Termos e Condições de Processamento de Dados (“Termos e Condições do DPA”)
Termos e Condições de Processamento de Dados (“Termos e Condições do DPA”)
1. APLICABILIDADE
1.1. Estes Termos e Condições do DPA são celebrados entre as partes para um pedido de compra (sujeito aos Termos e Condições do Pedido de Compra) ou um contrato abrangente.
1.2. Para todos os efeitos, (o "Controlador") deve se referir à entidade MultiChoice, incluindo suas Afiliadas, enquanto a referência a (o "Processador") deve se referir a terceiros conforme estabelecido no Contrato (conforme definido abaixo). Para os fins destes Termos e Condições do DPA, cada Controlador e Processador deverá informar ao outro, por escrito, do seu responsável pela protecção de dados ou da pessoa que desempenhe uma função similar dentro da organização.
1.3. Salvo quando as partes tenham assinado um contrato de processamento de dados por escrito, estes Termos e Condições do DPA regerão o relacionamento entre as partes na medida em que os Dados Pessoais (conforme definido abaixo) sejam processados (conforme definido abaixo).
2. DEFINIÇÕES E INTERPRETAÇÃO
2.1. Estes Termos e Condições do DPA foram redigidos em benefício das partes e, portanto, a regra de construção da qual o contrato deve ser interpretado contra ou em desvantagem da parte responsável pela redação ou preparação destes Termos e Condições do DPA (ou seja, , a regra do contraproferentem ), não se aplica.
2.2. Definições, partes e contrato
2.2.1. Definições. Nestes Termos e Condições do DPA, os seguintes termos terão os seguintes significados:
2.2.1.1. “Afiliadas” significa as seguintes entidades do grupo de empresas do Controlador: MultiChoice South Africa (Pty) Limited; MultiChoice Support Services (Pty) Limited; MultiChoice Africa Holdings BV e Showmax s.r.o
2.2.1.2. “Contrato” significa um pedido de compra e/ou contrato escrito celebrado entre o Controlador e o Processador para a prestação dos Serviços.
2.2.1.3. “Lei (s) de Protecção de Dados Aplicável” significa (sujeito ao disposto na cláusula 3) legislação relevante de privacidade e Protecção de dados, regulamentos e diretivas vinculativas e/ou códigos aplicáveis ao Processamento realizado em relação ao Contrato e a estes Termos e Condições do DPA, e quaisquer outras leis acordadas entre as partes
por escrito. Para evitar dúvidas, isso inclui (sem limitação) toda e qualquer legislação de privacidade e Protecção de dados relevante do país onde os Serviços são fornecidos.
2.2.1.4. “Titular de Dados” é qualquer ser humano vivo identificado ou identificável e, para fins das Leis de Protecção de Dados Aplicáveis, inclui pessoas jurídicas existentes identificáveis.
2.2.1.5. “EEE” significa que o Espaço Económico Europeu consiste nos estados membros da União Europeia.
2.2.1.6. “Data de Vigência” significa a data em que estes Termos e Condições do DPA forem assinados pela última Parte a assinar,
2.2.1.7. “Cláusulas Contratuais Padrão da UE” significa as Cláusulas Contratuais Padrão para transferências de dados fora do EEE adoptadas pela Comissão Europeia, na extensão dos módulos aplicáveis, conforme anexo 4 a estes Termos e Condições do DPA.
2.2.1.8. “RGPD” significa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, sobre a Protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/EC (Regulamento Geral de Protecção de Dados), conforme pode ser alterado ou substituído no futuro.
2.2.1.9. “Partes” nestes Termos e Condições do DPA:
2.2.1.9.1. o “Controlador”, conforme especificado na cláusula 1 destes Termos e Condições do DPA, é a pessoa ou entidade que determina o escopo dos Dados Pessoais (categorias de dados), a finalidade do Processamento (“por quê”) e os meios (“como”) do Processamento dos Dados Pessoais, e onde o termo for utilizado, terá o mesmo significado do termo correspondente e/ou similar utilizado nas Leis de Protecção de Dados Aplicáveis; e
2.2.1.9.2. o “Processador” é o processador, conforme especificado na cláusula 1 destes Termos e Condições do DPA e significa a pessoa ou entidade que:
2.2.1.9.2.1. Processa Dados Pessoais em nome do Controlador com a finalidade de fornecer os Serviços nos termos do Contrato e destes Termos e Condições do DPA; e
2.2.1.9.2.2. e celebra estes Termos e Condições do DPA com o Controlador, e onde o termo for usado, terá o mesmo significado do termo correspondente e/ou similar usado nas Leis de Protecção de Dados Aplicáveis.
2.2.1.10. ” Dados Pessoais” significa qualquer informação sobre um Titular de Dados que seja capaz de identificá-lo directa ou indirectamente com base nessas informações.
2.2.1.11. “Violação de Dados Pessoais” significa a destruição acidental, não autorizada ou ilegal, perda, alteração, divulgação ou acesso não autorizado aos Dados Pessoais e, quando aplicável, de acordo com as Leis de Protecção de Dados Aplicáveis, onde houver motivos razoáveis para acreditar que quaisquer Xxxxx Xxxxxxxx foram acessados ou adquiridos por uma pessoa não autorizada.
2.2.1.12. “Pessoal” significa qualquer:
2.2.1.12.1. director, funcionário ou outra pessoa que trabalhe (permanentemente ou temporariamente) sob a supervisão do Processador; ou
2.2.1.12.2. ou pessoa que presta serviços ao Processador para fins das obrigações do Processador sob estes Termos e Condições do DPA, como seu agente, consultor, contratado ou outro representante.
2.2.1.13. “"Processamento"/"Processo" significa qualquer operação ou conjunto de operações que seja realizada em Dados Pessoais, incluindo coleta, processamento, manipulação, análise, armazenamento, eliminação, divulgação ou combinação com outras informações.
2.2.1.14. “Serviços” significa os serviços que o Processador é designado para fornecer ao Controlador de acordo com o Contrato e que exigem o Processamento de Dados Pessoais em nome do Controlador.
2.2.1.15. “Subprocessador” significa qualquer processador downstream contratado pelo Processador para processar Dados Pessoais de acordo com o Contrato e estes Termos e Condições do DPA, sendo esse subprocessador pré-aprovado pelo Controlador de acordo com os termos do Contrato e estes Termos e Condições do DPA.
2.2.1.16. “Autoridade Supervisora” significa a autoridade ou regulador de Protecção de dados relevante que é competente em relação ao Processamento relevante de acordo com a Lei de Protecção de Dados Aplicável.
2.2.1.17. “ País Terceiro ” significa o seguinte: (i) para transferências de Dados Pessoais do EEE, significa qualquer país fora do EEE para o qual não haja uma decisão de adequação aplicável adoptada pela Comissão Europeia; (ii) para transferências de Dados Pessoais para fora do Reino Unido, deve significar qualquer país, excepto os países do EEE, os
países para os quais há uma decisão de adequação aplicável adpotada pela Comissão Europeia e os países para os quais há um regulamento de adequação aplicável adoptado pelo governo do Reino Unido.
2.2.1.18. “RGPD do Reino Unido” significa o RGPD, conforme alterado pelo Anexo 1 dos Regulamentos de Protecção de Dados, Privacidade e Comunicações Eletrónicas (Alterações etc.) (Saída da UE) Regulamentos de 2019 (SI 2019/419), conforme podem ser alterados ou substituídos no futuro.
2.2.1.19. "Cláusulas Contratuais Padrão do Reino Unido" significa Cláusulas Contratuais Padrão para transferências de dados pessoais para controladores adoptadas pela Comissão Europeia sob a decisão 2001/497/EC e Cláusulas Contratuais Padrão para transferências de dados pessoais para processadores adoptadas pela Comissão Europeia sob a decisão 2010 /87/EU, conforme adaptado pela autoridade supervisora do Reino Unido, o Gabinete do Comissário de Informação.
2.3. Contrato: Os Termos e Condições do DPA são celebrados em conjunto com o Contrato. Em caso de contradição entre os termos destes Termos e Condições do DPA e as disposições do contrato, os termos destes Termos e Condições do DPA prevalecerão. Os Termos e Condições do DPA e seus anexos devem ser interpretados na seguinte ordem de precedência: (1) Anexo 4: Cláusulas Contratuais Padrão da UE e Cláusulas Contratuais Padrão do Reino Unido, conforme referido na Secção 11 dos Termos e Condições do DPA, (2) Anexo 1: Detalhes do Processamento, (3) corpo principal dos Termos e Condições do DPA, (4) Anexo 3: Medidas Técnicas e Organizacionais e (5) Anexo 2: Subprocessadores Autorizados. Não obstante, os termos destes Termos e Condições do DPA não devem ser interpretados de forma que entrem em conflito com quaisquer direitos e obrigações previstos nas Leis de Protecção de Dados Aplicáveis.
3. Instruções do controlador e Lei de Protecção de Dados Aplicável
3.1. No decorrer da prestação dos Serviços ao Controlador de acordo com o Contrato, o Processador tem o requisito de aceder e processar determinados Dados Pessoais. Portanto, o Controlador permite que o Processador Processe os Dados Pessoais, conforme especificado neste documento, em seu nome e estritamente de acordo com:
3.1.1. as instruções do Controlador aqui estabelecidas e nos termos de outras instruções documentadas que o Controlador possa emitir a seu critério a qualquer momento; e
3.1.2. os termos destes Termos e Condições do DPA.
3.2. O Processador apenas processará os tipos de Dados Pessoais relacionados às categorias de Titulares de Dados e para os fins específicos estabelecidos no Anexo 1 e não processará, transferirá, modificará, emendará ou alterará os Dados Pessoais ou divulgará ou permitirá a divulgação dos Dados Pessoais a qualquer terceiro que não esteja de acordo com as instruções documentadas do Controlador.
3.3. Para evitar dúvidas, as Partes concordam que o Processador não será autorizado a Processar os Dados Pessoais para quaisquer outros fins além daqueles especificados nestes Termos e Condições do DPA e, em particular, não poderá Processar os Dados Pessoais para os próprios propósitos do Processador, a menos que exigido pela lei aplicável, de acordo com a Secção 3.4 abaixo.
3.4. Caso o Processador seja obrigado a processar os Dados Pessoais em conformidade com qualquer lei (incluindo qualquer Lei(s) de Protecção de Dados Aplicável), o Processador deverá informar o Controlador por escrito sobre tal exigência antes do início do Processamento, a menos que a lei proíba isso por motivos de interesse público. Nesse caso, o Processador deverá informar o Controlador o mais rápido possível.
3.5. O Processador deve garantir a conformidade total e contínua com todas as disposições relevantes das Leis de Protecção de Dados Aplicáveis que se aplicam ao Processamento em questão. Onde a lei de Protecção de dados no país em que tal Processamento ocorre é: –
3.5.1. não é equivalente ao RGPD; ou
3.5.2. tal país não possui nenhuma lei local de Protecção de dados, então as disposições do RGPD terão precedência para os fins destes Termos e Condições do DPA, desde que, no caso em que a cláusula 3.5.1 for aplicável, o Processador continuará sendo responsável pelo cumprimento total das disposições específicas da Lei de Protecção de Dados Aplicável, particularmente quando os requisitos forem adicionais aos estabelecidos no RGPD.
3.6. O Processador é obrigado a notificar imediatamente o Controlador por escrito no caso de não poder mais garantir a conformidade com a lei aplicável, incluindo as Leis de Protecção de Dados Aplicáveis.
3.7. Se o Processador considerar que a instrução de um Controlador infringe as Leis de Protecção de Dados Aplicáveis, deverá notificar imediatamente o Controlador por escrito. O Processador pode rescindir estes Termos e Condições do DPA se, o Controlador insistir no cumprimento das instruções depois de ser informado que suas instruções infringem a Lei de Protecção de Dados Aplicável.
3.8. Na medida em que quaisquer Dados Pessoais forem Processados pelo Processador fora do país em que o Controlador disponibilizou os Dados Pessoais ao Processador e/ou no qual o próprio Controlador processa tais Dados Pessoais, o Processador será obrigado a cumprir os requisitos aplicáveis e garantir as salvaguardas apropriadas para transferências de dados transfronteiriças sob as Leis de Protecção de Dados Aplicáveis e as disposições da cláusula 3.5 não se aplicam nesse caso.
3.9. Dados sensíveis: Na medida em que o Processamento inclua Dados Pessoais que revelem origem racial ou étnica, persuasão ou opiniões políticas, crenças religiosas ou filosóficas, filiação sindical, dados genéticos ou dados biométricos, dados relativos à saúde ou vida sexual ou dados relativos a crimes, comportamento e/ou condenações criminais e ofensas ou dados de crianças (“dados sensíveis”), o Processador aplicará restrições e/ou salvaguardas adicionais apropriadas.
4. Duração e violação
4.1. Os Termos e Condições do DPA entrarão em vigor a partir da Data de Vigência até que os Serviços que exigem o Processamento de Dados Pessoais em nome do Controlador sejam rescindidos ou até a rescisão ou expiração do Contrato, o que ocorrer por último.
4.2. Se o Processador cometer uma violação material de qualquer disposição destes Termos e Condições do DPA, o Controlador poderá solicitar por escrito ao Processador para remediar a violação dentro de um período especificado pelo Controlador. Se a violação não for sanada após o término do período de aviso mencionado acima, o Controlador terá o direito, mas não será obrigado, além de seus direitos nos termos destes Termos e Condições do DPA e sob a lei aplicável, a rescindir estes Termos e Condições do DPA com efeito imediato mediante notificação por escrito ao Processador. Uma violação material de qualquer disposição destes Termos e Condições do DPA também será considerada uma violação material do Contrato.
4.3. O Controlador também tem o direito de rescindir o Contrato com efeito imediato se (i) o Processador estiver em violação substancial ou persistente destes Termos e Condições do DPA ou de suas obrigações sob as Leis de Protecção de Dados Aplicáveis; ou (ii) descumprir uma decisão vinculante de um tribunal competente ou da(s) Autoridade(s) Supervisora(s) em relação às suas obrigações sob estes Termos e Condições do DPA ou Leis de Protecção de Dados Aplicáveis.
4.4. A expiração ou rescisão destes Termos e Condições do DPA não afectará as disposições destes Termos e Condições do DPA que são expressamente fornecidas para operar após tal expiração ou rescisão, ou que necessariamente devem continuar em vigor após tal expiração ou rescisão, não obstante o facto de as próprias disposições pertinentes não o preverem. Sem derrogar ou limitar o
precedente, esta Secção 4.4 e as secções 10,12 e 13 continuará em pleno vigor e efeito após a expiração ou rescisão destes Termos e Condições do DPA.
4.5. Após a rescisão do Contrato e sujeito à Secção 11 abaixo, o Processador deverá, à escolha do Controlador, excluir todos os Dados Pessoais processados em nome do Controlador e certificar por escrito ao Controlador que o fez, ou devolver todos os Dados Pessoais ao Controlador e excluir as cópias existentes, a menos que a lei aplicável exige o armazenamento dos Dados Pessoais. Até que os dados sejam excluídos ou devolvidos, o Processador continuará a garantir a conformidade com os Termos e Condições do DPA.
5. Segurança
5.1. Levando em consideração o estado da arte, os custos de implementação e a natureza, escopo, contexto e propósitos do processamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades dos Titulares de Dados, o Processador é obrigado a implementar medidas técnicas e organizacionais para proteger adequadamente os Dados Pessoais contra uma Violação de Dados Pessoais e de qualquer uso indevido e perda de acordo com os requisitos da Legislação de Protecção de Dados Aplicável. Em particular, mas não limitado, o Processador compromete-se a implementar e exigir que seus Subprocessadores implementem as medidas técnicas e organizacionais descritas no Anexo 3: Medidas Técnicas e Organizacionais.
5.2. Ao avaliar o nível de segurança adequado, devem ser tidas em conta, em particular, os riscos que são apresentados pelo processamento, em particular de destruição acidental ou ilícita, perda, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados ou processados de outra forma bem como qualquer legislação do país em questão onde tal processamento envolva transferências transfronteiriças de dados. Quando necessário, o Processador deve cumprir as medidas de segurança adicionais conforme solicitado pelo Controlador sob instruções documentadas.
5.3. Além das obrigações estabelecidas acima, o Processador fornecerá assistência e informações necessárias ao Controlador para os seguintes propósitos:
5.3.1. realizar uma avaliação de impacto na Protecção de dados onde o Processamento possa ser considerado de alto risco para os direitos e liberdades dos Titulares de Dados;
5.3.2. consultar a(s) Autoridade(s) de Supervisão antes do Processamento quando uma avaliação de impacto na Protecção de dados indicar que o processamento resultaria em alto risco na ausência de medidas tomadas pelo Controlador para mitigar o risco; e
5.3.3. garantir que os Dados Pessoais sejam precisos e actualizados, informando o Controlador sem demora se o Processador tomar conhecimento de que os Dados Pessoais que está a processar são imprecisos ou estão desactualizados..
5.4. O Processador deve manter um registo das actividades de processamento relacionadas ao Processamento de Dados Pessoais em nome do Controlador, bem como o registo dos riscos associados. O Processador fornecerá esses registos ao Controlador mediante solicitação.
5.5. O Processador deve realizar verificações regulares de controlo sobre o cumprimento de suas obrigações e de seus Subprocessadores em relação à Protecção e segurança de dados ao abrigo deste instrumento.
6. O pessoal do processador
6.1. O Processador tomará medidas razoáveis para garantir a confiabilidade de qualquer Pessoal que possa ter acesso aos Dados Pessoais, garantindo em cada caso que o acesso seja estritamente limitado àqueles indivíduos que precisam de aceder os Dados Pessoais, conforme estritamente necessário para o desempenho dos deveres de tal pessoa em relação aos Serviços e garantir que todos esses indivíduos:
6.1.1. estejam informados da natureza confidencial dos Dados Pessoais e estejam cientes das obrigações do Processador sob estes Termos e Condições do DPA em relação aos Dados Pessoais do Controlador;
6.1.2. tenham realizado treinamento adequado em relação à segurança e privacidade da informação e nas Leis de Protecção de Dados Aplicáveis;
6.1.3. estejam sujeitos a compromissos de confidencialidade ou obrigações profissionais ou estatutárias de confidencialidade que devem continuar por um período razoável após o término do acesso relevante da pessoa aos Dados Pessoais; e
6.1.4. estejam sujeitos a processos de autenticação e login do usuário ao aceder os Dados Pessoais do Controlador.
7. Subprocessamento
7.1. Sujeito à Secção 7.2, o Processador não deve contratar nenhum Subprocessador para processar os Dados Pessoais do Controlador sem o consentimento prévio por escrito do Controlador, o qual o Controlador pode recusar ao seu exclusivo critério.
7.2. A partir da Data de Vigência destes Termos e Condições do DPA, o Controlador autoriza o Processador a contratar os Subprocessadores estabelecidos no Anexo 2 (Subprocessadores Autorizados). O Processador garante que os termos contratuais que celebra com os Subprocessadores, estabelecidos no Anexo 2, serão substancialmente os mesmos estabelecidos nestes Termos e Condições do DPA. Mediante solicitação, o Processador fornecerá uma cópia de seus contratos com os Subprocessadores ao Controlador para sua revisão.
7.3. O Processador deve garantir que o Controlador tenha substancialmente os mesmos direitos de controlo sobre cada Subprocessador que o Processador contrata, assim como o Controlador tem sobre o Processador sob estes Termos e Condições do DPA. A cadeia adicional de Subprocessadores não é permitido sem a aprovação por escrito do Controlador. Se o Controlador conceder tal aprovação, as mesmas obrigações se aplicarão a esses Sub-Subprocessadores adicionais.
7.4. Embora o Processador permaneça totalmente responsável perante o Controlador pelo desempenho de cada Subprocessador nos termos do Contrato, o Processador tomará medidas para garantir que cada Subprocessador cumpra as obrigações a que o Processador está sujeito sob estes Termos do DPA e Condições e sob as Leis de Protecção de Dados Aplicáveis.
8. Direitos do Titular de Dados e Solicitações da Autoridade Supervisora
8.1. O Processador notificará imediatamente o Controlador por escrito se receber uma solicitação de um Titular de Dados ou qualquer solicitação, consulta, aviso, decisão ou outra comunicação de qualquer Autoridade Supervisora competente em relação aos Dados Pessoais do Controlador. Este não responderá à solicitação em si, a menos que autorizado a fazê-lo pelo Controlador.
8.2. O Processador deverá cooperar conforme solicitado pelo Controlador para permitir que o Controlador cumpra qualquer solicitação do Titular de Dados ou da Autoridade Supervisora sob as Leis de Protecção de Dados Aplicáveis em relação aos Dados Pessoais do Controlador ou estes Termos e Condições do DPA, que devem incluir:
8.2.1. o fornecimento de todos os dados solicitados pelo Controlador dentro de qualquer prazo razoável especificado pelo Controlador em cada caso, mas em qualquer caso, não superior a três (3) dias, incluindo detalhes completos e cópias da reclamação, comunicação ou solicitação, informações relacionadas e quaisquer Dados Pessoais do Controlador que detenha em relação à solicitação;
8.2.2. onde aplicável, fornecer tal assistência que seja razoavelmente solicitada pelo Controlador para permitir que o Controlador cumpra a solicitação relevante dentro dos prazos prescritos pela Lei de Protecção de Dados Aplicável ou pela Autoridade Supervisora competente; e
8.2.3. implementar quaisquer medidas técnicas e organizacionais adicionais que possam ser razoavelmente exigidas pelo Controlador para permitir que o Controlador responda efectivamente a reclamações, comunicações ou solicitações relevantes.
8.3. O Processador deverá auxiliar o Controlador por meio de medidas técnicas e organizacionais apropriadas, com o cumprimento da obrigação do Controlador de responder às solicitações para exercer os direitos do Titular de Dados.
8.4. Se o Processador receber qualquer solicitação de acesso aos Dados Pessoais do Controlador por parte de qualquer autoridade governamental, o Processador deverá se esforçar para redirecionar a tal autoridade governamental relevante para solicitar acesso do Controlador. Se isso não for possível, o Processador notificará o Controlador o mais breve possível. O Processador deverá verificar se a solicitação de acesso é válida e legítima e deverá, de acordo com o Controlador, usar todos os recursos legais disponíveis para defender o Controlador e recusar o acesso directo aos Dados Pessoais dos Controladores.
9. Violação de dados pessoais
9.1. O Processador notificará o Controlador imediatamente e quando exigido pelas Leis de Protecção de Dados Aplicáveis, imediatamente e, em qualquer caso, dentro de vinte e quatro (24) horas, ao tomar conhecimento ou suspeitar razoavelmente de uma Violação de Dados Pessoais envolvendo os Dados Pessoais do Controlador, fornecendo ao Controlador informações suficientes (incluindo a identidade da pessoa ou pessoas conhecidas ou suspeitas de serem responsáveis pela Violação de Dados Pessoais) que permitem que o Controlador cumpra quaisquer obrigações de relatar, tratar e mitigar o impacto de uma Violação de Dados Pessoais nos termos da Lei de Protecção de Dados Aplicável. Essa notificação deve, no mínimo:
9.1.1. descrever a natureza da Violação de Xxxxx Xxxxxxxx, as categorias e números de Titulares de Dados em questão e as categorias e números de registos de Xxxxx Xxxxxxxx em questão, bem como informações de quando ocorreu a violação de dados e quando o Processador tomou conhecimento disso;
9.1.2. comunicar o nome e detalhes de contacto do responsável pela Protecção de dados do Processador ou outro contacto relevante de quem possam facultar mais informações;
9.1.3. descrever as prováveis consequências da Violação de Xxxxx Xxxxxxxx; e
9.1.4. descrever as medidas tomadas ou propostas a serem tomadas para lidar com a violação de dados pessoais e incluindo, quando apropriado, descrever medidas para mitigar seus possíveis efeitos adversos.
9.2. Quando, e na medida em que não seja possível ao Processador fornecer todas as informações acima mencionadas ao mesmo tempo, a notificação inicial ao Controlador deve conter as informações então disponíveis e informações adicionais devem, assim que estiverem disponíveis, serem posteriormente fornecidas ao Controlador sem atraso indevido.
9.4. O Processador deverá cooperar com o Controlador e tomar as medidas comerciais razoáveis conforme instruído pelo Controlador para auxiliar na investigação, mitigação e remediação de cada Violação de Dados Pessoais e para que o Controlador cumpra com os requisitos da Lei de Protecção de Dados Aplicável e, além disso, , o Processador deverá cumprir integralmente todas as obrigações impostas ao Processador em relação ao tratamento de uma Violação de Dados Pessoais de acordo com as Leis de Protecção de Dados Aplicáveis.
9.5. No caso de uma Violação de Xxxxx Xxxxxxxx, o Processador não informará terceiros sem primeiro obter o consentimento prévio por escrito do Controlador, a menos que a notificação seja exigida pelas Leis de Protecção de Dados Aplicáveis às quais o Processador está sujeito, caso em que o Processador deverá na medida permitida por tal lei informar o Controlador sobre essa exigência legal, fornecer uma cópia da notificação proposta e considerar quaisquer comentários feitos pelo Controlador antes de notificar a Violação de Xxxxx Xxxxxxxx à Autoridade Supervisora relevante.
9.6. Sem prejuízo da cláusula 9.1, o Processador deverá, sem atraso injustificado, informar o Controlador em caso de interrupção grave das operações, suspeita de Violação Pessoal, qualquer violação da Lei de Protecção de Dados Aplicável ou destes Termos e Condições do DPA e qualquer outra irregularidade no processamento dos Dados Pessoais.
9.7. O Processador manterá um registo de todas as violações de dados pessoais, incluindo informações sobre a causa da violação de dados pessoais, suas consequências e medidas adoptadas para remediar e prevenir a ocorrência da violação de dados pessoais no futuro. O Processador fornecerá o registo ao Controlador mediante solicitação.
10. Exclusão ou devolução dos Dados Pessoais do Controlador
10.1. O Processador deverá prontamente e em qualquer caso dentro de 60 (sessenta) dias corridos a partir de: (i) cessação do Processamento de Dados Pessoais do Controlador pelo Processador; ou
(ii) rescisão dos Termos e Condições do DPA, à escolha do Controlador (tal escolha deve ser notificada ao Processador por escrito):
10.1.1. devolver uma cópia completa de todos os Dados Pessoais do Controlador ao Controlador por meio de transferência segura de arquivos no formato notificado pelo Controlador ao Processador e excluir com segurança todas as outras cópias dos Dados Pessoais do Controlador Processados pelo Processador ou qualquer Subprocessador autorizado; ou
10.1.2. excluir com segurança todas as cópias dos Dados Pessoais do Controlador Processados pelo Processador ou qualquer Subprocessador autorizado e, em cada caso, fornecer uma certificação por escrito ao Controlador de que cumpriu integralmente esta cláusula 10.1.
11. Documentação e direitos de Auditoria
11.1. O Processador deve lidar imediata e adequadamente com quaisquer dúvidas do Controlador sobre o Processamento sob estes Termos e Condições do DPA. O Processador deverá disponibilizar ao Controlador todas as informações necessárias para demonstrar a conformidade com estes Termos e Condições do DPA e Leis de Protecção de Dados Aplicáveis. A pedido do Controlador, o Processador também deve permitir e contribuir para auditorias das actividades de Processamento sob estes Termos e Condições do DPA, em intervalos razoáveis ou se houver indicações de não conformidade. Ao decidir sobre uma revisão ou auditoria, o Controlador pode levar em consideração as certificações relevantes detidas pelo Processador.
11.2. O Controlador pode optar por conduzir a auditoria sozinho ou contratar um auditor independente. As auditorias também podem incluir inspeções nas instalações ou instalações físicas do Processador e devem, quando apropriado, ser realizadas com aviso prévio. O Processador concederá acesso a tais instalações ou estabelecimentos ao Controlador ou ao auditor independente.
11.3. O Processador fornecerá total cooperação ao Controlador e ao auditor independente, conforme aplicável, em relação a qualquer auditoria e, a pedido do Controlador, fornecerá ao Controlador evidências de cumprimento de suas obrigações sob estes Termos e Condições do DPA.
11.4. As Partes devem disponibilizar as informações referidas nesta cláusula, incluindo os resultados de quaisquer auditorias, à(s) Autoridade(s) Supervisora(s) mediante solicitação.
12. Transferências dos Dados Pessoais do Controlador para países terceiros
12.1. Se o Controlador, como exportador de dados, transferir Dados Pessoais sujeitos ao RGPD para o Processador, como importador de dados, estabelecido num País Terceiro, tal transferência estará sujeita às Cláusulas Contratuais Padrão da UE na extensão aplicável, conforme estabelecido no Anexo 4: Cláusulas Contratuais Padrão da UE; as informações relevantes exigidas pelos Anexos das Cláusulas Contratuais Padrão da UE devem ser fornecidas nos Anexos a estes Termos e Condições do DPA.
12.2. Se o Controlador, como exportador de dados, transferir Dados Pessoais sujeitos ao RGPD do Reino Unido para o Processador, como importador de dados, estabelecido num País Terceiro, tal transferência estará sujeita às Cláusulas Contratuais Padrão do Reino Unido relevantes na extensão mínima aplicável, que está incorporada nestes Termos e Condições do DPA (para evitar dúvidas, as cláusulas opcionais não se aplicam); as informações relevantes exigidas pelos Anexos das Cláusulas Contratuais Padrão da UE devem ser fornecidas nos Anexos a estes Termos e Condições do DPA.
12.3. As Partes reconhecem e concordam que, sujeito ao seu Contrato mútuo, outras salvaguardas apropriadas para transferências de Dados Pessoais para Países Terceiros podem ser aplicáveis, sujeitas aos requisitos aplicáveis do RGPD e do RGPD do Reino Unido.
12.4. Na medida em que quaisquer Dados Pessoais sejam transferidos pelo Controlador que esteja sujeito a quaisquer outras Leis de Protecção de Dados Aplicáveis, além do RGPD e do RGPD do Reino Unido, para o Processador localizado em outro país terceiro, o Controlador reconhece que será obrigado a cumprir os requisitos aplicáveis às transferências de dados internacionais de acordo com as Leis de Protecção de Dados Aplicáveis e garantirá as salvaguardas apropriadas para transferências de dados internacionais de acordo com as Leis de Protecção de Dados Aplicáveis.
12.5. Quando quaisquer Leis de Protecção de Dados Aplicáveis possam exigir a aprovação da Autoridade Supervisora para transferência internacional de Dados Pessoais desse país para um País Terceiro ou organização, tal transferência só poderá ser realizada pelo Processador mediante a obtenção de tal aprovação.
12.6. As Partes comprometem-se a negociar e executar quaisquer outros Contratos ou documentos que possam ser adoptados pelas autoridades públicas competentes com a finalidade de alterar, substituir, complementar ou suplantar as Cláusulas Contratuais Padrão da UE e/ou as Cláusulas Contratuais Padrão do Reino Unido, ou com a finalidade de cumprir quaisquer outros requisitos relativos às transferências de Dados Pessoais para Países Terceiros, conforme aplicável.
12.7. Quando o Processador envolver um Subprocessador em actividades de Processamento que envolvam uma transferência (ou uma posterior transferência) de Dados Pessoais para um País Terceiro, o Processador deverá garantir que os Dados Pessoais sejam processados legalmente. antes da transferência para um País Terceiro, o Processador deve garantir que o Subprocessador tenha implementado medidas técnicas e organizacionais apropriadas que forneçam salvaguardas adequadas, em particular (sem limitação), o Processador e o Subprocessador devem cumprir os requisitos das Leis de Protecção de Dados aplicáveis e, quando aplicável, devem executar as Cláusulas Contratuais Padrão da UE ou as Cláusulas Contratuais Padrão do Reino Unido. O Processador deve garantir que essas medidas também sejam aplicadas em caso de posteriores transferências aprovadas pelo Controlador.
13. Indenização
13.1. O Processador deverá indenizar e isentar o Controlador de todos os danos, perdas, multas, penalidades e sanções decorrentes de qualquer reclamação de um terceiro ou Autoridade Supervisora decorrente de qualquer violação dos termos destes Termos e Condições do DPA e Leis de Protecção de Dados Aplicáveis, incluindo quaisquer multas administrativas que possam ser impostas por qualquer Autoridade Supervisora relevante.
14. Comunicação
14.1. Sujeito à Secção 6 e a menos que acordado de outra forma pelas Partes, os detalhes de contacto relacionados à comunicação diária sobre os assuntos relacionados ao desempenho destes Termos e Condições do DPA serão os estabelecidos no Contrato.
15. Diversos
15.1. Nem os direitos nem as obrigações de qualquer Parte podem ser cedidos no todo ou em parte sem o consentimento prévio por escrito da outra Parte, desde que, no entanto, estes Termos e Condições do DPA possam ser transferidos ou cedidos nos termos e condições estabelecidos no Contrato.
15.2. Cada Parte permanecerá responsável por seu cumprimento e pelo cumprimento de todos os seus funcionários, agentes e terceiros com as obrigações sob estes Termos e Condições do DPA. Cada Parte fará ou obterá e manterá, desde que seja parte destes Termos e Condições do DPA, todas as licenças ou notificações necessárias que tal parte seja obrigada a obter e manter de acordo com as Leis de Protecção de Dados Aplicáveis.
15.3. No caso de qualquer disputa surgida entre as Partes em relação a estes Termos e Condições do DPA, as Partes negociarão de boa fé para resolver sua disputa. Se a disputa não puder ser
resolvida por negociações de boa fé pelas Partes, a disputa será definitivamente resolvida pelos tribunais competentes da Inglaterra e do País de Gales.
15.4. A menos que as cláusulas contratuais padrão de acordo com o RGPD exijam a aplicação de uma lei aplicável diferente (nesse caso, tal lei será a lei que rege estes Termos e Condições do DPA), estes Termos e Condições do DPA são regidos pelas leis do país onde os Serviços estão a ser fornecidos.
15.5. Caso qualquer disposição destes Termos e Condições do DPA seja inválida ou inexequível, o restante destes Termos e Condições do DPA permanecerá válido e em vigor. A disposição inválida ou inexequível deve ser (i) alterada conforme necessário para garantir sua validade e exequibilidade, preservando as intenções das Partes o mais próximo possível ou, se isso não for possível, (ii) interpretada de maneira como se a cláusula inválida ou parte inexequível nunca estivesse contida nele
Anexo 1: DETALHES DO PROCESSAMENTO DOS DADOS PESSOAIS DO CONTROLADOR
Este Anexo 1 inclui alguns detalhes do Processamento de Dados Pessoais do Controlador conforme exigido pelas Leis de Protecção de Dados Aplicáveis.
Objecto e duração do Processamento dos Dados Pessoais
O objecto do Processamento é fornecer Serviços sob o Contrato e a duração do Processamento dos Dados Pessoais é estabelecida no Contrato e nos Termos e Condições do DPA.
Natureza e finalidade do Processamento dos Dados Pessoais do Controlador
A natureza e a finalidade do Processamento correspondem à prestação de Serviços, conforme estabelecido no Contrato.
Categorias dos Dados Pessoais a serem Processados pelo Processador
Sujeito a confirmação de outra forma pelo Controlador, as seguintes categorias de Dados Pessoais são geralmente processadas pelo Processador:
Nome e Apelido Dados de uso
Endereço de e-mail Cargo
Endereço residencial Data de nascimento
endereço de IP
Número de telefone
Dados sensíveis processados (se aplicável) e restrições ou salvaguardas aplicadas - ………
Categorias de Titulares de Dados aos quais os Dados Pessoais do Controlador se relacionam
Sujeito a confirmação de outra forma pelo Controlador, os Dados Pessoais estarão relacionados às seguintes categorias de Titulares de Dados geralmente processados pelo Processador:
Funcionários Visitantes
Fornecedores Consultores
Clientes Visitantes
Empreiteiros outros:
Frequência da transferência para fora do EEE
Sujeito a confirmação em contrário pelo Controlador, as transferências de Dados Pessoais serão Única
Base contínua
Durante a prestação dos Serviços do Processador ao Controlador e de acordo com o Contrato aplicável entre o Controlador e o Processador.
Objecto e natureza - prestação de serviços, a ser notificado por escrito ao Controlador, usando substancialmente o mesmo formato estabelecido no Anexo 2
Duração – duração da prestação dos serviços do Subprocessador.
As obrigações e direitos do Controlador
As obrigações e direitos do Controlador estão estabelecidos nestes Termos e Condições do DPA.
Anexo 2: SUBPROCESSADORES AUTORIZADOS
O Processador compromete-se a enviar as informações relativas aos Subprocessadores propostas ao Controlador para autorização, usando substancialmente o mesmo formato estabelecido neste Anexo 2.
Anexo 3: MEDIDAS TÉCNICAS E ORGANIZACIONAIS
O Processador compromete-se a implementar e exigir que seus Subprocessadores implementem as seguintes medidas técnicas e organizacionais:
a) a capacidade de garantir a segurança, confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas de processamento, redes e serviços;
b) a capacidade de restaurar a disponibilidade e o acesso aos Dados Pessoais em tempo hábil no caso de um incidente físico ou técnico;
c) um processo para monitorar, testar, avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento;
d) prevenção do acesso de pessoas não autorizadas aos sistemas de processamento de dados (controlo de acesso físico);
e) prevenção do uso de sistemas de processamento de dados sem autorização (controlo lógico de acesso);
f) manter os Dados Pessoais separados logicamente dos dados processados em nome de terceiros;
g) aplicação de criptografia e pseudonimização dos Dados Xxxxxxxx, quando apropriado;
h) garantir que, durante o processamento ou uso e após o armazenamento, os Dados Pessoais não possam ser lidos, copiados, modificados ou excluídos sem autorização (controlo de acesso a dados);
i) assegurar que os Dados Pessoais não possam ser lidos, copiados, modificados ou apagados sem autorização durante a transmissão, transporte ou armazenamento eletrónico, e que as entidades alvo para qualquer transferência dos Dados Pessoais por meio de meios de transmissão de dados possam ser estabelecidas e verificadas (controlo de transferência de dados);
j) garantir o estabelecimento de registo e uma trilha de auditoria para documentar se e por quem os Dados Pessoais foram inseridos, modificados ou removidos dos sistemas de processamento de dados (controlo de entrada);
k) manter uma política de segurança da informação e planos de gestão e continuidade de incidentes de segurança, consistindo, entre outros, na análise realizada a este respeito e na gestão de risco de dados pessoais, descrição das várias responsabilidades e regras
organizacionais, descrição de como são geridos os incidentes de segurança, as medidas que foram introduzidas para manter o sistema de segurança actualizado após a instalação;
l) organizar a segurança da informação por meio da selecção de um líder de segurança da informação que tenha as competências necessárias, seja adequadamente treinado, assegure que as várias responsabilidades em relação à segurança da informação tenham sido claras, assegure que as responsabilidades definidas na política de informação sejam cumpridas e que não possa cumprir qualquer função nem assumir qualquer responsabilidade que seja incompatível com a função de governança de segurança da informação;
m) assegurar a segurança do ambiente físico, por exemplo através da segurança e vigilância dos edifícios, instalações e estabelecimentos onde se encontram os portadores de dados pessoais e sistemas informáticos que os tratam, bem como procedimentos de prevenção, detecção e operação em caso de incêndio, intrusão e danos causados pela água;
n) manter a documentação completa e actualizada proporcional ao perfil de risco das operações de processamento, incluindo, mas não se limitando a, documentação técnica das medidas de segurança implementadas e outras informações necessárias para demonstrar o cumprimento dos requisitos destes Termos e Condições do DPA; e
o) garantir que os Dados Pessoais sejam processados exclusivamente de acordo com as instruções relevante do Controlador (controlo de instruções).
Anexo 4: CLÁUSULAS CONTRATUAIS PADRÃO DA UE - MÓDULO 2 (TRANSFERIR DO CONTROLADOR PARA O PROCESSADOR)
Estas Cláusulas Contratuais Padrão da UE são celebradas entre a MultiChoice (o Controlador, conforme definido nos Termos e Condições do DPA) e o Fornecedor (o Processador, conforme definido nos Termos e Condições do DPA).
CONSIDERANDO QUE:
(A) A MultiChoice adquire determinados Serviços e terceiriza certas actividades de processamento para o Fornecedor com base no Contrato que requer o Processamento de Dados Pessoais. A MultiChoice actua principalmente como o Controlador e o Fornecedor actua principalmente como o Processador e as partes firmaram os Termos e Condições do DPA que regem o Processamento de Dados Pessoais da MultiChoice pelo Fornecedor em nome da MultiChoice.
(B) Sujeito à configuração dos Serviços fornecidos pelo Fornecedor, o Fornecedor pode Processar Dados Pessoais como Controlador. Caso (i) os Dados Pessoais estejam sujeitos ao RGPD, (ii) a MultiChoice processe Dados Pessoais como Controlador e o Fornecedor processe Dados Pessoais como Controlador e (iii) o Processamento exija uma transferência do EEE para um País Terceiro ou uma transferência subsequente para um País Terceiro, conforme definido nos Termos e Condições do DPA, qualquer transferência de Dados Pessoais estará sujeita a estas Cláusulas Contratuais Padrão da UE na medida em que: MÓDULO DOIS: Transferência de Controlador para Processador.
As secções marcadas como “MÓDULO UM: Transferência de Controlador para Controlador ”, “ MÓDULO TRÊS: Transferir Processador para Processador ” e as secções marcadas como “ MÓDULO QUATRO: Transferência de Processador para Controlador ” não se aplicam. Para evitar dúvidas, se aplicável, as Partes celebrarão Cláusulas Contratuais Padrão da UE separadas em relação ao Módulo Um, Módulo Três e Módulo Quatro.
(C) Estas Cláusulas Contratuais Padrão da UE são incorporadas aos Termos e Condições do DPA celebrados entre as Partes que regerão as questões não resolvidas por estas Cláusulas Contratuais Padrão da UE. Estas Cláusulas Contratuais Padrão terão controlo sobre os Termos e Condições do DPA e quaisquer outros Contratos celebrados entre as Partes com relação ao Processamento de Dados Pessoais. Para evitar dúvidas, se várias Cláusulas Contratuais Padrão da UE forem aplicáveis na extensão dos módulos aplicáveis, nenhuma delas terá controlo sobre a outra.
(D) Estas Cláusulas Contratuais Padrão da UE entrarão em vigor a partir da Data de Vigência dos Termos e Condições do DPA e substituirão quaisquer cláusulas contratuais padrão já existentes celebradas entre as Partes no escopo estabelecido na Secção (B) acima.
(E) Os termos em maiúsculas usados e não definidos nestas Cláusulas Contratuais Padrão da UE têm o significado que lhes é atribuído nos Termos e Condições do DPA ou, conforme aplicável, no RGPD.
SECÇÃO I
Cláusula 1
Finalidade e âmbito
(a) O objectivo destas cláusulas contratuais padrão é garantir o cumprimento dos requisitos do Regulamento (UE) 2016/679 do Parlamento e do Conselho Europeu, de 27 de abril de 2016, sobre a Protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e a livre circulação desses dados (Regulamento Geral de Protecção de Dados) para a transferência de dados para um país terceiro.
(b) As Partes:
(i) as pessoas físicas ou jurídicas, autoridades públicas, agências ou outros órgãos (doravante 'entidades') que transferem os dados pessoais, conforme estabelecido nos Termos e Condições do DPA aos quais este Anexo 5 é anexado (doravante o 'exportador de dados'), e
(ii) a(s) entidade(s) num país terceiro que recebe os dados pessoais do exportador de dados, directa ou indirectamente por meio de outra entidade também Parte destas Cláusulas, estabelecidas nos Termos e Condições do DPA ao qual este Anexo 5 está anexado (doravante o 'importador de dados)
concordaram com estas cláusulas contratuais padrão (doravante: 'Cláusulas'.)
(c) Estas Cláusulas aplicam-se à transferência de dados pessoais conforme especificado no Anexo
(d) O Apêndice a estas Cláusulas contendo os Anexos nelas referidos faz parte integrante destas Cláusulas.
Cláusula 2
Efeito e invariabilidade das Cláusulas
(a) Estas Cláusulas estabelecem as garantias apropriadas, incluindo direitos aplicáveis aos titulares de dados e recursos legais efetivos, nos termos do artigo 46.º, n.º 1, e do artigo 46.º, n.º 2, alínea c), do Regulamento (UE) 2016/679 e, no que diz respeito às transferências de dados de controladores para processadores e/ou processadores para processadores, cláusulas contratuais padrão nos termos do artigo 28.º, n.º 7, do Regulamento (UE) 2016/679, desde que não sejam modificadas, excepto para seleccionar o(s) Módulo(s) apropriado(s) ou para adicionar ou actualizar informações no anexo. Isso não impede que as Partes incluam as cláusulas contratuais padrão estabelecidas nestas Cláusulas num contrato mais amplo e/ou adicionem outras cláusulas ou garantias adicionais, desde que não contrariem, directa ou indirectamente, estas Cláusulas ou prejudiquem os direitos fundamentais ou liberdades dos titulares de dados.
(b) Estas Cláusulas não prejudicam as obrigações a que o exportador de dados esteja sujeito por força do Regulamento (UE) 2016/679.
Cláusula 3
Terceiros Beneficiários
(c) Os titulares de dados podem invocar e fazer cumprir estas Cláusulas, como terceiros beneficiários, contra o exportador e/ou importador de dados, com as seguintes excepções:
(i) Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
(ii) Cláusula 8.1(b), 8.9(a), (c), (d) e (e);
(iii) Cláusula 9(a), (c), (d) e (e);
(iv) Cláusula 12(a), (d) e (f);
(v) Cláusula 13;
(vi) Cláusula 15.1(c), (d) e (e);
(vii) Cláusula 16(e);
(viii) Cláusula 18(a) e (b).
(d) A alínea a) não prejudica os direitos dos titulares de dados ao abrigo do Regulamento (UE) 2016/679
Cláusula 4
Interpretação
(a) Quando estas Cláusulas usarem termos definidos no Regulamento (UE) 2016/679, esses termos terão o mesmo significado que naquele Regulamento.
(b) Estas Cláusulas devem ser lidas e interpretadas à luz das disposições do Regulamento (UE) 2016/679.
(c) Estas Cláusulas não devem ser interpretadas de forma conflituante com os direitos e obrigações previstos no Regulamento (UE) 2016/679.
Cláusula 5
Hierarquia
Em caso de contradição entre estas Cláusulas e as disposições dos Termos e Condições do DPA celebradas entre as Partes, estas Cláusulas prevalecerão.
Cláusula 6
Descrição da(s) transferência (s)
Os detalhes da(s) transferência(s), e em particular as categorias de dados pessoais que são transferidos e a(s) finalidade(s) para a qual são transferidos, estão especificadas no Anexo IB e/ou nos Termos e Condições do DPA.
Cláusula 7
Cláusula de encaixe
(a) Uma entidade que não seja Parte destas Cláusulas pode, com o Acordo das Partes, aderir a estas Cláusulas a qualquer momento, seja como exportadora de dados ou importadora de dados, preenchendo o Apêndice e assinando o Anexo I.A
(b) Uma vez preenchido o Apêndice e assinado o Anexo I.A, a entidade aderente se tornará Parte destas Cláusulas e terá os direitos e obrigações de um exportador ou importador de dados de acordo com sua designação no Anexo I.A
(c) A entidade aderente não terá quaisquer direitos ou obrigações decorrentes destas Cláusulas desde o período anterior à sua adesão.
SECÇÃO II - OBRIGAÇÕES DAS PARTES
Cláusula 8
Salvaguardas de Protecção de dados
O exportador de dados garante que envidou esforços razoáveis para determinar que o importador de dados é capaz, por meio da implementação de medidas técnicas e organizacionais apropriadas, de cumprir suas obrigações sob estas Cláusulas.
8.1 Instruções
(a) O importador de dados deve processar os dados pessoais apenas mediante instruções documentadas do exportador de dados. O exportador de dados pode dar tais instruções durante toda a vigência do contrato.
(b) O importador de dados deve informar imediatamente o exportador de dados se não puder seguir essas instruções.
8.2 Limitação de propósito
O importador de dados deve processar os dados pessoais apenas para o(s) propósito(s) específico(s) da transferência, conforme estabelecido no Anexo IB e nos Termos e Condições do DPA, salvo instruções adicionais do exportador de dados.
8.3 Transparência
Mediante solicitação, o exportador de dados deverá disponibilizar gratuitamente ao Titular de Dados uma cópia destas Cláusulas, incluindo o Apêndice conforme preenchido pelas Partes. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo as medidas descritas no Anexo II e dados pessoais, o exportador de dados pode redigir parte do texto do Apêndice destas Cláusulas antes de compartilhar uma cópia, mas deve fornecer um resumo em que de outra forma o Titular de Xxxxx não seria capaz de compreender o conteúdo ou exercer os seus direitos. Mediante solicitação, as Partes fornecerão ao Titular de Dados os motivos das alterações, na medida do possível, sem revelar as informações editadas. Esta Cláusula não prejudica as obrigações do exportador de dados ao abrigo dos artigos 13.º e 14.º do Regulamento (UE) 2016/679.
8.4 Precisão
Se o importador de dados tomar conhecimento de que os dados pessoais que recebeu são imprecisos ou desactualizados, deve informar o exportador de dados sem demora injustificada. Nesse caso, o importador de dados deve cooperar com o exportador de dados para apagar ou rectificar os dados.
8.5 Duração do processamento e eliminação ou devolução de dados
O processamento pelo importador de dados ocorrerá apenas pelo período especificado no Anexo I.B e/ou nos Termos e Condições do DPA. Após o término da prestação dos serviços de processamento, o importador de dados deve, à escolha do exportador de dados, excluir todos os dados pessoais processados em nome do exportador de dados e certificar ao exportador de dados que o fez, ou retornar ao o exportador de dados, todos os dados pessoais processados em seu nome e excluir as cópias existentes. Até que os dados sejam excluídos ou devolvidos, o importador de dados continuará a garantir o cumprimento destas Cláusulas. No caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou exclusão dos dados pessoais, o importador de dados garante que continuará a garantir o cumprimento destas Cláusulas e só o processará na medida e pelo tempo exigido por essa lei local. Isso não prejudica a Cláusula 14, em particular a exigência de que o importador de dados nos termos da Cláusula 14(e) notifique o exportador de dados durante a vigência do contrato se tiver motivos para
acreditar que está ou se tornou sujeito a leis ou práticas que não estão de acordo com os requisitos da Cláusula 14(a).
8.6 Segurança no processamento
(a) O importador de dados e, durante a transmissão, bem como o exportador de dados devem implementar medidas técnicas e organizacionais apropriadas para garantir a segurança dos dados, incluindo Protecção contra uma violação de segurança que leve à destruição acidental ou ilícita, perda, alteração, divulgação não autorizada ou acesso a esses dados (doravante 'violação de dados pessoais'). Ao avaliar o nível de segurança apropriado, as Partes devem levar em devida consideração o estado da arte, os custos de implementação, a natureza, o escopo, o contexto e a(s) finalidade(s) do processamento e os riscos envolvidos no processamento para os titulares de dados. As Partes devem, em particular, considerar o recurso à encriptação ou pseudonimização, inclusive durante a transmissão, sempre que a finalidade do tratamento possa ser cumprida dessa forma. Em caso de pseudonimização, as informações adicionais para atribuir os dados pessoais a um titular de dados específico devem, sempre que possível, permanecer sob o controlo exclusivo do exportador de dados. No cumprimento de suas obrigações nos termos deste alínea, o importador de dados deve, pelo menos, implementar as medidas técnicas e organizacionais especificadas no Anexo II e nos Termos e Condições do DPA. O importador de dados deve realizar verificações regulares para garantir que essas medidas continuem a fornecer um nível de segurança adequado.
(b) O importador de dados deve conceder acesso aos dados pessoais aos membros do seu pessoal apenas na medida estritamente necessária para a implementação, gestão e acompanhamento do contrato. Deve assegurar que as pessoas autorizadas a tratar os dados pessoais se comprometeram com a confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade adequada.
(c) Em caso de violação de dados pessoais relativos a dados pessoais processados pelo importador de dados sob estas Cláusulas, o importador de dados deverá tomar as medidas apropriadas para resolver a violação, incluindo medidas para mitigar seus efeitos adversos. O importador de dados também deve notificar o exportador de dados sem demora injustificada após tomar conhecimento da violação. Essa notificação deve conter os dados de um ponto de contacto onde podem ser obtidas mais informações, uma descrição da natureza da violação (incluindo, sempre que possível, categorias e número aproximado de titulares de dados e registos de dados pessoais em causa), as suas prováveis consequências e a medidas tomadas ou propostas para resolver a violação, incluindo, quando apropriado, medidas para mitigar seus possíveis efeitos adversos. Sempre que, e na medida em que não seja possível fornecer todas as informações ao mesmo tempo, a notificação inicial deve conter as informações então disponíveis e as informações adicionais, à medida que estiverem disponíveis, serão fornecidas posteriormente sem atraso injustificado.
(d) O importador de dados deve cooperar e ajudar o exportador de dados para permitir que o exportador de dados cumpra as suas obrigações ao abrigo do Regulamento (UE) 2016/679, nomeadamente notificar a autoridade de controlo competente e os titulares de dados afectados, tendo em conta a natureza do processamento e as informações disponíveis para o importador de dados.
8.7 Dados sensíveis
Sempre que a transferência envolva dados pessoais que revelem a origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas ou filiação sindical, dados genéticos ou dados biométricos para efeitos de identificação única de uma pessoa singular, dados relativos à saúde ou à vida sexual de uma pessoa ou orientação sexual, ou dados relativos a condenações criminais e infrações (doravante 'dados sensíveis'), o importador de dados deve aplicar as restrições específicas e/ou garantias adicionais descritas no Anexo I.B.
8.8 Transferências subsequentes
O importador de dados somente divulgará os dados pessoais a terceiros mediante instruções documentadas do exportador de dados. Além disso, os dados só podem ser divulgados a terceiros localizados fora da União Europeia (no mesmo país que o importador de dados ou em outro país terceiro, doravante 'transferência subsequente ') se o terceiro estiver ou concordar em estar vinculado por estas Cláusulas, no Módulo apropriado, ou se:
(i) a transferência subsequente é para um país que beneficie de uma decisão de adequação nos termos do artigo 45.º do Regulamento (UE) 2016/679 que abrange a transferência subsequente;
(ii) o terceiro garante de outra forma as garantias adequadas nos termos dos artigos 46.º ou 47.º do Regulamento (UE) 2016/679 no que diz respeito ao tratamento em questão;
(iii) a transferência subsequente for necessária para a instauração, exercício ou defesa de acções judiciais no âmbito de processos administrativos, regulamentares ou judiciais específicos; ou
(iv) a transferência subsequente for necessária para proteger os interesses vitais do Titular de Dados ou de outra pessoa singular.
Qualquer transferência subsequente está sujeita ao cumprimento por parte do importador de dados de todas as outras garantias previstas nestas Cláusulas, em particular a limitação de finalidade.
8.9 Documentação e conformidade
(a) O importador de dados deve lidar imediata e adequadamente com as consultas do exportador de dados relacionadas ao processamento sob estas Cláusulas.
(b) As Partes poderão demonstrar o cumprimento destas Cláusulas. Em particular, o importador de dados deve manter a documentação adequada sobre as actividades de processamento realizadas em nome do exportador de dados.
(c) O importador de dados deve disponibilizar ao exportador de dados todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas nestas Cláusulas e a pedido do exportador de dados, permitir e contribuir para auditorias das actividades de processamento cobertas por estas Cláusulas, em intervalos razoáveis ou se houver indícios de não conformidade. Ao decidir sobre uma revisão ou auditoria, o exportador de dados pode levar em consideração as certificações relevantes detidas pelo importador de dados.
(d) O exportador de dados pode optar por conduzir a auditoria por si ou por meio de contratação de um auditor independente. As auditorias podem incluir inspeções nas instalações ou instalações
físicas do importador de dados e devem, quando apropriado, ser realizadas com antecedência razoável.
(e) As Partes devem disponibilizar as informações referidas nas alíneas (b) e (c), incluindo os resultados de quaisquer auditorias, à autoridade supervisora competente mediante solicitação.
Cláusula 9
Uso de subprocessadores
(a) O importador de dados não deve subcontratar nenhuma de suas actividades de processamento realizadas em nome do exportador de dados sob estas Cláusulas para um subprocessador sem a autorização prévia por escrito específica do exportador de dados. O importador de dados deverá apresentar o pedido de autorização específica pelo menos 30 (trinta) dias antes da contratação do subprocessador, juntamente com as informações necessárias para permitir que o exportador de dados decida sobre a autorização. A lista de subprocessadores já autorizados pelo exportador de dados pode ser encontrada no Anexo III. As Partes manterão o Anexo III actualizado.
(b) Quando o importador de dados contrata um subprocessador para realizar actividades de processamento específicas (em nome do exportador de dados), deve fazê-lo por meio de um contrato escrito que preveja, em substância, as mesmas obrigações de Protecção de dados que vinculam o importador de dados sob estas Cláusulas, inclusive em termos de direitos de beneficiários de terceiros para titulares de dados. As Partes concordam que, ao cumprir esta Cláusula, o importador de dados cumpre suas obrigações sob a Cláusula 8.8. O importador de dados deve garantir que o subprocessador cumpra as obrigações às quais o importador de dados está sujeito de acordo com estas Cláusulas.
(c) O importador de dados deve fornecer, a pedido do exportador de dados, uma cópia de tal contrato de subprocessador e quaisquer alterações subsequentes ao exportador de dados. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o importador de dados pode redigir o texto do contrato antes de compartilhar uma cópia.
(d) O importador de dados permanecerá totalmente responsável perante o exportador de dados pelo cumprimento das obrigações do subprocessador sob seu contrato com o importador de dados. O importador de dados deve notificar o exportador de dados de qualquer falha do subprocessador em cumprir suas obrigações sob esse contrato.
(e) O importador de dados deve acordar uma cláusula de terceiro beneficiário com o subprocessador segundo a qual – no caso de o importador de dados ter desaparecido, deixado de existir legalmente ou se tornado insolvente – o exportador de dados terá o direito de rescindir contrato com o Subprocessador e instruir o subprocessador a apagar ou devolver os dados pessoais.
Cláusula 10
Direitos do Titular de Dados
(a) O importador de dados deve notificar imediatamente o exportador de dados sobre qualquer solicitação que tenha recebido de um titular de dados. Não deve responder a esse pedido, a menos que tenha sido autorizado a fazê-lo pelo exportador de dados.
(b) O importador de dados deve ajudar o exportador de dados a cumprir as suas obrigações de responder aos pedidos dos titulares de dados para o exercício dos seus direitos ao abrigo do
Regulamento (UE) 2016/679. Nesse sentido, as Partes estabelecerão no Anexo II e nos Termos e Condições do DPA as medidas técnicas e organizacionais apropriadas, levando em consideração a natureza do processamento, pela qual a assistência será prestada, bem como o escopo e a extensão da assistência necessária.
(c) Ao cumprir suas obrigações nos termos das alíneas (a) e (b), o importador de dados deve cumprir as instruções do exportador de dados.
Cláusula 11
Reparação
(a) O importador de dados deve informar os titulares de dados de forma transparente e de fácil acesso, através de aviso individual ou no seu site, sobre um ponto de contacto autorizado a tratar reclamações. Deve lidar prontamente com quaisquer reclamações que receber de um titular de dados.
(b) Em caso de litígio entre um titular de dados e uma das Partes no que diz respeito ao cumprimento destas Cláusulas, essa Parte envidará os seus melhores esforços para resolver a questão de forma amigável e atempada. As Partes devem manter-se mutuamente informadas sobre tais disputas e, quando apropriado, cooperar para resolvê-las.
(c) Quando o Titular de Dados invocar um direito de terceiro beneficiário nos termos da Cláusula 3, o importador de dados deve aceitar a decisão do Titular de Dados de:
(i) apresentar uma reclamação à autoridade de controlo do Estado-Membro da sua residência habitual ou local de trabalho, ou à autoridade de controlo competente nos termos da cláusula 13.
(ii) remeter o litígio aos tribunais competentes na acepção da Cláusula 18.
(d) As Partes aceitam que o Titular de Dados possa ser representado por um organismo, organização ou associação sem fins lucrativos nas condições estabelecidas no artigo 80.º, n.º 1, do Regulamento (UE) 2016/679.
(e) O importador de dados deve cumprir uma decisão que seja vinculativa de acordo com a legislação aplicável da UE ou do Estado-Membro.
(f) O importador de dados concorda que a escolha feita pelo Titular de Dados não prejudicará seus direitos substantivos e processuais de buscar recursos de acordo com as leis aplicáveis.
Cláusula 12
Responsabilidade
(a) Cada Parte será responsável perante a(s) outra(s) Parte(s) por quaisquer danos que causar à(s) outra(s) Parte(s) por qualquer violação destas Cláusulas.
(b) O importador de dados será responsável perante o Titular de Dados, e o Titular de Dados terá direito a receber uma compensação, por quaisquer danos materiais ou imateriais que o importador de dados ou seu subprocessador for a causar ao Titular de Dados por violação dos direitos de terceiro beneficiário sob estas Cláusulas.
(c) Não obstante a alínea (b), o exportador de dados será responsável perante o Titular de Dados, e o Titular de Dados terá direito a receber compensação, por quaisquer danos materiais ou imateriais
do exportador de dados ou do importador de dados (ou seu subprocessador) causado ao Titular de Dados ao violar os direitos de terceiros beneficiários sob estas Cláusulas. Isso não prejudica a responsabilidade do exportador de dados e, quando o exportador de dados for um processador agindo em nome de um controlador, para a responsabilidade do controlador nos termos do Regulamento (UE) 2016/679 ou do Regulamento (UE) 2018/1725, conforme aplicável.
(d) As Partes concordam que, se o exportador de dados for responsabilizado nos termos da alínea
(c) por danos causados pelo importador de dados (ou seu subprocessador), este terá o direito de reivindicar de volta do importador de dados parte da compensação correspondente a responsabilidade do importador de dados pelos danos.
(e) Quando mais de uma Parte for responsável por qualquer dano causado ao Titular de Dados como resultado de uma violação destas Cláusulas, todas as Partes responsáveis serão solidariamente responsáveis e o Titular de Dados terá o direito de intentar uma acção judicial contra qualquer uma dessas Partes.
(f) As Partes concordam que, se uma Parte for considerada responsável nos termos da alínea (e), terá o direito de reivindicar à outra Parte(s) a parte da indenização correspondente à sua responsabilidade pelo dano.
(g) O importador de dados não pode invocar a conduta de um subprocessador para evitar sua própria responsabilidade.
Cláusula 13
Supervisão
(a) Se o exportador de dados estiver estabelecido num Estado-Membro da UE, a autoridade supervisora responsável por garantir a conformidade do exportador de dados com o Regulamento (UE) 2016/679 no que diz respeito à transferência de dados, conforme indicado no anexo I.C, actuará como autoridade supervisora competente.
Caso o exportador de dados não esteja estabelecido num Estado-Membro da UE, mas se enquadre no âmbito de aplicação territorial do Regulamento (UE) 2016/679 em conformidade com o seu artigo 3.º, n.º 2, e tenha nomeado um representante nos termos do artigo 27.º, n.º 1 do Regulamento (UE)2016/679, a autoridade de controlo do Estado-Membro em que está estabelecido o representante na acepção do artigo 27.º, n.º 1, do Regulamento (UE) 2016/679, conforme indicado no anexo I.C, actuará como autoridade supervisora competente.
Caso o exportador de dados não esteja estabelecido num Estado-Membro da UE, mas se enquadre no âmbito de aplicação territorial do Regulamento (UE) 2016/679 em conformidade com o seu artigo 3.º, n.º 2, sem, no entanto, ter de nomear um representante nos termos do artigo 27.º n.º 2 do Regulamento (UE) 2016/679, a autoridade supervisora de um dos Estados Membros em que os titulares de dados cujos dados pessoais são transferidos sob estas Cláusulas em relação à oferta de bens ou serviços, ou cujo comportamento é monitorado, estão localizadas, conforme indicado no Anexo I.C, actuará como autoridade supervisora competente.
(b) O importador de dados concorda em submeter-se à jurisdição e cooperar com a autoridade supervisora competente em quaisquer procedimentos que visem assegurar o cumprimento destas Cláusulas. Em particular, o importador de dados concorda em responder a consultas, submeter- se a auditorias e cumprir as medidas adoptadas pela autoridade supervisora, incluindo medidas
correctivas e compensatórias. Deve fornecer à autoridade supervisora uma confirmação por escrito de que as medidas necessárias foram tomadas.
SECÇÃO III – LEIS E OBRIGAÇÕES LOCAIS EM CASO DE ACESSO POR AUTORIDADES PÚBLICAS
Cláusula 14
Leis e práticas locais que afectam o cumprimento das Cláusulas
(a) As Partes garantem que não têm motivos para acreditar que as leis e práticas doPaís Terceiro de destino aplicáveis ao processamento de dados pessoais pelo importador de dados, incluindo quaisquer requisitos de divulgação de dados pessoais ou medidas que autorizem o acesso por autoridades públicas, impeçam o importador de dados de cumprir suas obrigações sob estas Cláusulas. Isso se baseia no entendimento de que leis e práticas que respeitem a essência dos direitos e liberdades fundamentais e não excedam o que é necessário e proporcionado numa sociedade democrática para salvaguardar um dos objectivos enumerados no artigo 23.º, n.º 1, do Regulamento (UE) 2016/679, não estão em contradição com estas Cláusulas.
(b) As Partes declaram que, ao fornecer a garantia na alínea (a), levaram em devida consideração, em particular, os seguintes elementos:
(i) as circunstâncias específicas da transferência, incluindo a extensão da cadeia de processamento, o número de actores envolvidos e os canais de transmissão utilizados; transferências subsequentes pretendidas; o tipo de destinatário; a finalidade do processamento; as categorias e o formato dos dados pessoais transferidos; o sector Económico em que a transferência ocorre; o local de armazenamento dos dados transferidos;
(ii) as leis e práticas do país terceiro de destino – incluindo aquelas que exigem a divulgação de dados às autoridades públicas ou autorizam o acesso por essas autoridades – relevantes à luz das circunstâncias específicas da transferência e das limitações e garantias aplicáveis;
(iii) quaisquer salvaguardas contratuais, técnicas ou organizacionais relevantes implementadas para complementar as salvaguardas sob estas Cláusulas, incluindo medidas aplicadas durante a transmissão e o processamento dos dados pessoais no país de destino.
(c) O importador de dados garante que, ao realizar a avaliação de acordo com a alínea (b), envidou seus melhores esforços para fornecer ao exportador de dados informações relevantes e concorda que continuará cooperando com o exportador de dados para garantir o cumprimento destas Cláusulas.
(d) As Partes concordam em documentar a avaliação nos termos da alínea (b) e disponibilizá-la à autoridade supervisora competente mediante solicitação.
(e) O importador de dados concorda em notificar imediatamente o exportador de dados se, após ter concordado com estas Cláusulas e durante a vigência do contrato, tiver motivos para acreditar que está ou ficou sujeito a leis ou práticas não alinhadas com os requisitos da alínea (a), inclusive após uma mudança nas leis do país terceiro ou uma medida (como um pedido de divulgação) que
indique uma aplicação dessas leis na prática que não esteja em conformidade com os requisitos da alínea (a).
(f) Após uma notificação nos termos da alínea (e), ou se o exportador de dados tiver motivos para acreditar que o importador de dados não pode mais cumprir suas obrigações sob estas Cláusulas, o exportador de dados deverá identificar imediatamente as medidas apropriadas (por exemplo, medidas técnicas ou organizacionais para garantir segurança e confidencialidade) a serem adoptadas pelo exportador de dados e/ou importador de dados para resolver a situação. O exportador de dados deve suspender a transferência de dados se considerar que não podem ser asseguradas salvaguardas adequadas para tal transferência, ou se instruído pela autoridade supervisora competente para fazê-lo. Nesse caso, o exportador de dados terá o direito de rescindir o contrato, no que diz respeito ao processamento de dados pessoais sob estas Cláusulas. Se o contrato envolver mais de duas Partes, o exportador de dados poderá exercer esse direito de rescisão apenas em relação à Parte relevante, a menos que as Partes tenham acordado de outra forma. Quando o contrato for rescindido de acordo com esta Cláusula, as Xxxxxxxxx 16(d) e (e) serão aplicáveis.
Cláusula 15
Obrigações do importador de dados em caso de acesso por autoridades públicas
15.1 Notificação
(a) O importador de dados concorda em notificar imediatamente o exportador de dados e, sempre que possível, o Titular de Dados (se necessário com a ajuda do exportador de dados) se:
(i) receber uma solicitação juridicamente vinculativa de uma autoridade pública, incluindo autoridades judiciais, de acordo com as leis do país de destino para a divulgação de dados pessoais transferidos de acordo com estas Cláusulas; tal notificação deve incluir informações sobre os dados pessoais solicitados, a autoridade requerente, a base legal do pedido e a resposta fornecida; ou
(ii) tomar conhecimento de qualquer acesso directo por autoridades públicas aos dados pessoais transferidos de acordo com estas Cláusulas de acordo com as leis do país de destino; essa notificação incluirá todas as informações de que o importador disponha.
(b) Se o importador de dados estiver proibido de notificar o exportador de dados e/ou o Titular de Dados de acordo com as leis do país de destino, o importador de dados concorda em envidar seus melhores esforços para obter uma renúncia à proibição, com o objectivo de comunicar o máximo possível informações o mais breve possível. O importador de dados concorda em documentar seus melhores esforços para poder demonstrá-los a pedido do exportador de dados.
(c) Quando permitido pelas leis do país de destino, o importador de dados concorda em fornecer ao exportador de dados, em intervalos regulares durante a vigência do contrato, o máximo de informações relevantes possível sobre as solicitações recebidas (em particular, número de solicitações, tipo de dados solicitados, autoridade(s) requerente(s), se os pedidos foram contestados e o resultado de tais contestações, etc.).
(d) O importador de dados concorda em preservar as informações de acordo com as xxxxxxx (a) a (c) durante a vigência do contrato e disponibilizá-las à autoridade supervisora competente mediante solicitação.
(e) As alíneas (a) a (c) não prejudicam a obrigação do importador de dados de acordo com a Cláusula 14(e) e a Cláusula 16 de informar imediatamente o exportador de dados quando não puder cumprir estas Cláusulas.
15.2 Revisão da legalidade e minimização de dados
(a) O importador de dados concorda em rever a legalidade do pedido de divulgação, em particular se continua dentro dos poderes conferidos à autoridade pública requerente, e contestar o pedido se, após uma avaliação cuidadosa, concluir que existem motivos razoáveis para considerar que a solicitação é ilegal de acordo com as leis do país de destino, obrigações aplicáveis sob a lei internacional e princípios de cortesia internacional. O importador de dados deverá, nas mesmas condições, buscar possibilidades de recurso. Ao impugnar um pedido, o importador de dados deverá buscar medidas cautelares com vistas a suspender os efeitos do pedido até que a autoridade judiciária competente decida sobre o seu mérito. Não divulgará os dados pessoais solicitados até que seja obrigado a fazê-lo de acordo com as regras processuais aplicáveis. Esses requisitos não prejudicam as obrigações do importador de dados de acordo com a Cláusula 14(e).
(b) O importador de dados concorda em documentar sua avaliação legal e qualquer contestação ao pedido de divulgação e, na medida do permitido pelas leis do país de destino, disponibilizar a documentação ao exportador de dados. Deve também disponibilizá-lo à autoridade de controlo competente, mediante pedido.
(c) O importador de dados concorda em fornecer a quantidade mínima de informações permitidas ao responder a uma solicitação de divulgação, com base numa interpretação razoável da solicitação.
SECÇÃO IV - DISPOSIÇÕES FINAIS
Cláusula 16
Não-cumprimento das Cláusulas e rescisão
(a) O importador de dados deverá informar prontamente ao exportador de dados se não puder cumprir estas Cláusulas, por qualquer motivo.
(b) No caso de o importador de dados violar estas Cláusulas ou estar incapaz de cumprir estas Cláusulas, o exportador de dados suspenderá a transferência de dados pessoais para o importador de dados até que o cumprimento seja novamente assegurado ou o contrato seja rescindido. Isso sem prejuízo da Cláusula 14(f).
(c) O exportador de dados terá o direito de rescindir o contrato, no que diz respeito ao processamento de dados pessoais sob estas Cláusulas, quando:
(i) o exportador de dados suspendeu a transferência de dados pessoais para o importador de dados de acordo com a alínea (b) e o cumprimento destas Cláusulas não foi restaurado dentro de um prazo razoável e, em qualquer caso, dentro de um mês de suspensão;
(ii) o importador de dados está em violação substancial ou persistente destas Cláusulas; ou
(iii) o importador de dados não cumprir uma decisão vinculante de um tribunal competente ou autoridade supervisora sobre suas obrigações sob estas Cláusulas.
Nesses casos, deve informar a autoridade de controlo competente desse incumprimento. Quando o contrato envolver mais de duas Partes, o exportador de dados poderá exercer esse direito de rescisão apenas em relação à Parte relevante, a menos que as Partes tenham acordado de outra forma.
(d) Os dados pessoais que foram transferidos antes da rescisão do contrato de acordo com a alínea
(c) serão, à escolha do exportador de dados, imediatamente devolvidos ao exportador de dados ou excluídos em sua totalidade. O mesmo se aplica a quaisquer cópias dos dados. O importador de dados deve certificar a exclusão dos dados ao exportador de dados. Até que os dados sejam excluídos ou devolvidos, o importador de dados continuará a garantir o cumprimento destas Cláusulas. No caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou exclusão dos dados pessoais transferidos, o importador de dados garante que continuará a garantir o cumprimento dessas Cláusulas e processará os dados apenas na medida e pelo tempo que exigido por essa lei local.
(e) Qualquer uma das Partes pode revogar o seu Contrato de vinculação a estas Cláusulas quando
(i) a Comissão Europeia adoptar uma decisão nos termos do artigo 45.º, n.º 3, do Regulamento (UE) 2016/679 que abrange a transferência de dados pessoais a que estas Cláusulas se aplicam; ou (ii) o Regulamento (UE) 2016/679 passa a fazer parte do quadro jurídico do país para o qual os dados pessoais são transferidos. Tal não prejudica outras obrigações aplicáveis ao tratamento em causa ao abrigo do Regulamento (UE) 2016/679.
Cláusula 17
Lei aplicável
Estas Cláusulas serão regidas pela lei de um dos Estados Membros da UE, desde que tal lei permita direitos de terceiros beneficiários. As Partes concordam que esta será a lei da Holanda.
Cláusula 18
Escolha do fórum e jurisdição
(a) Qualquer litígio decorrente destas Cláusulas será resolvido pelos tribunais de um Estado-Membro da UE.
(b) As Partes concordam que serão os tribunais da Holanda
(c) Um titular de dados também pode intentar acções judiciais contra o exportador e/ou importador de dados perante os tribunais do Estado-Membro em que tem a sua residência habitual.
(d) As Partes concordam em submeter-se à jurisdição de tais tribunais.
ANEXO I
A. LISTA DAS PARTES - consulte o Contrato
B. DESCRIÇÃO DE TRANSFERÊNCIA
Consulte o Anexo 1 dos Termos e Condições do DPA para obter detalhes.
C. AUTORIDADE DE SUPERVISÃO COMPETENTE
A autoridade supervisora competente de acordo com a Cláusula 13 é a Autoridade Holandesa de Protecção de Xxxxx (autoridade supervisora holandesa).
ANEXO II
MEDIDAS TÉCNICAS E ORGANIZACIONAIS INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS
Consulte os Termos e Condições do DPA para obter detalhes
As medidas de segurança técnica e organizacional estão estabelecidas no Anexo 3 dos Termos e Condições do DPA e podem ser comunicadas por escrito pelo exportador de dados ao importador de dados de tempos em tempos.