ACORDO DE PROTEÇÃO DE DADOS SUPORTE TÉCNICO E MANUTENÇÃO
ACORDO DE PROTEÇÃO DE DADOS SUPORTE TÉCNICO E MANUTENÇÃO
Este Acordo de Proteção de Dados e os seus anexos (“APD”) estabelece padrões mínimos de proteção de dados e cibersegurança e requisitos relacionados e faz parte do contrato, incluindo um acordo comercial, um acordo de serviço ou um pedido (o “Acordo”) (exceto o Acordo de Utilizador do Cepheid C360). Este APD é celebrado entre o Cliente (conforme definido no Acordo) e a Cepheid (conforme definido no Acordo) e continuará em pleno vigor e produzirá efeito durante todo o período do Acordo. A Cepheid e o Cliente são doravante designados individualmente, por “Parte”, ou coletivamente designados por “Partes”.
As Partes concordam que, onde houver Processamento de Dados Pessoais ao abrigo do contrato, os termos deste APD serão aplicados a este Acordo, que seja ou não expressamente mencionado neste Acordo.
POR CONSEGUINTE, tendo em conta o supracitado anteriormente, e os acordos mútuos aqui estabelecidos, as partes acordam o seguinte:
1. Definições.
(A) “Legislação Aplicável” significa todas as leis (incluindo as leis e regulamentos mundiais de proteção de dados e privacidade aplicáveis aos Dados Pessoais em questão incluindo, quando aplicável, a Lei de Proteção de Dados da UE ou POPIA), regras ou regulamentos aplicáveis ao Acordo, os Serviços, ou Partes e padrões industriais aplicáveis relativos à privacidade, proteção de dados, confidencialidade, segurança da informação, disponibilidade e integridade, ou o tratamento ou processamento (incluindo retenção e divulgação) dos Dados Pessoais, conforme possam ser alterados, regulados, reformulados ou substituídos ocasionalmente.
(B) “Controlador”, “Processador”, “Titular de Dados”, “Dados Pessoais ou Informações Pessoais”, “Processar”, “Processamento”, “Categorias Especiais de Dados Pessoais” e “Informações Pessoais Confidenciais” terão os significados indicados na Legislação Aplicável.
(C) “Falha de Segurança de Dados”, significa (i) a perda ou utilização indevida (por qualquer meio) de Dados Pessoais; (ii) o acesso, alteração, corrupção, transferência, venda, aluguer, destruição ou utilização involuntária, não autorizada e/ou ilícita de Dados Pessoais; (iii) qualquer outro ato ou omissão, que comprometa ou possa comprometer a segurança, confidencialidade ou integridade dos Dados Pessoais ou (iv) qualquer violação das garantias de segurança.
(D) “Lei de Proteção de Dados da UE/RU/Suíça” significa (i) Regulamento 2016/679 do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares, no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral de Proteção de Dados (“RGPD UE”); (ii) o RGPD UE conforme salvo na lei do Reino Unido por virtude da secção 3 da Lei da União Europeia (Retirada) do Reino Unido de 2018 (o "RGPD do RU"); (iii) na Suíça, a Lei Federal de Proteção de Dados de 19 de junho de 1992 (versão revista) (a “LFPD”); (iv) a Diretiva de Privacidade Eletrónica da UE (Diretiva 2002/58/CE); e (iv) todas e quaisquer leis nacionais de proteção de dados aplicáveis elaboradas ao abrigo do (i), (ii) ou (iii); em todos os casos que possam ser alterados ou substituídos periodicamente.
(E) “Dados Pessoais”, significa, sob qualquer forma, formato ou suporte de dados, qualquer (a) informação confidencial do Cliente; e/ou (b) dados, ou seja, qualquer informação que possa
v.230117
identificar uma pessoa. Para maior clareza, Dados Pessoais também significam Informações Pessoais.
(F) “POPIA” significa a Lei de Proteção de Informações Pessoais da África do Sul, uma Lei que trata da proteção e regulamentação do processamento de informações pessoais na República da África do Sul, aprovada a 13 de novembro de 2013 e iniciada a 1 de julho de 2020.
(G) "Transferência Restrita" significa (i) quando o RGPD UE se aplicar, uma transferência de Dados Pessoais para um país fora da Área Económica Europeia que não está sujeito a uma determinação de adequação pela Comissão Europeia; (ii) quando o RGPD RU se aplicar, uma transferência de dados pessoais para qualquer outro país que não seja baseada em regulamentos de adequação de acordo com a Secção 17A da Lei de Proteção de Dados do Reino Unido de 2018; (iii) quando a LFPD se aplicar, uma divulgação transfronteiriça na ausência de legislação que garanta uma proteção adequada de acordo com o Artigo 6 da LFPD; e (iv) quando o POPIA se aplicar, uma transferência transfronteiriça, divulgação ou troca de informações fora da República da África do Sul.
(H) “Cláusulas Contratuais-Tipo” significa (i) quando o RGPD UE se aplicar, as cláusulas contratuais anexadas à Decisão de Aplicação da Comissão Europeia 2021/914 de 4 de junho de 2021 sobre as cláusulas contratuais-tipo para a transferência de dados pessoais para países terceiros nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho ("CCT UE"); (ii) quando o RGPD RU se aplicar, o "Aditamento da Transferência Internacional de Dados às Cláusulas Contratuais-Tipo da Comissão da UE" emitido pelo Comissário de Informação sob o s.119A(1) da Lei de Proteção de Dados de 2018 ("Aditamento do RU"); (iii) quando a LFPD se aplicar, os contratos modelo e as cláusulas contratuais-tipo reconhecidas pelo Comissário Federal Suíço de Proteção de Dados e Informações (“FDPIC”) de acordo com o Artigo 6, parágrafo 2, alínea a da LFPD de acordo com a declaração do FDPIC de 27 de agosto de 2021 (originalmente disponível em xxxxx://xxx.xxxxx.xxxxx.xx/xxx/xxxxx/xx/xxxxxxxxx/0000/Xxxxx%00XXX%00xxx.xx%0000 082021.pdf.download.pdf/Paper%20SCC%20def.en%2024082021.pdf) (“Aditamento Suíço”); e
(iv) quando o POPIA se aplicar, cláusulas contratuais relacionadas com a proteção, processamento e transferência de informações pessoais executadas por duas partes relativamente a essas informações.
(I) “Serviços”, são os serviços que a Cepheid executa nos termos do presente Acordo.
(J) “Subprocessador”, significa qualquer entidade ou pessoa, à qual o Processador subcontrate as suas responsabilidades.
(K) Se aplicável, outros termos em maiúscula, tal como definidos no presente Acordo.
2. Relação das Partes:
2.1 O Cliente (o "Controlador") nomeia a Cepheid, como Processador para processar os Dados Pessoais descritos no Anexo 1 deste ADP, para os fins nele indicados (ou conforme acordado por escrito pelas Partes) (a "Finalidade Permitida"). Cada Parte deve cumprir as suas próprias obrigações, ao abrigo do disposto na Legislação Aplicável.
O Cliente reconhece e concorda que a Cepheid pode contratar empresas que sejam suas afiliadas, e/ou terceiras entidades Subprocessadoras, relacionadas com a prestação de serviços. A Cepheid é plenamente responsável por tais terceiros perante o Cliente, e celebra um acordo escrito, executório,
v. 230117
com esses terceiros, que inclui termos que não são menos restritivos, do que as obrigações que se aplicam ao Cliente, nos termos do presente APD.
2.2 A Cepheid recolhe e processa os dados de identificação necessários para efeitos de celebração e execução do Acordo e, de forma mais ampla, para a gestão da relação comercial das Partes, para o envio de informações sobre produtos, bens e serviços ou produtos, bens ou serviços relacionados de filiais.
O Cliente compromete-se a informar qualquer titular de dados em causa sobre as atividades de processamento da Cepheid e a fornecer a respetiva Política de privacidade da Cepheid.
3. Requisitos Gerais.
3.1 Quando a Cepheid processa Dados Pessoais em nome do Cliente, a Cepheid deve:
i) cumprir todas as leis aplicáveis, incluindo a Legislação Aplicável, quando se estiverem a processar Dados Pessoais;
ii) exceto quando exigido pela lei aplicável, processar Dados Pessoais apenas em nome do Cliente, e exclusivamente na medida do necessário, fornecer Serviços ao Cliente, e de acordo com todas as leis aplicáveis, incluindo a Legislação Aplicável e as instruções documentadas pelo Cliente;
iii) implementar e manter medidas de segurança técnicas e organizacionais adequadas e razoáveis, para garantir um nível de segurança adequado ao risco, incluindo, se for caso disso, as medidas referidas no artigo 32 (1) do RGPD UE e RU (incluindo os requisitos da Norma de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS), caso a Cepheid processe dados do titular do cartão, ou outros dados financeiros) para proteger os Dados Pessoais (i) de destruição acidental ou ilegal, e (ii) perda, alteração, divulgação não autorizada, ou acesso aos Dados Pessoais; Essas medidas devem incluir, no mínimo, as medidas identificadas no anexo 2;
iv) permitir apenas à equipa da Cepheid, ter acesso aos Dados Pessoais, caso necessitem de aceder a Dados Pessoais relevantes, na medida do razoavelmente necessário, ao abrigo do presente Acordo, ficando todas essas pessoas sujeitas a um dever de confidencialidade;
v) prestar toda a assistência, na medida do razoavelmente necessário, e oportunamente (incluindo através da implementação de medidas técnicas e organizacionais adequadas e razoáveis) para ajudar o Cliente a responder a: (i) qualquer pedido de um Titular de Dados, para exercer qualquer um dos seus direitos ao abrigo da Legislação Aplicável (incluindo os seus direitos de acesso, correção, objeção, eliminação e portabilidade de dados, consoante o caso); e (ii) qualquer outra correspondência, pergunta ou reclamação recebida de um Titular de Dados, autoridade de supervisão, ou através de terceiros, relacionado com o Tratamento dos Dados Pessoais. Se qualquer pedido, correspondência, inquérito ou reclamação for feito diretamente à Cepheid, a Cepheid deve informar imediatamente o Cliente, fornecendo todos os detalhes do mesmo;
vi) notificar de imediato o Cliente de:
a) qualquer pedido, inquérito, reclamação, aviso ou comunicação recebidos através de terceiros, incluindo um Titular de Dados ou uma autoridade de supervisão, com relação a
v. 230117
quaisquer Dados Pessoais e cumprir as instruções do Cliente ao responder a tal pedido, inquérito, reclamação, aviso ou comunicação; e
b) qualquer instrução do Cliente, que a Cepheid considere estar a violar as leis aplicáveis, incluindo a Legislação Aplicável;
vii) em caso de transferência internacional, as Partes concordam que, quando a transferência de Dados Pessoais for uma Transferência Restrita, ela estará sujeita às Cláusulas Contratuais-Tipo apropriadas, conforme estabelecido no Anexo 3.
viii) mediante um pedido razoável por parte do Cliente, e com a antecedência razoável necessária, apresentar os recursos que utiliza, para o Tratamento de Dados Pessoais e/ou os Dados Pessoais para auditoria, que serão realizados por representantes do Cliente, ou por um órgão de auditoria acordado por ambas as Partes, sendo os custos associados, suportados exclusivamente pelo Cliente;
ix) manter registos adequados que ajudem no cumprimento das suas obrigações nos termos do presente APD, e disponibilizá-los ao Cliente, em relação a qualquer auditoria supramencionada no ponto (viii);
x) exceto nos casos em que a Cepheid tenha estabelecido Cláusulas Contratuais Padrão, em relação a qualquer Transferência Restrita de Dados Pessoais, não transferir quaisquer Dados Pessoais de qualquer jurisdição para qualquer outra jurisdição, sem o consentimento prévio, por escrito, do Cliente;
xi) prestar assistência e cooperar com o Cliente na medida do possível, incluindo assistir o Cliente em qualquer avaliação do impacto da proteção de dados ou avaliação de impacto de privacidade (conforme exigido pela Legislação Aplicável), e consultas prévias com as autoridades competentes, para ajudar o Cliente a cumprir as suas obrigações, nomeadamente aquelas que não se encontram abrangidas pela Legislação Aplicável;
xii) manter os Dados Pessoais apenas durante o tempo necessário para a execução dos Serviços, e no final da prestação dos Serviços à escolha do Cliente, apagar ou devolver os Dados Pessoais ao Cliente (a menos que tenha sido expressamente requerido em contrário, pela legislação aplicável) e fornecer uma certificação escrita ao Cliente, caso seja solicitado, a indicar que cumpriu com os requisitos desta secção;
xiii) se a Cepheid tiver suspeitas concretas, ou tiver conhecimento de uma falha de segurança de dados:
a) fornecer ao Cliente uma notificação escrita do sucedido, sem atrasos indevidos, e nunca deixando passar mais de vinte e quatro (24) horas após ter tomado conhecimento de tal suspeita, ou confirmação de falha de segurança de dados;
b) fornecer ao Cliente informações que lhe permitam comunicar, ou informar as pessoas que foram alvo da falha de segurança de dados, quando necessário;
c) garantir uma investigação de tal falha de segurança de dados, e cooperando da melhor forma com o Cliente, reguladores e autoridades de aplicação da lei;
d) não fazer quaisquer anúncios públicos relacionados com tal falha de segurança de dados, sem a aprovação prévia por escrito do Cliente, que não deverá ser indevidamente recusado; e
v. 230117
e) tomar medidas corretivas adequadas em tempo útil, para ajudar na investigação, mitigação e remediação de uma quebra de dados, para remediar e mitigar o risco de uma recorrência de falhas de segurança de dados; e
xiv) submeter-se à escolha de jurisdição estipulada no Acordo, no que diz respeito a quaisquer litígios ou reclamações que surjam ao abrigo do presente APD, incluindo litígios relativos à sua existência, validade ou rescisão, ou às consequências da sua nulidade; e o presente APD e todas as obrigações extracontratuais, ou outras obrigações decorrentes, ou relacionadas com a mesma, são regidas pela lei do país, ou território estipulado para o efeito no presente Acordo.
As Partes não irão participar em (nem irão permitir que qualquer subprocessador participe em) quaisquer outras Transferências Restritas de Dados Pessoais (seja como exportador ou importador de Dados Pessoais), a menos que a Transferência Restrita for feita em total conformidade com a Lei Aplicável e de acordo com as Cláusulas Contratuais-Tipo implementadas entre o exportador e o importador relevantes dos Dados Pessoais.
3.3 O Cliente autoriza a Cepheid nomear Subprocessadores (e permitir que cada Subprocessador indicado nomeie outros Processadores) de acordo com a Secção 3.3 e quaisquer restrições no Acordo.
3.3.1 O Cliente fornece um consentimento geral para a Cepheid usar Subprocessadores já contratados a partir da data deste APD, desde que a Cepheid permaneça totalmente responsável perante o Cliente por dito terceiro e, em cada caso, assim que possível, celebre um acordo por escrito e executável com dito terceiro que inclui termos que não sejam menos restritivos do que as obrigações aplicáveis à Cepheid sob este APD.
3.3.2 A Cepheid mantém uma lista dos seus subprocessadores autorizados disponível mediante solicitação.
4. Diversos.
Se aplicável, as Cláusulas Contratuais-Tipo, incluindo os Anexos 1-4, devem reger e controlar na eventualidade de qualquer conflito ou inconsistência entre os termos deste APD e as Cláusulas Contratuais-Tipo.
v. 230117
Anexo 1
Descrição do Processamento de Dados
Este Anexo 1 faz parte do ADP, e descreve o Processamento que o Processador irá realizar em nome do Controlador.
Lista das Partes Processador:
1. | Nome: | Cepheid, entidade identificada no Acordo |
Morada: | Conforme definido no Acordo | |
Nome da pessoa de contacto, cargo e informação de contacto: | Conforme definido no Acordo ou entre as Partes | |
Atividades relevantes aos dados transferidos de acordo com estas Cláusulas: | Descrito neste Anexo 1 | |
Função: | Processador |
Controlador:
1. | Nome: | Cliente, entidade identificada no Acordo |
Morada: | Conforme definido no Acordo | |
Nome da pessoa de contacto, cargo e informação de contacto: | Conforme definido no Acordo ou entre as Partes | |
Atividades relevantes aos dados transferidos de acordo com estas Cláusulas: | Descrito neste Anexo 1 | |
Função: | Controlador |
Descrição da transferência Objeto do Processamento
Os Dados Pessoais são processados para os seguintes objetivos:
Suporte Técnico, otimização do fluxo de trabalho, apoio de alto nível, minimização do tempo de inatividade do cliente, resposta ao feedback do cliente, questões regulamentares, medição, análise do cliente, verificação da conectividade (resolução de problemas, implementação / LIS (sistemas de informação laboratorial)), vigilância pós-mercado e auditorias
Duração do Processamento
Os Dados Pessoais serão processados até:
Análise do cliente: Processado pelo tempo necessário para cumprir as finalidades e fornecer os serviços solicitados nos termos do Acordo, salvo acordado de outra forma por escrito
Suporte Técnico, apoio de alto nível, minimização do tempo de inatividade do Cliente, resposta ao feedback do Cliente, questões regulamentares, medição e verificação de conectividade: até à resolução do problema.
Todos os dados podem ser armazenados em arquivos para fins de vigilância pós-comercialização ou auditorias para período de retenção, dependendo do regulamento
v. 230117
Frequência da transferência
Os Dados Pessoais serão Processados numa base contínua.
Natureza do processamento:
Processamento das operações
Os Dados Pessoais serão sujeitos às seguintes atividades básicas de Processamento:
Registo, armazenamento, consulta, utilização, divulgação por transmissão, combinação, restrição, eliminação ou destruição, anonimização, pseudonimização e conforme descrito no Acordo.
Categorias dos titulares dos dados
Os Dados Pessoais a serem processados, dizem respeito às seguintes categorias de titulares de dados: Pacientes do cliente
O Cliente e os seus funcionários
Categorias de Dados Pessoais
Os Dados Pessoais a serem processados, dizem respeito às seguintes categorias de dados:
Dependendo dos dados inseridos pelo Cliente na consola do instrumento e/ou recebidos pelo Sistema de Informação Laboratorial, os seguintes dados podem ser processados para as diferentes finalidades listadas acima: ID de amostra, dados telemétricos do instrumento (temperatura, tensões, pressão, alertas e alarmes do sistema), resultados dos testes, nome, apelido, ID do paciente (os dados podem incluir categorias confidenciais ou especiais de dados pessoais)
Autoridade Competente
Esta será a autoridade supervisora do Estado-membro da UE onde o exportador está estabelecido, a Comissão de Informação se o exportador estiver estabelecido no Reino Unido ("RU") ou o FDPIC se o exportador estiver estabelecido na Suíça. Quando o exportador não estiver estabelecido num Estado- membro da UE, do RU ou da Suíça mas estiver sujeito a Lei de Proteção de Dados da UE/RU/Suíça, será a autoridade supervisora na jurisdição onde o representante da Cepheid estiver estabelecido (conforme exigido pela Lei de Proteção de Dados da UE/RU/Suíça). Quando a nomeação de um representante não for exigida pela Lei de Proteção de Dados da UE/RU/Suíça, a autoridade supervisora será o CNIL na França se os indivíduos cujos dados a transferir estiverem localizados na UE, o Comissário de Informação se os indivíduos estiverem localizados no RU ou o FDPIC se os indivíduos estiverem localizados na Suíça. Se os Dados Pessoais forem originários do Canadá, a autoridade supervisora será um dos Comissários com jurisdição sobre a matéria, conforme determinado pela Lei Aplicável de Proteção de Dados.
v. 230117
Anexo 2
Descrição das Medidas Técnicas e Organizacionais da Cepheid
Este Anexo 2 faz parte do APD e descreve as medidas técnicas e organizacionais que a Cepheid implementou em conformidade com o Artigo 32 (1) do RGPD e outras Leis Aplicáveis de Proteção de Dados.
1- No próprio local:
O associado da Cepheid pode usar uma unidade USB encriptada para extrair os dados necessários do instrumento do Cliente para corrigir problemas técnicos e desempenho do instrumento.
Para as visitas de determinação e otimização de desempenho, os associados da Cepheid acedem apenas aos dados mínimos necessários, que não contêm quaisquer dados de saúde do doente. Os dados são transferidos para o portátil do associado, são processados para a criação do relatório de clientes com recomendações, e são posteriormente eliminados de acordo com as políticas de retenção de dados da Cepheid.
2- Remotamente:
Função de acesso: Apenas os associados do Suporte Técnico e do Suporte de Campo da Cepheid têm acesso seguro aos instrumentos.
Para suporte remoto para o tratamento de reclamações, os agentes da Cepheid podem usar sessões no Ambiente de Trabalho Remoto (RDS), mas apenas após a sessão ser autorizada pelo cliente em cada caso. Transmissão de dados: De acordo com a política da Cepheid, os dados são transmitidos através de um método encriptado seguro para servidores internos da Cepheid para associados a participar em atividades de apoio ao cliente (os protocolos TLS 1.2+ são utilizados para transações seguras).
3- O Cliente envia dados:
Envio por e-mail, na plataforma web ou por fax: os dados são enviados pelo Cliente através de um método encriptado seguro para o associado interno da Cepheid na região. O Cliente, como Controlador, é responsável por tornar os Dados Pessoais anónimos e atualizar apenas os dados mínimos necessários antes de os transferir para a Cepheid (o software do instrumento da Cepheid permite ao Cliente ocultar Dados Pessoais e de Saúde específicos no relatório do seu instrumento antes de exportar).
4- Transferência de dados, dentro das funções de apoio da Cepheid:
Caso seja necessário obter suporte adicional fora da região de origem do Cliente, apenas será transmitida a informação necessária; os Dados Pessoais e de saúde desnecessários serão eliminados/tornados anónimos sempre que possível*, e os dados serão enviados através de um método seguro de partilha. Os dados em repouso são encriptados e destruídos através da política da Cepheid de suporte ao cliente apropriada.
5 - Política e Prática:
A Cepheid garante a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de processamento; Para o efeito, tem a capacidade de restaurar a disponibilidade e o acesso ao suporte de serviços relevantes e a dados de tratamento de reclamações nos sistemas da Cepheid em tempo oportuno em caso de incidente físico ou técnico.
6- Processos:
A Cepheid tem um processo para testar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento.
* O procedimento de retirar a identificação/tornar anónimo, é específico deste instrumento.
v. 230117
Anexo 3
Disposições de Transferência do RU, UE e Suíça
Este Anexo 3 faz parte do APD e estabelece como as Cláusulas Contratuais-Tipo serão celebradas:
(i) O módulo Dois aplicar-se-á na medida em que o Cliente for um controlador dos Dados Pessoais;
(ii) na Cláusula 7, aplicar-se-á a cláusula de acoplamento opcional;
(iii) na Cláusula 9, a Opção 2 aplicar-se-á, e o período de tempo para o aviso prévio de alterações do Subprocessador será conforme estabelecido na Cláusula 3.2 deste APD;
(iv) Na Cláusula 11, a linguagem opcional não aplicar-se-á;
(v) na Cláusula 17, a Opção 2 aplicar-se-á, e as CCT UE serão regidas pela lei da jurisdição de estabelecimento do exportador de dados, quando aplicável e onde tal lei permitir direitos de terceiros e, caso contrário, a lei da França;
(vi) na Cláusula 18(b), as disputas serão resolvidas perante os tribunais do país do exportador de dados e, caso contrário, os tribunais da França;
(vii) O Anexo I das CCT UE será considerado celebrado;
(A) Parte A: com a informação constante no Anexo 1 a este APD;
(B) Parte B: com a descrição de Processamento relevante constante no Anexo 1 a este APD; e
(C) Parte C: em conformidade com os critérios constantes na Cláusula 13(a) das CCT UE;
(viii) Anexo II: com as Medidas Mínimas de Segurança; e
a. As CCT UE, executadas conforme estabelecido acima na cláusula 1 deste Anexo 3, também se aplicam às transferências de tais Dados Pessoais, sujeitos à subcláusula 2.b deste Anexo 3 abaixo;
b. As Tabelas 1 a 3 do Aditamento do RU serão consideradas preenchidas com as informações relevantes das CCT UE, preenchidas conforme estabelecido anteriormente e as opções "nenhuma das Partes" serão consideradas marcadas na Tabela 4. A data de início do Aditamento do RU (conforme estabelecido na Tabela 1) será a Data Efetiva.
v. 230117
a. As CCT UE, executadas conforme estabelecido acima na cláusula 1 deste Anexo 3, também se aplicam às transferências de tais Dados Pessoais, sujeitos à subcláusula 3.b deste Anexo 3 abaixo;
b. as Cláusulas Contratuais-Tipo incorporadas por referência irão proteger os Dados Pessoais das entidades legais na Suíça até à entrada em vigor do LFPD revisto.
v. 230117
Anexo 4
4.1 Requisitos adicionais para a transferência de Dados Pessoais fora do Espaço Económico Europeu
Os seguintes requisitos adicionais devem ser aplicados a qualquer Transferência Restrita:
1. O Cliente deve disponibilizar regularmente à Cepheid informações relativamente aos pedidos de autoridades públicas para acesso a Dados Pessoais e à forma de resposta fornecida (se permitida por lei);
2. O Cliente garante que não criou propositadamente backdoors técnicos ou processos internos para facilitar o acesso direto das autoridades públicas aos Dados Pessoais, e não é exigido pela lei aplicável ou prática criar ou manter backdoors;
3. O Cliente deve questionar qualquer autoridade pública que efetue um pedido de acesso sobre Xxxxx Xxxxxxxx se está a cooperar com quaisquer outras autoridades estatais em relação ao assunto;
4. O Cliente deve prestar assistência razoável aos titulares de dados no exercício dos seus direitos aos Dados Pessoais na jurisdição recetora;
5. O Cliente deve cooperar com a Cepheid na eventualidade de uma autoridade supervisora relevante ou tribunal determinar que uma transferência de Dados Pessoais deve estar sujeita a garantias adicionais específicas;
6. O Cliente deve implementar encriptação e/ou outras medidas técnicas suficientes para proteger razoavelmente contra a interceção de Xxxxx Xxxxxxxx durante o tráfego ou outro acesso não autorizado por autoridades públicas; e
7. O Cliente deve ter políticas e procedimentos apropriados em vigor, incluindo formação, de forma a que os pedidos de acesso aos Dados Pessoais das autoridades públicas sejam encaminhados para a função adequada e devidamente tratados.
4.2 Requisitos adicionais para a transferência de Dados Pessoais fora da República da África do Sul
Os seguintes requisitos adicionais aplicam-se à transferência de Dados Pessoais fora da República da África do Sul:
1. A transferência de dados pessoais fora da África do Sul deve satisfazer os seguintes parâmetros:
(A) a Parte destinatária das informações está sujeita a uma lei, a regras corporativas vinculativas ou a um acordo vinculativo que forneça um nível adequado de proteção que:
1. defenda efetivamente princípios para o processamento razoável das informações substancialmente semelhantes às condições de processamento legal de informações pessoais relativas a um titular de dados que seja uma pessoa singular e, quando aplicável, uma pessoajurídica; e
2. inclua disposições, relativamente à transferência adicional de informações pessoais do destinatário para terceiros que se encontrem num país estrangeiro;
(B) o titular dos dados consente com a transferência;
v. 230117
(C) a transferência é necessária para a execução de um contrato entre o titular dos dados e a parte responsável, ou para a implementação de diligências prévias à formação do contrato decididas em respostas ao pedido do titular dos dados;
(D) a transferência é necessária para a celebração ou execução de um contrato celebrado no interesse do titular dos dados entre a parte responsável e um terceiro; ou
(E) a transferência é em benefício do titular dos dados, e:
1. não é razoavelmente praticável obter o consentimento do titular dos dados para essa transferência; e
2. se fosse razoavelmente praticável obter o consentimento esse consentimento, o titular dos dados provavelmente o concederia.
2. Para efeitos desta secção:
(A) “regras corporativas vinculativas” significa políticas de tratamento de informações pessoais, dentro de um grupo de empresas, que são aplicáveis a uma parte responsável ou operador desse grupo de empresas ao transferir informações pessoais para uma parte responsável ou operador dentro desse mesmo grupo de empresas num país estrangeiro; e
(B) «grupo de empresas», significa uma empresa que exerce o controlo e as suas empresas controladas;
v. 230117