ADENDA AO TRATAMENTO DE DADOS DO CLIENTE
ADENDA AO TRATAMENTO DE DADOS DO CLIENTE
A presente Adenda ao Tratamento de Dados (“DPA”, do inglês, Data Processing Addendum) e os Anexos correspondientes, são aplicáveis sempre que a HP atuar como Subcontratante e tratar os Dados Pessoais do Cliente, em nome deste, de modo a prestar os serviços acordados no/s contrato/s aplicável/eis, celebrados entre a HP e o Cliente (“Contrato de Serviços”). A presente DPA não é aplicável nos casos em que a HP e o Cliente, por direito próprio, sejam considerados Responsáveis pelo tratamento de dados. Os termos iniciados por maiúscula que não estejam especificamente definidos no presente documento, têm o significado definido no Contrato de Serviços. Em caso de conflito entre os termos do Contrato de Serviços, no que diz respeito ao tratamento de Dados Pessoais e a presente DPA, prevalece o disposto na presente DPA.
1 DEFINIÇÕES
1.1 Por “Cliente” deve entender-se o cliente utilizador final dos Serviços HP;
1.2 Por “Dados Pessoais do Cliente” deve entender-se os Dados Pessoais dos quais o Cliente é o Responsável pelo tratamento e que são tratados pela HP, a atuar na qualidade de subcontratante, ou pelos seus subcontratantes ulteriores, no contexto da prestação dos Serviços;
1.3 Por “Responsável pelo tratamento de dados” deve entender-se a pessoa singular ou coletiva, autoridade pública, agência ou qualquer outro organismo que, isoladamente ou em conjunto com outrem, determina as finalidades e os meios de tratamento dos Dados Pessoais; sempre que as finalidades e os meios do tratamento forem determinados pela Legislação sobre Proteção de dados e Privacidade aplicável, o Responsável pelo tratamento de dados ou os critérios para a sua nomeação serão os indicados na Legislação sobre Proteção de dados e Privacidade aplicável;
1.4 Por “Subcontratante” deve entender-se qualquer pessoa singular ou coletiva, autoridade pública, agência ou qualquer outro organismo que trata os Dados Pessoais em nome de um Responsável pelo tratamento de dados ou sob instruções de outro Subcontratante a atuar em nome de um Responsável pelo tratamento de dados;
1.5 Por “Legislação sobre Proteção de dados e Privacidade” deve entender-se toda a legislação e regulamentação em vigor e futura, relacionada com o tratamento, a segurança, a proteção e a conservação de Dados Pessoais e da privacidade, eventualmente existente nas jurisdições relevantes, incluindo, sem caráter exclusivo, a Diretiva 95/46/CE relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, a Diretiva 2002/58/EC relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas, a legislação e regulamentação que transpõe as Diretivas supra, o RGPD (se for caso disso) e qualquer legislação sobre proteção de dados da Noruega, da Islândia, do Liechtenstein, da Suíça ou do Reino Unido (quando o Reino Unidos deixar de pertencer à UE) e eventuais alterações ou substituições da referida legislação e regulamentação;
1.6 “Titular de dados” terá o significado que é dado ao termo “titular de dados” na Legislação sobre Proteção de dados e Privacidade aplicável e inclui, pelo menos, toda e qualquer pessoa singular identificada ou identificável a quem os Dados Pessoais estejam relacionados;
1.7 Por “UE” deve entender-se a União Europeia e os países que são membros da referida União no seu todo;
1.8 Por “País europeu” deve entender-se um Estado-Membro da UE, a Noruega, a Islândia, o Liechtenstein, a Suíça e o Reino Unido, assim que o Reino Unido deixar de ser um Estado-Membro da UE;
1.9 Por “Cláusulas contratuais-tipo da UE” deve entender-se as cláusulas contratuais-tipo da UE para a transferência de Dados Pessoais para Subcontratantes, aprovadas pela Decisão da Comissão 2010/87/UE ou em eventual instrumento posterior;
1.10 Por “Privacy Shield UE-EUA” deve entender-se o Quadro do Privacy ShieldUE-EUA estabelecido pelo Departamento do Comércio dos EUA e a Comissão Europeia, conforme pontualmente alterado ou substituído;
1.11 Por “RGPD” deve entender-se o Regulamento Geral sobre a Proteção de Dados (UE) 2016/679 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados;
1.12 Por “Grupo HP” refere-se à HP Inc. (1501 Page Mill Road, Palo Alto, CA 94304) e todas as suas afiliadas ou aquelas sob que exerça controle majoritário, independentemente da jurisdição em que estejam incorporadas ou em que operem;
1.13 Por “Dados Pessoais” deve entender-se as informações relacionadas com uma pessoa viva identificada ou identificável ou conforme de outro modo definido na Legislação sobre Proteção de dados e Privacidade aplicável. Uma pessoa identificável é aquela que pode ser identificada direta ou indiretamente, designadamente por referência a um elemento identificador, tal como um nome, um número de identificação, dados de localização, um identificador online ou a um ou mais fatores específicos da sua identidade física, fisiológica, genética, mental, económica, cultural ou social;
1.14 “Incidente com Dados Pessoais” terá o significado que é dado aos termos “incidente de segurança”, “quebra de segurança” ou “violação de dados pessoais” na Legislação sobre Proteção de dados e Privacidade aplicável, mas inclui qualquer situação em que a HP tome conhecimento de que os Dados Pessoais do Cliente foram ou é provável que tenham sido acedidos, divulgados, alterados, extraviados, destruídos ou utilizados por pessoas não autorizadas, de uma forma não autorizada;
1.15 Por “tratar”, “trata”, “tratamento” ou “tratado/s” deve entender-se qualquer operação executada, por meios automatizados ou não, que envolva Dados Pessoais incluindo, sem limitações, aceder, recolher, registar, organizar, estruturar, conservar, armazenar, adaptar ou alterar, recuperar, consultar, utilizar, divulgar por transmissão, disseminar ou de outro modo disponibilizar, alinhar, combinar, bloquear, limitar, apagar e destruir Dados Xxxxxxxx, bem como qualquer outra definição ou definições idênticas na Legislação sobre Proteção de Dados e Privacidade aplicável, caso as referidas definições sejam mais abrangentes do que a presente definição;
1.16 Por “Tercer País” deve entender-se todos os países além dos Países Europeus e outros países considerados assegurarem um nível de proteção adequado, nos termos do Artigo 25.º, número 6, da Diretiva Europeia sobre Proteção de Dados ou o Artigo 45.º do RGPD;
1.17 Por “Serviços” deve entender-se os serviços, incluindo produtos e apoio, prestados e fornecidos pela HP ao abrigo do Contrato de Serviços;
1.18 Por “Contrato de Serviços” deve entender-se o contrato celebrado entre a HP e o Cliente para a aquisição de Serviços da HP; e
1.19 Por “Subcontratante ulterior” deve entender-se qualquer entidade contratada pela HP ou por qualquer outro subcontratante ulterior da HP que receber Dados Pessoais do Cliente para proceder a atividades de tratamento em nome do Cliente.
2 ÂMBITO E CONFORMIDADE COM A LEI
2.1 A presente DPA só é aplicável ao tratamento de Dados Pessoais do Cliente pela HP no contexto da prestação dos Serviços por esta e quando a HP atua na qualidade de Subcontratante em nome do Cliente
enquanto Responsável pelo tratamento de dados. A presente DPA não é aplicável nos casos em que a HP e o Cliente, por direito próprio, sejam considerados Responsáveis pelo tratamento de dados.
2.2 As categorias de Titulares de dados, os tipos de Dados Pessoais de Clientes que são tratados e as finalidades do tratamento encontram-se definidos no Anexo 1 à presente DPA. A HP tratará os Dados Pessoais de Clientes durante toda a vigência do Contrato de Serviços (ou por um período mais longo, quando assim previsto na legislação aplicável).
2.3 Ao utilizar os Serviços da HP, o Cliente será o único responsável por cumprir toda a Legislação sobre Proteção de Dados e Privacidade aplicável, no que diz respeito à correção, qualidade e legalidade dos Dados Pessoais do Cliente que forem tratados pela HP no contexto dos Serviços. O Cliente deve ainda assegurar que as instruções que fornecer à HP, relativamente ao tratamento dos Dados Pessoais do Cliente, cumprem toda a Legislação sobre Proteção de dados e Privacidade aplicável, não colocando a HP numa situação de violação das suas obrigações ao abrigo da legislação atrás referida.
2.4 Se o Cliente utilizar os Serviços para tratar qualquer categoria de Dados Pessoais não expressamente prevista na presente DPA, o Cliente estará a agir por sua própria conta e risco, não sendo a HP responsável por eventuais deficiências ao nível da conformidade, relacionadas com a referida utilização.
2.5 Sempre que a HP divulgar ao Cliente Dados Pessoais de um funcionário da HP ou um funcionário da HP fornecer Dados Pessoais diretamente ao Cliente, os quais o Cliente irá tratar de modo a gerir a sua utilização dos Serviços, o Cliente tratará os referidos Dados Pessoais em conformidade com as suas políticas de privacidade e a Legislação sobre Proteção de dados e Privacidade aplicável. A HP procederá a estas divulgações apenas quando tal for legítimo para efeitos da gestão de contratos, gestão de serviços, análise e verificação razoável dos antecedentes do Cliente ou para fins de segurança.
3 OBRIGAÇÕES DO SUBCONTRATANTE
3.1 Sem prejuízo de qualquer disposição em contrário no Contrato de Serviços e no que diz respeito aos Dados Pessoais do Cliente, a HP:
3.1.1 tratará os Dados Pessoais do Cliente apenas de acordo com as instruções documentadas do Cliente (que podem ser de natureza geral ou específica, conforme estabelecido no Contrato de Serviços ou de outra forma levadas ao seu conhecimento pelo Cliente). Sem prejuízo do que precede, a HP poderá tratar os Dados Pessoais do Cliente conforme previsto na legislação aplicável. Neste caso, a HP tomará medidas razoáveis de modo a informar o Cliente deste requisito antes de dar início ao tratamento dos dados, a menos que a lei o proíba;
3.1.2 assegurará que apenas o pessoal autorizado que tenha recebido formação adequada sobre a proteção e o tratamento de Dados Pessoais e vinculado à obrigação de respeitar a confidencialidade dos Dados Pessoais do Cliente terá acesso aos mesmos;
3.1.3 aplicará medidas técnicas e organizativas adequadas de proteção contra a destruição, perda e alteração acidentais ou ilícitas, e a divulgação ou o acesso não autorizados a Dados Pessoais do Cliente. Estas medidas serão adequadas ao dano que poderá resultar de qualquer eventual tratamento, perda, destruição, dano ou furto, acidentais ou ilícitos de Dados Pessoais do Cliente e terão em conta a natureza dos Dados Pessoais do Cliente que devem ser protegidos.
3.1.4 sem demora injustificada e na medida do permitido por lei, notificará o Cliente de eventuais pedidos dos Titulares de dados que pretendem exercer os seus direitos previstos na Legislação sobre Proteção de Dados e Privacidade aplicável e, mediante pedido escrito e a expensas do Cliente, tendo em conta a natureza do tratamento, ajudará o Cliente aplicando medidas técnicas e organizativas adequadas, na medida do possível, no sentido de permitir ao Cliente cumprir a sua obrigação de responder aos referidos pedidos. Nos casos em que os Dados Pessoais do Cliente não estiverem acessíveis para o Cliente através dos Serviços prestados ao abrigo do presente
Contrato de Serviços, a HP envidará, sempre que tal for legalmente permitido e a pedido do Cliente, todos os esforços razoáveis, em termos comerciais, para ajudar o Cliente a responder aos referidos pedidos, se a Legislação sobre Proteção de Dados e Privacidade aplicável exigir que seja dada uma resposta aos referidos pedidos;
3.1.5 mediante pedido escrito e a expensas do Cliente, tendo em conta a natureza do tratamento e as informações disponíveis para a HP, ajudará o Cliente no cumprimento das suas obrigações previstas nos Artigos 32.º a 36.º do RGPD ou em disposições idênticas previstas na Legislação sobre Proteção de Dados e Privacidade aplicável. A HP reserva-se o direito de cobrar uma taxa administrativa para prestar esta assistência, conforme estabelecido na Cláusula 3.1.5 e nas Cláusulas 3.1.3 e 3.1.4; e
3.1.6 mediante pedido escrito do Cliente e uma vez concluída a prestação dos Serviços, eliminará ou devolverá ao Cliente os Dados Pessoais do Cliente, a menos que a legislação aplicável obrigue à conservação dos Dados Pessoais do Cliente.
4 TRATAMENTO POR SUBCONTRATANTES ULTERIORES
4.1 O Cliente autoriza a HP a transferir os Dados Pessoais do Cliente ou a dar acesso a estes dados aos membros do Grupo HP e a terceiros que atuam enquanto Subcontratantes ulteriores (e permitir que os Subcontratantes ulteriores procedam à nomeação nos termos da Cláusula 4.1) para efeitos da prestação de Serviços ou para outros efeitos identificados na secção ‘Atividades de Tratamento’ do Anexo 1. A HP continuará responsável pelo cumprimento, pelos seus Subcontratantes ulteriores, das obrigações previstas na presente DPA. A HP assegurará que os Subcontratantes ulteriores para os quais venha a transferir Dados Pessoais do Cliente celebram contratos escritos com a HP, nos quais se exige que os Subcontratantes ulteriores respeitem termos que assegurem um nível de proteção não inferior ao previsto nos termos estabelecidos na presente DPA. A HP disponibilizará ao Cliente uma lista dos Subcontratantes ulteriores nomeados para os Serviços abrangidos pelo Contrato de Serviços.
4.2 A HP pode nomear um novo Subcontratante ulterior, em qualquer momento e sem qualquer justificação, desde que o Cliente seja notificado com uma antecedência mínima de 10 (dez) dias e que este não se oponha, de forma legítima, às referidas alterações durante este período de tempo. As objeções legítimas devem incluir fundamentos razoáveis e documentados relacionados com o não cumprimento, pelo Subcontratante ulterior, da Legislação sobre Proteção de Dados e Privacidade aplicável. Se, na opinião razoável da HP, estas objeções forem legítimas, a HP abster-se-á de recorrer ao Subcontratante ulterior em causa no contexto do tratamento dos Dados Pessoais do Cliente. Nestes casos, a HP envidará esforços razoáveis no sentido de (i) propor ao Cliente uma alteração aos Serviços da HP; ou (ii) recomendar uma alteração na configuração ou utilização dos Serviços pelo Cliente, de modo a evitar que os Dados Pessoais do Cliente sejam tratados pelo Subcontratante ulterior contestado. No caso de ser impossível à HP disponibilizar esta alteração num período de tempo razoável, o qual não deverá ultrapassar 90 (noventa) dias, o Cliente poderá, mediante notificação escrita à HP, pôr termo ao Serviço que não puder ser prestado por esta, sem recurso ao Subcontratante ulterior contestado.
5 INCIDENTES COM DADOS PESSOAIS
5.1 A HP notificará o Cliente, sem demora injustificada, se tomar conhecimento de qualquer Incidente com Dados Pessoais que envolva os Dados Pessoais do Cliente e tomará as medidas razoavelmente solicitadas pelo Cliente, nos prazos razoavelmente indicados por este, para resolver o Incidente com Dados Pessoais, prestando todas as informações complementares que o Cliente possa razoavelmente solicitar. A HP reserva-se o direito de cobrar uma taxa administrativa para prestar a assistência prevista na presente Cláusula 5.1, a menos que o Cliente comprove que a referida assistência é necessária devido a um incumprimento, pela HP, da presente DPA.
6 TRANSFERÊNCIAS INTERNACIONAIS DE DADOS PESSOAIS DO CLIENTE
6.1 A HP poderá transferir os Dados Pessoais do Cliente para fora do país em que foram inicialmente recolhidos, desde que a referida transferência seja necessária no contexto dos Serviços e seja efetuada em conformidade com Legislação sobre Proteção de Dados e Privacidade aplicável.
6.2 Disposições específicas para a Europa
6.2.1 Quando os Dados Pessoais do Cliente são transferidos de um País europeu para um País relevante, a HP disponibiliza os mecanismos de transferência enunciados infra, os quais serão aplicáveis, de acordo com a ordem de precedência estabelecida na Cláusula 6.2.2, a todas estas transferências nos termos da Legislação sobre Proteção de Dados e Privacidade aplicável:
6.2.1.1 Privacy Shield UE- EUA: A HP está certificada ao abrigo do Privacy Shield UE- EUA, no que diz respeito aos Dados Pessoais do Cliente, e garante que continuará certificada e notificará de imediato o Cliente se não renovar ou perder as certificações, ou alterar as certificações de tal forma que os Dados Pessoais do Cliente deixam de estar abrangidos pelo âmbito da certificação.
6.2.1.2 Cláusulas contratuais-tipo da UE: As Cláusulas contratuais-tipo da UE estão integralmente incorporadas na presente DPA e, na medida em que for aplicável, a HP assegurará que os seus Subcontratantes ulteriores cumprem as obrigações que incumbem a um importador de dados (conforme definição nas Cláusulas contratuais-tipo da UE). Em caso de conflito entre a presente DPA e as Cláusulas contratuais-tipo da UE, prevalecem os termos das Cláusulas contratuais-tipo da UE.
6.2.2 Se os Serviços estiverem abrangidos por mais do que um mecanismo de transferência, a transferência dos Dados Pessoais do Cliente ficará sujeita a um único mecanismo de transferência, de acordo com a seguinte ordem de precedência: 1) A certificação da HP ao abrigo do Escudo de Proteção de Privacidade UE-EUA; e 2) as Cláusulas contratuais-tipo da UE.
7 AUDITORIAS
7.1 Mediante pedido escrito do Cliente, a HP disponibilizar-lhe-á todas as informações necessárias para demonstrar a conformidade com as obrigações estabelecidas na Legislação sobre Proteção de Dados e Privacidade aplicável, devendo porém entender-se que a HP não estará obrigada a prestar informações comerciais confidenciais. No máximo uma vez por ano e a expensas do Cliente, a HP permitirá ainda e contribuirá para auditorias e inspeções realizadas pelo Cliente ou um seu auditor terceiro autorizado, que não deverá ser um concorrente da HP. O âmbito das referidas auditorias, incluindo as condições de confidencialidade, deve ser mútua e antecipadamente acordado pelas Partes.
8 RESPONSABILIDADE JURÍDICA
8.1 A responsabilidade jurídica da HP, decorrente ou relacionada o com seu tratamento de Dados Pessoais do Cliente nos termos da presente DPA (seja fundada em contrato, ato ilícito ou em outra teoria de responsabilidade jurídica) está sujeita a qualquer disposição ou disposições em matéria de limitação de responsabilidade jurídica estabelecida/s no Contrato de Serviços.
Anexo 1
Informações sobre o Tratamento
A HP poderá atualizar este Anexo 1 periodicamente, de modo a refletir as alterações nas atividades de tratamento.
Categorias de Titulares de dados
• Funcionários do Cliente, agentes do cliente e subcontratantes ulteriores. Tipos de Dados Pessoais
Os Dados Pessoais do Cliente tratados pela HP no contexto da prestação dos Serviços pela HP são determinados e controlados pelo Cliente enquanto Responsável pelo tratamento de dados e em conformidade com a declaração de trabalho e/ou pedido de compra/alteração aplicável, mas podem incluir, a título de exemplo:
• Dados de contacto – tal como o nome, número de telefone profissional, endereço de correio eletrónico profissional e endereço postal profissional;
• Dados de credenciais de seguranęa – tal como a identificação de funcionário ou o número do distintivo;
• Dados de utilizaęão do produto – tal como páginas impressas, modo de impressão, meios utilizados, marca do tinteiro ou toner, tipo de ficheiro impresso (.pdf, .jpg, etc.), aplicação utilizada na impressão (Word, Excel, Adobe Photoshop, etc.), tamanho do ficheiro, indicação da data e hora, e nível de utilização e estado de outros consumíveis para impressoras;
• Dados de desempenho – Eventos de impressão, recursos e alertas utilizados, tal como avisos de “Falta de tinta”, utilização de cartões com fotografias, fax, digitalizador, servidor web incorporado e informações técnicas adicionais que variam em função do produto;
• Dados de dispositivos – Informações sobre computadores, impressoras e/ou dispositivos, tal como o sistema operativo, quantidade de memória, região, idioma, fuso horário, número de modelo, data de início original, idade do dispositivo, data de fabrico do dispositivo, versão do navegador, fabricante do computador, porta de ligação, estado da garantia, identificadores únicos de dispositivos, identificadores de publicidade e informações técnicas adicionais que variam em função do produto;
• Dados de aplicaęões – Informações relacionadas com aplicações HP tal como localização, idioma, versões de software, opções de partilha de dados e informações sobre atualizações; e
• Outros Dados Pessoais fornecidos pelo Titular de dados quando interage pessoalmente, online, por telefone ou por correio eletrónico com os centros de serviços, centros de atendimento ou outros canais de apoio ao cliente, para facilitar a prestação dos Serviços HP e responder a pedidos de informações de Clientes e/ou Titulares de dados.
Atividades de tratamento
Os Dados Pessoais do Cliente tratados no contexto do Contrato de Serviços serão utilizados pela HP para gerir a relação com o Cliente e prestar-lhe Serviços. A HP poderá tratar Dados Pessoais do Cliente para:
• prestar serviços de gestão de frotas, tal como Serviços de Gestão de Impressão e de Dispositivo como um Serviço;
• manter dados de contacto e registo corretos para prestar um apoio e serviços de manutenção abrangentes, incluindo o Serviço HP Care-Pack, apoio à garantia alargada e facilitar as reparações e devoluções;
• facilitar o acesso a portais para efetuar pedidos e concluir pedidos de produtos ou serviços, para efeitos de gerir contas e providenciar os envios e entregas;
• melhorar o desempenho e funcionamento dos produtos, das soluções, dos serviços e do apoio, incluindo no que diz respeito ao apoio à garantia e envio de atualizações e alertas oportunos relativos ao firmware e software, para garantir a continuidade do funcionamento do dispositivo ou serviço;
• enviar comunicações de caráter administrativo ao Cliente, sobre os Serviços. Alguns exemplos de comunicações de caráter administrativo podem incluir respostas a pedidos de informações ou outros pedidos de Clientes, comunicações sobre a conclusão do serviço ou relacionadas com a garantia, notificações de retirada por motivo de segurança, ou atualizações de natureza empresarial relevantes relacionadas com fusões, aquisições ou alienações;
• manter a integridade e a segurança dos sítios web, produtos, recursos e serviços da HP, e prevenir e detetar ameaças à segurança, fraude e outras atividades criminosas ou maliciosas que podem comprometer os dados do Cliente;
• verificar a identidade do Cliente, incluindo pedir o nome do autor da chamada e a identificação ou o número do distintivo do funcionário no contexto da prestação de serviços de manutenção à distância da HP;
• cumprir a legislação e regulamentação aplicáveis, ordens judiciais, pedidos de autoridades governamentais ou de aplicação da lei, proteger os funcionários e outros clientes e resolver litígios; e
• proporcionar uma experiência personalizada, personalizar os Serviços e as comunicações e criar recomendações.
CLÁUSULAS CONTRATUAIS‐TIPO (SUBCONTRATANTES)
As presentes Cláusulas contratuais‐tipo (subcontratantes) acompanham e fazem parte do Acordo de Proteção de Dados (“DPA”) celebrado entre a HP e o Cliente.
Para efeitos do artigo 26.o, n.o 2, da Directiva 95/46/CE, aplicáveis à transferência de dados pessoais para subcontratantes estabelecidos em países terceiros que não assegurem um nível adequado de protecção de dados.
Nome da organização exportadora de dados: Consultar Apêndice 1 Endereço:......................................................................................................................................................................................................
Telefone: ............................................................; fax: ...........................................................;. e‐mail: ............................................................
Outras informações necessárias para identificar a organização
................................................................................................................................................................................................................................
(o exportador de dados)
E
Nome da organização importadora de dados: Consultar Apêndice 1 Endereço:............................................................................................................................................................................................................
Telefone: ............................................................; fax: ...........................................................;. e‐mail: ............................................................
Outras informações necessárias para identificar a organização
................................................................................................................................................................................................................................
(o importador de dados)
a seguir denominadas individualmente «parte» e colectivamente «partes»,
ACORDARAM as seguintes cláusulas contratuais (a seguir denominadas «cláusulas»), de modo a apresentarem garantias adequadas relativas à protecção da vida privada e dos direitos e liberdades fundamentais das pessoas para a transferência, pelo exportador de dados para o importador, dos dados pessoais especificados no apêndice 1.
Para efeitos das presentes cláusulas:
Cláusula 1
Definições
a) «Dados pessoais», «categorias especiais de dados», «tratamento», «responsável pelo tratamento», «subcontratante»,
«titular dos dados» e «autoridade de controlo» têm o mesmo significado que na Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados1;
b) «Exportador de dados» é o responsável pelo tratamento que transfere os dados pessoais;
c) «Importador de dados» é o subcontratante que concorda em receber, do exportador de dados, dados pessoais para serem tratados por conta deste depois da transferência, em conformidade com as suas instruções e nos termos das cláusulas e que não está sujeito a um sistema de um país terceiro que assegure uma protecção adequada na acepção do artigo 25.o, n.o 1, da Directiva 95/46/CE;
d) «Subcontratante ulterior» é qualquer subcontratante do importador de dados ou de qualquer outro subcontratante do importador de dados que aceite receber do importador de dados ou de qualquer outro seu subcontratante dados pessoais destinados exclusivamente a actividades de tratamento a realizar por conta do exportador de dados após a transferência, em conformidade com as suas instruções, as condições previstas nas cláusulas e as condições do subcontrato escrito;
e) «Legislação sobre protecção de dados aplicável» é a legislação que protege os direitos e as liberdades fundamentais das pessoas e, em especial, o seu direito à protecção da vida privada no que diz respeito ao tratamento dos seus dados pessoais, aplicável a um responsável pelo tratamento dos dados no Estado‐Membro em que o exportador de dados está estabelecido;
f) «Medidas de segurança técnicas e organizativas» são as medidas destinadas a proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizados, nomeadamente quando o tratamento implicar a sua transmissão por rede, e contra qualquer outra forma de tratamento ilícito.
1 As partes podem reproduzir as definições e significados da Directiva 95/46/CE no âmbito desta cláusula, se considerarem preferível, para que o contrato seja autónomo.
Cláusula 2
Pormenores da transferência
Os pormenores da transferência e em especial as categorias especiais de dados pessoais, quando aplicável, são especifi‐ cados no apêndice 1, que faz parte integrante das presentes cláusulas.
Cláusula 3
Cláusula do terceiro beneficiário
1. O titular dos dados pode fazer aplicar contra o exportador de dados a presente cláusula, a cláusula 4, alíneas b) a i), a cláusula 5, alíneas a) a e) e g) a j), a cláusula 6, n.os 1 e 2, a cláusula 7, a cláusula 8, n.o 2, e as cláusulas 9 a 12, na qualidade de terceiro beneficiário.
2. O titular dos dados pode fazer aplicar, contra o importador de dados a presente cláusula, a cláusula 5, alíneas a) a
e) e g), as cláusulas 6 e 7, a cláusula 8, n.o 2, e as cláusulas 9 a 12, em caso de desaparecimento de facto ou de extinção legal do exportador de dados, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações legais do exportador de dados mediante contrato ou por força da lei, e consequentemente assuma os direitos e obrigações do exportador de dados, podendo nesse caso o titular dos dados invocá‐los contra tal entidade.
3. O titular dos dados pode fazer aplicar, contra o subcontratante ulterior a presente cláusula, a cláusula 5, alíneas a) a
e) e g), as cláusulas 6 e 7, a cláusula 8, n.o 2, e as cláusulas 9 a 12, em caso de desaparecimento de facto ou de extinção legal do exportador e do importador de dados, ou se estes se tornaram insolventes, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações legais do exportador de dados mediante contrato ou por força da lei, e consequentemente assuma os direitos e obrigações do exportador de dados, podendo nesse caso o titular dos dados invocá‐los contra tal entidade. Esta responsabilidade civil do subcontratante ulterior é limitada às suas próprias actividades de tratamento de dados ao abrigo das presentes cláusulas.
4. As partes não se opõem a que o titular dos dados seja representado por uma associação ou outro organismo se, expressamente, assim o desejar e a legislação nacional o permitir.
Cláusula 4
Obrigações do exportador de dados
O exportador de dados acorda e garante:
a) Que o tratamento dosdadospessoais, incluindo a própria transferência, foi e continuará a ser feito de acordo com as disposições pertinentes da legislação sobre protecção de dados aplicável (e que, se aplicável, foi notificada às entidades competentes do Estado‐Membro em que o exportador de dados está estabelecido) e que não viola as disposições pertinentes desse Estado;
b) Que deu e continuará a dar instruções ao importador de dados durante os serviços de tratamento de dados pessoais para tratar os dados pessoais transferidos apenas por conta do exportador de dados e em conformidade com a legislação sobre protecção de dados aplicável e com as cláusulas;
c) Que o importador de dados oferecerá garantias suficientes em relação às medidas de segurança técnicas e organizativas especificadas no Apêndice 2 do presente contrato;
d) Que, depois de avaliar os requisitos da legislação sobre protecção de dados aplicável, as medidas de segurança são adequadas para proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a divulgação ou o acesso não autorizados, nomeadamente quando o tratamento implicar a sua transmissão por rede, e contra qualquer outra forma de tratamento ilícito e que estas medidas asseguram um nível de segurança adequado em relação aos riscos que o tratamento representa e à natureza dos dados a proteger, atendendo aos conhecimentos técnicos disponíveis e aos custos resultantes da sua aplicação;
e) Que zelará pelo cumprimento das medidas de segurança;
f) Que, se a transferência envolver categorias especiais de dados, o titular dos dados foi informado ou será informado antes ou o mais depressa possível após a transferência, de que os seus dados poderão ser transmitidos para um país terceiro que não garante um nível de protecção adequado na acepção da Directiva 95/46/CE;
g) Que enviará qualquer notificação recebida do importador de dados ou de qualquer subcontratante ulterior à autoridade de controlo responsável pela protecção dos dados, nos termos da cláusula 5, alínea b), e da cláusula 8,
n.o 3, se decidir continuar a transferência ou levantar a suspensão;
h) Que disponibilizará aos titulares dos dados, mediante pedido, um exemplar das cláusulas, com excepção do Apêndice 2, e uma descrição sumária das medidas de segurança, bem como um exemplar de qualquer contrato de serviços de subcontratação ulterior que tenha de ser celebrado em conformidade com as cláusulas, a menos que estas ou o contrato contenham informações comerciais, caso em que poderá suprimir essas informações;
i) Que, em caso de subcontratação ulterior, a actividade de tratamento é realizada em conformidade com a cláusula
11 por um subcontratante que assegure pelo menos o mesmo nível de protecção dos dados pessoais e dos direitos dos titulares dos dados que o importador de dados em conformidade com as cláusulas; e
j) Que zelará pelo cumprimento da cláusula 4, xxxxxxx a) a i).
Cláusula 5
Obrigações do importador de dados2
O importador de dados acorda e garante:
a) Que tratará os dados pessoais apenas por conta do exportador de dados e em conformidade com as suas instruções e as cláusulas; no caso de não poder cumprir estas obrigações por qualquer razão, concorda em informar imediatamente o exportador de dados desse facto, tendo neste caso o exportador de dados o direito de suspender a transferência de dados e/ou de rescindir o contrato;
b) Que não tem qualquer razão para crer que a legislação que lhe é aplicável o impede de respeitar as instruções recebidas do exportador de dados e as obrigações que lhe incumbem por força do contrato e que, no caso de haver uma alteração nesta legislação que possa ter um efeito adverso substancial nas garantias e obrigações conferidas pelas cláusulas, notificará imediatamente essa alteração ao exportador de dados, logo que dela tiver conhecimento, tendo neste caso o exportador de dados o direito de suspender a transferência de dados e/ou de rescindir o contrato;
c) Que aplicou as medidas de segurança técnicas e organizativas previstas no Apêndice 2 antes de tratar os dados pessoais transferidos;
d) Que notificará imediatamente o exportador de dados no que respeita a:
i) qualquer pedido juridicamente vinculativo de divulgação dos dados pessoais por parte de uma autoridade com‐ petente para a aplicação da lei, a não ser que exista uma proibição em contrário, como uma proibição prevista no direito penal para preservar a confidencialidade de uma investigação policial;
ii) qualquer acesso acidental ou não autorizado; e
iii) qualquer pedido recebido directamente dos titulares de dados, sem responder a esse pedido, a não ser que tenha sido autorizado a fazê‐lo;
e) Que responderá rápida e adequadamente a todos os pedidos de informação do exportador de dados relacionados com o tratamento por si efectuado dos dados pessoais objecto da transferência e que se submeterá aos conselhos da autoridade de controlo relativamente ao tratamento dos dados transferidos;
f) Que, a pedido do exportador de dados, apresentará os seus meios de tratamento de dados para auditoria das actividades de tratamento abrangidas pelas cláusulas, que será efectuada pelo exportador de dados ou por um organismo de inspecção, composto por membros independentes que possuam as qualificações profissionais exigidas e estejam vinculados por um dever de confidencialidade, escolhido pelo exportador de dados e, se necessário, de acordo com a autoridade de controlo;
g) Que porá à disposição do titular dos dados, mediante pedido, um exemplar das cláusulas ou de qualquer contrato existente de subcontratação ulterior, a menos que as cláusulas ou o contrato contenham informações comerciais, caso em que poderá suprimir as informações comerciais, com excepção do Apêndice 2, que é substituído por uma descrição sumária das medidas de segurança, no caso de o titular dos dados não poder obter um exemplar do exportador de dados;
h) Que, em caso de subcontratação ulterior, informou previamente o exportador de dados e obteve o seu consentimento escrito prévio;
i) Que os serviços de tratamento de dados efectuados pelo subcontratante ulterior serão prestados em conformidade com a cláusula 11;
j) Que envia rapidamente ao exportador de dados uma cópia de qualquer acordo de subcontratação ulterior que celebrar ao abrigo das cláusulas.
Cláusula 6
Responsabilidade
1. As partes acordam que qualquer titular dos dados que tenha sofrido danos resultantes de qualquer incumprimento das obrigações referidas nas cláusulas 3 ou 11 por qualquer parte ou subcontratante ulterior tem o direito de obter reparação do exportador de dados pelos danos sofridos.
2. Se o titular dos dados não puder intentar uma acção de reparação em conformidade com o n.o 1 contra o exportador de dados, por incumprimento pelo importador de dados ou o seu subcontratante de quaisquer das suas obrigações referidas nas cláusulas 3 e 11, devido ao desaparecimento de facto ou extinção legal ou à insolvência do exportador de dados, o importador de dados aceita que o titular dos dados lhe possa intentar uma acção como sefosse o exportador de dados, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações legais do exportador de dados, mediante contrato ou por força da lei, caso em que o titular dos dados
2 Os requisitos obrigatórios da legislação nacional aplicáveis ao importador de dados que não excedam o necessário numa sociedade democrática, com base num dos interesses enunciados no artigo 13.o, n.o 1, da Directiva 95/46/CE, ou seja, se
constituírem uma medida necessária à protecção da segurança e da defesa do Estado, da segurança pública, da prevenção, investigação, detecção e repressão de infracções penais, ou de violações da deontologia das profissões regulamentadas, de um importante interesse económico ou financeiro do Estado, ou da protecção do titular dos dados ou dos direitos e liberdades de outrem, não são contrários ao disposto nas cláusulas contratuais‐tipo. Constituem exemplos de requisitos obrigatórios que não excedem o necessário numa sociedade demo‐ crática, nomeadamente, as sanções reconhecidas internacionalmente, as obrigações de comunicação em matéria fiscal ou de comuni‐ cação no âmbito do combate ao branqueamento de capitais.
pode invocar os seus direitos contra essa entidade.
O importador de dados não pode invocar o incumprimento por um subcontratante ulterior das suas obrigações para se eximir às suas próprias responsabilidades.
3. Se o titular dos dados não puder intentar a acção referida nos n.os 1 e 2 contra o exportador ou o importador de dados, por incumprimento pelo subcontratante ulterior de quaisquer das suas obrigações referidas nas cláusulas 3 ou 11, devido ao desaparecimento de facto ou extinção legal ou à insolvência do exportador e do importador de dados, o subcontratante ulterior aceita que o titular dos dados lhe possa intentar uma acção relativamente às suas próprias actividades de tratamento de dados ao abrigo das cláusulas, como se fosse o exportador ou o importador de dados, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações legais do exportador ou do impor‐ tador de dados, mediante contrato ou por força da lei, caso em que o titular dos dados pode invocar os seus direitos contra essa entidade. A responsabilidade do subcontratante ulterior é limitada às suas próprias actividades de tratamento de dados ao abrigo das cláusulas.
Cláusula 7
Mediação e jurisdição
1. O importador de dados acorda que se o titular dos dados invocar contra ele os direitos de terceiro beneficiário e/ou exigir uma indemnização por perdas e danos ao abrigo das cláusulas, aceita a decisão do titular dos dados de:
a) Submeter o litígio a mediação de uma pessoa independente ou, quando aplicável, da autoridade de controlo;
b) Submeter o litígio aos tribunais do Estado‐Membro em que o exportador de dados está estabelecido.
2. As partes acordam que a opção do titular dos dados não prejudicará os direitos materiais ou processuais do mesmo de obter reparação em conformidade com outras disposições do direito nacional ou internacional.
Cláusula 8
Cooperação com as autoridades de controlo
1. O exportador de dados acorda depositar um exemplar do presente contrato junto da autoridade de controlo se esta o solicitar ou se a legislação sobre protecção de dados aplicável assim o exigir.
2. As partes acordam que a autoridade de controlo tem o direito de realizar auditorias ao importador de dados ou a qualquer subcontratante ulterior com o mesmo âmbito e nas mesmas condições das auditorias efectuadas ao exportador de dados, em conformidade com a legislação sobre protecção de dados aplicável.
3. O importador de dados notifica imediatamente o exportador de dados da existência de legislação que lhe é aplicável ou a qualquer subcontratante ulterior e que impede a realização de uma auditoria ao importador de dados ou a qualquer subcontratante ulterior, nos termos do n.o 2. Nesse caso, o exportador de dados tem o direito de adoptar as medidas previstas na cláusula 5, alínea b).
Cláusula 9
Direito aplicável
As cláusulas são regidas pelo direito do Estado‐Membro onde o exportador de dados está estabelecido.
Cláusula 10
Alteração do contrato
As partes comprometem‐se a não alterar as cláusulas. Tal não impede que as partes aditem cláusulas de carácter comercial sempre que necessário, desde que as mesmas não contrariem a cláusula.
Cláusula 11
Subcontratação ulterior
1. O importador de dados não subcontrata nenhuma das suas actividades de tratamento executadas por conta do exportador de dados ao abrigo das cláusulas sem o consentimento escrito prévio deste. Sempre que o importador de dados subcontratar as suas obrigações ao abrigo das presentes cláusulas, com o consentimento do exportador de dados, fá‐lo apenas mediante acordo escrito com o subcontratante ulterior que imponha a este último as mesmas obrigações do importador de dados ao abrigo das cláusulas3. Em caso de incumprimento pelo subcontratante ulterior das obrigações em matéria de protecção de dados que lhe incumbem nos termos do referido acordo escrito, o importador de dados continua a ser plenamente responsável perante o exportador de dados pelo cumprimento destas obrigações ao abrigo do referido acordo.
2. O contrato escrito prévio entre o importador de dados e o subcontratante ulterior deve prever igualmente uma cláusula do terceiro beneficiário, tal como previsto na cláusula 3, para os casos em que o titular dos dados não puder intentar a acção de reparação referida na cláusula 6, n.o 1, contra o exportador ou o importador de dados por estes terem desaparecido de facto ou terem sido extintos legalmente ou por se terem tornado insolventes e nenhuma entidade sucessora ter assumido a totalidade das obrigações do exportador ou do importador de dados,
3 Este requisito pode ser satisfeito pelo subcontratante ulterior co‐assinando o contrato celebrado entre o exportador de dados e o importador de dados ao abrigo da presente decisão.
mediante contrato ou por força da lei. Esta responsabilidade civil do subcontratante ulterior é limitada às suas próprias actividades de tratamento de dados ao abrigo das presentes cláusulas.
3. As disposições relativas aos aspectos ligados à protecção de dados no que se refere à subcontratação ulterior referida no n.o 1 são regidas pelo direito do Estado‐Membro onde o exportador de dados está estabelecido.
4. O exportador de dados mantém uma lista dos acordos de subcontratação ulterior celebrados ao abrigo das cláusulas e notificados pelo importador de dados em conformidade com a cláusula 5, alínea j), que será actualizada pelo menos uma vez por ano. Esta lista é colocada à disposição da autoridade de controlo da protecção de dados do exportador de dados.
Cláusula 12
Obrigaçãodepois determinados os serviçosdetratamentodedadospessoais
1. As partes acordam que, após terminada a prestação de serviços de tratamento de dados, o importador de dados e o seu subcontratante, conforme preferência do exportador de dados, devolverão todos os dados pessoais transferidos e as suas cópias ao exportador de dados ou destruirão todos os dados pessoais e certificarão ao exportador de dados que o fizeram, excepto se a legislação imposta ao importador de dados o impedir de devolver ou destruir a totalidade ou parte dos dados pessoais transferidos. Nesse caso, o importador de dados garante a confidencialidade dos dados pessoais transferidos e não volta a tratar activamente os dados pessoais transferidos.
2. O importador de dados e o seu subcontratante garantem que, a pedido do exportador de dados e/ou da autoridade de controlo, submeterão os seus meios de tratamento de dados a uma auditoria das medidas referidas no n.o 1.
Apêndice 1
Das cláusulas contratuais‐tipo
O presente apêndice faz parte integrante das cláusulas e tem de ser preenchido e assinado pelas partes
Os Estados‐Membros podem completar ou especificar, de acordo com os procedimentos nacionais, qualquer informação adicional necessária a incluir no presente apêndice.
Exportador de dados
O exportador de dados é (descrever resumidamente as actividades pertinentes para a transferência):
O exportador de dados é a entidade jurídica que executou o Contrato de Serviços, bem como todas as afiliadas do Cliente estabelecidas num País europeu que adquiriram Serviços nos termos do Contrato de Serviços.
Importador de dados
O importador de dados é (descrever resumidamente as actividades pertinentes para a transferência):
HP Inc. (1501 Page Mill Road, Palo Alto, CA 94304) juntamente com todas as suas subsidiárias nas quais detém uma participação maioritária, independentemente da jurisdição de constituição ou operação (“Grupo HP”), enquanto prestadores dos serviços estabelecidos no Contrato de Serviços aplicável.
Titulares dos dados
Os dados pessoais transferidos dizem respeito às seguintes categorias de titulares de dados (especificar): Consultar Anexo 1 ‐ DPA.
Categorias de dados
Os dados pessoais transferidos dizem respeito às seguintes categorias de dados (especificar): Consultar Anexo 1 ‐ DPA.
Categorias especiais de dados (se for caso disso)
Os dados pessoais transferidos dizem respeito às seguintes categorias especiais de dados (especificar): Consultar Anexo 1 ‐ DPA.
Tratamento de dados Os dados pessoais transferidos serão sujeitos às seguintes actividades básicas de tratamento (especificar): Consultar Anexo 1 ‐ DPA.
Apêndice 2
das cláusulascontratuais‐tipo
O presente apêndice faz parte integrante das cláusulas e tem de ser preenchido e assinado pelas partes
Descrição das medidas de segurança técnicas e organizativas aplicadas pelo importador de dados em conformi‐ dade com a cláusula 4, alínea d), e a cláusula 5, alínea c) (ou documento/legislação em anexo):
O importador de dados aplicará salvaguardas administrativas, físicas e técnicas para a proteção, segurança e confidencialidade dos Dados Pessoais tratados no contexto da prestação de Serviços prevista no Contrato de Serviços aplicável. As salvaguardas específicas podem variar em função da natureza dos Serviços prestados ao abrigo do Contrato de Serviços.