Termos e condições para o processamento de dados pessoais
Termos e condições para o processamento de dados pessoais
1. Introdução
Estes Termos e Condições são aplicáveis nos serviços prestados pela entidade de venda ZF identificada no Contrato de Serviço e em nome das suas subsidiárias, (doravante coletivamente referidas como o "Processador") ao Cliente que utiliza os Serviços como definido abaixo (doravante referido como o "Cliente" ou o "Controlador").
O Controlador e o Processador a seguir serão designados conjuntamente por as “Partes” e individualmente por a “Parte”.
Considerando que o Processador está a fornecer serviços IoT, Soluções de Gestão de Frotas e outros produtos e serviços (os "Serviços") ao Cliente, conforme descrito no Contrato de Serviço e nos Termos e Condições para o fornecimento de serviços de telemática e Internet das coisas (coletivamente o "Contrato de Serviços") celebrado entre o Processador e o Cliente.
Considerando que no âmbito da prestação dos Serviços é necessária a partilha e o processamento de Dados pessoais entre as Partes respetivamente, os presentes Termos e condições específicos indicam as condições em que podem receber, aceder e processar posteriormente os Dados pessoais da outra Parte se, e na medida em que, o Processador está a processar Dados pessoais como um Processador em nome do Cliente relativamente aos Serviços prestados pela Transics ao Cliente ao abrigo do Acordo de Serviços.
Os presentes Termos e condições para o processamento de Dados pessoais são aplicáveis na medida em que não tenha sido assinado entre as partes um Acordo de Processamento de Dados (APD) separado. Tal APD assinado deve prevalecer sob quaisquer termos conflituosos nos presentes Termos e condições.
2. Definições
a. Os termos definidos no Acordo de Serviços entre o Processador e o Controlador têm o mesmo significado quando utilizados nos presentes Termos e condições específicos para o processamento de dados (“Termos”).
b. Para fins dos presentes Termos, “Dados pessoais”, “Categorias especiais de dados”, “Processar / processamento”, “Controlador” (ou “Controlador de dados”), “Processador” (ou “Processador de dados”), “Subprocessador”, “Titular de dados” e “Violação dos dados pessoais” devem ter o mesmo significado que o definido na Lei de Proteção de Dados aplicável.
c. “Leis de Proteção de Dados” significa o Regulamento geral sobre a proteção de dados 2016/679 (“RGPD”) e disposições suplementares da legislação nacional nos Estados membros do EEE, a Diretiva da UE (2002/58/CE) de 12 de julho de 2002 relativa ao processamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas, conforme implementado na legislação nacional dos Estados membros do EEE, tal como pode ser alterado, revogado, substituído ou complementado periodicamente bem como qualquer outra legislação ou regulamento de proteção de dados e privacidade aplicáveis aos Dados pessoais controlados por cada Parte.
3. Assunto e prazo
Os presentes Termos aplicam-se a qualquer recolha, uso, partilha e processamento posterior de Dados
pessoais pelo Processador se, e na medida em que, o Processador está a processar Dados pessoais como o Processador em nome do Cliente relativamente aos Serviços prestados pelo Processador ao Cliente ao abrigo do Acordo de Serviços.
Os presentes Termos substituem, sem anular quaisquer acordos previamente estabelecidos entre as Partes em relação aos aspetos relacionados com o processamento de Dados pessoais, com exceção de qualquer Acordo de Processamento de Dados assinado entre as Partes. Os presentes Termos fazem parte integrante do Acordo de Serviços estabelecido entre o Processador e o Cliente. Os presentes Termos consideram-se efetivos a partir da data de assinatura do Acordo de Serviços e permanecem em pleno vigor até ao fim do Acordo. De tempos a tempos, o Processador pode atualizar estes Termos. A mais recente versão aplicável estará sempre disponível
no website do Processador: xxx.xx.xxx/xx/xxxxx/XXX-XX-Xxxxxxxxxx-xx- processing-personal-data
4. Âmbito
As Partes processarão os Dados pessoais, cada uma na sua respetiva capacidade, de acordo com as Leis de Proteção de Dados e qualquer outro regulamento aplicável a que a respetiva Parte esteja sujeita.
Tipo de dados
O Controlador deve definir que, uma ou mais das categorias de dados a seguir apresentadas serão recolhidas, processadas e utilizadas pelo Processador ao abrigo dos presentes Termos.
Os Dados pessoais submetidos, armazenados, enviados ou recebidos pelo Cliente ou os seus utilizadores finais através da Solução de gestão de frota, o que pode incluir, dependendo dos serviços solicitados pelo Controlador:
• Nome, título, número da carta de condução, habilitações, datas em / fora de serviço, data de validade do atestado médico
• Endereço profissional, comercial ou empresarial
• Data / ano / data de nascimento
• Dados de telecomunicações (por ex. dados da ligação, localização, utilização e tráfego)
• Número de telefone, número de telemóvel
• Endereço de e-mail
• Dados do tacógrafo (horas de condução, descanso, trabalho)
• Mensagens
• Endereços IP
• Dados Ecológicos
• Dados de planeamento e controlo
• Dados de localização precisos (posições GPS)
• Matrícula do camião e reboque
• Dados de diagnóstico relacionados com o dispositivo e o serviço
• Fotografia
• Sexo
• Função (condutor / visitante / despachante / administrador)
• Idioma de utilizador do condutor
• Cartão do taquímetro: ID
• Cartão do taquímetro: País de emissão
• Atividades (condução, paragem, repouso, etc.)
• Alarme
• Data da última leitura do tacógrafo
• Desempenho ECO / tendência: ralenti, RPM elevadas, excesso de velocidade, marcha em roda livre, travagem pesada, velocidade de cruzeiro, consumo médio de combustível
• Integração de dados TracKing do reboque (Thermo King): temperatura da zona, estado das portas, pressão dos pneus, alarmes
• Os dados SGF do veículo / dados de utilização do veículo, tais como distância percorrida, hora do dia, duração do período de condução, velocidade do veículo, rotação do motor, carga do motor, temperatura do motor, manobras de travagem / curva / aceleração, duração e distância da viagem, tensão da bateria
• Dados de utilização do reboque, tais como distância percorrida, hora do dia, duração da viagem, velocidade do reboque, carga do reboque, travagem (EBS) / distância, TPMS,
EBPMS, GNSS
• Gravação de vídeo (Ativação necessária pelo Cliente)
Categorias de Titulares de dados
O Controlador definiu as seguintes categorias de Titulares de dados a quem os Dados pessoais conforme definidos acima serão recolhidos, processados e usados pelo Processador ao abrigo deste Acordo de processamento de dados:
• Os funcionários do Cliente;
• Os contratantes do Cliente;
• O pessoal dos clientes, fornecedores e subcontratantes do Cliente;
• Qualquer outra pessoa que transmita dados através da Solução de gestão de frota, incluindo indivíduos que colaboram e comunicam com os utilizadores finais do Cliente.
Conservação de dados
O Processador não deverá manter os Dados pessoais numa forma que permita a identificação dos Titulares dos dados por mais tempo do que o necessário para os fins para que processa os Dados pessoais através da SGF, salvo se exigido ou permitido de outra forma ao abrigo das Leis de Proteção de Dados ou outros regulamentos aplicáveis. Ao utilizar os Serviços, os Clientes determinarão e instruirão expressamente o Processador relativamente aos períodos de retenção, isto utilizando o período por defeito do produto ou, quando aplicável, um período controlável que pode ser determinado pelo Cliente através de um módulo de Privacidade de Dados na ferramenta. Após estes períodos de retenção, o Processador tem a opção de apagar ou anonimizar os Dados pessoais. Antes de expirar este período, o Cliente deverá exportar todos os dados necessários através da ferramenta. Durante pelo menos 6 meses após a sua criação, o Processador não é obrigado a apagar cópias dos Dados pessoais, que são guardadas em cópias de segurança automatizadas geradas pelo Processador, e que serão guardadas ao máximo para assegurar a continuidade. Tais cópias de segurança permanecem sujeitas a estes Termos até serem destruídas. As Partes reconhecem e concordam que o Processador pode anonimizar os Dados pessoais recolhidos, gerados e/ou armazenados como parte da prestação dos Serviços,
e utilizar esses dados anonimizados para fins estatísticos, analíticos, de investigação e desenvolvimento, comerciais, de referência e similares, de acordo com as Leis de Proteção de Dados.
5. Obrigações do Processador
Sempre que o Processador (na qualidade de Processador) processar Dados pessoais em nome do Cliente (na qualidade de Controlador de dados), deverá:
a. Processar ou mandar processar esses Dados pessoais de acordo com as Leis de Proteção de Dados aplicáveis como Processador de dados.
b. Processar - e orientar qualquer pessoa sob a sua autoridade a processar - os Dados pessoais em nome do Controlador e em conformidade com as suas instruções documentadas, salvo se for exigido fazê-lo pela legislação da União ou Estado-membro da UE à qual o Processador está sujeito. Nesse caso, o Processador deverá informar o Controlador desse requisito legal antes do processamento, salvo se essa lei proibir essa informação por motivos de interesse público importantes. Estes termos deverão corresponder a instruções documentadas do Controlador ao Processador. Mediante a instrução do Controlador, o Processador deverá também corrigir, retificar ou bloquear os Dados pessoais e fornecer apenas ao pessoal qualificado o acesso aos Dados pessoais.
c. Tendo em conta a natureza do processamento e a informação disponível ao Processador, prestar assistência comercialmente razoável ao Controlador para ajudar o Controlador a cumprir as suas obrigações ao abrigo da legislação de proteção de dados aplicável incluindo na realização de quaisquer avaliações do impacto sobre a privacidade necessárias.
d. Implementar as medidas técnicas e organizativas adequadas conforme exigido pela legislação de proteção de dados aplicável para proteger os Dados pessoais contra a destruição acidental ou ilícita, ou a perda acidental, alteração, acesso não autorizados, a divulgação ou transferência, uso indevido e contra as outras formas de processamento ilícito e pelo menos as seguintes medidas de segurança, conforme apropriado:
i. Pseudonimização e encriptação;
ii. Medidas concebidas para manter a permanente confidencialidade, integridade, disponibilidade e resiliência dos sistemas e serviços de processamento;
iii. Medidas concebidas para restabelecer a disponibilidade e o acesso aos Dados pessoais de uma forma atempada em caso de um incidente físico ou técnico;
iv. Um processo para testar, apreciar e avaliar regularmente a eficácia das medidas de segurança técnicas e organizacionais.
No Apêndice 1, o Processador documenta a implementação de medidas técnicas e organizativas.
e. Disponibilizar ao Controlador toda a informação razoável necessária para demonstrar a conformidade com as obrigações do Processador de cumprir a legislação de proteção de dados aplicável e permitir e
contribuir para auditorias, incluindo inspeções, realizadas pelo Controlador ou outro auditor mandatado pelo Controlador. O
Processador fornecerá informações nos termos da presente secção apenas na medida em que as informações digam respeito ao Processamento de Dados pessoais do Processador em nome do Controlador e tais informações estejam na posse do Processador e não violem a lei aplicável ou as obrigações de confidencialidade ou proteções legais do Processador, nem prejudiquem a segurança ou integridade dos seus sistemas ou dados.
f. O direito do Controlador de auditar estará sujeito a dar ao Processador pelo menos quatro
(4) semanas antes da notificação escrita de tal auditoria e não poderá ser exercido mais do que uma vez por ano, exceto no caso de um pedido específico de um regulador de proteção de dados para realizar tal auditoria. Qualquer auditoria será realizada durante o horário normal de expediente e estará sujeita (i) a uma empresa de auditoria externa acordada por ambas as partes e contratada a expensas exclusivas do Controlador (ii) a um plano de auditoria detalhado por escrito e âmbito revisto e aprovado pelo Processador; e (iii) às políticas de segurança do Processador no local. Tais auditorias só terão lugar na presença de um representante designado do Processador. O Controlador fornecerá uma cópia do relatório de auditoria ao Processador que será tratado como informação confidencial do Processador. Em conformidade com o Acordo de Serviços, qualquer auditoria estará sujeita ao pagamento pelo Controlador de todos os honorários e despesas do Processador associados a tal auditoria.
g. Relativamente ao item (e) acima, notificar de imediato o Controlador se for da opinião de que uma instrução recebida do Controlador viola as Leis de Proteção de Dados.
h. Tendo em conta a natureza do processamento e a informação que lhe é disponível, assistir razoavelmente o Controlador com medidas técnicas e organizativas adequadas, na medida do razoavelmente possível e na medida do permitido pela lei aplicável, no cumprimento da obrigação do Controlador de fornecer informação sobre a recolha, processamento ou utilização de Dados pessoais a um titular dos dados e responder aos pedidos de exercício dos direitos do titular dos dados. Qualquer pedido de um Titular dos dados feito diretamente ao Processador deverá ser direcionado para o Controlador. O Controlador será o único responsável por responder a tais pedidos.
i. Sem atrasos indevidos, notificar o Controlador dos Dados pessoais de violações que afetem os Dados pessoais processados pelo Processador e tendo em conta a natureza do processamento e a informação que lhe é disponível, assistir o Controlador, na medida do possível, no cumprimento dos seus deveres se ocorrer uma violação dos Dados pessoais.
j. À escolha do Controlador, eliminar ou devolver todos os Dados pessoais ao Controlador depois do fim da prestação dos serviços relacionados com o processamento e eliminar as cópias existentes, a menos que exigido ou
permitido pela legislação da União ou dos Estados Membros. As Partes reconhecem e concordam que, se o Controlador não der instruções ao Processador dentro de [30 dias] após o fim da prestação dos serviços para apagar ou devolver os Dados pessoais relevantes, considerar-se-á que o Controlador dá instruções ao Processador para apagar ou tornar anónimos os Dados pessoais de acordo com as políticas e procedimentos do Processador. Se o Controlador optar pela devolução de todos os dados Pessoais, o Controlador deve exportar os dados necessários através das ferramentas antes da cessação dos Serviços.
k. Assegurar que as pessoas (por ex. funcionários) autorizadas a processar os Dados pessoais se comprometeram a manter a confidencialidades ou estão sujeitas à obrigação legal de confidencialidade adequada.
O Controlador será responsável pelo pagamento de quaisquer taxas e despesas do Processador decorrentes da prestação pelo Processador de qualquer assistência que prestar ao Controlador ao abrigo destes Termos.
6. Subprocessamento
a. Por meio dos Termos em questão e do Acordo de Serviços, o Controlador concede ao Processador uma autorização geral por escrito para envolver outro processador para todo ou parte do processamento ao abrigo dos presentes Termos.
b. Fica acordado que qualquer Subprocessador indicado no Apêndice 2 fica expressamente autorizado.
c. O Processador deverá informar o Controlador de quaisquer alterações intencionais relativamente à adição ou substituição de outros processadores no seu site e através da ligação mencionada no Apêndice 2.
d. Enquanto a o Processador toma providências ou equaciona que quaisquer Dados pessoais ao abrigo dos presentes Termos sejam transferidos e processados por um Subprocessador, deverão aplicar-se as seguintes condições:
i. A o Processador deverá fazê-lo apenas através de um acordo por escrito com o Subprocessador que impõe essencialmente as mesmas obrigações ao Subprocessador conforme são impostas ao Processador ao abrigo destes Termos, em particular a obrigação de implementar medidas técnicas e organizativas adequadas de tal forma que o processamento cumpra os requisitos aplicáveis ao abrigo das Leis de Proteção de Dados aplicáveis.
ii. Quando quaisquer Dados pessoais são ou serão transferidos para fora do EEE para um país que não apresente um nível adequado de proteção de dados, as Cláusulas Contratuais-tipo da UE (ao abrigo do módulo apropriado) ou quaisquer outros mecanismos adequados de transferência de dados serão postos em prática de acordo com as leis de proteção de dados aplicáveis.
iii. Quando o Subprocessador não cumprir as suas obrigações de proteção de dados ao abrigo desse acordo por escrito, o
Processador deverá manter-se plenamente responsável pelo Controlador pelo cumprimento das obrigações sujeito à limitação de responsabilidade conforme acordado ao abrigo destes Termos.
7. Obrigações do Controlador
a. O Controlador determina os fins e os meios do processamento dos Dados pessoais através da SGF.
b. O Controlador representa, garante e convém que:
i. O Processador obtém permissão para usar os Dados pessoais para efeito de processamento conforme determinado nestes Termos.
ii. Os Dados pessoais foram recolhidos e processados de forma lícita de acordo com as Leis de Proteção de Dados.
iii. A conformidade com as Leis de Proteção de Dados aplicáveis é garantida quando o Controlador transfere os Dados pessoais para o Processador para cumprir estes Termos e quando dá instruções ao Processador relativamente ao processamento dos Dados pessoais.
c. As Partes reconhecem e concordam que o Controlador é o único responsável por notificar e obter qualquer consentimento apropriado dos indivíduos no que respeita à utilização dos Serviços, tal como exigido pela lei aplicável.
d. O Controlador deverá certificar-se de que os dados são processados de uma forma que garante a segurança adequada, incluindo a proteção contra o processamento não autorizado ou ilícito e contra a perda, destruição ou danos acidentais, com medidas técnicas e organizativas adequadas.
e. O Controlador deverá manter um registo das atividades de processamento sob sua responsabilidade de acordo com o RGPD no âmbito do qual a SGF da está abrangida.
f. O Controlador cooperará conforme razoavelmente solicitado pelo Processador na verificação desse cumprimento pelo Controlador e seus utilizadores e notificará prontamente o Processador sem atrasos indevidos se em qualquer momento o Controlador tiver conhecimento de que violou ou já não pode cumprir as suas obrigações de cumprimento nos termos do presente acordo.
8. Atribuição
O Controlador reconhece que O Processador pode atribuir as suas obrigações como Processador a uma subsidiária, empresa associada ou terceiro no caso de vender ou transferir a totalidade ou parte dos seus negócios ou ativos, incluindo no caso de fusão, aquisição, reorganização, dissolução ou liquidação.
9. Transferências de dados
Caso os Dados pessoais sejam transferidos para Clientes fora do Espaço Económico Europeu, as Partes concordam que a transferência transfronteiriça de Dados pessoais do Processador é regida pelas Cláusulas Contratuais Padrão da UE ("CEC", no módulo apropriado), a menos que a transferência seja abrangida por uma decisão de adequação da Comissão Europeia.
10. CCPA
Na medida em que o Processador receba qualquer Informação Pessoal do Consumidor sujeita à CCPA em relação à utilização do DCS por parte do Cliente, as Partes reconhecem e concordam que: (i) o Processador atua como Prestador de Serviços ao
Cliente no Processamento de Informações Pessoais obtidas através dos Serviços; (ii) as Informações Pessoais são divulgadas ao Processador para os fins comerciais especificados no Contrato de Serviços;
(iii) o Processador não venderá as Informações Pessoais ou, a menos que permitido ou exigido pela lei aplicável, reterá, utilizará ou divulgará as Informações Pessoais (a) para outros fins que não a prestação dos Serviços, ou (b) fora da relação comercial direta entre o Processador e o Cliente; ou
(iv) a menos que permitido pela lei aplicável, o Processador não combinará as Informações Pessoais recebidas do Cliente com Informações Pessoais que o Processador receba de ou em nome de outra pessoa, ou recolha a partir da sua própria interação com um Consumidor relevante. Cada Parte deverá cumprir as suas obrigações aplicáveis nos termos da CCPA no desempenho das suas respetivas responsabilidades nos termos do Acordo de Serviços e notificar prontamente a outra Parte se determinar que já não pode cumprir as suas obrigações nos termos da CCPA. Cada Parte pode exercer os seus respetivos direitos especificados no Contrato de Serviços ou nestes Termos para (i) tomar medidas comercialmente razoáveis para ajudar a assegurar que a outra Parte utiliza as Informações Pessoais de uma forma consistente com as suas obrigações nos termos do CCPA, e (ii) mediante notificação por escrito, tomar medidas comercialmente razoáveis para parar e remediar a utilização não autorizada de Informações Pessoais. Para efeitos desta Secção, o termo "CCPA" significará a Lei de Privacidade do Consumidor da Califórnia de 2018, emendada pela Lei dos Direitos de Privacidade da Califórnia de 2020 (quando em vigor), e os termos "Finalidade Comercial", "Consumidor", "Informação Pessoal", "Venda", e "Prestador de Serviços" terão os significados que lhes são atribuídos na CCPA.
11. Responsabilidade
As respetivas responsabilidades das Partes uma para com a outra pela violação destes Termos e a sua obrigação de indemnização uma para com a outra pelas reclamações de terceiros, apresentadas contra uma Parte, devido a uma violação contratual ou não contratual destes Termos ou das Leis de Proteção de Dados pela outra Parte, deverão reger- se pelos termos de responsabilidade e de indemnização definidos no Acordo de Serviços entre o Processador e o Cliente relativamente aos Serviços relevantes.
12. Lei aplicável e jurisdição
Os presentes Termos regem-se pela lei aplicável no Contrato de Serviço (salvo se essa opção de legislação não fosse válida ao abrigo da lei aplicável no país onde o Controlador relevante está sedeado; nesse caso a opção de legislação deverá ser a lei do país onde o Controlador relevante está sedeado).
A jurisdição competente para qualquer litígio contratual ou não contratual decorrente ou relacionado com estes Termos deverá ser a mesma mencionada no Contrato de Serviço. Este parágrafo, porém, não afeta nenhuma das respetivas obrigações vinculativas ao abrigo das Leis de Proteção de Dados aplicáveis.
Apêndice 1: Medidas técnicas e operacionais Este Apêndice destina-se a clientes e parceiros comerciais e define as medidas técnicas e organizativas para proteger os Dados pessoais contra o acesso não autorizado, divulgação,
alteração e perda de Dados pessoais de acordo com as Leis de Proteção de Xxxxx.
Este documento fornece mais detalhes sobre as medidas técnicas e organizativas que o Processador implementou para efeitos de proteção de dados.
CENTRO DE DADOS E SEGURANÇA DA REDE
Os centros de dados utilizados pelo Processador são certificados. Todos os serviços comerciais críticos têm instalações de apoio de acordo com os requisitos do serviço comercial.
A plataforma tem capacidades de auto-cura e de auto-escalonamento para assegurar os elevados objetivos de SLA, mesmo sob stress. A plataforma também utiliza princípios de isolamento e segregação para localizar as questões e evitar o impacto no sistema completo.
AS INSTALAÇÕES DO PROCESSADOR
1. Controlo do acesso (edifício / escritórios / centro de dados) O Processador implementou, mas sem se limitar, as seguintes medidas para evitar o acesso não autorizado aos sistemas de processamento de dados onde são processados Dados pessoais:
● Os membros do pessoal possuem um cartão / chave pessoal para aceder ao edifício.
● As pessoas não autorizadas serão impedidas de ter acesso físico às instalações, edifícios ou salas onde se localizam os sistemas de processamento de dados, que processam e/ou usam os Dados pessoais.
2. Controlo do acesso (sistemas)
O Processador implementou, mas sem se limitar, as seguintes medidas para evitar o uso dos sistemas de processamento de dados por parte de pessoas não autorizadas:
● Os sistemas de informação de toda a empresa são continuamente monitorizados.
● Cada membro do pessoal dispõe de um terminal individual com identificação pessoal e palavra-passe.
● O acesso aos sistemas de produção críticos só é possível por um número limitado de pessoal com formação especial.
● O acesso do administrador requer autenticação multifator.
● Todo o acesso à plataforma é totalmente auditado e monitorizado.
● As autorizações são concedidas de acordo com o princípio do privilégio mínimo.
● O fim de sessão automático é implementado em tempo de inatividade.
● Desativação automática da ID do utilizador quando são inseridas incorretamente várias palavras-passe, ficheiro de registo de eventos (monitorização de tentativas de entrada forçada).
● Todos os membros do pessoal estão vinculados a acordos de sigilo e confidencialidade. Todo o acesso a dados não públicos é fornecido rigorosamente com base na necessidade de tomar
conhecimento e monitorizado. É ministrada formação contínua aos utilizadores sobre a importância da segurança dos dados no negócio.
● O Processador tem acesso por área funcional de responsabilidade, ou seja a equipa de I&D, a equipa de alojamento, a equipa do Serviço de apoio … O acesso tem por base a função com análises regulares da associação ao grupo.
● Todas as chaves (secretas) utilizadas pela plataforma são armazenadas em segurança num cofre seguro e estão implementados esquemas de rotação das chaves.
● Estão implementados sistemas para detetar acessos não autorizados em tempo real levantando alertas no sistema de gestão de incidentes. O acesso não autorizado pode ser facilmente bloqueado para fora do sistema.
3. Controlo do acesso (dados)
O Processador implementou, mas sem se limitar, as seguintes medidas para garantir que os utilizadores autorizados de um sistema de processamento de dados podem apenas aceder aos dados para os quais dispõem de autorização e para evitar que os Dados pessoais sejam lidos sem autorização enquanto os dados estão em uso, em movimento ou inativos:
● As ligações dos clientes são autenticadas através da autenticação multifator.
● O portal central de início de sessão com acesso seguro a aplicações dos clientes com o princípio de “início de sessão único” que pode ser combinado com a autenticação de “dois fatores”.
● O sistema aplica os mais modernos sistemas de autorização e autenticação para permitir um acesso seguro e evitar o acesso não autorizado.
4. Controlo de transferências
O Processador implementou, mas sem se limitar, as seguintes medidas para garantir que os Dados pessoais não podem ser lidos, copiados nem modificados durante a transmissão eletrónica, durante o transporte ou armazenamento no disco. Além disso, para controlar e determinar para que entidades a transferência de Dados pessoais fornecidos pelo equipamento de comunicação de dados é permitida:
● Todas as interações de clientes na Internet decorrem através de ligações seguras SSL / TLS. A versão do protocolo é monitorizada e segue Requisitos de segurança atualizados entregues pela segurança corporativa.
● Todas as ligações à base de dados são encriptadas e o acesso direto à base de dados (exceto para utilizadores especiais) não é permitido devido à área privada protegida.
● As cópias de segurança e dados inativos são encriptados. 5. Controlo de entradas
O Processador implementou, mas sem se limitar, as seguintes medidas para garantir que é possível assegurar, controlar posteriormente e determinar se e por quem, os Dados pessoais foram inseridos, alterados ou removidos nos sistemas de processamento de dados:
● uma política de autorizações para a introdução de dados na memória bem
como para a leitura, alteração e eliminação de dados.
● Autenticação do pessoal autorizado
● Medidas de proteção para a introdução de dados na memória bem como para a leitura, alteração e eliminação de dados.
● Utilização de códigos de utilizadores (palavras-passe);
● Seguir uma política segundo a qual todo o pessoal do Processador que dispõe de acesso aos Dados pessoais processados para o Cliente deverá repor a respetiva palavra-passe no mínimo uma vez num período de 90 dias;
● viabilizar que as entradas para as instalações de processamento de dados (as salas onde se encontra o hardware dos computadores e equipamento relacionado) possam ser bloqueadas;
● fim de sessão automático das IDs dos utilizadores que não são usadas há um período considerável.
6. Controlo de pedidos
O Processador implementou, mas sem se limitar, as seguintes medidas para garantir que os Dados pessoais que são processados por um processador de dados a pedido do proprietário dos dados, deverão apenas ser processados conforme as instruções do proprietário dos dados:
O proprietário dos dados tem sempre o direito de controlar a execução adequada de todo o trabalho solicitado por si. O Processador deverá fornecer ao Cliente informação adequada relativa ao trabalho efetuado. 7. Controlo de disponibilidade
O Processador implementou, mas sem se limitar, as seguintes medidas para garantir que os Dados pessoais estão protegidos contra a destruição acidental ou perda: Consulte a secção “Centro de dados”.
8. Processamento separado
O Processador implementou, mas sem se limitar, as seguintes medidas para garantir que os dados que são recolhidos para diferentes fins podem ser processados separadamente:
● Padrões de arquitetura que são aplicados, criam e permitem um processamento segregado para os diferentes serviços empresariais.
● O acesso aos dados é separado através da segurança da aplicação para os utilizadores adequados
● Existem ambientes separados para o Desenvolvimento, a Testagem e a Produção.
● A rede não permite a conectividade este- oeste e outras medidas de rede estão em vigor para assegurar um processamento segregado.
● Ambiente ao vivo e de teste são separados.
9. Responsável pela proteção de dados
O Processador nomeou um responsável pela proteção de dados (RPD) de acordo com o RGPD. Esta pessoa irá garantir a conformidade com o RGPD e outras Leis de Proteção de Dados. Qualquer pergunta deve ser dirigida ao RPD através do xxxxxxx.xxxxxxx@xx.xxx.
Apêndice 2: Lista de Subprocessadores
Uma visão geral da lista atual de Subprocessadores usados pelo Processador ser encontrada no seguinte link: xxxxx://xx.xxx/xxxxx/xxxxxxxxxxxxx.