ACORDO DE TRATAMENTO DE DADOS PARA SUPORTE SAP E SERVIÇOS PROFISSIONAIS
ACORDO DE TRATAMENTO DE DADOS PARA SUPORTE SAP E SERVIÇOS PROFISSIONAIS
1. DEFINIÇÕES
1.1. “Utilizadores Autorizados” designa qualquer pessoa física à qual o Cliente concede, em conformidade com uma licença de software SAP, autorização de acesso para utilizar o Serviço SAP, que seja um empregado, agente, contratado ou representante do
a) Cliente;
b) das Filiais do Cliente; ou
c) Parceiros de Negócios do Cliente e respetivas Filiais (tal como definido no Contrato de Licenciamento e Suporte de Software).
1.2. “Responsável pelo Tratamento de Dados” designa uma pessoa singular ou coletiva, autoridade pública, agência ou outro órgão que, individualmente ou em conjunto com outros, determina as finalidades e os recursos do tratamento de Dados Pessoais; para os efeitos deste ATD, quando o Cliente atua na qualidade de subcontratante de outro responsável pelo tratamento de dados, ele será considerado, no que se refere à SAP, como um Responsável pelo Tratamento de Dados adicional e independente, com os direitos e obrigações correspondentes dessa função, nos termos do presente ATD.
1.3. “Legislação sobre Proteção de Dados” designa a legislação aplicável que protege os direitos e liberdades fundamentais das pessoas e o seu direito à privacidade, no que se refere ao tratamento de Dados Pessoais nos termos do Acordo.
1.4. “Titular dos Dados” designa uma pessoa singular identificada ou identificável, conforme definido pela Legislação sobre Proteção de Dados.
1.5. “My Trust Center” designa as informações disponíveis no portal de suporte SAP (consultar: xxxxx://xxxxxxx.xxx.xxx/xx/xx-xxxxxxx/xxxxx-xxxxxx.xxxx) ou na página Web sobre Contratos da SAP (consultar: xxxxx://xxx.xxx.xxx/xxxxx/xxxxx-xxxxxx/xxxxxxxxxx.xxxx) ou qualquer página Web subsequente disponibilizada pela SAP a Clientes.
1.6. “Nova transferência relevante para SCC” designa uma transferência (ou uma transferência subsequente) para um País Terceiro de Dados Pessoais sujeitos ao RGPD ou a Legislação sobre Proteção de Dados aplicável, na qual qualquer esforço de adequação, no âmbito do RGPD ou da Legislação sobre Proteção de Dados aplicável, possa ser cumprido mediante a celebração de Novas Cláusulas Contratuais-tipo (“SCC”).
1.7. “Novas Cláusulas Contratuais-tipo” designam as cláusulas contratuais-tipo inalteradas, publicadas pela Comissão Europeia, referência 2021/914, ou qualquer versão final subsequente das mesmas, que será automaticamente aplicável. Para evitar qualquer dúvida, os Módulos 2 e 3 devem ser aplicados da forma estipulada na Secção 8.
1.8. “Dados Pessoais” designa quaisquer informações relativas ao Titular dos Dados que estejam protegidas ao abrigo da Legislação sobre Proteção de Dados. Para os efeitos do ATD, incluem apenas dados pessoais disponibilizados à ou acedidos pela SAP, ou respetivos Subcontratantes Ulteriores, de modo a prestarem o Suporte SAP e Serviços Profissionais ao abrigo do Contrato.
1.9. “Violação dos Dados Pessoais” designa:
a) uma destruição, perda ou alteração acidentais ou ilícitas, ou uma divulgação de ou acesso não autorizados de terceiros a Dados Pessoais, desde que confirmados; ou
b) incidentes semelhantes que envolvam Dados Pessoais, casos em que, ao abrigo da Legislação sobre Proteção de Dados, é exigido a um Responsável pelo Tratamento de Dados que notifique as autoridades competentes para proteção de dados ou os Titulares dos Dados.
1.10. “Serviços Profissionais” designa serviços de implementação, serviços de consultoria ou serviços como, por exemplo, os Serviços de Suporte SAP Premium Engagement, Serviços de Desenvolvimento de Soluções Empresariais Inovadoras, Serviços de Suporte de Desenvolvimento de Soluções Empresariais Inovadoras.
1.11. “Subcontratante” designa uma pessoa singular ou jurídica, autoridade pública, agência ou outro órgão que trata Dados Pessoais em nome do Responsável pelo Tratamento de Dados, quer seja diretamente como Subcontratante de um Responsável pelo Tratamento dos Dados, ou indiretamente como Subcontratante Ulterior de um Subcontratante que trata Dados Pessoais em nome do Responsável pelo Tratamento de Dados.
1.12. “Anexo” designa o Apêndice numerado relativamente às Cláusulas Contratuais-tipo (2010) e o Anexo numerado relativamente às Novas Cláusulas Contratuais-tipo.
1.13. “Cláusulas Contratuais-tipo (2010)” designa as Cláusulas Contratuais-tipo (subcontratantes) publicadas pela Comissão Europeia, referência 2010/87/EU.
1.14. “Subcontratante Ulterior” designa as Filiais da SAP, a SAP SE, as Filiais da SAP SE e terceiros contratados pela SAP, SAP SE ou Filiais da SAP SE em relação ao Serviço SAP e que tratam Dados Pessoais de acordo com este ATD.
1.15. “Medidas técnicas e organizacionais” designa as medidas técnicas e organizacionais para o Suporte SAP ou Serviço Profissional relevante, publicadas no My Trust Center.
1.16. “País Terceiro” designa qualquer país, organização ou território não reconhecido pela União Europeia, ao abrigo do Artigo 45 do RGPD, como país seguro, com um nível adequado de proteção de dados.
2. CONTEXTO
2.1. Finalidade e Aplicação
Este documento (“ATD”) está incorporado no Contrato e constitui parte de um contrato por escrito (que inclui a forma eletrónica), celebrado entre a SAP e o Cliente. Este ATD é aplicável a Dados Pessoais disponibilizados pelo Cliente e por cada Responsável, relacionados com a prestação de serviços da SAP, tal como definido no Contrato relevante (“Serviço(s) SAP”), ao qual o presente ATD se encontra anexado e que pode incluir:
a) Suporte SAP, conforme definido no Contrato de Licenciamento e Suporte de Software; ou
b) Serviços Profissionais, conforme definido no contrato de serviços celebrado entre a SAP e o Cliente (“Contrato de Serviços”).
2.2. Estrutura
Os Anexos 1 e 2 estão incorporados no presente ATD, constituindo parte integrante do mesmo. Eles estabelecem a matéria acordada, a natureza e a finalidade do tratamento, o tipo de Dados Pessoais, as categorias de dados, os titulares dos dados e as medidas técnicas e organizacionais aplicáveis.
2.3. Regulação
2.3.1. A SAP atua na qualidade de Subcontratante e o Cliente e as entidades autorizadas a utilizar o Suporte SAP ou Serviços Profissionais atuam como Responsáveis pelo Tratamento de Dados, nos termos do presente ATD.
2.3.2. O Cliente atua como único ponto de contacto e deve obter todos os consentimentos, autorizações e permissões relevantes para o tratamento de Dados Pessoais, de acordo com o presente ATD, incluindo, quando aplicável, a aprovação dos Responsáveis pelo Tratamento de Dados para utilizar a SAP como Subcontratante. Quando o Cliente disponibilizar autorizações, consentimentos, instruções ou permissões, não o faz exclusivamente em seu nome, mas também em nome de qualquer outro Responsável pelo Tratamento de Dados. Quando a SAP disponibilizar informações ou avisos ao Cliente, tais informações ou avisos são considerados recebidos pelos Responsáveis pelo Tratamento de Dados autorizados pelo Cliente a incluir Xxxxx Xxxxxxxx. O Cliente deve encaminhar tais informações e avisos aos Responsáveis pelo Tratamento de Dados relevantes.
3. SEGURANÇA DO TRATAMENTO
3.1. Aplicabilidade das Medidas Técnicas e Organizacionais
3.1.1. A SAP implementou e aplicará as Medidas Técnicas e Organizacionais. O Cliente analisou essas medidas e aceita que as medidas são adequadas, tendo em consideração o estado da tecnologia, os custos de implementação, a natureza, o âmbito, o contexto e as finalidades do tratamento de Dados Pessoais.
3.1.2. O Anexo 2 é exclusivamente aplicável na medida em que tais Serviços SAP sejam prestados nas ou a partir das instalações da SAP. Nos casos em que a SAP realize Serviços SAP nas instalações do Cliente e lhe seja concedido acesso aos sistemas e dados do Cliente, a SAP cumprirá, na medida do razoável, todas as condições administrativas, técnicas e físicas do Cliente para proteger esses dados e salvaguardá-los contra acessos não autorizados. Em relação a qualquer acesso a sistemas e dados do Cliente, o Cliente será responsável por disponibilizar ao pessoal da SAP as autorizações de utilizador e as palavras-passe necessárias para o acesso aos sistemas, revogando tais autorizações e impedindo o acesso ocasionalmente, sempre que o achar oportuno. O Cliente não concederá à SAP acesso aos seus sistemas ou a informações pessoais (do Cliente ou de qualquer terceiro), salvo se tal acesso for essencial para a prestação dos Serviços SAP. O Cliente não armazenará Dados Pessoais em ambientes não produtivos.
3.2. Alterações
3.2.1. A SAP aplica as Medidas Técnicas e Organizacionais à totalidade da base de clientes da SAP que recebe o mesmo Serviço SAP. A SAP poderá alterar as Medidas Técnicas e Organizacionais em qualquer momento sem aviso, desde que mantenha um nível de segurança comparável ou superior. Medidas individuais poderão ser substituídas por novas medidas que sirvam o mesmo propósito sem diminuir o nível de segurança que protege os Dados Pessoais.
3.2.2. A SAP irá publicar versões atualizadas das Medidas Técnicas e Organizacionais no My Trust Center e nos locais onde os Clientes disponíveis poderão subscrever a receção de notificações via e-mail dessas versões atualizadas.
4. OBRIGAÇÕES DA SAP
4.1. Instruções do Cliente
4.1.1. A SAP tratará os Dados Pessoais exclusivamente de acordo com as instruções documentadas do Cliente. O Contrato (incluindo o presente ATD) é constituído por essas instruções iniciais documentadas, podendo o Cliente fornecer outras instruções durante a prestação do Serviço SAP.
4.1.2. A SAP envidará todos os esforços, na medida do razoável, para seguir quaisquer outras instruções do Cliente, desde que tais instruções sejam exigidas pela Legislação sobre Proteção de Dados, tecnicamente viáveis e não requeiram alterações à realização do Serviço SAP. Caso qualquer uma das exceções acima mencionadas seja aplicável, ou a SAP não possa cumprir, de outro modo, uma instrução ou considere que uma instrução viola a Legislação sobre Proteção de Dados, a SAP notificará, de imediato, o Cliente (e-mail permitido).
4.2. Tratamento por Requisito Legal
A SAP poderá igualmente tratar Dados Pessoais quando tal lhe seja exigido pela legislação aplicável. Nesse caso, a SAP informará o Cliente sobre tal requisito legal antes do tratamento, salvo se a legislação proibir tal informação, com base em fundamentos importantes de interesse público.
4.3. Pessoal
Para o tratamento de Dados Pessoais, a SAP e respetivos Subcontratantes Ulteriores apenas concederão acesso a pessoal autorizado que se tenha comprometido a manter a confidencialidade. A SAP e respetivos Subcontratantes Ulteriores darão regularmente formação a pessoal com acesso aos Dados Pessoais sobre medidas aplicáveis de segurança e privacidade de dados.
4.4. Cooperação
4.4.1. Mediante pedido do Cliente, a SAP apoiará, na medida do razoável, o Cliente e Responsáveis pelo Tratamento de Dados a lidar com pedidos de Titulares dos Dados ou de autoridades reguladoras, relativos ao tratamento de Dados Pessoais por parte da SAP ou a qualquer Violação dos Dados Pessoais. Se a SAP receber um pedido de um Titular dos Dados relativo ao tratamento dos Dados Pessoais nos termos do aqui disposto, a SAP irá prontamente notificar o Cliente (quando o Titular dos Dados tiver disponibilizado informações que permitem a identificação do Cliente) por e-mail e não responderá, ela própria, a tal pedido, solicitando, em vez disso, que o Titular dos Dados endereçe o pedido ao Cliente.
4.4.2. Em caso de disputa com um Titular dos Dados, relacionada com o tratamento da SAP de Dados Pessoais nos termos do presente ATD, as Partes devem manter a outra informada e, sempre que apropriado, devem colaborar, de forma razoável, com o objetivo de resolverem, de forma amigável, a disputa com o Titular dos Dados. A SAP corrigirá, eliminará ou anonimizará quaisquer Dados Pessoais na posse da SAP (caso existam), ou restringirá o seu tratamento, de acordo com as instruções do Cliente e a Legislação sobre Proteção de Dados.
4.5. Notificação de Violação de Xxxxx Xxxxxxxx
A SAP notificará o Cliente, de imediato, depois de tomar conhecimento sobre qualquer Violação de Xxxxx Xxxxxxxx e fornecerá, na medida do razoável, as informações que estejam na sua posse, para ajudar o Cliente a cumprir as respetivas obrigações de notificação de uma Violação de Xxxxx Xxxxxxxx, nos ternos da Legislação sobre proteção de Dados. A SAP poderá disponibilizar tais informações de modo faseado, à medida que se tornem disponíveis. Tal notificação não será interpretada nem considerada como uma admissão de culpa ou de responsabilidade por parte da SAP.
4.6. Avaliação do Impacto da Proteção de Dados
Caso, nos termos da Legislação sobre Proteção de Dados, seja exigida ao Cliente (ou respetivos Responsáveis pelo Tratamento de Dados) a realização de uma avaliação do impacto da proteção de dados ou a consulta prévia de um regulador, a SAP, mediante pedido do Cliente, disponibilizará todos os documentos disponíveis de modo geral, relativos ao Serviço SAP (por exemplo, o presente ATD, o Contrato, Relatórios de Auditoria e Certificações). Qualquer assistência adicional será acordada mutuamente entre as Partes.
5. ELIMINAÇÃO DE DADOS
O Cliente, mediante o presente documento, instrui a SAP a eliminar os Dados Pessoais que permaneçam na posse da SAP (caso existam) dentro de um período de tempo razoável de acordo com a Legislação sobre Proteção de Dados (que não deverá exceder seis meses), assim que os Dados Pessoais já não sejam necessários para a execução do Contrato, salvo se a legislação aplicável exigir a respetiva retenção.
6. CERTIFICAÇÕES E AUDITORIAS
O Cliente, ou o respetivo auditor externo independente razoavelmente aceite pela SAP (que não incluirá quaisquer auditores externos que sejam concorrentes da SAP ou que não sejam adequadamente qualificados ou independentes), poderá auditar os centros de disponibilização de suporte e serviços e as práticas de segurança de IT da SAP, relevantes para os Dados Pessoais tratados pela SAP, exclusivamente se:
a) A SAP não tiver fornecido prova suficiente do respetivo cumprimento das Medidas Técnicas e Organizacionais, mediante a disponibilização de uma certificação de cumprimento da ISO 27001 ou de outras normas (âmbito definido no certificado). As certificações estão disponíveis no My Trust Center ou mediante pedido, caso a certificação não esteja disponível online; ou
b) tiver ocorrido uma Violação dos Dados Pessoais; ou
c) tiver sido formalmente solicitada uma auditoria pela autoridade para proteção de dados do Cliente; ou
d) a Legislação obrigatória sobre Proteção de Xxxxx conceder ao Cliente um direito de auditoria direto e desde que o Cliente apenas efetue uma auditoria em cada período de 12 meses, salvo se a Legislação obrigatória sobre Proteção de Dados exigir auditorias mais frequentes.
6.2. Auditoria de outro Responsável pelo Tratamento de Dados
Qualquer outro Responsável pelo Tratamento de Dados poderá auditar o ambiente de controlo e as práticas de segurança da SAP, relevantes para os Dados Pessoais tratados pela SAP, de acordo com e na medida do permitido pela Secção 6.1, se for diretamente aplicável a tal Responsável pelo Tratamento de Dados. Tal auditoria terá de ser realizada pelo Cliente, a menos que a auditoria tenha de ser realizada pelo outro Responsável pelo Tratamento de dados, ao abrigo da Legislação sobre Proteção de Dados. Caso vários Responsáveis pelo Tratamento de Dados, cujos Dados Pessoais sejam tratados pela SAP com base no Contrato, requeiram uma auditoria, o Cliente utilizará todos os meios necessários, na medida do razoável, para combinar as auditorias e evitar auditorias múltiplas.
6.3. Âmbito da Auditoria
O Cliente fornecerá um aviso prévio de, pelo menos, 60 dias, relativamente a qualquer auditoria, salvo se a Legislação obrigatória sobre Proteção de Dados ou qualquer autoridade competente para proteção de dados exigir um aviso mais curto. A frequência, o calendário e o âmbito de quaisquer auditorias serão acordados mutuamente entre as partes, de modo razoável e em boa-fé. As auditorias do Cliente serão limitadas, quando possível, a auditorias remotas. Caso seja obrigatória uma auditoria nas instalações, tal auditoria não excederá 1 dia útil. Além destas restrições, as partes utilizarão certificações atuais ou outros relatórios de auditoria para evitar ou minimizar a existência de auditorias repetidas. O Cliente disponibilizará à SAP os resultados de qualquer auditoria.
6.4. Custo de Auditorias
O Cliente suportará os custos de qualquer auditoria, a menos que tal auditoria revele uma violação grave, por parte da SAP, deste ATD, caso em que a SAP suportará as respetivas despesas em relação a uma auditoria. Caso uma auditoria determine que a SAP violou as suas obrigações nos termos do ATD, a SAP sanará, de imediato, a violação às suas próprias custas.
7. SUBCONTRATANTES ULTERIORES
7.1. Utilização Permitida
É concedida à SAP uma autorização geral para subcontratar o tratamento de Dados Pessoais a Subcontratantes Ulteriores, desde que:
a) A SAP, ou a SAP SE em seu nome, contrate os Subcontratantes Ulteriores ao abrigo de um contrato por escrito (incluindo a forma eletrónica), consistente com os termos do presente ATD, no que se refere ao tratamento dos Dados Pessoais por parte do Subcontratante Ulterior. A SAP assumirá a responsabilidade por quaisquer violações do Subcontratante Ulterior, de acordo com o termos do presente Contrato;
b) A SAP avalie as práticas de segurança, privacidade e de confidencialidade de um Subcontratante Ulterior antes da seleção, de modo a estabelecer que tal entidade tem capacidade para fornecer o nível de proteção dos Dados Pessoais exigido pelo presente ATD;
c) Para o Suporte SAP, a lista de Subcontratantes Ulteriores da SAP disponíveis na data de entrada em vigor do Contrato esteja publicada pela SAP no My Trust Center ou a SAP a disponibilize ao Cliente, mediante pedido, devendo tal lista incluir o nome, endereço e função de cada Subcontratante Ulterior que a SAP utiliza para prestar o Serviço SAP; e
d) Relativamente aos Serviços Profissionais, a SAP, mediante pedido do Cliente, disponibilize a lista ou identifique os Subcontratantes Ulteriores, antes do início dos Serviços SAP em questão.
7.2. Novos Subcontratantes Ulteriores
7.2.1. A utilização de Subcontratantes Ulteriores por parte da SAP é efetuada a título próprio, desde que:
a) A SAP informe o Cliente, antecipadamente, sobre quaisquer adições ou substituições que pretenda efetuar na lista dos Subcontratantes Ulteriores, incluindo nome, endereço e função do novo Subcontratante Ulterior, (i) para o Suporte SAP, por meio de uma publicação no My Trust Center ou por e-mail, após o registo do Cliente no My Trust Center e (ii) para Serviços Profissionais, por meio de uma publicação semelhante no My Trust Center ou por e-mail ou outra forma escrita;
b) O Cliente possa opor-se a tais alterações, conforme o definido na Secção 7.2.2.
7.2.2. Objeções a Novos Subcontratantes Ulteriores
7.2.2.1. Suporte SAP
Caso o Cliente tenha um motivo legítimo, nos termos da Legislação sobre Proteção de Dados, para se opor ao tratamento dos Dados Pessoais por parte do novo Subcontratante Ulterior, o Cliente poderá cessar o Suporte SAP mediante aviso por escrito à SAP, sendo que tal aviso terá de ser disponibilizado à SAP, o mais tardar 30 dias desde a data em que a SAP informa o Cliente sobre o novo Subcontratante Ulterior. Caso o Cliente não disponibilize à SAP um aviso de cessação durante tal período de 30 dias, considerar-se-á que o Cliente aceitou o novo Subcontratante Ulterior. Durante o período de 30 dias desde a data em a SAP informou o Cliente sobre o novo Subcontratante Ulterior, o Cliente poderá solicitar um encontro entre as partes, em boa-fé, para discutir uma solução para a objeção. Tais discussões não prorrogarão o período para a disponibilização de um aviso de cessação à SAP e não afetam o direito da SAP de utilizar o novo Subcontratante Ulterior, após esse período de 30 dias.
7.2.2.2. Serviços profissionais
Caso o Cliente tenha um motivo legítimo, nos termos da Legislação sobre Proteção de Dados, que se refira ao tratamento, por parte do Subcontratante Ulterior, de Dados Pessoais, o Cliente poderá opor-se à utilização, por parte da SAP, de um determinado Subcontratante Ulterior, notificando a SAP, por escrito, no prazo de 5 dias úteis desde a data em que a SAP prestou a informação. Se o Cliente se opuser à utilização do Subcontratante Ulterior, as partes discutirão em boa-fé uma resolução. A SAP poderá optar por: (i) não utilizar o Subcontratante Ulterior ou (ii) tomar as medidas de correção solicitadas pelo Cliente na sua objeção e utilizar o Subcontratante Ulterior ou (iii) se não for possível, utilizar o Subcontratante Ulterior. Se nenhuma destas opções for possível na medida do razoável e o Cliente continuar a opor-se por um motivo legítimo, qualquer uma das partes poderá cessar os serviços relevantes após aviso prévio, por escrito, de 5 dias. Se o Cliente não se opuser num prazo de 5 dias após receção do aviso, considerar-se-á que o Cliente aceitou o Subcontratante Ulterior. Se a objeção do Cliente não for solucionada num prazo de 30 dias após ter sido levantada, e a SAP não tiver recebido um aviso de cessação, considerar-se-á que o Cliente aceitou o Subcontratante Ulterior.
7.2.3. Qualquer cessação nos termos desta Secção será considerada isenta de culpa por qualquer uma das partes e estará sujeita aos termos do Contrato.
7.3. Substituição de Urgência
8. TRATAMENTO INTERNACIONAL
8.1. Condições para o Tratamento Internacional
A SAP terá o direito de tratar Dados Pessoais, incluindo através da utilização de Subcontratantes Ulteriores, de acordo com o presente ATD, fora do país onde o Cliente está localizado, conforme permitido pela Legislação sobre Proteção de Dados.
8.2. Aplicabilidade das Cláusulas Contratuais-tipo (2010)
Dados Pessoais de um Responsável pelo Tratamento de Dados baseado na Suíça ou no Reino Unido ou de um outro Responsável pelo Tratamento de Dados são processados num País Terceiro, e esse tratamento internacional requeira um esforço de adequação ao abrigo da legislação do país do Responsável pelo Tratamento de Dados, e esse esforço de adequação possa ser cumprido mediante a celebração de Cláusulas Contratuais-tipo (2010), então:
a) a SAP e o Cliente celebram as Cláusulas Contratuais-tipo (2010);
c) Outros Responsáveis pelo Tratamento de Dados, que tenham sido autorizados pelo Cliente a incluir Xxxxx Xxxxxxxx ao abrigo do Contrato, poderão igualmente celebrar as Cláusulas Contratuais -tipo (2010) com a SAP e/ou os Subcontratantes Ulteriores relevantes, do mesmo modo que o Cliente, de acordo com as Secções 8.2.1 a) e b), acima incluídas. Nesse caso, o Cliente celebrará as Cláusulas Contratuais-tipo (2010) em nome dos outros Responsáveis pelo Tratamento de Dados.
8.2.2. As Cláusulas Contratuais-tipo (2010) serão reguladas pela legislação do país onde o Responsável pelo Tratamento de Dados relevante está estabelecido.
8.3. Aplicabilidade das Novas Cláusulas Contratuais-tipo
8.3.1. Será aplicável o que se segue com efeito a partir de 27 de setembro de 2021 e aplicar-se-á exclusivamente em relação a Novas transferências relevantes para SCC:
8.3.1.1. Quando a SAP não está estabelecida num País Terceiro e atua como exportador de dados, a SAP (ou a SAP SE em seu nome) celebrou as Novas Cláusulas Contratuais-tipo com cada Subcontratante Ulterior como importador de dados. Módulo 3 (Subcontratante para Subcontratante) das Novas Cláusulas Contratuais-tipo aplicar-se-á a essas Novas transferências relevantes para SCC.
8.3.1.2. Quando a SAP está estabelecida num País Terceiro:
A SAP e o Cliente celebram, por este meio, as Novas Cláusulas Contratuais-tipo, com o Cliente a agir como exportador de dados e a SAP como importador de dados, que serão aplicadas da seguinte forma:
a) Módulo 2 (Responsável pelo Tratamento de Dados para Subcontratante) aplicar-se-á quando o Cliente é um Responsável pelo Tratamento de Dados; e
b) Módulo 3 (Subcontratante para Subcontratante) aplicar-se-á quando o Cliente é um Subcontratante. Quando o Cliente age como Subcontratante ao abrigo do Módulo 3 (Subcontratante para Subcontratante) das Novas Cláusulas Contratuais-tipo, a SAP reconhece que o Cliente age como Subcontratante sob instruções dos seus Responsáveis pelo Tratamento de Dados.
8.3.2. Outros Responsáveis pelo Tratamento de Dados ou Subcontratantes, cuja utilização do Suporte SAP ou Serviços Profissionais tenha sido autorizada pelo Cliente nos termos do Contrato, poderão igualmente celebrar as Novas Cláusulas Contratuais-tipo com a SAP, do mesmo modo que o Cliente, de acordo com a Secção 8.3.1.2 8.3.1.2 acima incluída. Nesse caso, o Cliente celebrar as Novas Cláusulas Contratuais -tipo em nome dos outros Responsáveis pelo Tratamento de Dados ou Subcontratantes.
8.3.3. Relativamente a uma Nova transferência relevante para SCC, a pedido de um Titular dos Dados ao Cliente, o Cliente pode fazer uma cópia do Módulo 2 ou 3 das Novas Cláusulas Contratuais -tipo celebradas entre o Cliente e a SAP (incluindo os Anexos relevantes), disponibilizados a Titulares dos Dados.
8.3.4. A legislação aplicável às Novas Cláusulas Contratuais-tipo será a legislação da Alemanha.
8.4. Relação das Cláusulas Contratuais-tipo com o Contrato
Nada no Contrato será interpretado como sendo prevalecente sobre qualquer cláusula contraditória das Cláusulas Contratuais-tipo (2010) ou as Novas Cláusulas Contratuais-tipo. Para fins de esclarecimento, quando este ATD especifique ainda regras relativas a auditorias e a subcontratantes ulteriores, tais especificações aplicar-se-ão também no que se refere às Cláusulas Contratuais-tipo (2010) e às Novas Cláusulas Contratuais-tipo.
8.5. Direito de Terceiro Beneficiário ao abrigo das Novas Cláusulas Contratuais-tipo
8.5.1. Quando o Cliente está estabelecido num País Terceiro e atua como importador de dados ao abrigo do Módulo 2 ou Módulo 3 das Novas Cláusulas Contratuais-tipo e a SAP atua como subcontratante ulterior do Cliente ao abrigo do Módulo aplicável, o respetivo exportador de dados terá o seguinte direito de terceiro beneficiário:
8.5.2. Na eventualidade de o Cliente ter desaparecido de facto, ter sido extinto legalmente ou se ter tornado insolvente (em todos os casos sem que uma entidade sucessora tenha assumido as obrigações legais do Cliente, mediante contrato ou por força da lei), o respetivo exportador de dados terá o direito de cessar o Serviço afetado, exclusivamente na medida em que os Dados Pessoais do exportador de dados foram processados. Neste caso, o respetivo exportador de dados também instruirá a SAP a apagar ou devolver os Dados Pessoais.
9. DOCUMENTAÇÃO; REGISTOS DO TRATAMENTO
Cada uma das partes é responsável por cumprir os respetivos requisitos de documentação, em particular, mantendo registos do tratamento, quando exigido ao abrigo da Legislação sobre Proteção de Dados. Cada uma das partes ajudará, na medida do razoável, a outra parte com os requisitos de documentação, incluindo através do fornecimento de informações de que a outra parte necessita, do modo solicitado, na medida do razoável, pela outra parte (por exemplo, utilizando um sistema eletrónico), de modo a permitir que a outra parte cumpra quaisquer obrigações relativas à manutenção de registos do tratamento.
Anexo 1 Descrição do Tratamento
Este Anexo 1 é aplicável para descrever o Tratamento de Dados Pessoais para os efeitos das Cláusulas Contratuais-tipo (2010), as Novas Cláusulas Contratuais-tipo e a Legislação sobre Proteção de Dados aplicável.
1. A. LISTA DE PARTES
1.1. Ao abrigo das Cláusulas Contratuais-tipo (2010)
1.1.1. Exportador de Dados
O exportador de dados é o Cliente que celebrou um Contrato de Licenciamento e Suporte de Software e/ou um Contrato de Serviços com a SAP, nos termos do qual ele tira partido do Serviço SAP, tal como descrito no Contrato relevante. O exportador de dados permite que outros Responsáveis pelo Tratamento de Dados também utilizem o Serviço SAP, sendo que esses outros Responsáveis pelo Tratamento de Dados são igualmente exportadores de dados.
1.1.2. Importador de Dados
A SAP e os respetivos Subcontratantes Ulteriores prestam o Serviço SAP tal como definido nos termos do Contrato relevante, celebrado pelo exportador de dados, que inclui Cláusulas Contratuais-tipo (2010).
1.2. Ao abrigo das Novas Cláusulas Contratuais-tipo
1.2.1. Módulo 2: Transferência de Responsável pelo Tratamento de Dados para Subcontratante
Quando a SAP está estabelecida num País Terceiro, o Cliente é o Responsável pelo Tratamento de Dados e a SAP é o Subcontratante, o Cliente é o exportador de dados e a SAP é o importador de dados.
1.2.2. Módulo 3: Transferência de Subcontratante para Subcontratante
Quando a SAP está estabelecida num País Terceiro, o Cliente é um Subcontratante e a SAP é um Subcontratante, o Cliente é o exportador de dados e a SAP é o importador de dados.
2. B. DESCRIÇÃO DA TRANSFERÊNCIA
2.1. Titulares dos Dados
Salvo se disposto de outro modo pelo exportador de dados, os Dados Xxxxxxxx transferidos referem-se às seguintes categorias de Titulares dos Dados: empregados, contratados, Parceiros de Negócios ou outros indivíduos cujos Dados Pessoais estejam armazenados, transmitidos ou disponibilizados ao acedidos ou processados de outro modo pelo ou importador de dados.
2.2. Categorias de Dados
Os Dados Xxxxxxxx transferidos referem-se às seguintes categorias de dados:
O Cliente determina as categorias de dados e/ou campos de dados que poderiam ser transferidos pelo Serviço SAP, tal como regulado no Contrato relevante. Os Dados Xxxxxxxx transferidos habitualmente referem-se às seguintes categorias de dados: nome, números de telefone, endereço de e-mail, dados de endereço, dados de autorização/utilização/acesso ao sistema, nome da empresa, dados de contrato, dados de fatura, mais quaisquer dados específicos de aplicação transferidos por Utilizadores Autorizados, e poderão incluir dados financeiros como dados de conta bancária e dados de cartão de crédito ou débito.
2.3. Categorias Especiais de Dados (se acordadas)
2.3.1. Os Xxxxx Xxxxxxxx transferidos poderão incluir categorias especiais de dados pessoais definidas no Contrato (“Dados Sensíveis”). A SAP tomou Medidas Técnicas e Organizacionais da forma estipulada no Anexo 2, para assegurar um nível de segurança apropriado para também proteger Dados Sensíveis.
2.3.2. A transferência de Dados Sensíveis poderá iniciar, se necessário, a aplicação das seguintes restrições e salvaguardas adicionais, para ter em conta a natureza dos dados e o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas singulares (se aplicável):
a) formação de pessoal;
b) encriptação de dados em trânsito e em repouso;
c) registo de acessos ao sistema e registo de acessos a dados gerais.
2.4. Finalidades da transferência de dados e continuação do processamento; Natureza do processamento
2.4.1. Os Dados Xxxxxxxx transferidos estão sujeitos às atividades básicas de tratamento, tal como definido no Contrato, e poderão incluir:
a) utilização de Dados Pessoais para prestar o Serviço SAP;
b) armazenamento de Dados Pessoais;
c) tratamento informático de Dados Pessoais para transmissão de dados;
d) melhoria contínua de funções e funcionalidades de serviço disponibilizadas como parte do Suporte SAP ou Serviço Profissional, incluindo automatização, processamento de transações e aprendizagem automática; e
e) execução de instruções do Cliente de acordo com o Contrato.
2.4.2. Ao abrigo do Contrato de Licenciamento e Suporte de Software: a SAP ou respetivos Subcontratantes Ulteriores prestam suporte quando um Cliente apresenta um pedido de suporte porque o Software não está disponível ou não funciona conforme esperado. Atendem telefonemas e realizam tarefas de resolução de problemas básicos e tratam de pedidos de suporte num sistema de controlo.
2.4.3. Ao abrigo do Contrato de Serviços aplicável para Serviços Profissionais: a SAP ou respetivos Subcontratantes Ulteriores prestam Serviços, sob reserva dos Serviços estipulados no Formulário de Encomenda e no Documento de Âmbito aplicável.
2.5. Descrição adicional relativamente às Novas Cláusulas Contratuais-tipo Módulos aplicáveis das Novas Cláusulas Contratuais-tipo
a) Módulo 2: Transferência de Responsável pelo Tratamento de Dados para Subcontratante
b) Módulo 3: Transferência de Subcontratante para Subcontratante
2.6. A frequência da transferência (p. ex. se os dados são transferidos pontualmente ou numa base contínua): As transferências realizar-se-ão numa base contínua.
2.7. O período pelo qual serão retidos os dados pessoais ou, se isso não for possível, os critérios usados para determinar esse período:
2.8. Para transferências para (sub)contratantes ulteriores, especificar também a matéria, a natureza e a duração do processamento:
Relativamente às Novas Cláusulas Contratuais-tipo, as transferências para Subcontratantes ulteriores serão realizadas na mesma base, tal como definido no ATD.
3. C. AUTORIDADE FISCALIZADORA COMPETENTE
3.1. Relativamente às Novas Cláusulas Contratuais-tipo:
3.1.1. Módulo 2: Transferência de Responsável pelo Tratamento de Dados para Subcontratante
3.1.2. Módulo 3: Transferência de Subcontratante para Subcontratante
3.2. Quando o Cliente é o exportador de dados, a autoridade fiscalizadora será a autoridade fiscalizadora competente que tem supervisão sobre o Cliente em conformidade com a Cláusula 13 das Novas Cláusulas Contratuais-tipo.
Anexo 2 Medidas Técnicas e Organizacionais
Este Anexo 2 é aplicável para descrever as medidas técnicas e organizacionais aplicáveis para os efeitos das Cláusulas Contratuais-tipo (2010), as Novas Cláusulas Contratuais-tipo e a Legislação sobre Proteção de Dados aplicável.
A SAP aplicará e manterá as Medidas Técnicas e Organizacionais.