias para celebrar o presente CTDP, incluindo a indicação pelo Cliente da OVHcloud como subcontratante, foram obtidas junto do Responsável pelo Tratamento, (ii) um contrato, que esteja totalmente de acordo com os termos e condições do Contrato, incluindo este CTPD, foi celebrado com o Responsável pelo Tratamento de acordo com o referido artigo 28.º do RGPD, (iii) quaisquer instruções recebidas pela OVHcloud por parte do Cliente na execução do Contrato e deste CTPD estão totalmente de acordo com as instruções fornecidas pelo Responsável pelo Tratamento e (iv) toda a informação comunicada ou disponibilizada pela OVHcloud nos termos deste CTPD é adequadamente comunicada ao Responsável pelo Tratamento, conforme necessário.
b) a OVHcloud deve (i) tratar Dados Pessoais apenas sob as instruções do Cliente e (ii) não receber nenhuma instrução diretamente do Responsável pelo Tratamento, exceto nos casos em que o Cliente tenha desaparecido ou deixado de existir juridicamente, sem que nenhuma entidade suceda nos direitos e obrigações do Cliente.
c) O Cliente, que é totalmente responsável perante a OVHcloud pela correta execução das obrigações do Responsável pelo Tratamento, conforme previsto no presente CTPD, deve indemnizar e afastar a responsabilidade da OVHcloud contra (i) qualquer falha do Responsável pelo Tratamento em cumprir a lei aplicável, e (ii) qualquer ação, reclamação ou queixa do Responsável pelo Tratamento relativa às disposições do Contrato (incluindo este CTPD) ou qualquer instrução recebida pela OVHcloud por parte do Cliente.
1. Âmbito
A OVHcloud está autorizada, como Subcontratante agindo sob instrução do Cliente, a tratar os Dados Pessoais do Responsável pelo Tratamento na medida necessária para prestar os Serviços.
A natureza das operações realizadas pela OVHcloud sobre Dados Pessoais pode ser de computação, armazenamento e / ou quaisquer outros Serviços, conforme descrito no Contrato.
O tipo de Dados Pessoais e as categorias de titulares dos dados são determinados e controlados pelo Cliente, a seu exclusivo critério.
As atividades de tratamento são realizadas pela OVHcloud pela duração prevista no Contrato.
2. Escolha de Serviços
O Cliente é o único responsável pela escolha dos Serviços. O Cliente deve assegurar que os Serviços escolhidos têm as caraterísticas e condições necessárias para cumprir as atividades e finalidades de tratamento do Responsável pelo Tratamento, bem como o tipo de Dados Pessoais a serem tratados nos Serviços, incluindo, mas não se limitando a, quando os Serviços são usados para tratar Dados Pessoais que estão sujeitos a regras ou padrões específicos (por exemplo, dados de saúde ou bancários em alguns países). O Cliente é informado de que a OVHcloud propõe determinados Serviços com medidas organizacionais e de segurança especificamente concebidas para o tratamento de dados de cuidados de saúde ou dados bancários.
Se o tratamento do Responsável pelo Tratamento puder resultar em alto risco para os direitos e a liberdade de pessoas físicas, o Cliente deverá selecionar cuidadosamente seus Serviços. Ao avaliar o risco, os seguintes critérios devem, nomeadamente, mas não apenas, ser tomados em consideração: avaliação ou pontuação dos titulares de dados; tomada de decisão automatizada com efeito legal ou similar significativo; monitorização sistemática dos titulares de dados; tratamento de dados sensíveis ou dados de natureza altamente pessoal; tratamento em larga escala; correspondência ou combinação de conjuntos de dados; tratar dados relativos a sujeitos de dados vulneráveis; usando novas tecnologias inovadoras não reconhecidas pelo público, para o tratamento.
A OVHcloud disponibilizará informação ao Cliente, nas condições abaixo estabelecidas na secção “Auditoria”, relativamente às medidas de segurança implementadas no âmbito dos Serviços, na medida necessária para avaliar a conformidade destas medidas com as atividades de tratamento do Responsável pelo Tratamento.
3. Cumprimento das Regras Aplicáveis
Cada Parte deve cumprir a legislação aplicável sobre proteção de dados (incluindo o Regulamento Geral sobre Proteção de Dados).4. Obrigações da OVHcloud
A OVHcloud compromete-se a:
a) tratar os Dados Pessoais carregados, armazenados e utilizados pelo Cliente dentro dos Serviços apenas na medida em que sejam necessários e proporcionais para fornecer os Serviços, nos termos fixados no Contrato,
b) não aceder, nem utilizar os Dados Pessoais para qualquer outra finalidade que não seja a
necessária para prestar os Serviços (especialmente em relação às finalidades de Gestão de Incidentes),
c) estabelecer as medidas técnicas e organizativas descritas no Contrato, para garantir a segurança dos Dados Pessoais na prestação do Serviço;
d) garantir que os funcionários da OVHcloud autorizados a tratar Dados Pessoais ao abrigo do Contrato estão sujeitos a uma obrigação de confidencialidade e recebem formação adequada sobre a proteção de Dados Pessoais,
e) informar o Cliente, se, na sua opinião e dadas as informações à sua disposição, uma instrução do Cliente infringir as disposições de proteção de dados do RGPD ou de outra disposição da União Europeia ou de um Estado-Membro da União Europeia,
f) em caso de solicitações recebidas de uma autoridade competente e relacionadas a Dados Pessoais tratados neste contexto, a informar o Cliente (a menos que seja proibido pelas leis aplicáveis ou por uma decisão cautelar da autoridade competente) e a limitar a comunicação de dados ao que a autoridade tenha expressamente requisitado.
Mediante solicitação por escrito do Cliente, a OVHcloud fornecerá ao Cliente assistência razoável na realização de avaliações de impacto sobre a proteção de dados e consulta prévia à autoridade supervisora competente, se o Cliente estiver obrigado a fazê-lo, nos termos das regras de proteção de dados aplicáveis e, em cada caso, apenas na medida que tal assistência é necessária e se relaciona com o tratamento pela OVHcloud de Dados Pessoais deste CTPD. Essa assistência consistirá em fornecer transparência sobre as medidas de segurança implementadas pela OVHcloud na prestação dos seus Serviços.
A OVHcloud compromete-se a implementar as seguintes medidas técnicas e organizativas:
(a) Medidas de segurança física destinadas a impedir o acesso de pessoas não autorizadas à infraestrutura onde estão armazenados os dados do Cliente;
(b) verificações de identidade e de acesso utilizando um sistema de autenticação, bem como uma política de palavras-passe,
(c) Um sistema de gestão do acesso que limite o acesso às instalações às pessoas que delas necessitem, no exercício das suas funções e no âmbito das suas responsabilidades;
(d) pessoal de segurança responsável pelo controlo da segurança física das instalações da OVHcloud;
(e) um sistema que física e logicamente isola os Clientes uns dos outros,
(f) processos de autenticação de utilizadores e administradores, bem como medidas para proteger o acesso a funções de administração,
(g) um sistema de gerenciamento de acesso para operações de suporte e manutenção que opera com base nos princípios dos “privilégios mínimos” (principle of least privilege) e necessidade de conhecimento (need to know), e
(h) processos e medidas para rastrear ações executadas em seu sistema de informação. Estas medidas técnicas e organizativas estão detalhadamente descritas na página da OVHcloud.
5. Violação de dados pessoais
Se a OVHcloud tomar conhecimento de um incidente que afete os Dados Pessoais do Responsável pelo Tratamento (como acesso não autorizado, perda, divulgação ou alteração de dados), a OVHcloud notificará o Cliente sem demora injustificada.
A notificação deve (i) descrever a natureza do incidente, (ii) descrever as consequências prováveis do incidente, (iii) descrever as medidas tomadas ou propostas pela OVHcloud em resposta ao incidente e
(iv) fornecer o ponto de contacto da OVHcloud .
6. Localização e transferência de Dados Pessoais
Nos casos em que os Serviços permitirem que o Cliente armazene Conteúdo e, especialmente, Dados Pessoais, a localização ou a área geográfica do Centro de Dados disponível é especificada no sítio da Internet da OVHcloud. Se vários locais ou áreas geográficas estiverem disponíveis, o Cliente deverá selecionar o escolhido ao enviar o seu Pedido. Sujeito a alguma disposição em sentido contrário constante nos Termos e Condições Especiais aplicáveis, a OVHcloud não modificará, sem o consentimento do Cliente, a localização ou a área geográfica escolhida ao enviar seu Pedido.
Os Dados Pessoais armazenados pelo Cliente não deverão ser transferidos pela OVHcloud para um país não reconhecido pela Comissão Europeia como assegurando um nível adequado de proteção ("Decisão de Adequação"), a menos que (a) tal transferência esteja expressamente prevista nos Termos e Condições aplicáveis, ou que (b) o Cliente selecione um centro de dados localizado fora da União Europeia num país que não está sujeito a uma Decisão de Adequação ou (c) com o consentimento do Cliente.
Sujeito à disposição de localização do Centro de Dados acima referida, a OVHcloud e os Subcontratantes, de acordo com a secção 7 abaixo, podem, excluindo os Estados Unidos da América, processar remotamente o Conteúdo do Cliente, desde que esse acesso ocorra apenas na medida necessária para a execução dos Serviços e, em particular, esteja relacionado com segurança e gestão de incidentes.
Se, nos termos deste Contrato, os Dados Pessoais tratados nos termos deste CTDP serem transferidos para fora da União Europeia para um país que não esteja sujeito a uma Decisão de Adequação, deverão ser implementados um acordo de transferência de dados em conformidade com as Cláusulas Contratuais-Tipo adotadas pela Decisão n.º 2010/87/EU, datada de 5 de fevereiro de 2010 da Comissão Europeia, ou a critério da OVHcloud, deve ser implementada qualquer outra medida de salvaguarda adequada nos termos do capítulo V "Transferências de dados pessoais para países terceiros ou organizações internacionais" do RGPD. O Cliente desde já mandata a OVHcloud para acordar as Xxxxxxxxx Contratuais Padrão com o Importador de Dados Pessoais, em nome e representação do Exportador de Xxxxx Xxxxxxxx, e declara e garante que dispões de todas as autorizações para o efeito.
Quando as Cláusulas Contratuais Padrão são implementadas, aplica-se o seguinte:
(a) Para as cláusulas 5 f) e 12 (2) das Cláusulas Contratuais Padrão, aplicam-se as disposições da secção 12 deste CTDP.
(b) Para a cláusula 11 das Cláusulas Contratuais Padrão, o Cliente consente com a OVHcloud e o Importador de Dados para envolver subcontratantes nas condições referidas na secção 7 deste CTDP.
(c) Para a cláusula 12 (1) das Cláusulas Contratuais Padrão, o Importador de Dados deverá, nas condições previstas no Contrato, em particular a secção 10 "Apagamento e devolução de Dados Pessoais" deste CTDP, (i) auxiliar o Exportador de Dados para recuperar os seus dados e (ii) apagar os dados do Exportador de Dados.
(d) Se o Importador de Dados for responsabilizado pela violação de obrigação que sobre ele recai nos termos das Cláusulas Contratuais Padrão, qualquer disposição de responsabilidade do Contrato, em particular, mas sem limitar, a secção 11 deste CTDP, deverá ser aplicada e ser totalmente vinculativa e executória contra o Importador de Dados e contra o Exportador de Dados.
O objetivo do parágrafo anterior é especificar como as Partes concordam em aplicar as Xxxxxxxxx Contratuais Padrão e não derrogar ou entrar em conflito com as Cláusulas Contratuais Padrão. Em caso de conflito, as Cláusulas Contratuais Padrão deverão prevalecer.
O Responsável pelo Tratamento deverá completar todas as avaliações (tais como avaliações de impacto sobre a proteção de dados) e obter todas as autorizações necessárias (inclusive dos titulares dos dados ou das autoridades de proteção de dados competentes, se necessário) para transferir Dados Pessoais dentro do âmbito do Contrato.
7. Contratação de um subcontratante para o tratamento
Sujeito às disposições da secção “Localização e transferência de dados pessoais” acima, a OVHcloud está autorizada a subcontratar para assistência na prestação dos Serviços. Como parte de tal assistência, os subcontratados podem participar das atividades de processamento de dados realizadas pela OVHcloud sob as instruções do Cliente.
A lista de subcontratantes que estão autorizados a participar das atividades de tratamento realizadas pela OVHcloud sob as instruções do Cliente ("Subcontratantes”), incluindo os Serviços em questão e o local a partir do qual eles podem processar os Dados Pessoais do Cliente de acordo com este Contrato, é fornecido (a) no site da OVHcloud ou, (b) quando um Subcontratante participa apenas num Serviço específico, nos Termos e Condições Específicos aplicáveis.
Se a OVHcloud decidir alterar um Subcontratante ou adicionar um novo Subcontratante (“Alteração do Subcontratante”), a OVHcloud notificará o Cliente por email (para a morada de email registada na Conta do Cliente) (a) com trinta (30) dias de antecedência se o Subcontratante for uma Afiliado da OVHcloud localizado na União Europeia ou em um país sujeito a uma Decisão de Adequação ou (b) noventa (90) dias de antecedência em qualquer outro caso. O Cliente tem o direito de se opor a uma Alteração do Subcontratante, nos termos do RGPD. A objeção deve ser notificada à OVHcloud dentro de quinze (15) dias após o aviso de Alteração do Subcontratante por parte da OVHcloud ao Cliente e especificando o motivo da objeção. Essa objeção deve ser notificada pelo Cliente através do seu Interface de Gerenciamento, usando a categoria “Solicitação de Proteção de Dados” ou por escrito ao Encarregado de Proteção de Dados, OVHcloud SAS, 0 xxx Xxxxxxxxxx 00000 Xxxxxxx (Xxxxxx). A OVHcloud não deve, em caso algum, ser obrigada a renunciar a uma alteração de Subcontratante. Se, após a objeção de um Cliente, a OVHcloud não renunciar à alteração do Subcontratante, o Cliente tem o direito de encerrar os Serviços afetados.
A OVHcloud deverá assegurar que o Subcontratante é, no mínimo, capaz de cumprir as obrigações assumidas pela OVHcloud no presente CTPD relativamente ao tratamento de Dados Pessoais realizados pelo Subcontratante. Para o efeito, a OVHcloud deve celebrar um contrato com o Subcontratante. A OVHcloud permanecerá totalmente responsável perante o Cliente pelo desempenho de qualquer obrigação que o Subcontratante não cumpra.
A OVHcloud está pelo presente autorizada a contratar fornecedores terceiros (como fornecedores de energia, provedores de rede, gestores de pontos de interligação de rede ou instalações de centro de dados, fornecedores de material e software, transportadores, fornecedores técnicos, empresas de segurança), independentemente de onde se encontrem localizadas, sem ter de informar o Cliente ou obter sua aprovação prévia, desde que tais provedores de terceiros não procedam ao tratamento de Dados Pessoais do Cliente.
8. Obrigações do Cliente
Para o tratamento de Dados Pessoais, conforme previsto no Contrato, o Cliente deverá fornecer à OVHcloud por escrito (a) toda as instruções relevantes e (b) qualquer informação necessária para a criação dos registos do Subcontratante das atividades de tratamento. O Cliente é o único responsável por tais informações de tratamento e instruções comunicadas à OVHcloud.
O Cliente é responsável por garantir que:
a) o tratamento dos Dados Pessoais em execução do Serviço tem uma base legal apropriada (por exemplo, consentimento do titular dos dados, consentimento do Responsável pelo Tratamento, interesses legítimos, autorização da autoridade competente relevante, etc.),
b) são implementados todos os procedimentos e formalidades exigidos (como seja a avaliação de impacto sobre proteção de dados, solicitação de notificação e autorização à autoridade competente ou outro órgão competente, quando necessário),
c) os titulares dos dados são informados sobre o tratamento dos respetivos Dados Pessoais de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples, conforme previsto no RGPD,
d) os titulares dos dados são informados e devem ter a todo o tempo a possibilidade de exercer facilmente os seus direitos conforme previsto no RGPD diretamente ao Responsável pelo Tratamento.
O Cliente é responsável pela implementação de medidas técnicas e organizativas no domínio da segurança dos recursos, sistemas, aplicações e operações que não estejam no âmbito de responsabilidade da OVHcloud, conforme definido no Contrato (nomeadamente, qualquer sistema e software implementado e executado pelo Cliente ou pelos Utilizadores no âmbito dos Serviços).
9. Direitos do titular dos dados
O Responsável pelo Tratamento é totalmente responsável por informar os titulares dos dados sobre os seus direitos, e por respeitar esses direitos, incluindo os direitos de acesso, retificação, exclusão, limitação, portabilidade ou apagamento.
A OVHcloud fornecerá cooperação e assistência razoáveis, conforme seja razoavelmente exigido para o propósito de responder aos pedidos dos titulares de dados. A cooperação e a assistência razoáveis podem consistir em (a) comunicar ao Cliente qualquer solicitação recebida diretamente do Titular dos Dados e (b) permitir que o Responsável pelo Tratamento projete e implemente as medidas técnicas e organizativas necessárias para responder às solicitações dos Titulares dos Dados. O Responsável pelo Tratamento será o único responsável por responder a tais solicitações.
O Cliente reconhece e concorda que no caso de tal cooperação e assistência exigir recursos significativos por parte do Subcontratante, este esforço será exigível mediante aviso prévio e acordado com o Cliente.
10. Apagamento e devolução dos Dados Pessoais
Após o término de um Serviço (nomeadamente, em caso de rescisão ou não renovação), a OVHcloud compromete-se a apagar, nas condições previstas no Contrato, todo o Conteúdo (incluindo informação, dados, ficheiros, sistemas, aplicações, sítios da Internet e outros itens) que seja reproduzido, armazenado, hospedado ou de outra forma utilizado pelo Cliente no âmbito dos Serviços, a menos que um pedido emitido por uma autoridade legal ou judicial competente, ou a lei aplicável na União Europeia ou de um Estado Membro da União Europeia, exija o contrário.
O Cliente é o único responsável por assegurar que as operações necessárias (como backup, transferência para uma solução de terceiros, Instantâneos, etc.) para a preservação dos Dados Pessoais sejam realizadas, especialmente, antes do término ou expiração dos Serviços, e antes prosseguir com quaisquer operações de apagamento, atualizações ou reinstalação dos Serviços.
A este respeito, o Cliente é informado de que a rescisão e termo de um Serviço por qualquer motivo (incluindo, mas não limitado, à não renovação), bem como certas operações para atualizar ou reinstalar os Serviços, podem resultar automaticamente no apagamento irreversível de todo o Conteúdo (incluindo informações, dados, arquivos, sistemas, aplicativos, sítios da Internet e outros itens) que é reproduzido, armazenado, hospedado ou de outra forma utilizado pelo Cliente dentro do âmbito dos Serviços, incluindo qualquer potencial backup.
11. Responsabilidade
A OVHcloud só pode ser responsabilizada por danos causados no tratamento para os quais (i) não tenha cumprido as obrigações do RGPD especificamente relacionadas com tratamento de dados pelos Subcontratantes ou (ii) tenha agido de forma contrária às instruções escritas lícitas do Cliente. Nesses casos, a disposição de responsabilidade do Contrato será aplicada.
Caso a OVHcloud e o Cliente estejam envolvidos num tratamento ao abrigo deste Contrato que tenha causado danos ao titular dos dados, o Cliente deve em primeiro lugar assumir a indemnização total (ou qualquer outra compensação) que seja devida ao titular dos dados e, posteriormente , reclamar à OVHcloud a parte da indemnização do titular dos dados correspondente à parcela da responsabilidade da OVHcloud pelos danos, desde que não seja aplicável nenhuma limitação de responsabilidade prevista no Contrato.
12. Auditoria
A OVHcloud disponibilizará ao Cliente toda a informação necessária para (a) demonstrar o cumprimento dos requisitos do RGPD e (b) permitir a realização de auditorias.
Esta informação está disponível na documentação-tipo no site da OVHcloud. Podem ser comunicadas informações adicionais ao Cliente, mediante pedido ao Suporte da OVHcloud.
Se um Serviço for certificado, estiver em conformidade com um código de conduta ou estiver sujeito a procedimentos de auditoria específicos, a OVHcloud disponibiliza os certificados correspondentes e os relatórios de auditoria ao Cliente mediante pedido por escrito.
Se a informação, relatório e certificado acima mencionados se revelarem insuficientes para permitir ao Cliente demonstrar que cumpre as obrigações estabelecidas pelo RGPD, a OVHcloud e o Cliente reunir- se-ão para acordar as condições operacionais, de segurança e financeiras de uma inspeção técnica no
local. Em todas as circunstâncias, as condições desta inspeção não devem afetar a segurança de outros Clientes da OVHcloud.
A referida inspeção no local, bem como a comunicação de certificados e relatórios de auditoria, pode resultar numa faturação adicional razoável.
Qualquer informação que seja comunicada ao Cliente nos termos desta secção e que não esteja disponível no sítio da Internet da OVHcloud, será considerada como informação confidencial da OVHcloud ao abrigo do Contrato. Antes de comunicar essa informação, poderá ser exigido ao Cliente que celebre um acordo específico de confidencialidade.
Não obstante o acima exposto, o Cliente está autorizado a responder às solicitações da autoridade supervisora competente desde que qualquer divulgação de informações seja estritamente limitada ao que é solicitado pela referida autoridade supervisora. Nesse caso, e a menos que seja proibido pela lei aplicável, o Cliente deve primeiro consultar a OVHcloud relativamente a qualquer divulgação requerida.
13. Contacte a OVHcloud
Para qualquer questão relacionada com os seus dados pessoais (incidentes, condições de utilização, etc.), o Clientes pode contactar a OVHcloud através dos seguintes canais de comunicação:
(a) Criação de um ticket através do Interface de Gerenciamento da Conta de Cliente;
(b) Utilização do formulário de contacto disponível para o efeito na página web da OVHcloud;
(c) Através do contacto do Serviço de Suporte da OVHcloud;
(d) Por correio para a seguinte morada; OVH SAS, Data Protection Officer, 0 xxx Xxxxxxxxxx, 00000 Xxxxxxx, Xxxxxx.
Parte 2 – Tratamento de dados pela OVHcloud enquanto Responsável pelo Tratamento
O objetivo desta Parte é definir as condições nas quais a OVHcloud procede ao tratamento de Dados Pessoais enquanto Responsável pelo Tratamento.
1. Objetivo do Tratamento de Dados
Como parte da implementação do Contrato, os dados pessoais relativos ao Cliente e ao uso dos Serviços são tratados pela OVHcloud atuando como Responsável pelo Tratamento, com a finalidade de
(a) gerir o seu relacionamento com o cliente (gestão de atividades comerciais, informações e suporte ao Cliente, reclamações, faturação, contabilidade, gestão de pagamentos, cobrança de dívidas, melhoria do processamento de pedidos, programa de fidelidade, etc.), (b) prestação dos serviços (entrega, manutenção, desenvolvimento e gestão da qualidade e segurança dos Serviços, etc. .), (c) impedir fraudes, incumprimento de pagamento e utilização dos Serviços que não estejam em conformidade com a legislação ou com os Termos e Condições de Serviço aplicáveis; (d) cumprir com as leis e regulamentos aplicáveis (obrigação de arquivar e reter dados como como registos de conexão e identificação do usuário) e (e) fazer valer os seus direitos enquanto prestador de serviços.
2. Tipo de Dados
Os Dados Pessoais tratados pela OVHcloud são (i) dados pessoais relacionados ao Cliente (nome, apelido, morada, e-mail, números de telefone, número de identificação ("NIC Handle" ou ID de cliente),
etc.), (ii) interação entre o Cliente e OVHcloud (contatos de suporte, trocas, atas, etc.), (iii) informações contáveis e financeiras (histórico de pedidos, faturas, notas de crédito, meios de pagamento, incluindo o titular do pagamento, etc.), (iv) informações técnicas relativas à utilização de serviços (ID de conexão, ID de serviços, logs de conexão, uso do histórico de Serviços, etc.).
Tais atividades de processamento são realizadas em conformidade com a lei aplicável, em particular o RGPD.
3. Condições de Tratamento
Os Afiliados da OVHcloud participam nas atividades de tratamento acima referidas e a OVHcloud conta com terceiros fornecedores, como serviços de segurança, serviços de pagamento, serviços de rede e outros prestadores de serviços (correspondência, pesquisa, operadoras, análise de marketing, análise das atividades do site do Grupo OVHcloud, etc.) atuando como subcontratantes de acordo com as instruções da OVHcloud (os “Subcontratantes”). Nesses casos, é celebrado um acordo que cumpra a lei aplicável entre o Subcontratante e a OVHcloud, e as medidas técnicas e organizacionais apropriadas são implementadas de acordo com os artigos 28.º e 32.º do RGPD.
Se os Dados Pessoais forem transferidos (inclusive por acesso remoto) fora da União Europeia para um país que não esteja sujeito a uma Decisão de Adequação, serão fornecidas salvaguardas apropriadas em conformidade com o Capítulo V do RGPD, tais como (a critério da OVHcloud) uma acordo de transferência de dados que cumpra as cláusulas-padrão de proteção de dados adotadas por uma autoridade de supervisão e aprovadas pela Comissão nos termos do procedimento de exame a que se refere o artigo 93.º n.º 2, ou adotadas pela Comissão Europeia em conformidade com o procedimento de exame a que se refere o mesmo artigo, ou regras corporativas vinculativas ou quaisquer outras medidas de proteção reconhecidas como garantindo um nível adequado de proteção pela Comissão Europeia.
As condições do tratamento de dados pessoais acima mencionados são detalhadas nos sites da OVHcloud. A OVHcloud reserva-se o direito de atualizar essas condições periodicamente e comunicar as alterações relevantes.
A OVHcloud compromete-se a não usar os Dados Pessoais acima mencionados para qualquer finalidade que não seja compatível com as finalidades acima mencionadas, desde que, no entanto, a OVHcloud possa ser obrigada a comunicar esses Dados Pessoais em resposta a uma solicitação ou decisão de autoridades (como autoridades judiciais e / ou autoridades administrativas). Nesse caso, a OVHcloud compromete-se a informar o Cliente (a menos que seja proibido pela lei aplicável ou pela autoridade) e a comunicar apenas os Dados Pessoais necessários.
Não obstante o acima exposto, a OVHcloud reserva-se o direito de anonimizar os Dados aqui referidos. Esses dados anonimizados podem ser retidos, processados e usados nesse formato anonimizado para qualquer finalidade (principalmente para produzir estatísticas, desenvolver e melhorar serviços, realizar análises de marketing, desenvolver negócios, etc.).
4. Direitos do Titular dos Dados
De acordo com o disposto no RGPD, o Cliente pode apresentar uma reclamação à autoridade supervisora competente e exercer seu direito de acesso, retificação, apagamento, limitação, portabilidade e oposição aos dados pessoais consigo relacionados.
O Cliente pode exercer esse direito e obter essas informações da OVHcloud usando o formulário para o efeito disponível no site da OVHcloud ou por correio no endereço: OVHcloud, Data Protection Officer (Encarregado De Proteção de Dados), 0 xxx Xxxxxxxxxx, 00000 Xxxxxxx, Xxxxxx. Quaisquer solicitações
devem incluir prova de identidade. Todos esses pedidos devem ser respondidos dentro de trinta (30) dias após a sua receção.