ACORDO RELATIVO AOS TERMOS DA SUBCONTRATAÇÃO DO TRATAMENTO DE DADOS PESSOAIS
ACORDO RELATIVO AOS TERMOS DA SUBCONTRATAÇÃO DO TRATAMENTO DE DADOS PESSOAIS
ENTRE:
RUPEAL, Consultoria e Desenvolvimento de Software, Unipessoal, LDA., com sede social sita na Avenida Duque D'Ávila, n.º 46 - 3.º A, 0000-000 Xxxxxx, inscrita na Conservatória do Registo Comercial do Funchal sob o número único de matrícula e pessoa colectiva 508.025.338, com o capital social de cinco mil euros, neste acto representada por Xxxx Xxxxxx Xxxxxxx Xxxxxxxx na qualidade de procuradora com poderes para o acto e doravante designada como RUPEAL; e
E
____________________________________________, com s e d e e m
, matriculada na Conservatória do Registo Comercial sob o número único de matrícula e pessoa colectiva
, com o capital social de € , neste acto representada
por ___________________________________________ na qualidade de
com poderes para o acto e doravante designado por CLIENTE,
De ora em diante designados conjuntamente por “Partes” e individualmente por “Parte”.
CONSIDERANDO QUE:
I. Que o CLIENTE, no âmbito da sua actividade, e no relacionamento com os seus clientes necessita de obter informações pessoais desses clientes.
II. Que a RUPEAL é uma sociedade dedicada à prestação de serviços de tecnologias de informação, programação informática e soluções informáticas, tendo desenvolvido um Software as a Service (SaaS) de gestão de facturação.
III. Ao disponibilizar o referido Software, e no âmbito dos serviços de manutenção que presta ao CLIENTE, a RUPEAL processa dados pessoais por conta do CLIENTE.
IV. Que o CLIENTE está interessado na prestação, por parte da RUPEAL, de serviços que envolvem o tratamento de dados pessoais pela RUPEAL, conforme descritos no Anexo I do presente Acordo.
V. Que as Partes celebraram um contrato que regula a prestação de serviços referida no Considerando III anterior (o “Contrato Inicial”).
VI. Que as Partes pretendem regular os termos em que a RUPEAL é subcontratada para proceder ao tratamento dos dados pessoais envolvidos, tendo em vista dar cumprimento ao previsto no artigo 28 do Regulamento n.º 2016/679 (Regulamento UE do Parlamento Europeu e do Conselho, de 27 de Abril de 2016 relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (de ora em diante o “RGPD”).
XXX.Xx Partes pretendem celebrar o presente Acordo, que será anexo ao Contrato Inicial e que passará a fazer parte integrante do mesmo.
As Partes acordam no seguinte:
PRIMEIRA OBJECTO
1. Através do presente acordo, a RUPEAL e o CLIENTE definem os termos em que a primeira procederá ao tratamento de dados pessoais em regime de subcontratação pelo CLIENTE.
2. No âmbito do presente Acordo, as Partes comprometem-se a cumprir o disposto na legislação aplicável relativa ao processamento de dados pessoais, nomeadamente o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016, aplicável a partir de 25 de Maio de 2018 (de ora em diante o “RGPD”).
SEGUNDA DURAÇÃO
O presente acordo vigora pelo mesmo prazo que vigorar o Contrato Inicial celebrado entre as partes.
TERCEIRA
QUALIDADE DAS PARTES
No âmbito da execução do presente Acordo, o CLIENTE assume a qualidade de responsável pelo tratamento de dados e a RUPEAL assume a qualidade de subcontratante e destinatário dos dados.
QUARTA
OBRIGAÇÕES DO CLIENTE
1. O CLIENTE, enquanto responsável pelo tratamento dos dados, obriga-se a cumprir com todas as disposições legais que lhe sejam aplicáveis e declara e garante que:
a) Se encontram verificadas as condições de legitimidade previstas na lei para a realização do tratamento de dados da sua responsabilidade ao abrigo do disposto no Contrato Inicial.
b) Que irá transmitir por escrito à RUPEAL as instruções necessárias ao tratamento de dados pretendido pelo CLIENTE.
c) Os tratamentos de dados solicitados à RUPEAL têm as características descritas no Anexo I do presente Acordo.
d) Apenas comunicará à RUPEAL os dados pessoais estritamente necessários para a execução dos serviços contratados com a RUPEAL.
e) Adopta as medidas técnicas e organizativas necessárias para assegurar a actualização e a veracidade dos dados comunicados à RUPEAL.
f) Adopta as medidas técnicas e organizativas adequadas a garantir a confidencialidade e segurança dos dados pessoais comunicados à RUPEAL, de forma a prevenir e evitar a sua destruição, acidental ou ilícita, alteração, perda acidental, difusão ou acesso não autorizados, nomeadamente quando os mesmos forem transmitidos por rede, e contra qualquer forma de tratamento ilícito, em conformidade com as categorias de dados tratados.
g) Tem implementados os procedimentos adequados à satisfação dos direitos dos titulares dos dados.
h) Tem implementados os procedimentos adequados ao cumprimento das obrigações de notificação à autoridade de controlo e aos titulares dos dados caso se verifique uma violação de dados.
QUINTA
OBRIGAÇÕES DA RUPEAL
1. A RUPEAL obriga-se, enquanto subcontratante no tratamento de dados pessoais a realizar no âmbito do presente Acordo a:
a) Proceder ao tratamento dos dados que lhe sejam comunicados pelo CLIENTE apenas de acordo com as instruções fornecidas pelo CLIENTE, de acordo com as finalidades para as quais os dados foram recolhidos, e apenas para assegurar o cumprimento das obrigações assumidas no presente Acordo e a execução das operações aqui previstas.
b) Adoptar as medidas técnicas e organizativas necessárias e adequadas que garantam a confidencialidade e a segurança dos dados e evitem a sua destruição, acidental ou ilícita, alteração, perda acidental, difusão ou acesso não autorizados, nomeadamente quando o tratamento implicar a sua transmissão por rede, e contra qualquer forma de tratamento ilícito, em conformidade com as categorias de dados tratados e as obrigações legais, conforme se encontram descritas no Anexo II do presente Acordo.
c) Xxxxxx um registo dos tratamentos de dados executados por conta do CLIENTE, os quais devem conter, pelo menos, o nome e os contactos do CLIENTE, de outros subcontratados e, se aplicável, do encarregado da protecção de dados e uma descrição dos tratamentos de dados executados.
d) Limitar o acesso pelos seus colaboradores aos dados pessoais comunicados pelo CLIENTE, sendo concedido apenas na medida em que tal se revele necessário ao desempenho das respectivas funções que lhes sejam cometidas no âmbito da prestação dos serviços.
e) A RUPEAL obriga-se ainda a assegurar que os colaboradores a quem seja dado acesso aos dados pessoais se vinculam a obrigações confidencialidade em relação a tais dados e que se abstenham de os utilizar para fins diversos, em benefício próprio ou alheio.
f) Realizar o tratamento de dados exclusivamente em Portugal ou noutro país da União Europeia.
g) Disponibilizar ao CLIENTE as informações necessárias que demonstrem o cumprimento das suas obrigações enquanto subcontratante.
SEXTA SUBCONTRATAÇÃO
1. A RUPEAL obriga-se a não ceder os dados pessoais a terceiros, nem sequer para efeitos da sua conservação, salvo a comunicação que, a cada momento, seja necessária para que possam manter em segurança os sistemas (tanto do hardware como do software), e sempre mediante a assinatura de um acordo que assegure que o terceiro cumpre com as suas obrigações enquanto subcontratante.
2. Em qualquer caso, sempre que a RUPEAL pretenda subcontratar terceiros, ou alterar os terceiros subcontratados, obriga-se a informar o CLIENTE desse facto. A informação a prestar deve incluir a identificação do terceiro, os dados a comunicar ao terceiro e as medidas de segurança adoptadas para garantir a segurança dos dados.
SÉTIMA
DIREITOS DOS TITULARES DOS DADOS
1. É da responsabilidade do CLIENTE informar os titulares dos dados, no momento da recolha, sobre a finalidade dos tratamentos de dados realizados e a sua comunicação à RUPEAL e sendo necessário obter o consentimento ao seu tratamento.
2. A RUPEAL obriga-se a prestar assistência ao CLIENTE, na medida do possível, para permitir que este satisfaça os direitos dos titulares dos dados.
3. Caso os titulares dos dados apresentem à RUPEAL pedidos de acesso, rectificação, oposição, eliminação ou portabilidade dos seus dados pessoais, a RUPEAL obriga- se a reencaminhar tais pedidos ao CLIENTE, o mais rapidamente possível, para o endereço de contacto do CLIENTE.
OITAVA
QUEBRAS DE SEGURANÇA
1. A RUPEAL obriga-se a comunicar ao CLIENTE, sem demora injustificada após ter conhecimento, a verificação de uma violação dos dados pessoais.
2. A referida comunicação deve ser acompanhada da documentação relevante que permita ao CLIENTE, se necessário, notificar a autoridade de supervisão competente.
3. O CLIENTE será responsável por notificar a autoridade de supervisão competente caso se verifique uma quebra de segurança.
NONA CONFIDENCIALIDADE
1. A RUPEAL obriga-se a guardar completo e total sigilo e confidencialidade sobre os dados pessoais que tratar no contexto da prestação dos serviços ao CLIENTE, em especial a informação e dados do próprio CLIENTE ou de terceiros a que porventura tenha acesso durante a execução da prestação dos serviços. A RUPEAL compromete-se a não divulgar, publicar, ou difundir a dita informação por qualquer meio, seja directamente ou através de terceiros, sem o prévio consentimento escrito do CLIENTE.
2. O CLIENTE obriga-se a respeitar o carácter confidencial dos métodos e procedimentos utilizados pela RUPEAL na prestação de serviços e assume responsabilidade pelo cumprimento desta obrigação pelos seus colaboradores. O dever de confidencialidade não se aplicará à informação que é acessível ao público em geral.
DÉCIMA
DESTINO DOS DADOS
1. No termo do contrato de prestação de serviços, a RUPEAL compromete-se a devolver ou destruir, conforme comunicado pelo CLIENTE, os dados pessoais que tenha na sua posse, independentemente do formato em que se encontrem armazenados, excepto aqueles dados mínimos essenciais que devam ser conservados para o cumprimento das suas obrigações legais.
2. Após a devolução ou destruição dos dados, a RUPEAL entregará ao CLIENTE uma declaração de entrega ou destruição dos dados. Em qualquer caso, o CLIENTE poderá estabelecer procedimentos e regras específicos para este efeito, os quais serão comunicados atempadamente à RUPEAL.
DÉCIMA PRIMEIRA NOTIFICAÇÕES
As notificações referentes a este Acordo serão efectuadas por qualquer meio que possa comprovar a sua recepção, para os seguintes endereços:
a) Para a RUPEAL:
Nome: RUPEAL
E-mail: xxxxxxx@xxxxxxxxxxxxx.xxx
b) Para os dados de contacto do CLIENTE.
Somente serão consideradas válidas as notificações dirigidas para os endereços indicados ou para outro endereço comunicado com antecedência mínima de três dias.
DÉCIMA SEGUNDA REGIME APLICÁVEL
O presente Acordo será regulado pela lei Portuguesa, sendo competente o Tribunal da Comarca de Lisboa para a resolução dos litígios, com expressa renúncia a qualquer outro.
Lisboa , de de 2021
Pela RUPEAL, Pelo CLIENTE,
[Xxxx Xxxxxxxx]
git sta
ANEXO I
DESCRIÇÃO DOS TRATAMENTOS DE DADOS REALIZADOS PELA RUPEAL
1. Informação Geral:
(i) Nome do produto e/ ou serviço: InvoiceXpress.
(ii) Identificação do responsável pelo tratamento: o CLIENTE.
(iii) Breve descrição dos produtos e/ou serviços: o CLIENTE inclui, no momento de criação de conta e para configuração da mesma, no Software disponibilizado pela RUPEAL, dados pessoais dos seus clientes de forma a que o CLIENTE possa efectuar a gestão de facturação da sua empresa.
A RUPEAL, enquanto entidades responsável pela gestão e manutenção do software, poderá ter acesso aos dados pessoais incluídos pelo CLIENTE na sua conta de utilizador quando presta os serviços de assistência e manutenção do software
2. Descrição do processamento de dados:
(i) Finalidade:
● Emissão de facturas e outros documentos contabilísticos e não- contabilísticos do CLIENTE.
(ii) Dados tratados:
● Dados Pessoais: Nome, Morada, NIF, telefone, fax, e-mail.
● Dados Empresariais: Nome de empresa, NIF, Endereço, Código Postal, Cidade, Email, Website, Capital Social, Conservatória, Telefone, Fax.
(iii)Categorias dos titulares dos dados:
● Pessoas singulares e colectivas que sejam clientes do Cliente.
(i) Período de armazenamento dos dados:
● A RUPEAL irá armazenar os dados durante a vigência do Contrato Inicial, conforme estabelecido na cláusula décima deste Acordo, salvo instruções do CLIENTE no sentido da sua eliminação.
3. Entidades Subcontratadas
A RUPEAL subcontrata as seguintes entidades para a realização deste processamento de dados:
(i)
E n t i d a d e Subcontratada | Tipo de serviço | Localização Datacenter | Localização Empresa |
Amazon AWS S3 | Cloud Hosting | Irlanda | Irlanda |
ANEXO II
MEDIDAS DE SEGURANÇA IMPLEMENTADAS
A RUPEAL declara e garante que tem implementadas as seguintes medidas de segurança, as quais são necessárias e adequadas ao processamento de dados realizado por conta do CLIENTE:
a) O serviço de Cloud Hosting têm certificações de segurança que incluem padrões ISO 27001, 27017, and 27018, SOC 1, SOC 2, SOC 3, PCI DSS Nível 1 e BSI C5.
b) Os servidores são monitorizados por sistemas biométricos 24x7x365 e são implementadas medidas para proteger de falhas de electricidade, intrusões e falhas de network.
c) Staff interno assina acordos de confidencialidade (incluído no contrato de trabalho).
d) Apenas a equipa de desenvolvimento tem acesso aos servidores e ambiente de produção.
e) O acesso ao local onde os dados são armazenados é limitado a pessoas autorizadas apenas.
f) Os backups dos dados são realizados diariamente pelo nosso provider.
g) As passwords são alfanuméricas com o mínimo de 8 caracteres actualizadas a cada 3 meses e sempre que um colaborador directo sai da empresa.
h) O serviço de Cloud Hosting realiza planos e testes de recuperação de dados.
i) Os dados enviados para o hosting são encriptados com cifra de 256 bit.
j) São registados os logs nas máquinas de produção e guardados indefinitivamente.
k) É utilizado um ambiente de staging (testes) para fazer testes na aplicação e usamos dados fictícios.