Adenda ao Processamento de Dados
Esta Adenda ao Processamento de Dados (a “Adenda”) é efectuada por e entre a DEVAR e o Licenciado (“Programador”).
Esta Adenda está incorporada nos Termos e Condições, contrato de licença e/ou outro acordo comercial entre o Programador e a DEVAR (“Acordo”) e aplica-se em relação à prestação dos Serviços ao Programador se o Processamento de Dados Pessoais do Programador (conforme definido abaixo) estiver sujeito ao RGPD, apenas na medida em que o Programador é um Controlador de Dados Pessoais do Programador e a DEVAR é um Processador. A Adenda destina-se a satisfazer os requisitos do Artigo 28 (3) do RGPD. Esta Adenda será efectiva durante o período de vigência do Acordo.
1. DEFINIÇÕES.
1.1. Para efeitos da Adenda:
1.1.1. “Dados Pessoais do Desenvolvedor” significa os Dados Pessoais descritos na Secção 2 desta Adenda, em relação aos quais o Desenvolvedor é o Controlador;
1.1.2. “Legislação de Proteção de Dados” significa toda a legislação aplicável relativa à proteção de dados e privacidade, incluindo, sem limitação, o RGPD, juntamente com quaisquer leis nacionais de implementação em qualquer Estado-Membro da União Europeia ou, na medida do aplicável, em qualquer outro país, conforme alterado, revogado, consolidado ou substituído de tempos a tempos;
1.1.3. “RGPD” significa o Regulamento Geral sobre a Proteção de Dados (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados;
1.1.4. “Dados Pessoais”, “Titular dos Dados”, “Violação de Dados Pessoais”, “Processar”, “Processador” and “Controlador” terão o significado que lhes é atribuído no RGPD; e
1.1.5. “Cláusulas contratuais-tipo” significa o acordo celebrado por e entre as partes e anexado ao presente como Anexo 1, nos termos da decisão da Comissão Europeia (C(2010)593), de 5 de fevereiro de 2010, relativa às cláusulas contratuais-tipo aplicáveis à transferência de dados pessoais para subcontratantes estabelecidos em países terceiros que não asseguram um nível adequado de proteção de dados.
1.2. Os termos em maiúsculas não definidos de outra forma no presente documento terão o significado que lhes é atribuído no Acordo.
2. PORMENORES DO TRATAMENTO
2.1. Categorias de sujeitos de dados. Esta Adenda aplica-se ao Processamento de Dados Pessoais do Programador relacionados com os utilizadores finais dos produtos e serviços do Programador.
2.2. Tipos de dados pessoais. Os Dados Pessoais do Programador incluem Dados Pessoais, cuja extensão é determinada e controlada pelo Programador a seu exclusivo critério, como o endereço IP, o agente do utilizador do navegador, a marca, o modelo e o sistema operativo dos dispositivos do utilizador final, informações relacionadas com o uso dos utilizadores finais dos produtos do Programador que incorporam o Serviço (ou seja, o período de tempo em que o Serviço está em execução), um identificador único de dispositivo/aplicação que não pode ser usado para rastrear dispositivos através de aplicações ou websites e, com a permissão do utilizador final, dados da câmara do dispositivo do utilizador final.
2.3. Objeto e natureza do processamento. O assunto do Processamento de Dados Pessoais do Desenvolvedor pela DEVAR é a prestação dos Serviços ao Desenvolvedor que envolve o Processamento de Dados Pessoais do Desenvolvedor. Os Dados Pessoais do Desenvolvedor estarão sujeitos às atividades de Processamento que a DEVAR precisa realizar para fornecer os Serviços de acordo com o Contrato.
2.4. Objetivo do Processamento. Os Dados Pessoais do Desenvolvedor serão processados pela DEVAR com o objetivo de fornecer os Serviços estabelecidos no Acordo.
2.5. Duração do ProcessamentoOs Dados Pessoais do Desenvolvedor serão Processados durante a duração do Acordo, sujeito à Secção 10 desta Adenda.
3. PROCESSAMENTO DE DADOS PESSOAIS DO DESENVOLVEDOR
3.1. As partes reconhecem e concordam que o Desenvolvedor é o Controlador dos Dados Pessoais do Desenvolvedor e a DEVAR é o Processador desses dados. A DEVAR só processará os Dados Pessoais do Programador como um Processador em nome e de acordo com as instruções prévias por escrito do Programador, incluindo no que diz respeito às transferências de dados pessoais. A DEVAR é instruída a processar os Dados Pessoais do Desenvolvedor na medida necessária para permitir que a DEVAR forneça os Serviços de acordo com o Contrato.
3.2. Se a DEVAR não puder processar os Dados Pessoais do Programador de acordo com as instruções do Programador devido a um requisito legal ao abrigo de qualquer lei aplicável da União Europeia ou de um Estado-Membro, a DEVAR irá (i) notificar prontamente o Programador de tal incapacidade, fornecendo um nível razoável de detalhe quanto às instruções com as quais não pode cumprir e as razões pelas quais não pode cumprir, na maior medida permitida pela lei aplicável; e (ii) cessar todo o Processamento dos Dados Pessoais do Programador afetados (que não seja meramente armazenar e manter a segurança dos Dados Pessoais do Programador afetados) até ao momento em que o Programador emita novas instruções com as quais a DEVAR seja capaz de cumprir.
3.3. Cada Desenvolvedor e a DEVAR cumprirão as suas respetivas obrigações ao abrigo da Legislação de Proteção de Dados. O Desenvolvedor deve garantir que o Desenvolvedor obteve (ou obterá) todos os direitos e consentimentos (se necessário) que são necessários para que a DEVAR processe os Dados Pessoais do Desenvolvedor de acordo com esta Adenda.
3.4. O Desenvolvedor reconhece que a DEVAR não mantém os Dados Pessoais do Desenvolvedor de uma maneira que permita à DEVAR associar os Dados Pessoais do Desenvolvedor a qualquer Titular de Dados em particular. Consequentemente, o Desenvolvedor concorda que a DEVAR não é obrigada a fornecer a assistência oferecida nas Seções 7, 8 e 9 deste Adendo, a menos que (a) os propósitos para os quais o Desenvolvedor processa os Dados Pessoais do Desenvolvedor exijam que o Desenvolvedor identifique o Titular dos Dados e (b) o Desenvolvedor forneça à DEVAR informações suficientes para permitir que a DEVAR associe os Dados Pessoais do Desenvolvedor a um Titular dos Dados.
3.5. Em conexão com a execução do Contrato, as Cláusulas Contratuais Padrão, conforme anexadas a esta Adenda como Anexo 1, aplicar-se-ão aos Dados Pessoais do Desenvolvedor que são transferidos para fora do Espaço Económico Europeu (“EEE”), diretamente ou através de transferência subsequente, para qualquer país não reconhecido pela Comissão Europeia como fornecendo um nível adequado de proteção de dados pessoais (conforme descrito no RGPD). As Cláusulas Contratuais-tipo deixarão de se aplicar se a DEVAR tiver implementado um mecanismo de conformidade alternativo reconhecido para a transferência legal de dados pessoais para fora do EEE, nos termos do artigo 46.º do RGPD, como a certificação no âmbito do Escudo de Proteção da Privacidade.
4. CONFIDENCIALIDADE
4.1. A DEVAR garantirá que qualquer pessoa que a DEVAR autorize a processar os Dados Pessoais do Desenvolvedor em seu nome esteja sujeita a obrigações de confidencialidade em relação a esses Dados Pessoais do Desenvolvedor.
5. MEDIDAS DE SEGURANÇA
5.1. A DEVAR implementará medidas técnicas e organizacionais apropriadas para proteger contra destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos Dados Pessoais do Desenvolvedor (descritos no Apêndice 2 das Cláusulas Contratuais Padrão).
5.2. A DEVAR irá, a pedido do Desenvolvedor e sujeita ao pagamento pelo Desenvolvedor de todas as taxas da DEVAR às taxas vigentes, e todas as despesas, fornecer ao Desenvolvedor assistência razoável, conforme necessário para o cumprimento da obrigação do Desenvolvedor de manter os Dados Pessoais do Desenvolvedor seguros.
6. SUB-PROCESSAMENTO
6.1. O Desenvolvedor autoriza a DEVAR a nomear sub-processadores para realizar serviços específicos em nome da DEVAR, o que pode exigir que tais sub-processadores processem os Dados Pessoais do Desenvolvedor. Para evitar dúvidas, a autorização acima constitui o consentimento prévio por escrito do Desenvolvedor para o subprocessamento pela DEVAR para fins da Cláusula 11 das Cláusulas Contratuais Padrão. A DEVAR informará o Programador de quaisquer alterações pretendidas relativas à adição ou substituição de quaisquer subprocessadores e o Programador terá a oportunidade de se opor a tais alterações com fundamentos razoáveis no prazo de quinze (15) dias úteis após ter sido notificado.
6.2. A DEVAR entrará num acordo escrito vinculativo com o sub-processador que impõe ao sub-processador as mesmas obrigações que se aplicam à DEVAR ao abrigo desta Adenda. Quando qualquer um dos seus sub-processadores não cumprir as suas obrigações de proteção de dados, a DEVAR será responsável perante o Promotor pelo cumprimento das obrigações dos seus sub-processadores.
6.3. Não obstante o acima exposto, se a DEVAR contratar um fornecedor significativo como um sub-processador, como a Amazon Web Services, Inc., a Microsoft, Inc. ou a Google, Inc., a DEVAR será responsável pelo cumprimento das obrigações dos seus sub-processadores, Microsoft, Inc. ou Google, Inc. (um “Super sub-processador”), o Desenvolvedor reconhece que a DEVAR terá o direito de contratar nos termos padrão do Super sub-processador e, na medida em que esta Adenda impõe obrigações e responsabilidades que são inconsistentes com as obrigações e responsabilidades assumidas pelo Super sub-processador sob os termos padrão do Super sub-processador, os termos padrão do Super sub-processador devem aplicar-se mutuamente entre a DEVAR e o Desenvolvedor, excluindo os termos inconsistentes desta Adenda.
7. DIREITOS DO TITULAR DOS DADOS
7.1. Sujeito à Secção 3.4, a DEVAR fornecerá ao Desenvolvedor a assistência necessária para o cumprimento da obrigação do Desenvolvedor de responder aos pedidos de exercício dos direitos dos Titulares dos Dados. O Desenvolvedor será o único responsável por responder a tais pedidos. A DEVAR não responderá a tais pedidos sem o consentimento prévio por escrito do Desenvolvedor e instruções escritas.
8. VIOLAÇÕES DE DADOS PESSOAIS
8.1. A DEVAR notificará o Desenvolvedor sem atrasos indevidos depois de tomar conhecimento de qualquer Violação de Dados Pessoais que afete quaisquer Dados Pessoais do Desenvolvedor. A pedido do Desenvolvedor e sujeito à Secção 3.4, a DEVAR fornecerá prontamente ao Desenvolvedor toda a assistência razoável necessária para permitir que o Desenvolvedor notifique as violações de segurança relevantes às autoridades competentes de proteção de dados e/ou aos Sujeitos de Dados afetados, se o Desenvolvedor for obrigado a fazê-lo ao abrigo do RGPD. O Desenvolvedor é o único responsável pelo cumprimento dos requisitos de notificação de incidentes de dados aplicáveis ao Desenvolvedor e pelo cumprimento de quaisquer obrigações de notificação de terceiros relacionadas a quaisquer incidentes de dados.
9. AVALIAÇÃO DO IMPACTO DA PROTECÇÃO DE DADOS; CONSULTA PRÉVIA
9.1. Sujeito à Secção 3.4, a DEVAR irá, a pedido do Desenvolvedor, fornecer ao Desenvolvedor assistência razoável para facilitar a realização de avaliações de impacto de proteção de dados e consulta com as autoridades de proteção de dados, se o Desenvolvedor for obrigado a envolver-se em tais atividades ao abrigo do RGPD, e apenas na medida em que tal assistência seja necessária e se relacione com o Processamento pela DEVAR dos Dados Pessoais do Desenvolvedor, tendo em conta a natureza do Processamento e as informações disponíveis para a DEVAR.
10. DEVOLUÇÃO OU ELIMINAÇÃO DE DADOS PESSOAIS DO PROMOTOR
10.1. A DEVAR devolverá ou apagará, à escolha do Desenvolvedor, os Dados Pessoais do Desenvolvedor ao Desenvolvedor após o final da prestação de Serviços relacionados com o Processamento, e apagará as cópias existentes, a menos que a União Europeia aplicável ou a lei do estado membro exija o armazenamento dos dados. Sem prejuízo do acima exposto, a DEVAR pode reter dados anónimos nos termos do Acordo.
11. INFORMAÇÃO
11.1 A DEVAR, a pedido do Promotor e desde que o Promotor concorde com as obrigações de não divulgação aceitáveis para a DEVAR e pague todas as taxas da DEVAR às taxas atuais, bem como todas as despesas, fornecerá ao Promotor todas as informações necessárias para que o Promotor demonstre o cumprimento das suas obrigações ao abrigo do DEVAR e permita auditorias, incluindo inspeções conduzidas pelo Promotor ou pelo auditor em nome do Promotor (desde que tal auditor concorde com as obrigações ao abrigo das obrigações de confidencialidade da DEVAR). Por uma questao de clareza, todas as informacoes fornecidas ou recebidas por um Desenvolvedor de acordo com esta Secao 11.1 serao consideradas confidenciais pela DEVAR. A DEVAR notificará a DEVAR imediatamente se acreditar que a instrução de um Desenvolvedor está a violar a lei de proteção de dados, e desde que tais inspeções devam ser realizadas com pelo menos seis semanas de aviso prévio por escrito dentro do dia útil normal numa data e hora mutuamente acordadas, não mais do que uma vez por ano. Por uma questao de clareza, todas as informacoes fornecidas ou recebidas por um Desenvolvedor de acordo com esta Secao 11.1 devem ser consideradas confidenciais pela DEVAR. A DEVAR notificará a DEVAR imediatamente se acreditar que a instrução de um Desenvolvedor está violando a legislação de proteção de dados. e desde que tais inspeções sejam realizadas com pelo menos seis semanas de antecedência por escrito dentro do dia útil normal em uma data e hora mutuamente acordadas, não mais do que uma vez por ano. Por uma questao de clareza, todas as informacoes fornecidas ou recebidas por um Desenvolvedor de acordo com esta Secao 11.1 serao consideradas confidenciais para a DEVAR. A DEVAR notificará a DEVAR imediatamente se acreditar que a instrução do Desenvolvedor viola a legislação de proteção de dados. 1 deve ser considerada informação confidencial da DEVAR. A DEVAR informará imediatamente o programador se considerar que as instruções do programador violam a legislação de proteção de dados. 1 é considerada informação confidencial da DEVAR. O DEVAR informará imediatamente o programador se considerar que as instruções do programador violam a legislação relativa à proteção de dados.
12. RESPONSABILIDADE
12.1. A responsabilidade de cada parte perante a outra parte ao abrigo ou em relação à presente Adenda será limitada de acordo com as disposições do Contrato.
12.2. O Desenvolvedor reconhece que a DEVAR depende do Desenvolvedor para orientação quanto à extensão em que a DEVAR tem o direito de processar os Dados Pessoais do Desenvolvedor em nome do Desenvolvedor no desempenho dos Serviços. Consequentemente, a DEVAR não será responsável nos termos do Acordo por qualquer reclamação apresentada por um Titular de Dados decorrente de qualquer ação ou omissão da DEVAR que resulte das instruções do Desenvolvedor ou da falha do Desenvolvedor em cumprir as suas obrigações ao abrigo da lei de proteção de dados aplicável.
13. DISPOSIÇÕES GERAIS
13.1. No que diz respeito ao assunto desta Adenda, em caso de inconsistências entre as disposições desta Adenda e o Acordo, as disposições desta Adenda prevalecerão.
REGIME 1
Decisão da Comissão C (2010)593
Cláusulas contratuais-tipo (transformadores)
Para efeitos do artigo 26.o, n.o 2, da Diretiva 95/46/CE, relativo à transferência de dados pessoais para subcontratantes estabelecidos em países terceiros que não garantem um nível adequado de proteção de dados
Nome da organização exportadora de dados: a entidade identificada como subcontratante na adenda (o exportador de dados)
E
Nome da organização importadora de dados: DEVAR (o importador de dados)
cada “parte”; em conjunto “as partes”,
ACORDARAM nas seguintes Cláusulas Contratuais (as Cláusulas) a fim de introduzir garantias adequadas no que diz respeito à proteção da privacidade e dos direitos e liberdades fundamentais dos indivíduos para a transferência pelo exportador de dados para o importador de dados dos dados pessoais especificados no Apêndice 1.
Cláusula 1
Definições
Para efeitos das presentes cláusulas, entende-se por
(a) “dados pessoais”, “categorias especiais de dados”, “tratamento/processamento”, “responsável pelo tratamento”, “subcontratante”, “titular dos dados” e “autoridade de controlo” têm o mesmo significado que na Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados;
(b) “Exportador de dados”, o responsável pelo tratamento que transfere os dados pessoais;
(c) “Importador de dados”, o subcontratante que aceita receber do exportador de dados dados dados pessoais destinados a serem tratados por sua conta após a transferência, de acordo com as suas instruções e com as condições das cláusulas, e que não está sujeito a um sistema de um país terceiro que garanta uma proteção adequada na aceção do n.o 1 do artigo 25.o da Diretiva 95/46/CE
(d) “Subcontratante”, qualquer subcontratante contratado pelo importador de dados ou por qualquer outro subcontratante do importador de dados que aceite receber do importador de dados ou de qualquer outro subcontratante do importador de dados dados dados pessoais destinados exclusivamente a actividades de tratamento a realizar por conta do exportador de dados após a transferência, de acordo com as suas instruções, as cláusulas e os termos do subcontrato escrito
(e) “A legislação aplicável em matéria de proteção de dados”, a legislação que protege os direitos e liberdades fundamentais das pessoas e, em especial, o seu direito à privacidade no que diz respeito ao tratamento de dados pessoais aplicável a um responsável pelo tratamento de dados no Estado-Membro em que o exportador de dados está estabelecido
(f) “Medidas de segurança técnicas e organizativas”, as medidas destinadas a proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizados, nomeadamente quando o tratamento implicar a sua transmissão por rede, e contra qualquer outra forma de tratamento ilícito.
Cláusula 2
Pormenores da transferência
Os pormenores da transferência e, em particular, as categorias especiais de dados pessoais, quando aplicáveis, são especificados no Apêndice 1, que faz parte integrante das Cláusulas.
Cláusula 3
Cláusula do terceiro beneficiário
1. O titular dos dados pode fazer valer contra o exportador de dados a presente cláusula, as alíneas b) a i) da cláusula 4, as alíneas a) a e) e g) a j) da cláusula 5, os n.os 1 e 2 da cláusula 6, a cláusula 7, o n.o 2 da cláusula 8 e as cláusulas 9 a 12 na qualidade de terceiro beneficiário.
2. O titular dos dados pode fazer valer contra o importador de dados a presente cláusula, as alíneas a) a e) e g) da cláusula 5, a cláusula 6, a cláusula 7, o n.o 2 da cláusula 8 e as cláusulas 9 a 12, nos casos em que o exportador de dados tenha desaparecido de facto ou tenha deixado de existir juridicamente, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações jurídicas do exportador de dados por contrato ou por força da lei, em consequência do que assume os direitos e obrigações do exportador de dados, caso em que o titular dos dados pode fazê-los valer contra essa entidade.
3. O titular dos dados pode fazer valer contra o subcontratante a presente cláusula, as alíneas a) a e) e g) da cláusula 5, a cláusula 6, a cláusula 7, o n.o 2 da cláusula 8 e as cláusulas 9 a 12, nos casos em que tanto o exportador de dados como o importador de dados tenham desaparecido de facto ou deixado de existir legalmente ou se tenham tornado insolventes, a menos que uma entidade sucessora tenha assumido a totalidade das obrigações legais do exportador de dados por contrato ou por força da lei, em resultado da qual assume os direitos e obrigações do exportador de dados, caso em que o titular dos dados os pode fazer valer contra essa entidade. A responsabilidade civil do subcontratante limita-se às suas próprias operações de tratamento ao abrigo das cláusulas.
4. As partes não se opõem a que o titular dos dados seja representado por uma associação ou outro organismo se o titular dos dados assim o desejar expressamente e se a legislação nacional o permitir.
Cláusula 4
Obrigações do exportador de dados
O exportador de dados concorda e garante que
(a) que o tratamento, incluindo a própria transferência, dos dados pessoais foi e continuará a ser efectuado em conformidade com as disposições pertinentes da legislação aplicável em matéria de proteção de dados (e, se for caso disso, foi notificado às autoridades competentes do Estado-Membro em que o exportador de dados está estabelecido) e não viola as disposições pertinentes desse Estado;
(b) que deu instruções e, durante toda a duração dos serviços de tratamento de dados pessoais, dará instruções ao importador de dados para tratar os dados pessoais transferidos apenas em nome do exportador de dados e em conformidade com a legislação aplicável em matéria de proteção de dados e com as Cláusulas
(c) que o importador de dados fornecerá garantias suficientes no que respeita às medidas de segurança técnicas e organizacionais especificadas no Apêndice 2 do presente contrato;
(d) Que, após avaliação dos requisitos da legislação aplicável em matéria de proteção de dados, as medidas de segurança são adequadas para proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a difusão ou acesso não autorizados, nomeadamente quando o tratamento implicar a sua transmissão por rede, e contra qualquer outra forma de tratamento ilícito, e que essas medidas garantem um nível de segurança adequado em relação aos riscos que o tratamento apresenta e à natureza dos dados a proteger, tendo em conta os conhecimentos técnicos disponíveis e os custos da sua aplicação
(e) Que assegurará o cumprimento das medidas de segurança;
(f) que, se a transferência envolver categorias especiais de dados, a pessoa em causa foi ou será informada, antes ou o mais rapidamente possível após a transferência, de que os seus dados podem ser transmitidos para um país terceiro que não assegure uma proteção adequada na aceção da Diretiva 95/46/CE
(g) Transmitir qualquer notificação recebida do importador de dados ou de qualquer subcontratante nos termos da cláusula 5, alínea b), e da cláusula 8, n.º 3, à autoridade de controlo da proteção de dados, se o exportador de dados decidir prosseguir a transferência ou levantar a suspensão;
(h) Disponibilizar aos titulares dos dados, mediante pedido, uma cópia das Cláusulas, com exceção do Apêndice 2, e uma descrição sumária das medidas de segurança, bem como uma cópia de qualquer contrato de serviços de subcontratação que tenha de ser celebrado em conformidade com as Cláusulas, salvo se as Cláusulas ou o contrato contiverem informações comerciais, caso em que poderá suprimir essas informações comerciais
(i) que, em caso de subcontratação, a atividade de tratamento é realizada em conformidade com a cláusula 11 por um subcontratante que assegure, pelo menos, o mesmo nível de proteção dos dados pessoais e dos direitos da pessoa em causa que o importador de dados ao abrigo das cláusulas; e
(j) que assegurará o cumprimento das alíneas a) a i) da cláusula 4.
Cláusula 5
Obrigações do importador de dados
O importador de dados aceita e garante
(a) que só tratará os dados pessoais por conta do exportador de dados e em conformidade com as suas instruções e com as Cláusulas; se, por qualquer motivo, não puder assegurar essa conformidade, compromete-se a informar prontamente o exportador de dados da sua incapacidade de a cumprir, caso em que o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato;
(b) que não tem razões para crer que a legislação que lhe é aplicável a impeça de cumprir as instruções recebidas do exportador de dados e as suas obrigações ao abrigo do contrato e que, em caso de alteração desta legislação suscetível de ter um efeito adverso substancial nas garantias e obrigações previstas nas cláusulas, notificará prontamente a alteração ao exportador de dados logo que dela tenha conhecimento, caso em que o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato
(c) que aplicou as medidas de segurança técnicas e organizativas especificadas no Apêndice 2 antes de tratar os dados pessoais transferidos
(d) Que notificará prontamente o exportador de dados sobre:
(i) qualquer pedido juridicamente vinculativo de divulgação dos dados pessoais por uma autoridade de aplicação da lei, exceto se proibido de outra forma, como uma proibição ao abrigo do direito penal para preservar a confidencialidade de uma investigação de aplicação da lei,
(ii) qualquer acesso acidental ou não autorizado, e
(iii) qualquer pedido recebido diretamente das pessoas em causa, sem responder a esse pedido, a menos que tenha sido de outro modo autorizada a fazê-lo;
(e) responder pronta e adequadamente a todos os pedidos de informação do exportador de dados relativos ao tratamento dos dados pessoais objeto da transferência e respeitar o parecer da autoridade de controlo no que diz respeito ao tratamento dos dados transferidos;
(f) a pedido do exportador de dados, submeter as suas instalações de tratamento de dados a uma auditoria das actividades de tratamento abrangidas pelas cláusulas, que será realizada pelo exportador de dados ou por um organismo de inspeção composto por membros independentes e que possuam as qualificações profissionais exigidas, vinculados por um dever de confidencialidade, selecionados pelo exportador de dados, se for caso disso, com o acordo da autoridade de controlo
(g) Disponibilizar à pessoa em causa, a seu pedido, uma cópia das cláusulas ou de qualquer contrato existente para o subtratamento, a menos que as cláusulas ou o contrato contenham informações comerciais, caso em que poderá suprimi-las, com exceção do apêndice 2, que será substituído por uma descrição sumária das medidas de segurança nos casos em que a pessoa em causa não possa obter uma cópia junto do exportador de dados
(h) Que, em caso de subtratamento, informou previamente o exportador de dados e obteve o seu consentimento prévio por escrito;
(i) que os serviços de tratamento pelo subcontratante serão efectuados em conformidade com a cláusula 11;
(j) enviar prontamente ao exportador de dados uma cópia de qualquer acordo de subcontratação que celebre ao abrigo das Cláusulas.
Cláusula 6
Responsabilidade
1. As partes acordam que qualquer titular de dados que tenha sofrido danos em resultado de qualquer violação das obrigações referidas na cláusula 3 ou na cláusula 11 por qualquer parte ou subcontratante tem direito a receber uma indemnização do exportador de dados pelos danos sofridos.
2. Se um titular de dados não puder apresentar um pedido de indemnização nos termos do n.º 1 contra o exportador de dados, resultante de um incumprimento pelo importador de dados ou pelo seu subcontratante de qualquer das suas obrigações referidas na cláusula 3 ou na cláusula 11, porque o exportador de dados desapareceu de facto ou deixou de existir legalmente ou se tornou insolvente, o importador de dados concorda que o titular dos dados pode apresentar uma reclamação contra o importador de dados como se fosse o exportador de dados, exceto se uma entidade sucessora tiver assumido todas as obrigações legais do exportador de dados por contrato ou por força da lei, caso em que o titular dos dados pode fazer valer os seus direitos contra essa entidade.
O importador de dados não pode invocar o incumprimento das suas obrigações por parte de um subcontratante para se eximir às suas próprias responsabilidades.
3. Se o titular dos dados não puder intentar uma ação contra o exportador ou o importador de dados referidos nos n.os 1 e 2, decorrente do incumprimento pelo subcontratante de qualquer das suas obrigações referidas na cláusula 3 ou na cláusula 11, porque tanto o exportador como o importador de dados desapareceram de facto ou deixaram de existir juridicamente ou se tornaram insolventes, o subcontratante aceita que o titular dos dados possa apresentar uma reclamação contra o subcontratante no que respeita às suas próprias operações de tratamento de dados ao abrigo das cláusulas, como se fosse o exportador ou o importador de dados, exceto se uma entidade sucessora tiver assumido a totalidade das obrigações legais do exportador ou do importador de dados por contrato ou por força da lei, caso em que o titular dos dados pode fazer valer os seus direitos contra essa entidade. A responsabilidade do subcontratante limita-se às suas próprias operações de tratamento ao abrigo das cláusulas.he Clauses.
Cláusula 7
Mediação e jurisdição
1. O importador de dados concorda que, se o titular dos dados invocar os seus direitos de terceiro beneficiário e/ou pedir uma indemnização por danos ao abrigo das cláusulas, o importador de dados aceitará a decisão do titular dos dados de
(a) remeter o litígio para mediação, por uma pessoa independente ou, se aplicável, pela autoridade de controlo;
(b) de submeter o litígio aos tribunais do Estado-Membro em que o exportador de dados está estabelecido.
2. The parties agree that the choice made by the data subject will not prejudice its substantive or procedural rights to seek remedies in accordance with other provisions of national or international law.
Cláusula 8
Cooperação com as autoridades de controlo
1. O exportador de dados aceita depositar uma cópia do presente contrato junto da autoridade de controlo, se esta o solicitar ou se tal depósito for exigido pela lei de proteção de dados aplicável.
2. As partes acordam que a autoridade de controlo tem o direito de realizar uma auditoria ao importador de dados e a qualquer subcontratante, que tem o mesmo âmbito e está sujeita às mesmas condições que se aplicariam a uma auditoria ao exportador de dados ao abrigo da lei de proteção de dados aplicável.
3. O importador de dados informa prontamente o exportador de dados da existência de legislação aplicável a si ou a qualquer subcontratante que impeça a realização de uma auditoria ao importador de dados, ou a qualquer subcontratante, nos termos do n.o 2. Nesse caso, o exportador de dados tem o direito de adotar as medidas previstas na alínea (b) da cláusula 5.
Cláusula 9
Direito aplicável
As cláusulas são regidas pela lei do Estado-Membro em que o exportador de dados está estabelecido.
Cláusula 10
Alteração do contrato
As partes comprometem-se a não alterar ou modificar as cláusulas. Tal não exclui a possibilidade de as partes acrescentarem cláusulas relativas a questões comerciais, sempre que necessário, desde que não estejam em contradição com as cláusulas.
Cláusula 11
Subprocessamento
1. O importador de dados não subcontratará nenhuma das suas operações de tratamento efectuadas em nome do exportador de dados ao abrigo das cláusulas sem o consentimento prévio por escrito do exportador de dados. Se o importador de dados subcontratar as suas obrigações ao abrigo das cláusulas, com o consentimento do exportador de dados, só o fará mediante um acordo escrito com o subcontratante que imponha ao subcontratante as mesmas obrigações que são impostas ao importador de dados ao abrigo das cláusulas. Se o subcontratante não cumprir as suas obrigações em matéria de proteção de dados nos termos do referido acordo escrito, o importador de dados continuará a ser plenamente responsável perante o exportador de dados pelo cumprimento das obrigações do subcontratante nos termos do referido acordo.
2. O contrato escrito prévio entre o importador de dados e o subcontratante deve igualmente prever uma cláusula de terceiro beneficiário, tal como previsto na cláusula 3, para os casos em que o titular dos dados não possa intentar o pedido de indemnização referido no n.o 1 da cláusula 6 contra o exportador ou o importador de dados, por estes terem desaparecido de facto ou terem deixado de existir juridicamente ou por se terem tornado insolventes e nenhuma entidade sucessora ter assumido a totalidade das obrigações jurídicas do exportador ou do importador de dados por contrato ou por força da lei. A responsabilidade civil do subcontratante limita-se às suas próprias operações de tratamento ao abrigo das Cláusulas.
3. As disposições relativas aos aspectos de proteção de dados para o subcontratante do contrato referido no n.º 1 são regidas pela legislação do Estado-Membro em que o exportador de dados está estabelecido.
4. O exportador de dados manterá uma lista dos acordos de subcontratação celebrados ao abrigo das cláusulas e notificados pelo importador de dados nos termos da alínea j) da cláusula 5, que será actualizada pelo menos uma vez por ano. A lista será disponibilizada à autoridade de controlo da proteção de dados do exportador de dados.
Cláusula 12
Obrigação após a cessação dos serviços de tratamento de dados pessoais
1. As partes acordam que, no termo da prestação de serviços de tratamento de dados, o importador de dados e o subcontratante, à escolha do exportador de dados, devolverão todos os dados pessoais transferidos e as respectivas cópias ao exportador de dados ou destruirão todos os dados pessoais e certificarão ao exportador de dados que o fizeram, a menos que a legislação imposta ao importador de dados o impeça de devolver ou destruir a totalidade ou parte dos dados pessoais transferidos. Nesse caso, o importador de dados garante que assegurará a confidencialidade dos dados pessoais transferidos e que não voltará a tratar ativamente os dados pessoais transferidos.
2. O importador de dados e o subcontratante garantem que, a pedido do exportador de dados e/ou da autoridade de controlo, submeterão as suas instalações de tratamento de dados a uma auditoria das medidas referidas no n.o 1.
APÊNDICE 1 ÀS CLÁUSULAS CONTRATUAIS-TIPO
O presente apêndice faz parte das cláusulas e deve ser preenchido e assinado pelas partes.
Exportador de dados. O exportador de dados é a entidade identificada como “Desenvolvedor” na Adenda.
Importador de dados. O importador de dados é a entidade identificada como “DEVAR” na Adenda.
Titulares dos dados. Os dados pessoais transferidos dizem respeito às seguintes categorias de titulares de dados (especificar):
Os titulares dos dados são definidos na Secção 2.1 da Adenda.
Categorias de dados. Os dados pessoais transferidos dizem respeito às seguintes categorias de dados (especificar):
As categorias de dados pessoais estão definidas na Secção 2.2 da Adenda.
Categorias especiais de dados (se for caso disso). Os dados pessoais transferidos dizem respeito às seguintes categorias especiais de dados (especificar):
Não aplicável.
Operações de tratamento. Os dados pessoais transferidos serão objeto das seguintes actividades de tratamento de base (especificar):
As actividades de tratamento definidas na Secção 2 da Adenda e no Acordo.
APÊNDICE 2 ÀS CLÁUSULAS CONTRATUAIS-TIPO
O presente apêndice faz parte das cláusulas e deve ser preenchido e assinado pelas partes.
Descrição das medidas de segurança técnicas e organizativas aplicadas pelo importador de dados em conformidade com a alínea d) da cláusula 4 e a alínea c) da cláusula 5 (ou documento/legislação em anexo):
As medidas de segurança técnicas e organizativas aplicadas pelo importador de dados são descritas em https://mywebar.com/pt/documents/tom