TERMOS E CONDIÇÕES GERAIS PARA OS SERVIÇOS DA QUALTRICS CLOUD ("TCG")

Entre Qualtrics, LLC

(uma empresa da SAP America Inc.) 000 X. Xxxxx Xxxx Xxxxx

Xxxxx, Xxxx 00000 ("Qualtrics")

E [Nome do cliente]

[Endereço do cliente] ("Cliente")

1. DEFINIÇÕES

Os termos em maiúsculas utilizados neste documento estão definidos no Glossário.

2. DIREITOS E RESTRIÇÕES DE UTILIZAÇÃO

2.1 Concessão de Direitos.

A Qualtrics concede ao Cliente um direito não exclusivo, não transferível e mundial de utilizar o Serviço Cloud (incluindo a sua implementação e configuração), Materiais Cloud (conforme aplicável) e Documentação exclusivamente para as operações comerciais internas do Cliente e das suas Afiliadas. As utilizações permitidas e restrições do Serviço Cloud também se aplicam aos Materiais Cloud e Documentação.

2.2 Utilizadores Autorizados.

O cliente pode permitir aos Utilizadores Autorizados a utilização do Serviço Cloud. A utilização é limitada às Métricas de Utilização e aos volumes indicados na Nota de encomenda. As credenciais de acesso ao Serviço Cloud não podem ser utilizadas por mais do que um indivíduo, mas podem ser transferidas de um indivíduo para outro se o utilizador original já não possuir autorização para utilizar o Serviço Cloud. As violações cometidas ao Acordo por Utilizadores Autorizados são da exclusiva responsabilidade do Cliente.

2.3 Política de Utilização Aceitável.

No que diz respeito ao Serviço Cloud, o Cliente não poderá:

(a) desmontar, descompilar, fazer engenharia inversa, copiar, traduzir ou realizar trabalhos derivados,

(b) transmitir qualquer conteúdo ou dados ilegais ou que infrinjam quaisquer direitos de propriedade intelectual, ou

2.4 Verificação da Utilização.

O cliente irá monitorizar a sua própria utilização do Serviço Cloud e reportar qualquer utilização em excesso da Métrica de Utilização e volume. A Qualtrics poderá monitorizar a utilização para verificar o cumprimento das Métricas de Utilização, volume e do Acordo.

2.5 Suspensão do serviço Cloud.

A Qualtrics poderá suspender ou limitar a utilização do Serviço Cloud se a sua utilização continuada puder resultar em danos materiais para o Serviço Cloud ou para os seus utilizadores. A Qualtrics notificará imediatamente o Cliente sobre a suspensão ou limitação. A Qualtrics limitará uma suspensão ou limitação no tempo e no âmbito, conforme razoavelmente possível, dadas as circunstâncias.

2.6 Serviços Web de Terceiros.

O Serviço Cloud poderá incluir integrações de serviços web disponibilizados por terceiros (que não os Afiliados da Qualtrics) que são acedidos através do Serviço Cloud e sujeitos a termos e condições com esses terceiros. Estes serviços Web de terceiros não fazem parte do Serviço Cloud e o Acordo não se lhes aplica.

2.7 Acesso móvel ao serviço Cloud.

Se aplicável, os Utilizadores Autorizados podem aceder a certos Serviços Cloud através de aplicações móveis obtidas em websites de terceiros, tais como Android ou a APP Store da

Apple. A utilização de aplicações móveis poderá ser regida pelos termos e condições apresentados aquando do download/acesso à aplicação móvel e não pelos termos do Acordo.

3. RESPONSABILIDADES DA QUALTRICS

3.1 Aprovisionamento.

A Qualtrics fornece acesso ao Serviço Cloud, tal como descrito no Acordo.

3.2 Apoio.

A Qualtrics fornece apoio para o Serviço Cloud conforme referenciado na nota de encomenda.

3.3 Segurança.

A Qualtrics implementará e manterá medidas técnicas e organizativas apropriadas para proteger os dados pessoais processados pela Qualtrics como parte do Serviço Cloud, conforme descrito no Acordo de Processamento de Dados anexado no presente documento como Anexo A ("APD") para os Serviços Cloud incorporados na Nota de encomenda, em conformidade com a lei de proteção de dados aplicável.

3.4 Modificações.

(a) O Serviço Cloud e Políticas da Qualtrics poderão ser modificados pela Qualtrics. A Qualtrics informará o Cliente das modificações por e-mail, pelo portal de suporte, notas de lançamento, Documentação ou pelo Serviço Cloud. Se a modificação não for apenas uma melhoria, a informação sobre a mesma será entregue por correio eletrónico. As modificações podem incluir novas funcionalidades opcionais para o Serviço Cloud, que o Cliente poderá utilizar estando sujeito ao Suplemento e Documentação então em vigor.

(b) Se o Cliente estabelecer que uma modificação não é apenas uma melhoria e reduz materialmente o Serviço Cloud, o Cliente poderá rescindir as suas subscrições ao Serviço Cloud afetado, fornecendo uma notificação escrita à Qualtrics no prazo de trinta dias após a receção da notificação informativa da Qualtrics.

3.5 Análises.

A Qualtrics ou os Afiliados da Qualtrics poderão criar análises utilizando, em parte, Dados de Clientes e informações derivadas da utilização pelo Cliente do Serviço Cloud e dos Serviços de Consultoria, tal como se estabelece abaixo ("Análises"). As análises serão anónimas, agregarão informação e serão tratadas como Materiais Cloud.

Salvo acordo em contrário, os dados pessoais contidos nos Dados do Cliente só são utilizados para fornecer o Serviço Cloud e os Serviços de Consultoria. As análises poderão ser utilizadas para os seguintes fins:

a) melhoria do produto (em particular, características e funcionalidade do produto, fluxos de trabalho e interfaces de utilizador) e desenvolvimento de novos produtos e serviços da Qualtrics,

b) melhorar a atribuição de recursos e o apoio,

c) planeamento da procura interna,

d) formação e desenvolvimento de algoritmos de aprendizagem de máquinas,

e) melhorar o desempenho do produto,

f) verificação da segurança e integridade dos dados,

g) identificação das tendências e desenvolvimentos da indústria, criação de índices e benchmarking anónimo

4. DADOS DE CLIENTES E PESSOAIS

4.1 Dados do Cliente.

O cliente é responsável pelos Dados do Cliente e pela sua introdução no Serviço Cloud. O cliente concede à Qualtrics (incluindo os Afiliados e subcontratados da Qualtrics) um direito não exclusivo de processar os Dados do Cliente apenas para fornecer e apoiar o Serviço Cloud.

4.2 Dados pessoais.

O cliente recolherá e manterá todos os dados pessoais contidos nos Dados do Cliente, em conformidade com as leis aplicáveis de privacidade e proteção de dados.

4.3 Segurança.

O cliente manterá padrões de segurança razoáveis para a utilização do Serviço Cloud pelos seus Utilizadores Autorizados. O cliente não realizará ou autorizará testes de penetração do Serviço Cloud sem a aprovação prévia da Qualtrics.

4.4 Acesso aos Dados do Cliente.

(a) Durante o Prazo de Subscrição, o Cliente pode aceder aos seus Dados de Cliente em qualquer altura. O cliente poderá exportar e recuperar os seus Dados de Cliente num formato padrão. A exportação e a recuperação poderão estar sujeitas a limitações técnicas, caso em que a Qualtrics e o Cliente encontrarão um método razoável para permitir o acesso do Cliente aos seus Dados de Cliente.

(b) Antes do final do Prazo de Subscrição, se disponível, o Cliente poderá utilizar as ferramentas self-service de exportação da Qualtrics (conforme disponíveis) para realizar uma exportação final de Dados do Cliente a partir do Serviço Cloud. Em alternativa, o Cliente poderá solicitar a exportação de dados através de um ticket de apoio.

(c) No final do Acordo, a Qualtrics eliminará os Dados do Cliente que restarem nos servidores que alojam o Serviço Cloud, a menos que a lei aplicável exija a sua retenção. Os dados retidos estão sujeitos às disposições de confidencialidade do Acordo.

(d) No caso de ações judiciais de terceiros relacionados com os Dados do Cliente, a Qualtrics cooperará com o Cliente e cumprirá com a lei aplicável (os custos ficarão ao encargo do Cliente) no que diz respeito ao tratamento de Dados do Cliente.

5. TAXAS E IMPOSTOS

5.1 Taxas e Pagamento.

O cliente pagará as taxas conforme indicado na nota de encomenda. Após aviso prévio por escrito, a Qualtrics poderá suspender a utilização do Serviço Cloud pelo Cliente até que o pagamento seja efetuado. O Cliente não pode reter, reduzir ou compensar as taxas devidas, nem reduzir as Métricas de Utilização durante o Prazo de Subscrição. Todas as notas de encomenda não são canceláveis e as taxas não são reembolsáveis.

5.2 Impostos.

As taxas e outros encargos impostos no âmbito de um nota de encomenda não incluirão impostos, estes ficarão ao encargo do Cliente. O Cliente é responsável por todos os impostos, exceto os impostos referentes aos rendimentos e salários da Qualtrics. O cliente deve fornecer quaisquer autorizações de pagamento direto ou certificados válidos de isenção de impostos à Qualtrics antes de assinar uma Nota de Encomenda. Se a Qualtrics for obrigada a pagar impostos (para além dos seus impostos referentes a rendimentos e salários), o cliente reembolsará a Qualtrics por esses montantes e indemnizará a Qualtrics por quaisquer impostos e custos associados já pagos ou a pagar pela Qualtrics atribuíveis a esses impostos.

6. PRAZO E RESCISÃO

6.1 Prazo.

O Prazo de Subscrição é o indicado na nota de encomenda.

6.2 Rescisão.

Uma parte poderá denunciar o Acordo:

(a) mediante notificação escrita, com trinta dias de antecedência, da violação material da outra parte, a menos que a violação seja resolvida durante esse período de trinta dias,

(b) conforme permitido nos termos das Secções 3.4(b), 7.3(b), 7.4(c), ou 8.1(c) (com rescisão efetiva trinta dias após a receção da notificação em cada um destes casos), ou

(c) imediatamente se a outra parte declarar falência, se tornar insolvente, ou se fizer uma cessão em benefício dos credores, ou se violar materialmente as Secções 11 ou 12.6.

6.3 Reembolso e pagamentos.

Em caso de rescisão pelo Cliente ou uma rescisão 8.1(c), o Cliente terá direito a:

(a) um reembolso proporcional com base no montante da parte não utilizada das taxas pré-pagas da subscrição cancelada, calculado a partir da data efetiva da cessação, e

(b) uma isenção da obrigação de pagar taxas devidas referentes a períodos após a data efetiva da cessação.

6.4 Efeito de Expiração ou Rescisão.

Na data efetiva de expiração ou rescisão do Acordo:

(a) Terminará o direito do cliente de utilizar o Serviço Cloud e toda a Informação Confidencial da Qualtrics,

(b) Serão devolvidas ou destruídas as informações confidenciais da parte reveladora, conforme exigido pelo Acordo, e

6.5 Validade após expiração ou rescisão.

As secções 1, 5, 6.3, 6.4, 6.5, 8, 9, 10, 11, e 12 permanecerão válidas após a expiração ou rescisão do Acordo.

7. GARANTIAS

7.1 Cumprimento da lei.

Cada parte garante o seu cumprimento atual e contínuo de todas as leis e regulamentos que lhe são aplicáveis:

(a) no caso da Qualtrics, o funcionamento do negócio da Qualtrics no que se refere ao Serviço Cloud, e

(b) no caso do Cliente, os Dados do Cliente e a utilização do Serviço Cloud pelo Cliente.

7.2 Boas práticas industriais.

A Qualtrics garante que fornecerá o Serviço Cloud:

(a) em total conformidade com a Documentação; e

(b) com o grau de competência e cuidado que razoavelmente se espera de um fornecedor global qualificado e experiente de serviços substancialmente semelhantes à natureza e complexidade do Serviço Cloud.

7.3 Reparação.

As únicas e exclusivas medidas de correção do cliente e toda a responsabilidade da Qualtrics pela violação da garantia ao abrigo da Secção 7.2 serão:

(a) a nova prestação do Serviço Cloud insuficiente, e

(b) se a Qualtrics não realizar uma nova prestação, o Cliente poderá cancelar a sua subscrição do Serviço Cloud afetado. Qualquer rescisão deve ocorrer no prazo de três meses após o incumprimento da Qualtrics.

7.4 Disponibilidade do sistema.

(a) A Qualtrics garante manter uma disponibilidade mensal regular do sistema de produção do Serviço Cloud, tal como definido no acordo de nível de serviço aplicável ou Suplemento ("SLA").

(b) O único e exclusivo recurso do cliente perante a violação do SLA pela Qualtrics é a emissão de um crédito no montante descrito no SLA. O cliente seguirá o procedimento de reclamação de crédito afixado pela Qualtrics. Quando a validade do crédito de serviço é confirmada por escrito pela Qualtrics (inclusive e-mail), o Cliente poderá aplicar o crédito numa fatura futura do Serviço Cloud ou solicitar um reembolso do montante do crédito, se não for devida qualquer fatura futura.

(c) No caso da Qualtrics não cumprir o SLA (i) durante quatro meses consecutivos, ou (ii) durante cinco ou mais meses durante qualquer período de doze meses, ou (iii) a um nível de disponibilidade do sistema de pelo menos 95% durante um mês civil, o Cliente poderá rescindir as suas subscrições referentes ao Serviço Cloud afetado, fornecendo à Qualtrics um aviso por escrito no prazo de trinta dias após a falha.

7.5 Exclusões de garantia.

As garantias das secções 7.2 e 7.4 não se aplicarão se:

(a) o Serviço Cloud não é utilizado em conformidade com o Acordo ou a Documentação,

(b) qualquer incumprimento seja originado pelo Cliente, ou por qualquer produto ou serviço não fornecido pela Qualtrics, ou

7.6 Isenção de responsabilidade.

Exceto conforme expressamente previsto no Acordo, nem a Qualtrics nem os seus subcontratantes fazem qualquer representação ou garantias, expressas ou implícitas, estatutárias ou outras, relativamente a qualquer assunto, incluindo a comercialização, adequação, originalidade ou adequação para uma utilização ou finalidade específica, não

infração ou resultados provenientes da utilização ou integração de quaisquer produtos ou serviços fornecidos ao abrigo do Acordo, ou que o funcionamento de quaisquer produtos ou serviços será seguro, ininterrupto ou isento de erros. O Cliente concorda que não depende da entrega de futuras funcionalidades, comentários públicos ou publicidade da Qualtrics ou roadmaps de produtos na obtenção de subscrições para qualquer Serviço Cloud.

8. REIVINDICAÇÕES DE TERCEIROS

8.1 Ações intentadas contra o Cliente.

(a) A Qualtrics defenderá o Cliente em ações intentadas contra o Cliente e os seus Afiliados por qualquer terceiro que alegue que a utilização do Serviço Cloud pelo Cliente e os seus Afiliados infringe ou se apropria indevidamente de um pedido de patente, direitos de autor, ou direito de segredo comercial. A Qualtrics indemnizará o Cliente contra todos os danos imputados ao Cliente (ou o montante de qualquer acordo que a Qualtrics celebrar) no âmbito destas ações.

(b) As obrigações da Qualtrics nos termos da Secção 8.1 não se aplicarão se a reivindicação resultar da (i) violação da Secção 2 por parte do Cliente, (ii) da utilização do Serviço Cloud em conjunto com qualquer produto ou serviço não fornecido pela Qualtrics, ou (iii) da utilização do Serviço Cloud fornecido gratuitamente.

(c) Xxxx seja intentada uma ação ou seja provável que venha a ser intentada, a Qualtrics pode (i) fornecer ao Cliente o direito de continuar a utilizar o Serviço Cloud nos termos do Acordo, ou (ii) substituir ou modificar o Serviço Cloud para que não viole quaisquer direitos, sem uma diminuição material da funcionalidade. Se estas opções não forem razoavelmente acessíveis, a Qualtrics ou o Cliente poderão rescindir a subscrição do Serviço Cloud afetado, mediante notificação escrita de uma parte à outra.

8.2 Ações intentadas contra a Qualtrics.

O cliente defenderá a Qualtrics em ações intentadas contra a Qualtrics, suas Afiliadas e subcontratantes por qualquer terceiro relacionado com os Dados do Cliente.

O Cliente indemnizará a Qualtrics contra todos os danos imputados à Qualtrics, suas Afiliadas e subcontratantes (ou o montante de qualquer acordo que o Cliente celebre) no âmbito destas ações.

8.3 Procedimento em ações intentadas por Terceiros.

(a) A parte contra a qual uma ação de terceiros é intentada notificará atempadamente a outra parte por escrito de qualquer reivindicação, cooperará razoavelmente na defesa e poderá comparecer (às suas próprias custas) através de um advogado razoavelmente aceitável para a parte que fornece a defesa.

(b) A parte obrigada a defender-se de uma reivindicação terá o direito de controlar totalmente a defesa.

(c) Qualquer liquidação de uma revindicação não incluirá uma obrigação financeira ou específica de desempenho, ou admissão de responsabilidade pela parte contra a qual a ação é intentada.

8.4 Reparação Exclusiva.

As disposições da Secção 8 estabelecem a responsabilidade única, exclusiva e total das partes, das suas Afiliadas, Parceiros Comerciais e subcontratantes para com a outra parte; e é a única reparação da outra parte, no que diz respeito às revindicações de terceiros abrangidas e à violação ou apropriação indevida de direitos de propriedade intelectual de terceiros.

9. LIMITAÇÃO DA RESPONSABILIDADE

9.1 Responsabilidade Ilimitada.

Nenhuma das partes excluirá ou limitará a sua responsabilidade por danos resultantes de:

(a) obrigações das partes nos termos da Secção 8.1(a) e 8.2,

(b) utilização não autorizada ou divulgação de Informação Confidencial,

(c) a violação, por qualquer das partes, das suas obrigações de proteção e segurança de dados que resultem numa utilização ou divulgação não autorizada de dados pessoais,

(d) morte ou lesões corporais resultantes de negligência grosseira ou má conduta intencional de qualquer das partes, ou

(e) qualquer falha do Cliente no pagamento de quaisquer taxas devidas nos termos do Acordo.

9.2 Limite de responsabilidade.

Sujeito às Secções 9.1 e 9.3, a responsabilidade máxima agregada de qualquer uma das partes (ou das suas respetivas Afiliadas, ou dos subcontratados da Qualtrics) para com a outra ou para com qualquer outra pessoa ou entidade, em todas as ocorrências (ou séries de ocorrências relacionadas) que surjam em qualquer período de doze meses, não excederá as taxas anuais de subscrição pagas pelo Serviço Cloud aplicável, responsável direto pelos danos causados durante esse período de doze meses. Qualquer "período de doze meses" tem início na data de início do Prazo de Subscrição ou em qualquer um dos seus aniversários anuais.

9.3 Exclusão de Danos.

Sujeito à Secção 9.1:

(a) nenhuma das partes (nem as suas respetivas Afiliadas, ou subcontratados da Qualtrics) será responsável perante a outra parte por quaisquer danos especiais, acidentais, consequenciais ou indiretos, perda de boa vontade ou lucros comerciais, interrupção do trabalho ou por danos exemplares ou punitivos, e

(b) A Qualtrics não será responsável por quaisquer danos causados por qualquer Serviço Cloud fornecido gratuitamente.

9.4 Alocação de riscos.

O Acordo atribui os riscos entre a Qualtrics e o Cliente. As taxas para o Serviço Cloud e os Serviços de Consultoria refletem esta atribuição de risco e limitações de responsabilidade.

10. DIREITOS DE PROPRIEDADE INTELECTUAL

10.1 Propriedade da QUALTRICS.

A Qualtrics, os seus Afiliados ou licenciados possuem todos os direitos de propriedade intelectual relacionados com o Serviço Cloud, Materiais Cloud, Documentação, Serviços de Consultoria, contribuições de design, conhecimentos ou processos relacionados, e quaisquer trabalhos derivados dos mesmos. Todos os direitos não expressamente concedidos ao Cliente são reservados à Qualtrics e aos seus licenciadores.

10.2 Propriedade do cliente.

O cliente detém todos os direitos relacionados com os Dados do Cliente. A Qualtrics poderá utilizar as marcas comerciais fornecidas pelo Cliente apenas para fornecer e apoiar o Serviço Cloud.

10.3 Não-Reivindicação de Direitos.

O Cliente concorda, em seu nome e em nome dos seus sucessores e cessionários, de não reivindicar contra a Qualtrics e as suas Afiliadas ou licenciantes, quaisquer direitos, ou quaisquer reclamações de quaisquer direitos, em qualquer Serviço Cloud, Materiais Cloud, Documentação, ou Serviços de Consultoria.

11. CONFIDENCIALIDADE

11.1 Utilização de Informação Confidencial.

(a) A parte recetora protegerá todas as Informações Confidenciais da parte reveladora como estritamente confidenciais, na mesma medida em que protege as suas próprias Informações Confidenciais, e nunca menos do que um nível razoável de cuidado. A parte recetora não divulgará qualquer Informação Confidencial da parte reveladora a qualquer pessoa para além do seu pessoal, representantes ou Utilizadores Autorizados, cujo acesso seja necessário para ser possível exercer os seus direitos ou cumprir as suas obrigações nos termos do Acordo e que estejam sob obrigações de confidencialidade substancialmente semelhantes às da Secção 11. O Cliente não divulgará o Acordo ou o preço a terceiros.

(b) As informações confidenciais divulgadas de qualquer uma das partes, antes da execução do Acordo, estarão sujeitas à Secção 11.

(c) Em caso de ações judiciais relacionadas com as Informações Confidenciais, a parte recetora cooperará com a parte reveladora e cumprirá com a lei aplicável (os encargos serão incorridos pela parte reveladora) no que respeita ao tratamento das Informações Confidenciais.

11.2 Exceções.

As restrições de utilização ou divulgação de Informação Confidencial não se aplicarão a qualquer Informação Confidencial que:

(a) é desenvolvida independentemente pela parte recetora sem fazer qualquer referência à Informação Confidencial da parte reveladora,

(b) está geralmente disponível ao público sem qualquer violação do Acordo pela parte recetora,

(d) a parte reveladora concorda, por escrito, que está livre de restrições de confidencialidade.

11.3 Publicidade.

Nenhuma das partes utilizará o nome da outra parte em atividades publicitárias, sem o consentimento prévio por escrito da outra. No entanto, o Cliente concorda que a Qualtrics poderá utilizar o seu nome em listas de clientes ou em chamadas trimestrais com os seus investidores ou, quando acordado mutuamente entre as partes, como parte dos esforços de marketing da Qualtrics (incluindo chamadas e histórias de referência, testemunhos, visitas ao site, participação da SAPPHIRE). O Cliente concorda que a Qualtrics poderá partilhar informações sobre o Cliente com as suas Afiliadas para fins de marketing e outros fins comerciais, e que obteve as devidas autorizações para partilhar as informações de contacto dos funcionários do Cliente com a Qualtrics.

12. DIVERSOS

12.1 Divisibilidade.

Se qualquer disposição do Acordo for considerada inválida ou inaplicável, a invalidade ou inaplicabilidade não afetará as outras disposições do Acordo.

12.2 Sem Renúncia.

A renúncia a qualquer violação do Acordo não é considerada uma renúncia a qualquer outra violação.

12.3 Assinatura eletrónica.

As assinaturas eletrónicas que cumprem com a lei aplicável são consideradas assinaturas originais.

12.4 Questões regulamentares.

A Informação Confidencial da Qualtrics está sujeita às leis de controlo de exportação de vários países, incluindo as leis dos Estados Unidos e da Alemanha. O Cliente não submeterá a Informação Confidencial da Qualtrics a qualquer agência governamental para consideração de licenciamento ou outra aprovação regulamentar, e não exportará a Informação Confidencial da Qualtrics para países, pessoas ou entidades, se proibida pelas leis de exportação.

12.5 Avisos.

Todas as notificações serão efetuadas por escrito e entregues no endereço indicado na nota de encomenda com cópia para o departamento jurídico. As notificações da Qualtrics relativas ao funcionamento ou apoio do Serviço Cloud e as que se encontram nas secções 3.4 e 5.1 podem ser realizadas sob a forma de uma notificação eletrónica ao representante ou administrador autorizado do Cliente identificado na Nota de encomenda.

12.6 Atribuição.

Sem o prévio consentimento escrito da Qualtrics, o Cliente não poderá ceder ou transferir o Acordo (ou qualquer um dos seus direitos ou obrigações) a qualquer parte. A Qualtrics poderá ceder o Acordo às Afiliadas da Qualtrics.

12.7 Subcontratação.

A Qualtrics poderá subcontratar partes do Serviço Cloud ou Serviços de Consultoria a terceiros. A Qualtrics é responsável pelas violações do Acordo cometidas pelos seus subcontratantes.

12.8 Relação das Partes.

As partes são contratantes independentes, e não é criada nenhuma parceria, franquia, empreendimento conjunto, agência, relação fiduciária ou de emprego entre as partes através do Acordo.

12.9 Força Maior.

Qualquer atraso na execução (exceto para o pagamento de montantes devidos) causado por condições fora do controlo razoável da parte executante não constitui uma violação do

Acordo. O tempo de execução será prolongado por um período igual à duração das condições que impedem a execução.

12.10 Legislação aplicável.

O Acordo e quaisquer reclamações relacionadas com o seu objeto serão regidos e interpretados ao abrigo das leis da Commonwealth da Pensilvânia, sem referência aos seus conflitos de princípios legais. Todos os litígios estarão sujeitos à jurisdição exclusiva dos tribunais localizados na Filadélfia, Pensilvânia. A Convenção das Nações Unidas sobre Contratos para a Venda Internacional de Bens e a Lei sobre Transações Uniformes de Informação Informática (quando promulgada) não se aplicará ao presente Acordo. Qualquer das partes deve iniciar uma causa de pedir para qualquer revindicação relacionada com o Acordo e o seu objeto no prazo de um ano a partir da data em que a parte teve conhecimento, ou deveria ter tido conhecimento após investigação razoável, dos factos que deram origem à(s) revindicação(ões).

12.11 Acordo integral.

O Acordo constitui a declaração completa e exclusiva do acordo entre a Qualtrics e o Cliente no que concerne a relação comercial das partes relacionada com o objeto do Acordo. Todas as representações, discussões e escritos anteriores (incluindo quaisquer acordos de confidencialidade) são consolidados e substituídos pelo Acordo e as partes renunciam a qualquer confiança neles. O Acordo poderá ser modificado apenas por escrito e deverá ser assinado por ambas as partes, exceto conforme permitido na Secção 3.4. Um Acordo prevalecerá sobre os termos e condições de qualquer ordem de compra emitida pelo Cliente, que não terá qualquer força e efeito, mesmo que a Qualtrics aceite ou não rejeite de outra forma a ordem de compra.

12.12 Acordo sobre tratamento de dados.

Quando o Cliente processar dados pessoais com a utilização dos Serviços, o APD regerá o tratamento de tais dados pessoais.

Glossário

1.1 "Afiliado" de uma parte entende-se por qualquer entidade jurídica na qual uma parte, direta ou indiretamente, detém mais de cinquenta por cento (50%) das ações ou direitos de voto da entidade. Qualquer entidade jurídica será considerada Afiliada desde que esse interesse seja mantido.

1.2 "Acordo" significa uma nota de encomenda e documentos incorporados numa nota de encomenda.

1.3 "Utilizador autorizado" significa qualquer indivíduo a quem o Cliente concede autorização de acesso para utilizar o Serviço Cloud que seja funcionário, agente, prestador de serviços ou representante de

(a) Cliente,

(b) Afiliados do cliente, e/ou

1.4 "Parceiro de negócios" entende-se por uma entidade jurídica que requer a utilização de um Serviço Cloud em ligação com as operações comerciais internas do Cliente e das suas Afiliadas. Estas podem incluir clientes, distribuidores, prestadores de serviços e/ou fornecedores do Cliente.

1.5 "Serviço Cloud" significa qualquer solução distinta, baseada em assinaturas, alojada, suportada e operada sob pedido; serviço esse é fornecido pela Qualtrics ao abrigo de uma nota de encomenda.

1.6 Por "Materiais Cloud" entende-se quaisquer materiais fornecidos ou desenvolvidos pela Qualtrics (independentemente ou com a cooperação do Cliente) no decurso da execução ao abrigo do Acordo, incluindo na prestação de qualquer apoio ou Serviços de Consultoria ao Cliente. Os Materiais Cloud não incluem os Dados do Cliente, as Informações Confidenciais do Cliente ou o Serviço Cloud.

1.7 "Informação Confidencial" significa

(a) em relação ao Cliente: (i) os Dados do Cliente, (ii) requisitos de marketing e comerciais do cliente, (iii) planos de implementação do cliente, e/ou (iv) informações financeiras do cliente, e

(b) em relação à Qualtrics: (i) o Serviço Cloud, Documentação, Materiais Cloud e análises sob a Secção 3.5, e (ii) informações relativas à investigação e desenvolvimento da Qualtrics, ofertas de produtos, preços e disponibilidade.

(c) As Informações Confidenciais da Qualtrics ou do Cliente também incluem informações que a parte reveladora protege contra a plena divulgação a terceiros que (i) a parte reveladora ou os seus representantes designam como confidenciais no momento da revelação, ou (ii) devem ser razoavelmente entendidas como confidenciais dada a natureza da informação e as circunstâncias que envolvem a sua divulgação.

1.8 "Serviços de Consultoria" significa serviços profissionais, tais como implementação, configuração, desenvolvimento personalizado e formação, realizados por funcionários ou subcontratados da Qualtrics, tal como descritos em qualquer nota de encomenda e que são regidos pelo Suplemento para Serviços de Consultoria ou acordo similar.

1.9 "Dados do Cliente" significa qualquer conteúdo, materiais, dados e informações que os Utilizadores Autorizados introduzem no sistema de produção de um Serviço Cloud ou que o Cliente deriva da sua utilização e armazena no Serviço Cloud (por exemplo, relatórios específicos do Cliente). Os Dados do Cliente e os seus derivados não incluirão a Informação Confidencial da Qualtrics.

1.10 "Documentação" significa a documentação técnica e funcional da Qualtrics então vigente, bem como quaisquer descrições de funções e responsabilidades, se aplicável, para o Serviço Cloud, disponibilizado ao Cliente com a contratação do seu Serviço Cloud.

1.11 "Nota de encomenda" significa o documento de encomenda de um Serviço Cloud que faz referência aos TCG.

1.12 "Políticas da Qualtrics" significa as diretrizes operacionais e políticas aplicadas pela Qualtrics para fornecer e apoiar o Serviço Cloud, conforme incorporado numa Nota de encomenda.

1.13 "Prazo de Subscrição" significa o prazo de uma subscrição do Serviço Cloud identificado na Nota de encomenda aplicável, incluindo todas as renovações.

1.14 "Suplemento" significa, conforme aplicável, os termos e condições suplementares que se aplicam ao Serviço Cloud e que estão incorporados numa Nota de encomenda.

1.15 "Métrica de Utilização" significa o padrão de medição para determinar a utilização permitida e calcular as taxas devidas por um Serviço Cloud, tal como estabelecido numa Nota de encomenda.

AS PARTES CELEBRAM ESTE ACORDO A CONTAR DA DATA DA ÚLTIMA ASSINATURA ABAIXO ("DATA EFETIVA DO TCG").

CLIENTE:	QUALTRICS, LLC
Por:	Por:
Nome:	Nome:
Título:	Título:
Data:	Data:

Anexo A

Acordo de Processamento de Dados

ACORDO DE TRATAMENTO DE DADOS PESSOAIS PARA SERVIÇOS CLOUD DA QUALTRICS

O presente Adendo ao Processamento de Dados ("APD") é celebrado ENTRE O

(1) Cliente; e a

(2) Qualtrics.

1. CONSIDERAÇÕES GERAIS

1.1 Finalidade e Aplicação. Este documento está incorporado no Acordo e faz parte de um contrato escrito (inclusive em formato eletrónico) entre a Qualtrics e o Cliente. O presente APD aplica-se aos Dados Pessoais processados pela Qualtrics e os seus subcontratantes ulteriores no âmbito da sua prestação do Serviço Cloud. O presente APD não se aplica a ambientes não produtivos do Serviço Cloud se tais ambientes forem disponibilizados pela Qualtrics; e o Cliente não deverá armazenar Dados Pessoais em tais ambientes.

1.2 Estrutura. Os Apêndices 1 e 2 estão incorporados neste APD e fazem parte dele. Estabelecem o objeto acordado, a natureza e a finalidade do tratamento, o tipo de Dados Pessoais, as categorias de titulares dos dados e as medidas técnicas e organizativas aplicáveis.

1.3 RGPD. A Qualtrics e Cliente concordam que cada parte é responsável por rever e adotar os requisitos impostos aos Responsáveis pelo tratamento de dados e Contratantes pelo Regulamento Geral de Proteção de Dados 2016/679 ("RGPD"), em particular no que respeita aos Artigos 28 e 32 a 36 da RGPD, se e na medida aplicável aos Dados Pessoais dos Clientes/Responsáveis pelo tratamento de dados que são processados ao abrigo do APD. Para fins ilustrativos, o Apêndice 3 enumera os requisitos relevantes da RGPD e as secções correspondentes no presente APD.

1.4 Governação. A Qualtrics atua como um Contratante e Cliente e as entidades a quem permite a utilização do Serviço Cloud atuam como Responsáveis pelo tratamento de dados sob o APD. O Cliente atua como um único ponto de contacto e é o único responsável pela obtenção de quaisquer autorizações, consentimentos e permissões relevantes para o processamento de Dados Pessoais de acordo com o presente APD, incluindo, quando aplicável, a aprovação pelos Responsáveis pelo tratamento de dados para utilizar a Qualtrics como Contratante. Quando o Cliente fornece autorizações, consentimentos, instruções ou permissões, estes são fornecidos não só em nome do Cliente, mas também em nome de qualquer outro Responsável pelo tratamento de dados que utilize o Serviço Cloud. Sempre que a Qualtrics informar ou notificar o Cliente, tais informações ou notificações serão consideradas recebidas pelos Responsáveis pelo tratamento de dados a quem o Cliente deu autorização para utilizar o Serviço Cloud e é da responsabilidade do Cliente encaminhar tais informações e notificações aos Responsáveis pelo tratamento de dados relevantes.

2. SEGURANÇA DE PROCESSAMENTO

2.1 Medidas Técnicas e Organizativas Apropriadas. A Qualtrics implementou e aplicará as medidas técnicas e organizativas estabelecidas no Apêndice 2. O Cliente analisou tais medidas e concorda que quanto ao Serviço Cloud por si selecionado na Nota de encomenda, as medidas são adequadas, considerando o estado da técnica, os custos de implementação, natureza, âmbito, contexto e objetivos do processamento de Dados Pessoais.

2.2 Alterações. A Qualtrics aplica as medidas técnicas e organizativas estabelecidas no Apêndice

2 a toda a base de clientes da Qualtrics alojada a partir do mesmo Centro de Dados e a receber o mesmo Serviço Cloud. A Qualtrics poderá alterar as medidas estabelecidas no Apêndice 2 em qualquer altura sem aviso prévio, desde que mantenha um nível de segurança comparável ou melhor. As medidas individuais podem ser substituídas por novas medidas que sirvam o mesmo propósito, sem diminuir o nível de segurança que protege os Dados Pessoais.

3. OBRIGAÇÕES DA QUALTRICS

3.1 Instruções do Cliente. A Qualtrics processará os Dados Pessoais apenas de acordo com as instruções documentadas fornecidas pelo Cliente. O Acordo (incluindo este APD) constitui tais instruções iniciais documentadas e cada utilização do Serviço Cloud representa instruções adicionais. A Qualtrics envidará esforços razoáveis para seguir quaisquer outras instruções do Cliente, desde que sejam exigidas pela Lei de Proteção de Dados, sejam tecnicamente viáveis e não exijam alterações ao Serviço Cloud. Se se aplicar alguma das exceções anteriormente mencionadas, ou se a Qualtrics não puder cumprir uma instrução ou se entender que uma instrução infringe a Lei de Proteção de Dados, a Qualtrics notificará imediatamente o Cliente (aviso por e-mail permitido).

3.2 Processamento por exigência legal. A Qualtrics também poderá processar Dados Pessoais quando tal for exigido pela lei aplicável. Em tal caso, a Qualtrics informará o Cliente desse requisito legal antes do processamento, a menos que essa lei proíba tal informação por razões importantes do interesse público.

3.3 Pessoal. Para o tratamento de dados pessoais, a Qualtrics e os seus subcontratantes ulteriores só devem conceder acesso ao pessoal autorizado que se tenha comprometido a preservar a confidencialidade. A Qualtrics e os seus subcontratantes ulteriores irão formar regularmente o pessoal com acesso aos Dados Pessoais em medidas aplicáveis de segurança e privacidade de dados.

3.4 Cooperação. A pedido do Cliente, a Qualtrics cooperará, da melhor forma possível, com Clientes e Responsáveis pelo tratamento de dados no tratamento de pedidos de Titulares dos Dados ou autoridades reguladoras relativamente ao processamento de Dados Pessoais ou qualquer Violação de Dados Pessoais pela Qualtrics. A Qualtrics notificará o Cliente, logo que razoavelmente possível, sobre qualquer pedido que tenha recebido de um Titular dos Dados em relação ao processamento de Dados Pessoais, sem ela própria responder a tal pedido sem instruções adicionais do Cliente, se aplicável. A Qualtrics fornecerá funcionalidades que apoiem a capacidade do Cliente de corrigir ou remover Dados Pessoais do Serviço Cloud, ou restringir o seu processamento de acordo com a Lei de Proteção de Dados. Quando tal funcionalidade não for fornecida, a Qualtrics corrigirá ou removerá quaisquer Dados Pessoais, ou restringirá o seu processamento, de acordo com as instruções do Cliente e com a Lei de Proteção de Dados.

3.5 Notificação de Violação de Xxxxx Xxxxxxxx. A Qualtrics notificará o Cliente sem demora injustificada assim que tomar conhecimento de qualquer Violação de Dados Xxxxxxxx e fornecerá as informações adequadas na sua posse para ajudar o Cliente a cumprir as suas obrigações de comunicação no que concerne Violações de Dados Pessoais, conforme exigido pela Lei de Proteção de Dados. A Qualtrics poderá fornecer tais informações por fases, à medida que estas se tornem disponíveis. Tal notificação não deverá ser interpretada ou entendida como uma admissão de culpa ou responsabilidade por parte da Qualtrics.

3.6 Avaliação de impacto sobre a proteção de dados. Se, nos termos da Lei de Proteção de Dados, o Cliente (ou os seus Responsáveis pelo tratamento de dados) forem obrigados a realizar uma avaliação de impacto sobre proteção de dados ou a realizar uma consulta prévia com um regulador, a pedido do Cliente, a Qualtrics fornecerá os documentos geralmente disponíveis para o Serviço Cloud (por exemplo, este APD, o Acordo, relatórios de auditoria ou certificações). Qualquer assistência adicional deverá ser mutuamente acordada entre as Partes.

4. EXPORTAÇÃO E ELIMINAÇÃO DE DADOS

4.1 Exportação e Recuperação por Cliente. Durante o Prazo de Subscrição e sob reserva do Acordo, o Cliente pode aceder aos seus Dados Pessoais em qualquer altura. O Cliente poderá exportar e recuperar os seus Dados Pessoais num formato padrão. A exportação e a recuperação poderão estar sujeitas a limitações técnicas, caso em que a Qualtrics e o Cliente encontrarão um método razoável para permitir o acesso do Cliente aos seus Dados Pessoais.

4.2 Eliminação. Antes da expiração do Prazo de Subscrição, o Cliente é obrigado a utilizar as ferramentas self-service de exportação da Qualtrics (conforme disponíveis) para realizar uma exportação final dos Dados Pessoais presentes no Serviço Cloud (que constituirá uma "devolução" de Dados Pessoais). No final do Prazo de Subscrição, o Cliente, por este meio, instrui a Qualtrics a eliminar os demais Dados Pessoais nos servidores que alojam o Serviço Cloud dentro de um período de tempo razoável, de acordo com a Lei de Proteção de Dados (não superior a seis meses), a menos que a lei aplicável exija a sua retenção.

5. CERTIFICAÇÕES E AUDITORIAS

5.1 Auditoria pelo cliente. O cliente ou um auditor independente, recomendado pelo Cliente, razoavelmente aceitável para a Qualtrics (que não incluirá qualquer auditor de terceiros que seja concorrente da Qualtrics ou não seja devidamente qualificado ou independente) só poderá auditar o ambiente de controlo e as práticas de segurança da Qualtrics relevantes para os Dados Pessoais processados pela Qualtrics se:

(a) A Qualtrics não forneceu provas suficientes do seu cumprimento com as medidas técnicas e organizativas que protegem os sistemas de produção do Serviço Cloud através do fornecimento de qualquer uma das seguintes: (i) uma certificação de conformidade com a ISO 27001 ou outras normas (âmbito conforme definido no certificado); ou (ii) um relatório de certificação ISAE3402 e/ou ISAE3000 válido ou outro relatório de certificação SOC1-3. Mediante pedido do Cliente, os relatórios de

auditoria ou as certificações ISO estão disponíveis através do auditor terceiro ou da Qualtrics;

(b) Ocorreu uma Violação de Dados Pessoais;

(d) A Lei de Proteção de Dados Obrigatória confere ao Cliente um direito de auditoria direta e na condição de que o Cliente só realize auditorias uma vez em cada período de doze meses, a menos que a Lei de Proteção de Dados Obrigatória exija auditorias mais frequentes.

5.2 Outra Auditoria por Responsáveis pelo tratamento de dados. Qualquer outro Responsável pelo tratamento de dados poderá auditar o ambiente de controlo e as práticas de segurança da Qualtrics relevantes para os Dados Pessoais processados pela Qualtrics, em conformidade com a Secção 5.1, se e só se qualquer um dos casos previstos na Secção 5.1 se aplicar a esse outro Responsável. Tal auditoria deverá ser realizada através e pelo Cliente, conforme estabelecido na Secção 5.1, a menos que a auditoria deva ser realizada pelo respetivo Responsável, ao abrigo da Lei de Proteção de Dados. Se vários Responsáveis, cujos Dados Pessoais foram processados pela Qualtrics com base no Acordo, exigirem uma auditoria, o Cliente deverá utilizar todos os meios razoáveis para agrupar as auditorias, para evitar múltiplas auditorias.

5.3 Âmbito da Auditoria. O Cliente deverá notificar com pelo menos sessenta dias de antecedência sobre qualquer auditoria, a menos que a Lei de Proteção de Dados obrigatória ou uma autoridade competente em matéria de proteção de dados exija um pré-aviso mais breve. A frequência e o âmbito de quaisquer auditorias devem ser mutuamente acordados entre as partes, agindo de forma razoável e de boa fé. As auditorias do Cliente serão limitadas no tempo, com uma duração máxima de três dias úteis. Para além destas restrições, as partes utilizarão as certificações atuais ou outros relatórios de auditoria para evitar ou minimizar auditorias repetitivas. O cliente deverá fornecer os resultados de todas as auditorias à Qualtrics.

5.4 Custo das auditorias. O Cliente suportará os custos de qualquer auditoria, a menos que tal auditoria revele uma violação material deste APD por parte da Qualtrics; nesse caso, a Qualtrics suportará as suas próprias despesas decorrentes da auditoria. Se uma auditoria determinar que a Qualtrics infringiu as suas obrigações ao abrigo do APD, a Qualtrics resolverá prontamente a violação às suas próprias custas.

6. SUBCONTRATANTES ULTERIORES

6.1 Utilização permitida. É concedida uma autorização geral à Qualtrics para subcontratar o processamento de Dados Pessoais a subcontratantes ulteriores, mediante as seguintes condições:

(a) A Qualtrics contratará subcontratantes ulteriores ao abrigo de um contrato escrito (incluindo em formato eletrónico) consistente com os termos deste APD em relação ao processamento de Dados Pessoais pelo Subcontratante ulterior. A Qualtrics será responsável por quaisquer violações por parte do Subcontratante ulterior em conformidade com os termos do presente Acordo;

(b) A Qualtrics avaliará as práticas de segurança, privacidade e confidencialidade de um Subcontratante ulterior antes de o selecionar, para estabelecer que o mesmo é capaz de fornecer o nível de proteção de Dados Pessoais exigido por este APD; e

(c) A lista de subcontratantes ulteriores atual da Qualtrics à data efetiva do Acordo será publicada pela Qualtrics ou a Qualtrics colocá-la-á à disposição do Cliente, mediante pedido, incluindo o nome, endereço e função de cada Subcontratante ulterior que a Qualtrics utiliza para fornecer o Serviço Cloud.

6.2 Novos subcontratantes ulteriores. A utilização de subcontratantes ulteriores pela Qualtrics ficará ao seu exclusivo critério, mediante as seguintes condições:

(a) A Qualtrics informará previamente o Cliente (por correio eletrónico ou por publicação no Serviço Cloud) de quaisquer adições ou substituições previstas à lista de subcontratantes ulteriores, incluindo nome, endereço e papel do novo Subcontratante ulterior; e

(b) O cliente poderá opor-se a tais alterações, tal como estabelecido na Secção 6.3.

6.3 Objeções a Novos subcontratantes ulteriores.

(a) Se o Cliente tiver uma razão legítima, ao abrigo da Lei de Proteção de Dados, para se opor ao processamento de Dados Pessoais pelos novos subcontratantes ulteriores, o Cliente poderá rescindir o Acordo (limitado ao Serviço Cloud para o qual o novo Subcontratante ulterior será alocado) mediante notificação escrita à Qualtrics. Tal rescisão produzirá efeitos na data determinada pelo Cliente, que não deverá ser posterior a trinta dias a partir da data em que Qualtrics notificou Cliente, informando-o sobre o novo Subcontratante ulterior. Se o Cliente não rescindir dentro deste período de trinta dias, considera-se que o Cliente aceitou o novo Subcontratante ulterior.

(b) No prazo de trinta dias a partir da data da notificação da Qualtrics ao Cliente informando-o sobre o novo Subcontratante ulterior, o Cliente poderá solicitar que as partes se reúnam de boa fé para discutir uma resolução da objeção. Tais discussões não prolongarão o prazo de rescisão e não afetam o direito da Qualtrics de utilizar o(s) novo(s) Subcontratante ulterior(es) após o período de trinta dias.

(c) Qualquer rescisão ao abrigo da presente Secção 6.3 será considerada isenta culpa por qualquer das partes e estará sujeita aos termos do Acordo.

6.4 Substituição de emergência. A Qualtrics poderá substituir um Subcontratante ulterior sem aviso prévio quando a razão da alteração estiver fora do controlo razoável da Qualtrics e a substituição imediata for necessária por razões de segurança ou por outras razões urgentes. Neste caso, a Qualtrics informará o Cliente sobre o Subcontratante ulterior de substituição logo que possível, após a sua nomeação. A secção 6.3 aplica-se em conformidade.

7. PROCESSAMENTO INTERNACIONAL

7.1 Condições para o Processamento Internacional. A Qualtrics terá o direito de processar Dados Pessoais, incluindo a utilização de subcontratantes ulteriores, em conformidade com o presente APD, fora do país em que o Cliente se encontra, conforme permitido pela Lei de Proteção de Dados.

7.2 Cláusulas Contratuais-Tipo. Quando (i) os Dados pessoais de um Responsável pelo tratamento de dados baseado no EEE ou na Suíça são tratados num país fora do EEE, na Suíça e em qualquer país, organização ou território reconhecido pela União Europeia como um país seguro com um nível adequado de proteção de dados, ao abrigo do art.º 45 do RGPD, ou quando (ii) os Dados Pessoais de outro Responsável pelo Tratamento forem tratados internacionalmente, e esse tratamento internacional exigir um meio adequado, nos termos da legislação do país do Responsável pelo Tratamento, e os meios adequados exigidos puderem ser cumpridos mediante a introdução de Cláusulas Contratuais-Tipo, então:

(a) A Qualtrics e Cliente celebrarão Cláusulas Contratuais-Tipo;

(b) O Cliente celebrará as Cláusulas Contratuais-Tipo com cada Subcontratante ulterior relevante da seguinte forma: (i) o Cliente aderirá às Cláusulas Contratuais-Tipo celebradas pela Qualtrics e pelo Subcontratante ulterior como um proprietário independente de direitos e obrigações ("Modelo de Adesão") ou, (ii) o Subcontratante ulterior (representado pela Qualtrics) celebrará as Cláusulas Contratuais-Tipo com o Cliente ("Modelo de Procuração"). O Modelo de Procuração aplicar-se-á se e quando a Qualtrics tiver confirmado expressamente que um Subcontratante ulterior é elegível para a mesma através da lista de subcontratantes ulteriores fornecida na Secção 6.1(c), ou através de um aviso ao Cliente; e/ou

(c) Outros Responsáveis, cuja utilização dos Serviços Cloud tenha sido autorizada pelo Cliente ao abrigo do Acordo, poderão também celebrar Cláusulas Contratuais-Tipo com a Qualtrics e/ou os subcontratantes ulteriores relevantes da mesma forma que o Cliente, em conformidade com as Secções 7.2 (a) e (b) acima. Nesse caso, o Cliente celebrará as Cláusulas Contratuais-Tipo em nome dos outros Responsáveis.

7.3 Relação das Cláusulas Contratuais-Tipo com o Acordo. Nada no Acordo deverá ser interpretado como prevalecendo sobre qualquer cláusula conflituosa das Cláusulas Contratuais-Tipo. Para evitar dúvidas, quando o presente APD especifica as regras no âmbito de auditorias e subcontratantes ulteriores nas secções 5 e 6, tais especificações também se aplicam em relação às Cláusulas Contratuais-Tipo.

7.4 Lei de Regência das Cláusulas Contratuais-Tipo. As Cláusulas Contratuais-Tipo serão regidas pela legislação do país em que o Responsável relevante se encontra incorporado.

8. DOCUMENTAÇÃO; REGISTOS DE PROCESSAMENTO

Cada parte é responsável pelo cumprimento dos seus requisitos em matéria de documentação, em

particular a manutenção de registos de tratamento sempre que exigido pela Lei de Proteção de Dados. Cada parte deverá ajudar razoavelmente a outra parte nos seus requisitos de documentação, incluindo o fornecimento das informações de que a outra parte necessita, quando adequadamente solicitado

pela outra parte (como a utilização de um sistema eletrónico), a fim de permitir que a outra parte cumpra quaisquer obrigações relativas à manutenção de registos de processamento.

9. DEFINIÇÕES

Os termos capitalizados não definidos aqui terão os significados que lhes são dados no Acordo.

9.1 "Responsável pelo tratamento de dados" significa a pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que, sozinho ou em conjunto com outros, determina as finalidades e os meios de tratamento de Dados Pessoais; para os efeitos do presente APD, quando o Cliente atua como contratante para outro responsável, será considerado, no que concerne a Qualtrics, como um Responsável adicional e independente com os respetivos direitos e obrigações de responsável ao abrigo do presente APD.

9.2 "Centro de Dados" significa o local onde a instância de produção do Serviço Cloud está alojada para o Cliente, na região acordada numa Nota de encomenda.

9.3 "Lei de Proteção de Dados" significa a legislação aplicável que protege os direitos e liberdades fundamentais das pessoas e o seu direito à privacidade no que respeita ao tratamento de Dados Pessoais ao abrigo do Acordo (e inclui, no que respeita à relação entre as partes relativamente ao tratamento de Dados Pessoais pela Qualtrics em nome do Cliente, a RGPD como padrão mínimo, independentemente de os Dados Pessoais estarem ou não sujeitos à RGPD).

9.4 "Titular dos dados" significa uma pessoa singular identificada ou identificável, tal como definido pela Lei de Proteção de Dados.

9.5 "EEE" significa o Espaço Económico Europeu, nomeadamente os Estados-Membros da União Europeia juntamente com a Islândia, o Liechtenstein e a Noruega.

9.6 "Dados Pessoais" significa qualquer informação relativa a um Titular dos Dados que seja protegida ao abrigo da Lei de Proteção de Dados. Para os fins do APD, inclui apenas dados pessoais que sejam (i) introduzidos pelo Cliente ou pelos seus Utilizadores Autorizados ou derivados da sua utilização do Serviço Cloud, ou (ii) fornecidos ou acedidos pela Qualtrics ou pelos seus subcontratantes ulteriores, a fim de prestar apoio ao abrigo do Acordo. Os Dados Pessoais são um subconjunto de Dados do Cliente (tal como definido no Acordo).

9.7 "Violação de Dados Pessoais" significa uma destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso não autorizado de terceiros a Dados Pessoais ou (2) incidentes semelhantes envolvendo Dados Pessoais, em que em todos os casos um responsável pelo tratamento é obrigado, nos termos da Lei de Proteção de Dados, a notificar as autoridades competentes em matéria de proteção de dados ou os Titulares dos Dados.

9.8 "Contratante" significa uma pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que trate dados pessoais em nome do responsável pelo tratamento, seja diretamente como contratante de um responsável pelo tratamento ou indiretamente como subcontratante ulterior de um contratante que trate dados pessoais em nome do responsável pelo tratamento.

9.9 "Cláusulas Contratuais-Tipo" ou por vezes também referidas como "Cláusulas Modelo da UE" significa as (Cláusulas Contratuais-Tipo (contratantes)) ou qualquer versão subsequente das mesmas publicada pela Comissão Europeia (que se aplicar-se-ão automaticamente). As Cláusulas Contratuais-Tipo em vigor à data da celebração deste Acordo encontram-se anexadas ao presente como Apêndice 4.

9.10 "Subcontratante ulterior" significa os afiliados da Qualtrics e terceiros contratados pela Qualtrics em ligação com o Serviço Cloud e que processam Dados Pessoais de acordo com este APD.

Apêndice 1 do APD e, se aplicável, as Cláusulas Contratuais-Tipo

Exportador de dados

O Exportador de Dados é o Cliente que subscreveu um Serviço Cloud que permite aos Utilizadores Autorizados entrar, alterar, utilizar, apagar ou de outra forma processar Dados Pessoais. Quando o Cliente permite que outros Responsáveis pelo tratamento de dados também utilizem o Serviço Cloud, estes outros Responsáveis são também Exportadores de Dados.

Importador de dados

A Qualtrics e os seus subcontratantes ulteriores fornecem o Serviço Cloud, que inclui o seguinte apoio:

A Qualtrics e os seus Afiliados apoiam os centros de dados do Serviço Cloud remotamente a partir dos locais da Qualtrics especificados no Livro Branco sobre Segurança da Qualtrics (que está disponível mediante solicitação). O apoio inclui:

• Monitorização do serviço Cloud

• Cópia de segurança e restauração dos dados do cliente armazenados no serviço Cloud

• Lançamento e desenvolvimento de correções e atualizações para o Serviço Cloud

• Monitorização, resolução de problemas e administração da infraestrutura e base de dados subjacentes do Serviço Cloud

• Monitorização de segurança, apoio à deteção de intrusão baseada em rede, testes de penetração

A Qualtrics e os seus Afiliados prestam apoio quando um Cliente o solicita porque o Serviço Cloud não está disponível ou não funciona como esperado para alguns ou todos os Utilizadores Autorizados. A Qualtrics atende chamadas e efetua a resolução de problemas básicos, e trata dos tickets de apoio num sistema de rastreio que está separado da instância de produção do Serviço Cloud.

Titulares dos Dados

O Exportador de Dados determina apenas as categorias de Titulares dos Dados que poderão incluir: funcionários, prestadores de serviços, parceiros comerciais ou outros indivíduos com Dados Pessoais armazenados no Serviço Cloud.

Categorias de dados

O cliente determina apenas as categorias de dados por Serviço Cloud subscrito. O cliente pode configurar os campos de dados durante a implementação do Serviço Cloud ou de outra forma disponibilizada pelo Serviço Cloud. Os Dados Xxxxxxxx transferidos referem-se normalmente às seguintes categorias de dados: nome, números de telefone, endereço de correio eletrónico, fuso horário, dados de endereço, acesso / utilização / dados de autorização do sistema, nome da empresa, dados contratuais, dados de faturação, mais quaisquer dados específicos da aplicação que os Utilizadores Autorizados introduzem no Serviço Cloud.

Categorias de dados especiais (se aplicável)

Os Dados Xxxxxxxx transferidos dizem respeito às seguintes categorias especiais de dados: Conforme estabelecido no Acordo (incluindo a Nota de encomenda), caso exista.

Operações de Processamento / Finalidades

Os Dados Xxxxxxxx transferidos estão sujeitos às seguintes atividades básicas de processamento:

• utilização de Dados Pessoais para criar, operar, monitorizar e fornecer o Serviço Cloud (incluindo apoio operacional e técnico)

• prestação de Serviços;

• comunicação aos utilizadores autorizados

• armazenamento de dados pessoais em centros de dados dedicados (arquitetura de multilocação)

• carregar quaisquer correções ou atualizações para o Serviço Cloud

• Cópia de segurança dos dados pessoais

• tratamento informático de dados pessoais, incluindo transmissão de dados, recuperação de dados, acesso aos dados

• acesso à rede para permitir a transferência de dados pessoais

• execução de instruções do Cliente em conformidade com o Acordo.

Apêndice 2 do APD e, se aplicável, as Cláusulas Contratuais-Tipo - Medidas Técnicas e Organizativas

1. MEDIDAS TÉCNICAS E ORGANIZATIVAS

As secções seguintes definem as atuais medidas técnicas e organizativas da Qualtrics. A Qualtrics pode alterá-las a qualquer momento sem aviso prévio, desde que mantenha um nível de segurança comparável ou melhor. As medidas individuais podem ser substituídas por novas medidas que sirvam o mesmo propósito, sem diminuir o nível de segurança que protege os Dados Pessoais.

1.1 Controlo de Acesso Físico. As pessoas não autorizadas são impedidas de obter acesso físico a instalações, edifícios ou salas onde se encontram sistemas de processamento de dados que processam e/ou utilizam Dados Pessoais.

Medidas:

• A Qualtrics protege os seus bens e instalações utilizando os meios apropriados com base na Política de Segurança Qualtrics

• Em geral, os edifícios são protegidos através de sistemas de controlo de acesso (por exemplo, sistema de acesso por cartão inteligente).

• Como requisito mínimo, os pontos de entrada mais exteriores do edifício devem estar equipados com um sistema de chaves certificado, incluindo uma gestão de chaves moderna e ativa.

• Dependendo da classificação de segurança, edifícios, áreas individuais e instalações circundantes podem ser ainda mais protegidas por medidas adicionais. Estas incluem perfis de acesso específicos, vigilância por vídeo, sistemas de alarme de intrusão e sistemas biométricos de controlo de acesso.

• Os direitos de acesso são concedidos a pessoas autorizadas a título individual de acordo com o sistema e as medidas de controlo de acesso aos dados (ver secção 1.2 e 1.3 abaixo). Isto também se aplica ao acesso de visitantes. Os convidados e visitantes dos edifícios Qualtrics devem registar os seus nomes na receção e devem ser acompanhados por pessoal autorizado Qualtrics.

• Os funcionários e pessoal externo da Qualtrics devem usar os seus cartões de identificação em todos os locais Qualtrics.

Medidas adicionais para Centros de Dados:

• Todos os Centros de Dados aderem a rigorosos procedimentos de segurança aplicados por guardas, câmaras de vigilância, detetores de movimento, mecanismos de controlo de acesso e outras medidas para evitar que o equipamento e as instalações dos Centros de Dados sejam comprometidos. Apenas representantes autorizados têm acesso aos sistemas e infraestruturas dentro das instalações do Centro de Dados. Para proteger a funcionalidade adequada, o equipamento de segurança física (por exemplo, sensores de movimento, câmaras, etc.) é submetido a manutenção regular.

• A Qualtrics e todos os fornecedores de Centros de Dados de terceiros registam os nomes e horários do pessoal autorizado a entrar nas áreas privadas da Qualtrics, dentro dos Centros de Dados.

1.2 Controlo de Acesso ao Sistema. Os sistemas de processamento de dados utilizados para fornecer o Serviço Cloud devem ser impedidos de serem utilizados sem autorização.

Medidas:

• São utilizados múltiplos níveis de autorização ao conceder acesso a sistemas sensíveis, incluindo os que armazenam e processam Dados Pessoais. As autorizações são geridas através de processos definidos de acordo com a Política de Segurança da Qualtrics

• Todo o pessoal acede aos sistemas da Qualtrics com um identificador único (ID do utilizador).

• A Qualtrics tem procedimentos em vigor para que as alterações de autorização solicitadas sejam implementadas apenas em conformidade com a Política de Segurança da Qualtrics (por exemplo, não são concedidos direitos sem autorização). No caso de funcionários que saem da empresa, os seus direitos de acesso são revogados.

• A Qualtrics estabeleceu uma política de senhas que proíbe a partilha de senhas, define as respostas à divulgação de senhas, e exige que as senhas sejam alteradas regularmente e que as senhas por defeito sejam alteradas. São atribuídos IDs personalizados dos utilizadores para autenticação. Todas as senhas devem cumprir requisitos mínimos definidos e são armazenadas de forma encriptada. No caso de senhas de domínio, o sistema força uma mudança de senha de seis em seis meses, em conformidade com os requisitos estabelecidos para senhas complexas. Cada computador tem um protetor de ecrã protegido por senha.

• A rede da empresa é protegida da rede pública por firewalls.

• A Qualtrics utiliza software antivírus atualizado nos pontos de acesso à rede da empresa (para contas de correio eletrónico), bem como em todos os servidores de ficheiros e em todas as

estações de trabalho.

• É implementada uma gestão de correções de segurança para proporcionar uma implementação regular e periódica de atualizações de segurança. O acesso remoto completo à rede da empresa e infraestruturas críticas da Qualtrics está protegido por uma forte autenticação.

1.3 Controlo de Acesso aos Dados. As pessoas com direito de utilizar sistemas de processamento de dados só têm acesso aos Dados Pessoais a que têm direito de acesso; e os Dados Pessoais não devem ser lidos, copiados, modificados ou removidos sem autorização expressa no decurso do processamento, utilização e armazenamento.

Medidas:

• Como parte da Política de Segurança da Qualtrics, os Dados Pessoais requerem, pelo menos, o mesmo nível de proteção fornecido a informações "confidencias", em conformidade com o padrão de classificação de informações da Qualtrics.

• O acesso aos Dados Pessoais é concedido com base no princípio de necessidade de conhecimento. O pessoal tem acesso à informação de que necessita a fim de cumprir o seu dever. A Qualtrics utiliza um sistema de autorização que atribui processos de concessão de documentos e funções por conta (ID de utilizador). Todos os Dados do Cliente são protegidos de acordo com a Política de Segurança da Qualtrics.

• Todos os servidores de produção são operados nos Centros de Dados ou em salas de servidores seguras. As medidas de segurança que protegem as aplicações que processam os Dados Pessoais são regularmente verificadas. Para o efeito, a Qualtrics efetua verificações de segurança internas e externas e testes de penetração nos seus sistemas informáticos.

• Uma norma de segurança Qualtrics rege como os dados e suportes de dados são apagados ou destruídos quando já não são necessários.

1.4 Controlo de transmissão de dados. Exceto quando necessário para a prestação dos Serviços Cloud em conformidade com o Acordo, os Dados Pessoais não devem ser lidos, copiados, modificados ou removidos sem autorização durante a transferência. Quando os suportes de dados são transportados fisicamente, são implementadas medidas adequadas na Qualtrics para fornecer os níveis de serviço acordados (por exemplo, encriptação e contentores revestidos de chumbo).

Medidas:

• Os dados pessoais em transferência através de redes internas Qualtrics são protegidos de acordo com a Política de Segurança da Qualtrics.

• Quando os dados são transferidos entre a Qualtrics e os seus clientes, as medidas de proteção dos Dados Pessoais transferidos são mutuamente acordadas e fazem parte do acordo relevante. Isto aplica-se tanto à transferência de dados físicos como à transferência de dados através de redes. Em qualquer caso, o Cliente assume a responsabilidade por qualquer transferência de dados uma vez fora dos sistemas controlados pela Qualtrics (por exemplo, dados transmitidos fora da firewall do Centro de Dados da Qualtrics).

1.5 Controlo da introdução de dados. Será possível examinar e estabelecer posteriormente se e por quem os Dados Pessoais foram introduzidos, modificados ou removidos dos sistemas de processamento de dados da Qualtrics.

Medidas:

• A Qualtrics permite apenas que o pessoal autorizado tenha acesso aos Dados Pessoais conforme necessário no exercício das suas funções.

• A Qualtrics implementou um sistema de registo para introdução, modificação e eliminação, ou bloqueio de Dados Pessoais pela Qualtrics ou os seus subcontratantes ulteriores dentro do Serviço Cloud, na medida do tecnicamente possível.

1.6 Controlo de trabalhos. Os Dados Pessoais em processamento mediante encomenda (ou seja, Dados Pessoais processados em nome de um cliente) são processados exclusivamente nos termos do Acordo e as instruções do cliente.

Medidas:

• A Qualtrics utiliza controlos e processos para monitorizar o cumprimento de contratos entre a Qualtrics e os seus clientes, subcontratantes ou outros prestadores de serviços.

• Como parte da Política de Segurança da Qualtrics, os Dados Pessoais requerem pelo menos o mesmo nível de proteção fornecido a informações "confidencias", em conformidade com o padrão de classificação de informações da Qualtrics

• Todos os funcionários e subcontratantes ulteriores contratados ou outros prestadores de serviços da Qualtrics estão contratualmente obrigados a respeitar a confidencialidade de todas as informações sensíveis, incluindo segredos comerciais dos clientes e parceiros da Qualtrics.

1.7 Controlo de disponibilidade. Os Dados Xxxxxxxx serão protegidos contra destruição ou perda acidental ou não autorizada.

Medidas:

• A Qualtrics emprega processos regulares de cópias de segurança para fornecer a restauração de sistemas críticos de negócios, quando e como necessário.

• A Qualtrics utiliza fontes de alimentação ininterruptas (por exemplo: UPS, baterias, geradores, etc.) para proteger a disponibilidade de energia para os Centros de Dados.

• A Qualtrics definiu planos de contingência de negócios para processos essenciais para os negócios e poderá oferecer estratégias de recuperação de desastres para Serviços essenciais aos negócios, tal como definido mais adiante na Documentação ou incorporado na Nota de encomenda para o Serviço Cloud relevante.

• Os processos e sistemas de emergência são testados regularmente.

1.8 Controlo de separação de dados.

Medidas:

• A Qualtrics utiliza as capacidades técnicas do software implementado (por exemplo: multilocação, estruturas de sistema) para conseguir a separação de dados entre os Dados Pessoais provenientes de múltiplos clientes.

• O cliente (incluindo os seus Responsáveis) só tem acesso aos seus próprios dados.

1.9 Controlo de Integridade de Dados. Os Dados Pessoais permanecerão intactos, completos e atuais durante as atividades de processamento.

Medidas:

A Qualtrics implementou uma estratégia de defesa multicamadas como proteção contra modificações não autorizadas.

Em particular, a Qualtrics utiliza o seguinte para implementar as secções de controlo e medidas descritas acima:

• Firewalls;

• Centro de Monitorização de Segurança;

• Software antivírus;

• Cópia de segurança e recuperação;

• Testes de penetração externa e interna;

• Auditorias externas regulares para testar as medidas de segurança.

Apêndice 3 do APD e, se aplicável, as Cláusulas Contratuais-Tipo

O quadro seguinte apresenta os Artigos relevantes do RGPD e os termos correspondentes do APD, apenas para fins ilustrativos.

Artigo do RGPD	Secção do APD	Clique no link para ver a Secção

28(1)	2 e Apêndice 2	Segurança do Processamento e Apêndice 2, Medidas Técnicas e Organizativas.
28(2), 28(3) (d) e 28 (4)	6	SUBCONTRATANTES ULTERIORES
28 (3) frase 1	1.1 e Apêndice 1, 1.2	Finalidade e Aplicação. Estrutura.
28(3) (a) e 29	3.1 e 3.2	Instruções do Cliente. Processamento por Exigência legal.
28(3) (b)	3.3	Pessoal.
28(3) (c) e 32	2 e Apêndice 2	Segurança do Processamento e Apêndice 2, Medidas Técnicas e Organizativas.
28(3) (e)	3.4	Cooperação.
28(3) (f) e 32-36	2 e Apêndice 2, 3.5, 3.6	Segurança do Processamento e Apêndice 2, Medidas Técnicas e Organizativas. Notificação de Violação de Xxxxx Xxxxxxxx. Avaliação de Impacto sobre a Proteção de dados.
28(3) (g)	4	Exportação e eliminação de dados
28(3) (h)	5	CERTIFICAÇÕES E AUDITORIAS
28 (4)	6	SUBCONTRATANTES ULTERIORES
30	8	Documentação; Registos de processamento
46(2) (c)	7.2	Cláusulas Contratuais-Tipo.

Apêndice 4 CLÁSULAS CONTRATUAIS-TIPO

(SUBCONTRATANTES)

(Em conformidade com a Decisão da Comissão de 5 de fevereiro de 2010 (2010/87/UE))

Para efeitos do n.º 2 do artigo 26.º da Diretiva 95/46/CE (ou, após 25 de maio de 2018, do artigo 44.º e seguintes do Regulamento 2016/79) aplicáveis à transferência de dados pessoais para subcontratantes estabelecidos em países terceiros que não assegurem um nível adequado de proteção de dados

Cliente, também em nome dos outros Responsáveis pelo tratamento de dados

(nas Cláusulas a seguir referidas como "exportador de dados") e

Qualtrics, LLC

(nas cláusulas a seguir referidas como "importador de dados") individualmente, uma "parte" e coletivamente "partes".

ACORDARAM nas seguintes cláusulas contratuais (as cláusulas) de modo a apresentarem garantias adequadas relativas à proteção da privacidade e dos direitos e liberdades fundamentais dos indivíduos para a transferência, pelo exportador de dados para o importador de dados, dos dados pessoais especificados no Apêndice 1.

Cláusula 1

Definições

Para efeitos das presentes cláusulas:

a) "Dados pessoais", "categorias especiais de dados", "tratamento", "responsável pelo tratamento", "subcontratante", "titular dos dados" e "autoridade supervisora" têm o mesmo significado que na Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados;

b) "exportador de dados" é o responsável pelo tratamento que transfere os dados pessoais;

c) "importador de dados" é o subcontratante que concorda em receber, do exportador de dados, dados pessoais para serem tratados por conta deste após a transferência, em conformidade com as suas instruções e nos termos das cláusulas, e que não está sujeito a um sistema de um país terceiro que assegure uma proteção adequada na aceção do n.º 1 do artigo 25.º da Diretiva 95/46/CE;

d) "Subcontratante" é qualquer subcontratante do importador de dados ou de qualquer outro subcontratante do importador de dados que aceite receber do importador de dados ou de qualquer outro seu subcontratante dados pessoais destinados exclusivamente a atividades de tratamento a realizar por conta do exportador de dados após a transferência, em conformidade com as suas instruções, as condições previstas nas cláusulas e as condições do subcontrato escrito;

e) " Legislação sobre proteção de dados aplicável" é a legislação que protege os direitos e liberdades fundamentais dos indivíduos e, em especial, o seu direito à privacidade no que respeita ao tratamento dos seus dados pessoais, aplicável a um responsável pelo tratamento de dados no Estado-Membro em que o exportador de dados se encontra estabelecido;

f) "Medidas de segurança técnicas e organizativas" são as medidas destinadas a proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, alteração, divulgação ou acesso não autorizados, nomeadamente quando o tratamento implicar a transmissão de dados por rede, e contra qualquer outra forma de tratamento ilícito.

Cláusula 2

Detalhes da transferência

Os detalhes da transferência e em particular as categorias especiais de dados pessoais, quando aplicável, são especificados no Apêndice 1, que constitui parte integrante das Cláusulas.

Cláusula 3

Cláusula do terceiro beneficiário

1. O titular dos dados pode fazer aplicar contra o exportador de dados a presente cláusula, cláusula 4, alíneas b) a i), cláusula 5, alíneas a) a e), e xxxxxxx x) a j), cláusula 6 n.º 1 e n.º 2, cláusula 7, cláusula 8 n.º 2, e cláusulas 9 a 12, na qualidade de terceiro beneficiário.

2. O titular dos dados pode fazer aplicar contra o importador de dados a presente cláusula, a cláusula 5, alíneas a) a e) e alínea g), a cláusula 6, a cláusula 7, a cláusula 8 n.º 2, e as cláusulas 9 a 12, em caso de desaparecimento de facto ou extinção legal do exportador de dados, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações legais do exportador de dados mediante contrato ou por força da lei e, consequentemente, assuma os direitos e obrigações do exportador de dados, podendo nesse caso o titular dos dados invocá-los contra tal entidade.

3. O titular dos dados pode fazer aplicar contra o subcontratante ulterior a presente cláusula, a cláusula 5, alíneas a) a e) e alínea g), a cláusula 6, a cláusula 7, a cláusula 8 n.º2, e as cláusulas 9 a 12, em caso de desaparecimento de facto ou de extinção legal do exportador e do importador de dados, ou se estes se tornaram insolventes, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações legais do exportador de dados mediante contrato ou por força da lei e, consequentemente, assuma os direitos e obrigações do exportador de dados, podendo nesse caso o titular dos dados invocá-los contra tal entidade. Esta responsabilidade civil do subcontratante ulterior é limitada às suas próprias atividades de tratamento de dados ao abrigo das presentes cláusulas.

4. As partes não se opõem a que o titular dos dados seja representado por uma associação ou outro organismo se, expressamente, assim o desejar e se a legislação nacional o permitir.

Cláusula 4

Obrigações do exportador de dados

O exportador de dados acorda e garante:

a) Que o tratamento dos dados pessoais, incluindo a própria transferência, foi e continuará a ser efetuado em conformidade com as disposições pertinentes da legislação aplicável em matéria de proteção de dados (e, quando aplicável, foi notificada às autoridades competentes do Estado-Membro em que o exportador de dados está estabelecido) e que não viola as disposições pertinentes desse Estado;

b) Que deu e continuará a dar instruções ao importador de dados durante os serviços de tratamento de dados pessoais para tratar os dados pessoais transferidos apenas por conta do exportador de dados e em conformidade com a legislação sobre proteção de dados aplicável e com as cláusulas;

c) Que o importador de dados oferecerá garantias suficientes relativamente às medidas de segurança técnicas e organizativas especificadas no Apêndice 2 do presente contrato;

d) Que, depois de avaliar os requisitos da legislação sobre proteção de dados aplicável, as medidas de segurança são adequadas para proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a divulgação ou o acesso não autorizados, nomeadamente quando o tratamento implicar a sua transmissão por rede, e contra qualquer outra forma de tratamento ilícito e que estas medidas asseguram um nível de segurança adequado em relação aos

riscos que o tratamento representa e à natureza dos dados a proteger, atendendo aos conhecimentos técnicos disponíveis e aos custos resultantes da sua aplicação;

e) Que assegurará o cumprimento das medidas de segurança;

f) Que, se a transferência envolver categorias especiais de dados, o titular dos dados foi ou será informada antes, ou logo que possível após a transferência, de que os seus dados poderão ser transmitidos para um país terceiro que não garante um nível de proteção adequado na aceção da Diretiva 95/46/CE;

g) Que enviará qualquer notificação recebida do importador de dados ou de qualquer subcontratante ulterior à autoridade de controlo responsável pela proteção de dados nos termos da cláusula 5, alínea b) e da cláusula 8 n.º 3, se decidir continuar a transferência ou levantar a suspensão;

h) Que disponibilizará aos titulares dos dados, mediante pedido, uma cópia das cláusulas, com exceção do Apêndice 2, e uma descrição sumária das medidas de segurança, bem como uma cópia de qualquer contrato de serviços de subcontratação ulterior que tenha de ser celebrado em conformidade com as cláusulas, a menos que as cláusulas ou o contrato contenham informações comerciais, caso em que poderá suprimir tais informações;

i) Que, em caso de subcontratação ulterior, a atividade de tratamento é realizada em conformidade com a cláusula 11 por um subcontratante que assegure pelo menos o mesmo nível de proteção dos dados pessoais e dos direitos do titular dos dados que o importador de dados em conformidade com as cláusulas; e

j) Que assegurará o cumprimento da cláusula 4, xxxxxxx a) a i).

Cláusula 5

Obrigações do importador de dados

O importador de dados acorda e garante:

a) que tratará os dados pessoais apenas por conta do exportador de dados e em conformidade com as suas instruções e as cláusulas; no caso de não poder cumprir estas obrigações por qualquer razão, concorda em informar prontamente o exportador de dados desse facto, tendo neste caso o exportador de dados o direito de suspender a transferência de dados e/ou de rescindir o contrato;

b) Que não tem qualquer razão para crer que a legislação que lhe é aplicável o impede de respeitar as instruções recebidas do exportador de dados e as obrigações que lhe incumbem por força do contrato e que, no caso de haver uma alteração nesta legislação que possa ter um efeito adverso substancial nas garantias e obrigações conferidas pelas cláusulas, notificará imediatamente essa alteração ao exportador de dados, logo que dela tiver conhecimento, tendo neste caso o exportador de dados o direito de suspender a transferência de dados e/ou de rescindir o contrato;

c) Que aplicou as medidas de segurança técnicas e organizativas previstas no Apêndice 2 antes de tratar os dados pessoais transferidos;

(d) que notificará imediatamente o exportador de dados no que respeita a:

i) Qualquer pedido juridicamente vinculativo de divulgação dos dados pessoais por parte de uma autoridade competente para aplicação da lei, salvo proibição em contrário, tal como uma proibição prevista no direito penal para preservar a confidencialidade de uma investigação policial;

(ii) qualquer acesso acidental ou não autorizado; e

(iii) qualquer pedido recebido diretamente dos titulares dos dados, sem responder a esse pedido, a menos que tenha sido autorizado a fazê-lo;

e) Que responderá rápida e adequadamente a todos os pedidos de informação do exportador de dados relativos ao tratamento por si efetuado dos dados pessoais objeto da transferência e que seguirá os conselhos da autoridade de controlo no que diz respeito ao tratamento dos dados transferidos;

f) Que, a pedido do exportador de dados, apresentará os seus meios de tratamento de dados para auditoria das atividades de tratamento abrangidas pelas cláusulas, que será efetuada pelo exportador de dados ou por um organismo de inspeção, composto por membros independentes que possuam as qualificações profissionais exigidas, e estejam vinculados por um dever de confidencialidade, selecionado pelo exportador de dados e, se necessário, de acordo com a autoridade de controlo;

g) Que colocará à disposição do titular dos dados, mediante pedido, uma cópia das cláusulas, ou de qualquer contrato existente de subcontratação ulterior, a menos que as cláusulas ou contrato contenham informações comerciais, caso em que poderá suprimir tais informações comerciais, com exceção do Apêndice 2, que será substituído por uma descrição sumária das medidas de segurança, no caso de o titular dos dados não poder obter uma cópia do exportador de dados;

h) Que, em caso de subcontratação ulterior, informou previamente o exportador de dados e obteve o seu consentimento prévio por escrito;

(i) Que os serviços de tratamento de dados efetuados pelo subcontratante ulterior serão prestados em conformidade com a cláusula 11;

j) Que envia prontamente ao exportador de dados uma cópia de qualquer acordo de subcontratação ulterior que celebrar ao abrigo das cláusulas.

Cláusula 6

Responsabilidade

1. As partes concordam que qualquer titular dos dados que tenha sofrido danos resultantes de qualquer incumprimento das obrigações referidas na cláusula 3 ou 11 por qualquer parte ou subcontratante ulterior tem o direito de obter compensação do exportador de dados pelos danos sofridos.

2. Se o titular dos dados não puder intentar uma ação de reparação em conformidade com o n.º 1 contra o exportador de dados, por incumprimento pelo importador de dados ou o seu subcontratante de quaisquer das suas obrigações referidas nas cláusulas 3 e 11, devido ao desaparecimento de facto ou extinção legal ou à insolvência do exportador de dados, o importador de dados aceita que o titular dos dados lhe possa intentar uma ação como se fosse o exportador de dados, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações legais do exportador de dados, mediante contrato ou por força da lei, caso em que o titular dos dados pode invocar os seus direitos contra essa entidade

O importador de dados não pode invocar o incumprimento por um subcontratante ulterior das suas obrigações para se eximir às suas próprias responsabilidades.

3. Se o titular dos dados não puder intentar a ação referida nos n.º 1 e 2 contra o exportador ou o importador de dados, por incumprimento pelo subcontratante ulterior de quaisquer das suas obrigações referidas nas cláusulas 3 ou 11, devido ao desaparecimento de facto ou extinção legal ou à insolvência do exportador e do importador de dados, o subcontratante ulterior aceita que o titular dos dados lhe possa intentar uma ação relativamente às suas próprias atividades de tratamento de dados ao abrigo das cláusulas, como se fosse o exportador ou o importador de dados, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações legais do exportador ou do importador de dados, mediante contrato ou por força da lei, caso em que o titular dos dados pode invocar os seus

direitos contra essa entidade. A responsabilidade do subcontratante ulterior é limitada às suas próprias atividades de tratamento de dados ao abrigo das cláusulas.

Cláusula 7

Mediação e jurisdição

1. O importador de dados concorda que se o titular dos dados invocar contra ele os direitos de terceiro beneficiário e/ou exigir uma indemnização por danos ao abrigo das cláusulas, o importador de dados aceitará a decisão do titular dos dados de:

a) Submeter o litígio a mediação de uma pessoa independente ou, quando aplicável, da autoridade de controlo;

b) Submeter o litígio aos tribunais do Estado-Membro em que o exportador de dados se encontra estabelecido.

2. As partes concordam que a opção do titular dos dados não prejudicará os direitos materiais ou processuais do mesmo de obter reparação em conformidade com outras disposições do direito nacional ou internacional.

Cláusula 8

Cooperação com as autoridades de controlo

1. O exportador de dados concorda em depositar uma cópia deste contrato junto da autoridade de controlo se esta o solicitar ou se a legislação sobre proteção de dados aplicável assim o exigir.

2. As partes concordam que a autoridade de controlo tem o direito de realizar auditorias ao importador de dados ou a qualquer subcontratante ulterior com o mesmo âmbito e nas mesmas condições das auditorias efetuadas ao exportador de dados, em conformidade com a legislação sobre proteção de dados aplicável.

3. O importador de dados notifica imediatamente o exportador de dados da existência de legislação que lhe é aplicável ou a qualquer subcontratante ulterior e que impede a realização de uma auditoria ao importador de dados ou a qualquer subcontratante ulterior, nos termos do n.º 2. Nesse caso, o exportador de dados tem o direito de adotar as medidas previstas na cláusula 5, alínea b).

Cláusula 9

Direito aplicável

As cláusulas são regidas pela legislação do Estado-membro em que o exportador de dados se encontra estabelecido.

Cláusula 10

Alteração do contrato

As partes comprometem-se a não alterar ou modificar as Cláusulas. Tal não impede que as partes aditem cláusulas de carácter comercial sempre que necessário, desde que as mesmas não contrariem a cláusula.

Cláusula 11

Subcontratação ulterior

1. O importador de dados não subcontrata nenhuma das suas atividades de tratamento executadas por conta do exportador de dados ao abrigo das cláusulas sem o consentimento escrito prévio deste. Sempre que o importador de dados subcontratar as suas obrigações ao abrigo das presentes cláusulas, com o consentimento do exportador de dados, fá-lo apenas mediante acordo escrito com o subcontratante ulterior que imponha a este último as mesmas obrigações do importador

de dados ao abrigo das cláusulas. Em caso de incumprimento pelo subcontratante ulterior das obrigações em matéria de proteção de dados que lhe incumbem nos termos do referido acordo escrito, o importador de dados continua a ser plenamente responsável perante o exportador de dados pelo cumprimento destas obrigações ao abrigo do referido acordo.

2. O contrato escrito prévio entre o importador de dados e o subcontratante ulterior deve prever igualmente uma cláusula do terceiro beneficiário, tal como previsto na cláusula 3, para os casos em que o titular dos dados não puder intentar a ação de reparação referida na cláusula 6, n.º 1, contra o exportador ou o importador de dados por estes terem desaparecido de facto ou terem sido extintos legalmente ou por se terem tornado insolventes e nenhuma entidade sucessora ter assumido a totalidade das obrigações do exportador ou do importador de dados, mediante contrato ou por força da lei. Esta responsabilidade civil do subcontratante ulterior é limitada às suas próprias atividades de tratamento de dados ao abrigo das presentes cláusulas.

3. As disposições relativas aos aspetos de proteção de dados no que se refere à subcontratação ulterior referido no n.º 1 são regidas pela legislação do Estado-membro em que o exportador de dados se encontra estabelecido.

4. O exportador de dados manterá uma lista dos acordos de subcontratação ulterior celebrados ao abrigo das cláusulas e notificados pelo importador de dados nos termos da cláusula 5, alínea j), que será atualizada pelo menos uma vez por ano. Esta lista estará à disposição da autoridade de controlo da proteção de dados do exportador de dados.

Cláusula 12

Obrigação após a cessação dos serviços de tratamento de dados pessoais

1. As partes acordam que, após a cessação da prestação de serviços de tratamento de dados, o importador de dados e o seu subcontratante, conforme preferência do exportador de dados, devolverão todos os dados pessoais transferidos e as respetivas cópias ao exportador de dados ou destruirão todos os dados pessoais e certificarão ao exportador de dados que o fizeram, a menos que a legislação imposta ao importador de dados o impeça de devolver ou destruir a totalidade ou parte dos dados pessoais transferidos. Nesse caso, o importador de dados garante a confidencialidade dos dados pessoais transferidos e não voltará a tratar ativamente os dados pessoais transferidos.

2. O importador de dados e o seu subcontratante garantem que, a pedido do exportador de dados e/ou da autoridade de controlo, submeterão os seus meios de tratamento de dados a uma auditoria das medidas referidas no n.º 1.

Document Metadata

Table of Contents

TERMOS E CONDIÇÕES GERAIS PARA OS SERVIÇOS DA QUALTRICS CLOUD ("TCG")

Document Metadata