ADENDA PROTEÇÃO DE DADOS RGPD
ADENDA PROTEÇÃO DE DADOS RGPD
Esta Adenda de Proteção de Dados ("Adenda") constitui parte do Acordo EUSA ("Acordo") entre (i) Avetta, LLC (“Avetta”) e Você, cada um formando uma “Parte” e juntos as “Partes”.
As Partes, por este meio, aceitam que os termos e condições abaixo serão adicionadas como Adenda ao Acordo e quando, nesta Adenda, o Acordo é mencionado, esse Acordo é o que resulta do Acordo inicial com as alterações introduzidas por esta Adenda.
1. Definições
1.1 Nesta Adenda, os termos seguintes terão os significados listados a seguir e as palavras cognatas serão construídas em conformidade:
(a) "Data Efetiva da Adenda" tem o significado que lhe é conferido pela secção 2;
(b) "Afiliado" significa uma entidade que detém ou controla, é detida ou controlada por, ou é detida e controlada em simultâneo por Você ou pela Avetta (conforme o contexto), onde controlo significa a posse, direta ou indireta do poder de dirigir ou fazer dirigir a gestão e as políticas de uma entidade, quer seja por via da detenção de títulos com direto a voto, por contrato ou por qualquer outro meio;
(c) "Dados Pessoais" significa quaisquer Dados Pessoais Processados pela Avetta (i) em seu nome de qualquer dos Afiliados, ou (ii) Processado de outro modo pela Avetta; em qualquer dos casos no seguimento de, ou em relação com, instruções dadas por Você por escrito, no âmbito do Acordo;
(d) "Leis de Proteção dos Dados" referem-se à Diretiva 95/46/CE e, a partir de 25 maio 2018, Regulação (UE) 2016/679 ("RGPD") juntamente com a legislação aplicável que implementa ou suplementa as mesmas ou de qualquer outro modo relacionada com o processamento de Dados Pessoais de indivíduos, juntamente com orientações vinculativas e códigos de conduta emitidas periodicamente por autoridades de supervisão relevantes;
(e) “Escudo de Proteção da Privacidade” refere-se ao Escudo de Proteção da Privacidade UE-EUA e/ou o Escudo de Proteção da Privacidade Suíça-
EUA; e
(f) "Serviços" referem-se aos serviços a ser prestados a Si e/ou a Afiliados pela Avetta no âmbito do Acordo.
1.2 Os termos "Controlador", "Sujeito dos Dados", "Dados Pessoais", "Violação de Dados Pessoais", "Processo" e "Processador" possuem os mesmos
significados conforme descritos nas Leis de Proteção de Dados e as palavras cognatas serão construídas em conformidades.
1.3 Os termos em maiúsculas que não sejam definidos de outra forma nesta Adenda terão os significados que lhes forem atribuídos no Acordo.
2. Elaboração desta Adenda
Esta Adenda foi acordada entre as partes e entra em vigor a 25 de maio de 2018.
3. Papéis das Partes
As Partes reconhecem e aceitam que, no que respeita ao Processamento de Dados Pessoais, como descrito em maior detalhe no Anexo 1, Você atua como um Controlador e a Avetta atua como um Processador.
4. Descrição do Processamento de Dados Pessoais
No Anexo 1 a esta Adenda, as Partes definiram mutuamente a sua compreensão dos detalhes do Processamento dos Dados Pessoais a serem Processados pela Avetta no âmbito desta Adenda, conforme exigido pelo Artigo 28(3) do RGPD. Qualquer das Partes pode efetuar alterações razoáveis ao Anexo 1 por notificação escrita à outra parte e de modo a ser razoável o cumprimento dessas mesmas exigências. Anexo 1 não estabelece qualquer obrigação ou direitos para qualquer das Partes.
5. Termos de Processamento de Dados
5.1 A Avetta cumprirá com todas as Leis de Proteção de Dados aplicáveis aquando do Processamento de Dados Pessoais e a Avetta irá:
5.1.1 processar os Dados Pessoais apenas segundo as Suas instruções documentadas, para a finalidade de lhe providenciar os Serviços e conforme necessário para executar as suas obrigações no âmbito do Acordo incluindo para transferir os Dados Pessoais a países terceiros fora da União Europeia ou para uma organização internacional (salvo exigido por leis da União ou do Estado Membro às quais a Avetta esteja sujeita, em tal caso a Avetta informá-lo-á [ou ao Afiliado em causa] dessa exigência legal antes de tal Processamento, a não ser que a lei proíba essa informação fundamentando-se em questões importantes do interesse público);
5.1.2 assegurar que as pessoas autorizadas a processar os Dados Pessoais tenham assumido garantir a confidencialidade dos mesmos ou estejam sob um estatuto apropriado que os obrigue à confidencialidade;
5.1.3 implementar e manter as medidas técnicas e organizacionais definidas no Acordo, às quais as Partes tenham acordado mutuamente no âmbito do Artigo 32 do RGPD, assumindo cuidados com a avaliação dos níveis apropriados de segurança para os Dados Pessoais e os risco decorrentes do seu Processamento, em particular da destruição acidental ou ilegal, perda, alteração, divulgação não autorizada de ou do acesso ou danos a tais Dados Pessoais. Qualquer alteração a tais
medidas acordadas que forem necessárias devido a uma alteração nos tipos de Dados Pessoais Processados, ou dos riscos de Processamento, serão tratados através de um processo de alteração do controlo acordado entre a Avetta e Você;
5.1.4 Autoriza, expressa e especificamente, a Avetta a recorrer a outro Processador para Processar os Dados Pessoais ("Subprocessador"), e, especificamente, os Subprocessadores listados no Anexo 2, desde que a Avetta:
a. o notifique de quaisquer alterações pretendidas no que respeita à utilização de Subprocessadores listados no Anexo 2 através de e-mail que inclua essas alterações;
b. inclua termos nos contratos com cada Subprocessador que sejam materialmente os mesmos que aqueles definidos nesta Adenda; e
c. continue responsável perante Si por qualquer falha dos Subprocessadores em cumprir as respetivas obrigações em relação ao Processamento dos Dados Pessoais.
Em relação a qualquer aviso recebido no âmbito da Secção 5.1.4 a., Terá um período de 30 (trinta) dias a contar da data do aviso para informar a Xxxxxx, por escrito, de qualquer objeção razoável à utilização desse Subprocessador. As partes irão, então, durante um período de até 30 (trinta) dias a contar da data da Sua objeção, trabalhar em conjunto e em boa fé de modo a tentar encontrar uma solução comercialmente razoável para Si que evite o recurso ao Subprocessador ao qual se opõe. Sempre que não for possível encontrar tal solução, qualquer das partes pode (salvo disposição em contrário no Acordo) terminar os Serviços relevantes imediatamente por aviso escrito à outra Parte, sem penalizações ou indemnizações;
5.1.5 avisá-lo prontamente [ou ao Afiliado respetivo] de qualquer comunicação de um Sujeito de Dados respeitante ao Processamento de Dados Pessoais, ou outra comunicação (incluindo de uma autoridade supervisora) relacionada com qualquer obrigação no âmbito das Leis de Proteção de Dados no que respeita aos Dados Pessoais e, tendo em conta a natureza do Processamento, auxiliá-lo [ou ao Afiliado respetivo] com as medidas técnicas e organizacionais apropriadas, na medida do possível, para o cumprimento da Sua [ou do Afiliado respetivo] obrigação de responder a pedidos de exercício dos direitos do sujeito de dados conforme descrito no Capítulo III do RGPD; Concorda em pagar à Avetta pelo tempo que exceda [duas pessoas-horas] e por todas as despesas assumidas pela Avetta relacionadas com o desempenho das suas obrigações no âmbito desta Secção 5.1.5;
5.1.6 notificá-lo [ou ao Afiliado respetivo] sem demoras injustificadas de qualquer Violação dos Dados Pessoais que envolva Dados Pessoais,
assim que a Xxxxxx tenha conhecimento de tal Violação, esse aviso deverá conter todas as informações razoavelmente necessárias para que Você [e qualquer Afiliado] possa cumprir com as suas obrigações no âmbito das Leis de Proteção de Dados;
5.1.7 auxiliá-lo [e aos Afiliados] com as suas obrigações no âmbito dos Artigos 32 a 36 do RGPD, tendo em conta a natureza do Processamento e a informação de que a Avetta dispõe; Concorda em pagar à Avetta pelo tempo que exceda [duas pessoas-horas] e por todas as despesas assumidas pela Avetta relacionadas com qualquer auxílio prestado no âmbito dos Artigos 35 e 36 do RGPD;
5.1.8 cessar o Processamento dos Dados Pessoais quando o Acordo terminar ou expirar, e conforme decidido por Você [ou respetivo Afiliado] devolver ou eliminar (incluindo garantir que os dados passem a estar num formato ilegível) todas as cópias dos Seus Dados Pessoais Processados pela Avetta, salvo (e apenas para o período estritamente necessário) exigido por leis da União ou do Estado Membro que obriguem ao armazenamento dos Dados Pessoais; e
5.1.9 disponibilizar a Si [e a todos os Afiliados] a pedido e às Suas custas, todas as informações necessárias para demonstrar a conformidade com esta Adenda e com o Artigo 28(3)(h) do RGPD e permitir e contribuir com auditorias, incluindo inspeções, por Você [ou qualquer Afiliado] ou um auditor mandatado por Você [ou qualquer Afiliado] às Suas custas.
6. Precedência
As provisões desta Adenda são suplementares às provisões do Acordo. Em caso de inconsistência entre as provisões desta Adenda e as provisões do Acordo, as provisões desta Adenda vingarão.
EM FÉ DO QUE, esta Adenda entra em vigor e torna-se parte vinculante do Acordo com efeitos a partir da Data Efetiva da Adenda.
Anexo 1: Descrição do Processamento dos Dados Pessoais
Este Anexo inclui certos detalhes do Processamento de Dados Pessoais conforme exigido pelo Artigo 28(3) do RGPD.
Exportador de dados
O exportador de dados é (especifique, sucintamente, as suas atividades com respeito à transferência):
A Xxxxxx, em nome próprio e dos seus Afiliados, incluindo Afiliados que possam surgir durante a vigência do Acordo Principal. O Exportador de Dados pode introduzir Dados Pessoais no decurso da utilização dos serviços online do Importador de Dados.
Sujeitos de dados
Os dados pessoais transferidos abrangem as seguintes categorias de sujeitos de dados (especifique):
O Exportador de Dados por submeter Dados Pessoais aos serviços online, ou o Importador de Dados pode receber Dados Pessoais no decorrer do fornecimento de produtos ou serviços, a respetiva extensão é determinada e controlada pelo exportador de dados, que poderá incluir, mas não se limita a, Dados Pessoais relacionados com as seguintes categorias de Sujeitos de Dados:
1. Potenciais clientes, clientes, parceiros de negócios e vendedores dos Exportadores de Dados;
2. Atuais e antigos funcionários ou pessoas de contacto de potenciais clientes, clientes, parceiros de negócios e vendedores do Exportador de Dados;
3. Funcionários, agentes, conselheiros, trabalhadores independentes ou Exportador de Dados; e
4. os utilizadores do Exportador de Dados autorizados pelo Exportador de Dados a utilizar os serviços.
Categorias de dados
Os dados pessoais transferidos abrangem as seguintes categorias de dados (especifique):
O Exportador de Dados pode submeter dados pessoais ao importador de dados para a execução dos Serviços, a extensão da qual é determinada e controlada pelo exportador de dados, e que poderá incluir, mas não se limita a, as seguintes categorias de Dados Pessoais:
(a) Nome próprio e apelido;
(b) Título;
(c) Cargo;
(d) Empregador;
(e) Informações de contacto (empresa, e-mail, telefone, endereço postal da empresa);
(f) Dados de identificação;
(g) Dados da vida profissional;
(h) Dados da vida pessoal;
(i) Dados de ligações;
(j) Dados de localização;
(k) Seguros;
(l) Diversidade e Igualdade de Oportunidades;
(m) procedimentos de seguros, acidentes e incidentes;
(n) programas de drogas e álcool;
(o) segurança do veículo e da condução;
(p) higiene industrial e saúde do trabalho;
(q) responsabilidade social empresarial, assuntos ambientais e de sustentabilidade;
(r) controlo da qualidade, certificações, licenciamentos, qualificações;
(s) dados fiscais;
(t) Qualificações financeiras e informações de faturação, como nome e morada de faturação, número de cartão de crédito e número de utilizadores.
Categorias especiais de dados (caso aplicável)
Os dados pessoais transferidos abrangem as seguintes categorias especiais de dados (especifique):
O Exportador de Dados pode submeter categorias especiais de dados aos serviços online (ou o Importador de Dados pode receber categorias especiais de dados no decorrer do fornecimento de produtos ou serviços), a respetiva extensão e determinada e controlada pelo exportador de dados.
Operações de processamento
Os dados pessoais transferidos estarão sujeitos às seguintes atividades básicas de processamento (especifique), sendo todas necessárias para fornecimento dos Serviços:
As atividades de processamento incluem a prestação de serviços de alojamento, manutenção de software e serviços de apoio, serviços de formação e serviços de desenvolvimento ao Exportador de Dados com o acordo e segundo as instruções do mesmo.
Anexo 2: Lista de Subprocessadores
Lista de Subprocessadores | ||
Subprocessadores | Categoria | Finalidade |
E3 Learning | Aplicação alojada por terceiros | Aplicação usada para o fornecimento de um sistema de gestão da aprendizagem e seguimento da conformidade |
Overnite Software Inc | Aplicação alojada por terceiros | Aplicação usada para o fornecimento de um sistema de gestão da aprendizagem e seguimento da conformidade |
SafetyFile | Aplicação alojada por terceiros | Aplicação usada para o fornecimento de credenciais e gestão da conformidade |
Logi Analytics | Aplicação alojada por terceiros | Aplicação usada para o fornecimento de produtos de visualização de dados interativos para business intelligence e análises de negócios |
Netscribes | Agência Contratada | Consultores para o fornecimento de market intelligence, pesquisa de mercados, conteúdos com base em pesquisas e serviços de e-comércio |