Este DPA é celebrado entre o Responsável pelo Tratamento e o Subcontratante e é incorporado e regido pelos termos do Acordo.
Qualquer termo com inicial maiúscula não definido neste DPA terá o significado que lhe é atribuído no Acordo.
| “Afiliada” | significa qualquer entidade que, direta ou indiretamente, controle, seja controlada por, ou esteja sob controlo comum de uma parte. Para efeitos desta definição, “Controlo” significa a propriedade direta ou indireta, ou o controlo, de mais de 50% dos direitos de voto de uma parte; |
| “Acordo” | significa o acordo entre o Responsável pelo Tratamento e o Subcontratante para a prestação dos Serviços; |
| “CCPA” | significa a California Consumer Privacy Act de 2018, juntamente com os respetivos regulamentos e conforme alterada periodicamente; |
| “Responsável pelo Tratamento” | significa o Cliente; |
| “Legislação de Proteção de Dados” | significa todas as leis e regulamentos, incluindo as leis e regulamentos da União Europeia, do Espaço Económico Europeu, dos respetivos Estados-Membros e do Reino Unido, bem como quaisquer alterações, substituições ou renovações dos mesmos, aplicáveis ao tratamento de Dados Pessoais, incluindo, quando aplicável, as Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2020, o RGPD da UE, o RGPD do Reino Unido, a UK Data Protection Act 2018, a FADP, a CCPA e quaisquer leis nacionais de execução aplicáveis, regulamentos e legislação secundária relativa ao tratamento de Dados Pessoais e à privacidade das comunicações eletrónicas, conforme alterados, substituídos ou atualizados periodicamente, incluindo a Diretiva ePrivacy (2002/58/CE) e as Privacy and Electronic Communications (EC Directive) Regulations 2003 (SI 2003/2426); |
| “Titular dos Dados” | terá o mesmo significado que na Legislação de Proteção de Dados ou significa um “Consumidor”, conforme esse termo é definido na CCPA; |
| “DPA” | significa este acordo de tratamento de dados, juntamente com os Anexos A, B e C; |
| “EEE” | significa o Espaço Económico Europeu; |
| “RGPD da UE” | significa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados); |
| “FADP” | significa a nova Lei Federal Suíça sobre a Proteção de Dados, de 1 de setembro de 2023, conforme alterada periodicamente; |
| “Dados Pessoais” | terá o mesmo significado que na Legislação de Proteção de Dados; |
| “Subcontratante” | significa a Empresa, incluindo, quando aplicável, qualquer “Prestador de Serviços”, conforme esse termo é definido pela CCPA; |
| “Transferência Restrita” | significa: (i) quando o RGPD da UE se aplica, uma transferência de Dados Pessoais através dos Serviços a partir do EEE, quer diretamente quer por transferência subsequente, para qualquer país ou destinatário fora do EEE que não esteja sujeito a uma decisão de adequação da Comissão Europeia; e (ii) quando o RGPD do Reino Unido se aplica, uma transferência de Dados Pessoais através dos Serviços a partir do Reino Unido, quer diretamente quer por transferência subsequente, para qualquer país ou destinatário fora do Reino Unido que não se baseie em regulamentos de adequação nos termos da Secção 17A da United Kingdom Data Protection Act 2018; e (iii) uma transferência de Dados Pessoais através dos Serviços a partir da Suíça, quer diretamente quer por transferência subsequente, para qualquer país ou destinatário fora do EEE e/ou da Suíça que não esteja sujeito a uma decisão de adequação da Comissão Europeia; |
| “Serviços” | significa todos os serviços e aplicações de software e soluções prestados ao Responsável pelo Tratamento pelo Subcontratante ao abrigo e conforme descrito no Acordo; |
| “SCCs” | significa: (i) quando o RGPD da UE se aplica, as cláusulas contratuais-tipo anexas à Decisão de Execução (UE) 2021/914 da Comissão Europeia, de 4 de junho de 2021, sobre cláusulas contratuais-tipo para a transferência de dados pessoais para países terceiros, publicadas em https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN (“SCCs da UE”); e (ii) quando o RGPD do Reino Unido se aplica, as cláusulas-tipo de proteção de dados adotadas ao abrigo do Artigo 46(2)(c) do RGPD do Reino Unido, conforme estabelecido no Anexo C deste DPA (“SCCs do Reino Unido”); e (iii) quando os Dados Pessoais são transferidos da Suíça para fora da Suíça ou do EEE, as SCCs da UE conforme alteradas de acordo com orientações da Autoridade Suíça de Proteção de Dados (“SCCs Suíças”); |
| “Sub-subcontratante” | significa qualquer terceiro (incluindo Afiliadas do Subcontratante) contratado direta ou indiretamente pelo Subcontratante para tratar Dados Pessoais ao abrigo deste DPA na prestação dos Serviços ao Responsável pelo Tratamento; |
| “Autoridade de Controlo” | significa um organismo regulador governamental ou investido de poderes por lei, com autoridade legal vinculativa sobre uma parte; |
| “RGPD do Reino Unido” | significa o RGPD da UE na medida em que integra o direito de Inglaterra e País de Gales, Escócia e Irlanda do Norte, por força da secção 3 da European Union (Withdrawal) Act 2018. |
2.1. O Subcontratante concordou em prestar os Serviços ao Responsável pelo Tratamento de acordo com os termos do Acordo. Ao prestar os Serviços, o Subcontratante tratará Dados do Cliente em nome do Responsável pelo Tratamento. Os Dados do Cliente podem incluir Dados Pessoais. O Subcontratante tratará e protegerá esses Dados Pessoais de acordo com os termos do presente DPA.
3.1. Ao prestar os Serviços ao Responsável pelo Tratamento nos termos do Acordo, o Subcontratante tratará Dados Pessoais apenas na medida necessária para prestar os Serviços de acordo com os termos do Acordo, deste DPA e das instruções do Responsável pelo Tratamento documentadas no Acordo e neste DPA, conforme atualizadas periodicamente.
3.2. O Responsável pelo Tratamento e o Subcontratante tomarão medidas para garantir que qualquer pessoa singular que atue sob a autoridade do Responsável pelo Tratamento ou do Subcontratante e que tenha acesso a Dados Pessoais não os trate, exceto de acordo com as instruções do Responsável pelo Tratamento, salvo se tal for exigido por qualquer Legislação de Proteção de Dados.
4.1. O Subcontratante pode recolher, tratar ou utilizar Dados Pessoais apenas no âmbito do presente DPA.
4.2. O Subcontratante confirma que tratará Dados Pessoais em nome do Responsável pelo Tratamento de acordo com as instruções documentadas do Responsável pelo Tratamento.
4.3. O Subcontratante informará prontamente o Responsável pelo Tratamento caso, na opinião do Subcontratante, quaisquer instruções relativas ao tratamento de Dados Pessoais fornecidas pelo Responsável pelo Tratamento violem a Legislação de Proteção de Dados.
4.4. O Subcontratante assegurará que todos os colaboradores, agentes, administradores e prestadores envolvidos no tratamento de Dados Pessoais: (i) estão cientes da natureza confidencial dos Dados Pessoais e estão contratualmente obrigados a manter os Dados Pessoais confidenciais; (ii) receberam formação adequada sobre as suas responsabilidades enquanto subcontratante; e (iii) estão vinculados pelos termos do presente DPA.
4.5. O Subcontratante implementará medidas técnicas e organizativas adequadas para proteger os Dados Pessoais, tendo em conta o estado da técnica, os custos de implementação e a natureza, âmbito, contexto e finalidades do tratamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas singulares.
4.6. O Subcontratante implementará medidas técnicas e organizativas adequadas para garantir um nível de segurança apropriado ao risco, incluindo, entre outras, quando apropriado: (i) a pseudonimização e a encriptação de Dados Pessoais; (ii) a capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de tratamento; (iii) a capacidade de restaurar a disponibilidade e o acesso a Dados Pessoais atempadamente em caso de incidente físico ou técnico; (iv) um processo de teste, avaliação e apreciação regulares da eficácia das medidas técnicas e organizativas para assegurar a segurança do tratamento. Ao avaliar o nível de segurança adequado, serão tidos em especial consideração os riscos apresentados pelo tratamento, nomeadamente os decorrentes da destruição, perda, alteração, divulgação não autorizada ou acesso não autorizado, acidentais ou ilícitos, a Dados Pessoais transmitidos, armazenados ou de outra forma tratados.
4.7. As medidas técnicas e organizativas detalhadas no Anexo B serão sempre cumpridas, no mínimo, como padrão de segurança. O Responsável pelo Tratamento reconhece e concorda que as medidas técnicas e organizativas estão sujeitas a desenvolvimento e revisão e que o Subcontratante poderá utilizar medidas alternativas adequadas às detalhadas nos anexos ao presente DPA, desde que tais medidas sejam, pelo menos, equivalentes às medidas técnicas e organizativas previstas no Anexo B e adequadas de acordo com as obrigações do Subcontratante nas cláusulas 4.5 e 4.6 acima.
4.8. O Responsável pelo Tratamento reconhece e concorda que, no âmbito da prestação dos Serviços ao Responsável pelo Tratamento, poderá ser necessário o Subcontratante aceder aos Dados Pessoais para responder a quaisquer problemas técnicos ou questões do Responsável pelo Tratamento e para assegurar o funcionamento adequado dos Serviços. Todo esse acesso por parte do Subcontratante será limitado a essas finalidades.
4.9. Tendo em conta a natureza do tratamento e as informações disponíveis para o Subcontratante, o Subcontratante assistirá o Responsável pelo Tratamento, disponibilizando medidas técnicas e organizativas adequadas, na medida do possível, para o cumprimento da obrigação do Responsável pelo Tratamento de responder a pedidos de exercício dos direitos do Titular dos Dados e para a conformidade do Responsável pelo Tratamento com as suas obrigações de proteção de dados relativamente ao tratamento de Dados Pessoais.
4.10. O Subcontratante não pode: (i) vender Dados Pessoais; (ii) conservar, utilizar ou divulgar Dados Pessoais para fins comerciais que não a prestação dos Serviços nos termos do Acordo; ou (iii) conservar, utilizar ou divulgar Dados Pessoais fora dos termos do Acordo.
5.1. O Responsável pelo Tratamento declara e garante que: (i) cumprirá este DPA e as suas obrigações ao abrigo da Legislação de Proteção de Dados; (ii) obteve todas e quaisquer permissões e autorizações necessárias para permitir que o Subcontratante, as suas Afiliadas e Sub-subcontratantes exerçam os seus direitos ou cumpram as suas obrigações ao abrigo do presente DPA; e (iii) todas as Afiliadas do Responsável pelo Tratamento que utilizem os Serviços cumprirão as obrigações do Responsável pelo Tratamento estabelecidas no presente DPA.
5.2. O Responsável pelo Tratamento implementará medidas técnicas e organizativas adequadas para proteger os Dados Pessoais, tendo em conta o estado da técnica, os custos de implementação e a natureza, âmbito, contexto e finalidades do tratamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas singulares. O Responsável pelo Tratamento implementará medidas técnicas e organizativas adequadas para garantir um nível de segurança apropriado ao risco, incluindo, entre outras, quando apropriado: (i) a pseudonimização e a encriptação de Dados Pessoais; (ii) a capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de tratamento; (iii) a capacidade de restaurar a disponibilidade e o acesso a Dados Pessoais atempadamente em caso de incidente físico ou técnico; (iv) um processo de teste, avaliação e apreciação regulares da eficácia das medidas técnicas e organizativas para assegurar a segurança do tratamento. Ao avaliar o nível de segurança adequado, serão tidos em especial consideração os riscos apresentados pelo tratamento, nomeadamente os decorrentes da destruição, perda, alteração, divulgação não autorizada ou acesso não autorizado, acidentais ou ilícitos, a Dados Pessoais transmitidos, armazenados ou de outra forma tratados.
5.3. O Responsável pelo Tratamento reconhece e concorda que algumas instruções do Responsável pelo Tratamento, incluindo o Subcontratante prestar assistência em auditorias, inspeções, DPIAs ou prestar qualquer assistência ao abrigo do presente DPA, podem resultar em taxas adicionais. Nesse caso, o Subcontratante notificará o Responsável pelo Tratamento antecipadamente das suas taxas pela prestação dessa assistência e terá o direito de cobrar ao Responsável pelo Tratamento os seus custos e despesas razoáveis incorridos na prestação dessa assistência, salvo acordo escrito em contrário.
6.1. O Responsável pelo Tratamento reconhece e concorda que o Subcontratante pode contratar Sub-subcontratantes no âmbito da prestação dos Serviços.
6.2. Todos os Sub-subcontratantes que tratem Dados Pessoais na prestação dos Serviços ao Responsável pelo Tratamento devem cumprir as obrigações do Subcontratante estabelecidas no presente DPA.
6.3. O Responsável pelo Tratamento autoriza o Subcontratante a utilizar os Sub-subcontratantes incluídos na lista de Sub-subcontratantes publicada em: https://multiply.cloud/en/legal-resources/ para tratar os Dados Pessoais. Durante a vigência deste DPA, o Subcontratante notificará o Responsável pelo Tratamento, com 30 dias de antecedência, por email, de quaisquer alterações à lista de Sub-subcontratantes antes de autorizar qualquer novo ou substituto Sub-subcontratante a tratar Dados Pessoais no âmbito da prestação dos Serviços.
6.4. O Responsável pelo Tratamento pode opor-se à utilização de um novo ou substituto Sub-subcontratante, notificando prontamente o Subcontratante por escrito no prazo de quinze (15) dias após a receção do aviso do Subcontratante. Se o Responsável pelo Tratamento se opuser a um novo ou substituto Sub-subcontratante, o Responsável pelo Tratamento poderá rescindir o Acordo relativamente aos Serviços que não possam ser prestados pelo Subcontratante sem a utilização do novo ou substituto Sub-subcontratante. O Subcontratante reembolsará ao Responsável pelo Tratamento quaisquer taxas pré-pagas que cubram o restante período de vigência do Acordo após a data efetiva de rescisão relativamente a tais Serviços rescindidos.
6.5. Todos os Sub-subcontratantes que tratem Dados Pessoais devem cumprir as obrigações do Subcontratante estabelecidas no presente DPA. Antes de o Sub-subcontratante relevante realizar quaisquer atividades de tratamento relativamente aos Dados Pessoais, o Subcontratante deverá: (i) contratar cada Sub-subcontratante através de um contrato escrito que contenha, em termos substanciais, as mesmas obrigações do Subcontratante previstas neste DPA, exequíveis pelo Subcontratante; e (ii) assegurar que cada Sub-subcontratante cumpre todas essas obrigações.
6.6. O Responsável pelo Tratamento concorda que o Subcontratante e os seus Sub-subcontratantes podem realizar Transferências Restritas de Dados Pessoais com a finalidade de prestar os Serviços ao Responsável pelo Tratamento de acordo com o Acordo. O Subcontratante confirma que esses Sub-subcontratantes: (i) estão localizados num país terceiro ou território reconhecido pela Comissão Europeia ou por uma Autoridade de Controlo, conforme aplicável, como dispondo de um nível adequado de proteção; ou (ii) celebraram as SCCs aplicáveis com o Subcontratante; ou (iii) dispõem de outras salvaguardas adequadas legalmente reconhecidas.
7.1. As partes concordam que, quando ocorrer uma transferência de Dados Pessoais entre o Responsável pelo Tratamento e o Subcontratante, ou do Subcontratante para um Sub-subcontratante, que constitua uma Transferência Restrita, a mesma estará sujeita às SCCs aplicáveis.
7.2. As partes concordam que as SCCs da UE se aplicarão às Transferências Restritas a partir do EEE. As SCCs da UE serão consideradas celebradas (e incorporadas neste DPA por referência) e completadas do seguinte modo:
7.3. As partes concordam que as SCCs da UE, conforme alteradas na cláusula 7.2 acima, serão ajustadas conforme abaixo quando a FADP se aplicar a qualquer Transferência Restrita:
O Comissário Federal Suíço para a Proteção de Dados e Informação (“FDPIC”) será a única Autoridade de Controlo para Transferências Restritas exclusivamente sujeitas à FADP; Transferências Restritas sujeitas simultaneamente à FADP e ao RGPD da UE serão tratadas pela Autoridade de Controlo da UE identificada no Anexo A deste DPA; O termo “Estado-Membro” não deve ser interpretado de modo a excluir os Titulares dos Dados na Suíça da possibilidade de intentar ações para fazer valer os seus direitos no seu local de residência habitual (Suíça), de acordo com a Cláusula 18(c) das SCCs da UE; Quando as Transferências Restritas estiverem exclusivamente sujeitas à FADP, todas as referências ao RGPD nas SCCs da UE devem ser entendidas como referências à FADP; Quando as Transferências Restritas estiverem sujeitas simultaneamente à FADP e ao RGPD da UE, todas as referências ao RGPD nas SCCs da UE devem ser entendidas como referências à FADP na medida em que as Transferências Restritas estejam sujeitas à FADP; As SCCs Suíças também protegem os Dados Pessoais de pessoas coletivas até à entrada em vigor da FADP revista. 7.4. As partes concordam que as SCCs do Reino Unido se aplicarão às Transferências Restritas a partir do Reino Unido e as SCCs do Reino Unido serão consideradas celebradas (e incorporadas neste DPA por referência), conforme estabelecido no Anexo C deste DPA.
7.5. Caso qualquer disposição deste DPA contradiga, direta ou indiretamente, quaisquer SCCs, prevalecerão as disposições das SCCs aplicáveis sobre os termos do DPA.
8.1. O Responsável pelo Tratamento pode exigir a correção, eliminação, bloqueio e/ou disponibilização dos Dados Pessoais durante ou após a cessação do Acordo. O Responsável pelo Tratamento reconhece e concorda que o Subcontratante tratará o pedido na medida em que seja lícito e cumprirá razoavelmente tal pedido de acordo com os seus procedimentos operacionais padrão, na medida do possível.
8.2. Caso o Subcontratante receba um pedido de um Titular dos Dados relativo a Dados Pessoais, o Subcontratante encaminhará o Titular dos Dados para o Responsável pelo Tratamento, salvo se a lei o proibir. O Responsável pelo Tratamento reembolsará o Subcontratante por todos os custos incorridos decorrentes da prestação de assistência razoável no tratamento de um pedido de Titular dos Dados. Caso o Subcontratante seja legalmente obrigado a responder ao Titular dos Dados, o Responsável pelo Tratamento cooperará plenamente com o Subcontratante, conforme aplicável.
9.1. O Subcontratante disponibilizará ao Responsável pelo Tratamento todas as informações razoavelmente necessárias para demonstrar a conformidade com as suas obrigações de tratamento e permitirá e contribuirá para auditorias e inspeções.
9.2. Qualquer auditoria realizada ao abrigo deste DPA consistirá na análise dos relatórios, certificados e/ou extratos mais recentes preparados por um auditor independente vinculado a obrigações de confidencialidade semelhantes às previstas no Acordo. Caso tal não seja considerado suficiente, na opinião razoável do Responsável pelo Tratamento, o Responsável pelo Tratamento pode realizar uma auditoria mais abrangente que será: (i) a expensas do Responsável pelo Tratamento; (ii) limitada, quanto ao seu âmbito, a matérias específicas do Responsável pelo Tratamento e previamente acordadas; (iii) realizada durante o horário normal de funcionamento do Subcontratante e mediante aviso prévio razoável, que não será inferior a 4 semanas, salvo se tiver surgido uma questão material identificável; e (iv) conduzida de modo a não interferir com a atividade diária do Subcontratante.
9.3. Esta cláusula não altera nem limita os direitos de auditoria do Responsável pelo Tratamento; pretende, antes, clarificar os procedimentos relativamente a qualquer auditoria realizada ao abrigo da mesma.
10.1. O Subcontratante notificará o Responsável pelo Tratamento sem demora injustificada após tomar conhecimento (e, em qualquer caso, no prazo de 72 horas após a descoberta) de qualquer violação de segurança que conduza à destruição, perda, alteração, divulgação não autorizada ou acesso não autorizado, acidentais ou ilícitos, a quaisquer Dados Pessoais (“Violação de Dados Pessoais”).
10.2. Em caso de Violação de Dados Pessoais, o Subcontratante tomará todas as medidas comercialmente razoáveis para proteger os Dados Pessoais, limitar os efeitos de qualquer Violação de Dados Pessoais e assistir o Responsável pelo Tratamento no cumprimento das suas obrigações ao abrigo da lei aplicável.
11.1. O Subcontratante notificará prontamente o Responsável pelo Tratamento de qualquer pedido ou reclamação relativa ao tratamento de Dados Pessoais que impacte negativamente o Responsável pelo Tratamento, salvo se tal notificação não for permitida ao abrigo da lei aplicável ou de uma ordem judicial relevante.
11.2. O Subcontratante pode fazer cópias e/ou conservar Dados Pessoais para cumprir quaisquer requisitos legais ou regulamentares, incluindo, entre outros, requisitos de conservação.
11.3. O Subcontratante assistirá razoavelmente o Responsável pelo Tratamento no cumprimento da obrigação de realizar avaliações de impacto sobre a proteção de dados (DPIAs), tendo em conta a natureza do tratamento e as informações disponíveis para o Subcontratante.
11.4. O Responsável pelo Tratamento notificará o Subcontratante, num prazo razoável, de quaisquer alterações às leis, códigos ou regulamentos de proteção de dados aplicáveis que possam afetar os deveres contratuais do Subcontratante. O Subcontratante responderá num prazo razoável relativamente a quaisquer alterações que precisem de ser efetuadas aos termos deste DPA ou às medidas técnicas e organizativas para manter a conformidade. Caso o Subcontratante não consiga acomodar as alterações necessárias, o Responsável pelo Tratamento pode rescindir a parte ou partes dos Serviços que dão origem à não conformidade. Na medida em que outras partes dos Serviços prestados não sejam afetadas por essas alterações, a prestação desses Serviços manter-se-á inalterada.
11.5. O Responsável pelo Tratamento e o Subcontratante e, quando aplicável, os seus representantes, cooperarão, a pedido, com uma Autoridade de Controlo no cumprimento das respetivas obrigações ao abrigo deste DPA e da Legislação de Proteção de Dados.
12.1. As limitações de responsabilidade estabelecidas no Acordo aplicam-se a todas as reclamações apresentadas em virtude de qualquer violação dos termos deste DPA.
12.2. As partes concordam que o Subcontratante será responsável por quaisquer violações deste DPA causadas por atos e omissões, ou negligência, dos seus Sub-subcontratantes, na mesma medida em que o Subcontratante seria responsável se prestasse diretamente os serviços de cada Sub-subcontratante ao abrigo dos termos do DPA, sujeito a quaisquer limitações de responsabilidade estabelecidas nos termos do Acordo.
12.3. As partes concordam que o Responsável pelo Tratamento será responsável por quaisquer violações deste DPA causadas por atos e omissões, ou negligência, das suas Afiliadas, como se tais atos, omissões ou negligência tivessem sido cometidos pelo próprio Responsável pelo Tratamento.
12.4. O Responsável pelo Tratamento não terá direito a recuperar mais do que uma vez relativamente à mesma perda.
13.1. O Subcontratante apenas tratará Dados Pessoais durante o prazo de vigência do DPA. O prazo deste DPA terá início na Data de Entrada em Vigor do Acordo e este DPA cessará automaticamente com a cessação ou expiração do Acordo.
14.1. O Subcontratante, à escolha do Responsável pelo Tratamento, mediante receção de um pedido escrito recebido no prazo de 30 dias após o fim da prestação dos Serviços, eliminará ou devolverá os Dados Pessoais ao Responsável pelo Tratamento. Em qualquer caso, o Subcontratante eliminará todas as cópias de Dados Pessoais nos seus sistemas no prazo de 1 ano a contar da data efetiva de cessação do Acordo ou da desativação da conta do Responsável pelo Tratamento, salvo se a legislação ou regulamentação aplicável exigir o armazenamento dos Dados Pessoais após a cessação.
15.1. Este DPA estabelece a totalidade do entendimento das partes relativamente ao objeto do mesmo.
15.2. Caso uma disposição deste DPA seja inválida ou se torne inválida, o efeito jurídico das restantes disposições não será afetado. Considera-se acordada uma disposição válida que mais se aproxime do que as partes pretendiam do ponto de vista comercial e que substituirá a disposição inválida. O mesmo se aplica a quaisquer omissões.
15.3. Sem prejuízo de qualquer disposição em contrário das SCCs, este DPA será regido pelas leis de Inglaterra e País de Gales. Os tribunais de Inglaterra terão jurisdição exclusiva para a resolução de quaisquer litígios emergentes deste DPA.
15.4. As partes concordam que este DPA é incorporado e regido pelos termos do Acordo.
Lista de Partes, Descrição do Tratamento e Transferência de Dados Pessoais, Autoridade de Controlo Competente
A. Lista de Partes
| significa o Cliente. | |
| Endereço: | Conforme estabelecido para o Cliente no Acordo. |
| Nome, cargo e dados de contacto da pessoa de contacto: | Conforme fornecido pelo Cliente na sua conta e utilizado para fins de notificação e faturação. |
| Conforme fornecido pelo Cliente na sua conta e utilizado para fins de notificação e faturação. | Utilização dos Serviços. |
| Assinatura e data: | Ao celebrar o Acordo, considera-se que o Exportador assinou as SCCs incorporadas neste DPA e incluindo os respetivos Anexos, a partir da Data de Entrada em Vigor do Acordo. |
| Função: | Responsável pelo Tratamento. |
| Nome do Representante (se aplicável): | Qualquer representante no Reino Unido ou na UE indicado na política de privacidade do Exportador. |
| significa a Multiply Software Limited. | |
| Endereço: | 2 Leman Street, London, E1W 9US, United Kingdom |
| Nome, cargo e dados de contacto da pessoa de contacto: | Julien Demoor Chief Executive Officer
|
| Atividades relevantes para os dados transferidos ao abrigo das SCCs: | A prestação de soluções de cloud computing ao Exportador, ao abrigo das quais o Importador trata Dados Pessoais segundo as instruções do Exportador, em conformidade com os termos do Acordo. |
| Assinatura e data: | Ao celebrar o Acordo, considera-se que o Exportador assinou as SCCs incorporadas neste DPA e incluindo os respetivos Anexos, a partir da Data de Entrada em Vigor do Acordo. |
| Função: | Subcontratante. |
| Categorias de Titulares dos Dados: | Colaboradores, agentes, assessores, consultores e freelancers do Responsável pelo Tratamento (que sejam pessoas singulares). Utilizadores, Afiliadas e outros participantes autorizados pelo Responsável pelo Tratamento a aceder ou utilizar os Serviços de acordo com os termos do Acordo. |
| Categorias de Dados Pessoais: | Categorias de Dados Pessoais: O Responsável pelo Tratamento pode submeter Dados Pessoais aos Serviços, cuja extensão é determinada e controlada pelo Responsável pelo Tratamento. Os Dados Pessoais incluem, entre outros:
|
| Dados Sensíveis: | Não serão tratados nem transferidos dados sensíveis e estes não devem constar do conteúdo de emails ou dos respetivos anexos. |
| Frequência do tratamento e da transferência (por ex., se os dados são transferidos numa base pontual ou contínua): | Em base contínua durante a vigência do Acordo. |
| Natureza do tratamento: | As operações de tratamento incluem, entre outras:
|
| Finalidade(s) da transferência de dados e do tratamento subsequente: | Os Dados Pessoais são transferidos para subcontratados que necessitam de tratar alguns Dados Pessoais para prestar os seus serviços ao Subcontratante, como parte dos Serviços prestados pelo Subcontratante ao Responsável pelo Tratamento. |
| Período durante o qual os Dados Pessoais serão conservados ou, se tal não for possível, os critérios utilizados para determinar esse período: | Salvo acordo escrito em contrário, durante a vigência do Acordo, sujeito à cláusula 14 do DPA. |
| Para transferências para (Sub-)subcontratantes, indicar também o objeto, a natureza e a duração do tratamento: | A lista de Sub-subcontratantes publicada em: https://multiply.cloud/en/sub-processor-list/ descreve os Dados Pessoais tratados por cada Sub-subcontratante e os serviços prestados por cada Sub-subcontratante. |
| Identifique a(s) autoridade(s) de controlo competente(s) (por ex., de acordo com a Cláusula 13 das SCCs) | Quando o RGPD da UE se aplica, a Autoridade Irlandesa de Proteção de Dados – Data Protection Commission (DPC). Quando o RGPD do Reino Unido se aplica, o Information Commissioner’s Office do Reino Unido (ICO). Quando a FADP se aplica, o Swiss Federal Data Protection and Information Commissioner (FDPIC). |
Anexo B
Medidas Técnicas e Organizativas de Segurança
(Incluindo Medidas Técnicas e Organizativas para Garantir a Segurança dos Dados)
Segue-se uma descrição das medidas técnicas e organizativas implementadas pelo Subcontratante (incluindo quaisquer certificações relevantes) para assegurar um nível de segurança adequado, tendo em conta a natureza, o âmbito, o contexto e a finalidade do tratamento, bem como os riscos para os direitos e liberdades das pessoas singulares.
Quando aplicável, este Anexo B servirá como Anexo II às SCCs.
| Medida | Descrição |
| Medidas de pseudonimização e encriptação de Dados Pessoais | Para efeitos de controlo de transferências, é utilizada tecnologia de encriptação. A adequação de uma tecnologia de encriptação é avaliada em função da finalidade de proteção. Os dados arquivados do Responsável pelo Tratamento são encriptados em repouso utilizando encriptação AES256 bits. Os dados em trânsito são protegidos por Transport Layer Security (“TLS”). |
| Medidas para garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de tratamento | O acesso aos dados necessários para a execução da tarefa específica é garantido nos sistemas e aplicações através de um conceito correspondente de funções e autorizações. De acordo com os princípios de “menor privilégio” e “need-to-know”, cada função tem apenas os direitos necessários para o cumprimento da tarefa a executar pela pessoa. Para manter o controlo de acesso aos dados, é aplicada tecnologia de encriptação de última geração aos próprios Dados Pessoais quando tal seja considerado apropriado para proteger dados sensíveis com base no risco. |
| Processos para testar, avaliar e apreciar regularmente a eficácia das medidas técnicas e organizativas, de modo a assegurar a segurança do tratamento | O Subcontratante realiza múltiplas auditorias internas. O Subcontratante procura automatizar auditorias; por isso, a maioria da monitorização da sua infraestrutura é automatizada e funciona 24/7, com base em vários referenciais (CIS, NEST, etc.). O Subcontratante obtém uma auditoria externa de segurança e conformidade uma vez por ano civil. |
| Medidas de identificação e autorização de utilizadores | O acesso remoto aos sistemas de tratamento de dados só é possível através do túnel VPN seguro do Subcontratante. Se os utilizadores se autenticarem primeiro no túnel VPN seguro, após autenticação bem-sucedida a autorização é executada através do fornecimento de um nome de utilizador e palavra-passe únicos a um serviço de diretório centralizado. Todas as tentativas de acesso, bem-sucedidas e mal-sucedidas, são registadas e monitorizadas. |
| Medidas para a proteção dos dados durante a transmissão | Os dados em trânsito são protegidos por Transport Layer Security (“TLS”). |
| Medidas para a proteção dos dados durante o armazenamento | Os Dados Pessoais são conservados apenas internamente e em servidores de centros de dados de terceiros. Os dados arquivados do Responsável pelo Tratamento são encriptados em repouso através de encriptação, e os dados em trânsito são protegidos por Transport Layer Security (“TLS”). |
| Medidas de governação e gestão interna de TI e segurança de TI | Os colaboradores são instruídos a recolher, tratar e utilizar Dados Pessoais apenas no âmbito e para as finalidades das suas funções (por ex., prestação de serviços). Ao nível técnico, a capacidade multi-cliente inclui separação de funções, bem como a separação adequada entre sistemas de teste e de produção. Os Dados Pessoais do Responsável pelo Tratamento são armazenados de forma a separá-los logicamente de outros dados de clientes. |
| Medidas para garantir a minimização de dados | Se os Dados Pessoais deixarem de ser necessários para as finalidades para as quais foram tratados, são eliminados prontamente. Note-se que, em cada eliminação, os Dados Pessoais são inicialmente apenas bloqueados e depois eliminados definitivamente com um certo atraso. Isto é feito para evitar eliminações acidentais ou possíveis danos intencionais. |
| Medidas para garantir a qualidade dos dados | Todos os dados que o Subcontratante detém são fornecidos pelo Responsável pelo Tratamento. O Subcontratante não avalia a qualidade dos dados fornecidos pelo Responsável pelo Tratamento. O Subcontratante disponibiliza ferramentas de reporting no seu produto para ajudar o Responsável pelo Tratamento a compreender e validar os dados armazenados. |
| Medidas para garantir a limitação da conservação de dados | O Subcontratante utiliza um esquema de classificação de dados para todos os dados que armazena e a sua política de conservação especifica como cada tipo de dado é conservado. Quando um registo com Dados Pessoais é eliminado, será removido permanentemente das bases de dados ativas. Os dados são conservados nos backups até serem substituídos por backups mais recentes, de acordo com a política de conservação de dados. |
| Medidas para garantir a responsabilização | O Subcontratante revê internamente as suas políticas de segurança da informação semestralmente, para garantir que continuam relevantes e estão a ser cumpridas. Todos os colaboradores que tratam dados sensíveis devem reconhecer as políticas de segurança da informação. Estes colaboradores recebem formação de reciclagem sobre as políticas de segurança da informação uma vez por ano. Existe uma política disciplinar para colaboradores que não cumpram as políticas de segurança da informação. |
| Medidas a adotar pelo (Sub-)subcontratante para poder prestar assistência ao Responsável pelo Tratamento (e, para transferências de um Subcontratante para um Sub-subcontratante, ao Exportador de Dados). | A transferência de Dados Pessoais para terceiros (por ex., clientes, subcontratados, prestadores de serviços) só é efetuada se existir um contrato correspondente e apenas para finalidades específicas. Se os Dados Pessoais forem transferidos para fora do EEE, o Subcontratante assegura que existe um nível adequado de proteção de dados no local ou organização de destino, em conformidade com os requisitos de proteção de dados da União Europeia, por exemplo através da utilização de contratos baseados nas SCCs da UE. |
Anexo C
Adenda de Transferência Internacional de Dados às Cláusulas Contratuais-Tipo da Comissão Europeia
VERSÃO B1.0, em vigor a 21 de março de 2022
Esta Adenda foi emitida pelo Information Commissioner para as Partes que efetuam Transferências Restritas. O Information Commissioner considera que a mesma fornece Salvaguardas Adequadas para Transferências Restritas quando é celebrada como contrato juridicamente vinculativo.
Parte 1: Tabelas
Tabela 1: Partes
| Data de Início | A data indicada no Anexo I das SCCs da UE Aprovadas. | - |
| As Partes | Exportador (que envia a Transferência Restrita) | Importador (que recebe a Transferência Restrita) |
| Dados das Partes | Nome legal completo:. Endereço principal: Número de registo oficial (se aplicável) (número de empresa ou identificador semelhante): | Nome legal completo: Endereço principal: Número de registo oficial (se aplicável) (número de empresa ou identificador semelhante): |
| Contacto Principal | Nome completo (opcional): Cargo: Dados de contacto, incluindo email: | Nome completo (opcional): Cargo: Dados de contacto, incluindo email: |
| Assinatura (se necessária para efeitos da Secção 2) | - | - |
Tabela 2: SCCs Selecionadas, Módulos e Cláusulas Selecionadas
| Adenda às SCCs da UE | as SCCs da UE Aprovadas, incluindo a Informação do Apêndice e com apenas os seguintes módulos, cláusulas ou disposições opcionais das SCCs da UE Aprovadas a produzirem efeitos para efeitos desta Adenda: | ||||
| Módulo | Módulo em vigor | Cláusula 11 (Opção) | Cláusula 9a Autorização Geral | Cláusula 9a (Prazo) | Os dados pessoais recebidos do Importador são combinados com dados pessoais recolhidos pelo Exportador? |
| 1 | false | não utilizado | - | - | - |
| 2 | true | não utilizado | true | 30 dias | - |
| 3 | true | não utilizado | true | 30 dias | - |
| 4 | sim/não | não utilizado | - | - | sim/não |
Tabela 3: Informação do Apêndice
“Informação do Apêndice” significa a informação que deve ser fornecida para os módulos selecionados, conforme previsto no Apêndice das SCCs da UE Aprovadas (exceto as Partes), e que, para esta Adenda, se encontra estabelecida em:
| Anexo 1A: Lista de Partes: Conforme previsto no Anexo I das SCCs da UE Aprovadas |
| Anexo 1B: Descrição da Transferência: Conforme previsto no Anexo I das SCCs da UE Aprovadas |
| Anexo II: Medidas técnicas e organizativas, incluindo medidas técnicas e organizativas para garantir a segurança dos dados: Conforme previsto no Anexo II das SCCs da UE Aprovadas |
Tabela 4: Cessação desta Adenda quando a Adenda Aprovada for alterada
| Cessação desta Adenda quando a Adenda Aprovada for alterada | Que Partes podem terminar esta Adenda, conforme previsto na Secção 19: Importador Exportador |
Parte 2: Cláusulas Obrigatórias
Celebração desta Adenda
Interpretação desta Adenda
| Adenda | Esta Adenda de Transferência Internacional de Dados, que é composta por esta Adenda incorporando a Adenda às SCCs da UE. |
| Adenda às SCCs da UE | A(s) versão(ões) das SCCs da UE Aprovadas à(s) qual(is) esta Adenda é anexada, conforme indicado na Tabela 2, incluindo a Informação do Apêndice. |
| Informação do Apêndice | Conforme previsto na Tabela 3. |
| Salvaguardas Adequadas | O nível de proteção dos dados pessoais e dos direitos dos titulares dos dados exigido pela Legislação de Proteção de Dados do Reino Unido quando é realizada uma Transferência Restrita com base em cláusulas-tipo de proteção de dados ao abrigo do Artigo 46(2)(d) do RGPD do Reino Unido. |
| Adenda Aprovada | O modelo de Adenda emitido pelo ICO e submetido ao Parlamento de acordo com o s119A da Data Protection Act 2018 em 2 de fevereiro de 2022, conforme revisto ao abrigo da Secção 18. |
| SCCs da UE Aprovadas | As Cláusulas Contratuais-Tipo estabelecidas no Anexo da Decisão de Execução (UE) 2021/914 da Comissão, de 4 de junho de 2021. |
| ICO | O Information Commissioner. |
| Transferência Restrita | Uma transferência abrangida pelo Capítulo V do RGPD do Reino Unido. |
| Reino Unido | O Reino Unido da Grã-Bretanha e Irlanda do Norte. |
| Legislação de Proteção de Dados do Reino Unido | Todas as leis relativas à proteção de dados, ao tratamento de dados pessoais, à privacidade e/ou às comunicações eletrónicas em vigor periodicamente no Reino Unido, incluindo o RGPD do Reino Unido e a Data Protection Act 2018. |
| RGPD do Reino Unido | Conforme definido na secção 3 da Data Protection Act 2018. |
4. Esta Adenda deve ser sempre interpretada de forma consistente com a Legislação de Proteção de Dados do Reino Unido e de modo a cumprir a obrigação das Partes de proporcionar Salvaguardas Adequadas.
Se as disposições incluídas na Adenda às SCCs da UE alterarem as SCCs Aprovadas de um modo que não seja permitido ao abrigo das SCCs da UE Aprovadas ou da Adenda Aprovada, tal(is) alteração(ões) não será(ão) incorporada(s) nesta Adenda e a disposição equivalente das SCCs da UE Aprovadas substituirá essas alterações.
Se houver qualquer inconsistência ou conflito entre a Legislação de Proteção de Dados do Reino Unido e esta Adenda, aplica-se a Legislação de Proteção de Dados do Reino Unido.
Se o significado desta Adenda for pouco claro ou houver mais do que um significado, aplica-se o significado que mais se alinhe com a Legislação de Proteção de Dados do Reino Unido.
Quaisquer referências a legislação (ou a disposições específicas de legislação) significam essa legislação (ou disposição específica) conforme possa ser alterada ao longo do tempo. Isto inclui quando essa legislação (ou disposição específica) tenha sido consolidada, reenactada e/ou substituída após a celebração desta Adenda.
Hierarquia
Embora a Cláusula 5 das SCCs da UE Aprovadas estabeleça que as SCCs da UE Aprovadas prevalecem sobre todos os acordos relacionados entre as partes, as partes concordam que, para Transferências Restritas, prevalecerá a hierarquia prevista na Secção 10.
Quando houver qualquer inconsistência ou conflito entre a Adenda Aprovada e a Adenda às SCCs da UE (conforme aplicável), a Adenda Aprovada prevalece sobre a Adenda às SCCs da UE, exceto quando (e na medida em que) os termos inconsistentes ou conflituantes da Adenda às SCCs da UE proporcionem maior proteção aos titulares dos dados, caso em que esses termos prevalecerão sobre a Adenda Aprovada.
Quando esta Adenda incorporar a Adenda às SCCs da UE que tenha sido celebrada para proteger transferências sujeitas ao Regulamento Geral sobre a Proteção de Dados (UE) 2016/679, as Partes reconhecem que nada nesta Adenda afeta essa Adenda às SCCs da UE.
Incorporação e alterações às SCCs da UE
a. em conjunto, funcionem para transferências de dados efetuadas pelo exportador de dados para o importador de dados, na medida em que a Legislação de Proteção de Dados do Reino Unido se aplique ao tratamento do exportador de dados ao realizar essa transferência, e proporcionem Salvaguardas Adequadas para essas transferências;
b. as Secções 9 a 11 prevaleçam sobre a Cláusula 5 (Hierarquia) da Adenda às SCCs da UE; e
c. esta Adenda (incluindo a Adenda às SCCs da UE incorporada nela) seja (1) regida pelas leis de Inglaterra e País de Gales e (2) qualquer litígio emergente da mesma seja resolvido pelos tribunais de Inglaterra e País de Gales, em ambos os casos salvo se as leis e/ou tribunais da Escócia ou da Irlanda do Norte tiverem sido expressamente selecionados pelas Partes.
Salvo se as Partes tiverem acordado alterações alternativas que cumpram os requisitos da Secção 12, aplicar-se-ão as disposições da Secção 15.
Não podem ser efetuadas alterações às SCCs da UE Aprovadas, exceto as necessárias para cumprir os requisitos da Secção 12.
São efetuadas as seguintes alterações à Adenda às SCCs da UE (para efeitos da Secção 12):
a. As referências às “Cláusulas” significam esta Adenda, incorporando a Adenda às SCCs da UE;
b. Na Cláusula 2, eliminar as palavras:
“and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679”;
c. A Cláusula 6 (Descrição da(s) transferência(s)) é substituída por:
“Os detalhes da(s) transferência(s) e, em particular, as categorias de dados pessoais transferidos e a(s) finalidade(s) para as quais são transferidos, são os especificados no Anexo I.B quando a Legislação de Proteção de Dados do Reino Unido se aplica ao tratamento do exportador de dados ao realizar essa transferência.”;
d. A Cláusula 8.7(i) do Módulo 1 é substituída por:
“é para um país que beneficia de regulamentos de adequação ao abrigo da Secção 17A do RGPD do Reino Unido que cobrem a transferência subsequente”;
e. A Cláusula 8.8(i) dos Módulos 2 e 3 é substituída por:
“a transferência subsequente é para um país que beneficia de regulamentos de adequação ao abrigo da Secção 17A do RGPD do Reino Unido que cobrem a transferência subsequente;”
f. As referências a “Regulation (EU) 2016/679”, “Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)” e “that Regulation” são todas substituídas por “Legislação de Proteção de Dados do Reino Unido”. As referências a Artigo(s) específico(s) de “Regulation (EU) 2016/679” são substituídas pelo Artigo ou Secção equivalente da Legislação de Proteção de Dados do Reino Unido;
g. As referências ao Regulamento (UE) 2018/1725 são removidas;
h. As referências à “European Union”, “Union”, “EU”, “EU Member State”, “Member State” e “EU or Member State” são todas substituídas por “Reino Unido”;
i. A referência a “Clause 12(c)(i)” na Cláusula 10(b)(i) do Módulo 1 é substituída por “Clause 11(c)(i)” ;
j. A Cláusula 13(a) e a Parte C do Anexo I não são utilizadas;
k. “competent supervisory authority” e “supervisory authority” são ambos substituídos por “Information Commissioner”;
l. Na Cláusula 16(e), a alínea (i) é substituída por:
“o Secretário de Estado emite regulamentos ao abrigo da Secção 17A da Data Protection Act 2018 que abrangem a transferência de dados pessoais à qual estas cláusulas se aplicam;”;
m. A Cláusula 17 é substituída por:
“Estas Cláusulas são regidas pelas leis de Inglaterra e País de Gales.”;
n. A Cláusula 18 é substituída por:
“Qualquer litígio emergente destas Cláusulas será resolvido pelos tribunais de Inglaterra e País de Gales. Um titular dos dados também pode instaurar processo judicial contra o exportador de dados e/ou o importador de dados perante os tribunais de qualquer país do Reino Unido. As Partes concordam em submeter-se à jurisdição desses tribunais.”; e
o. As notas de rodapé das SCCs da UE Aprovadas não fazem parte da Adenda, exceto as notas de rodapé 8, 9, 10 e 11.
Alterações a esta Adenda
As Partes podem acordar alterar as Cláusulas 17 e/ou 18 da Adenda às SCCs da UE para referir as leis e/ou tribunais da Escócia ou da Irlanda do Norte.
Se as Partes pretendem alterar o formato da informação incluída na Parte 1: Tabelas da Adenda Aprovada, podem fazê-lo mediante acordo escrito, desde que a alteração não reduza as Salvaguardas Adequadas.
Periodicamente, o ICO pode emitir uma Adenda Aprovada revista que:
a. faça alterações razoáveis e proporcionais à Adenda Aprovada, incluindo a correção de erros na Adenda Aprovada; e/ou
b. reflita alterações à Legislação de Proteção de Dados do Reino Unido; A Adenda Aprovada revista especificará a data de início a partir da qual as alterações à Adenda Aprovada entram em vigor e se as Partes precisam de rever esta Adenda, incluindo a Informação do Apêndice. Esta Adenda é automaticamente alterada conforme previsto na Adenda Aprovada revista, a partir da data de início especificada.
a. custos diretos de cumprimento das suas obrigações ao abrigo da Adenda; e/ou
b. risco ao abrigo da Adenda,
e, em qualquer dos casos, tiver previamente tomado medidas razoáveis para reduzir esses custos ou riscos de modo a que não sejam substanciais e desproporcionados, então essa Parte pode terminar esta Adenda no final de um período de aviso prévio razoável, mediante aviso escrito desse período à outra Parte antes da data de início da Adenda Aprovada revista.
Uau! O Multiply
aumentou as vitórias na Buy Box para 80%, aumentou as vendas em 32% e aumentou os lucros onde não temos concorrência. O teste terminou e agora já aderimos por completo. Muito obrigado!
Comece em apenas alguns cliques!
Desbloqueie as ferramentas de que precisa