Acordo de processamento de dados

entre

Cliente de acordo com as CGV como Controlador (doravante "Controlador"),

e

Spreadly GmbH, Forstenrieder Weg 1G, 82065 Baierbrunn, Deutschland como Processador de Dados (doravante "Processador de Dados", Controlador e Processador de Dados conjuntamente as "Partes")

Preâmbulo

O Responsável pelo Tratamento contratou o Subcontratante no TCG (a seguir designado por "Contrato Principal") para os serviços nele especificados. Parte da execução do contrato é o processamento de dados pessoais. Em particular, o Art. 28.º do RGPD impõe requisitos específicos a esse tratamento encomendado. Para cumprir esses requisitos, as partes celebram o seguinte acordo de processamento de dados (doravante denominado "acordo"), cuja execução não será remunerada separadamente, a menos que expressamente acordado.

§ 1 Definições

(1) Nos termos do Art. 4 (7) do RGPD, o Responsável pelo Tratamento é a entidade que, sozinha ou em conjunto com outros Responsáveis pelo Tratamento, determina as finalidades e os meios de tratamento dos dados pessoais.

(2) Nos termos do Art. 4 (8) do GDPR, um Processador de Dados é uma pessoa física ou jurídica, autoridade, instituição ou outro órgão que processa dados pessoais em nome do Controlador.

(3) Nos termos do Art. 4 (1) do RGPD, entende-se por dados pessoais qualquer informação relativa a uma pessoa singular identificada ou identificável (a seguir designada por "Titular dos Dados"); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.

(4) Os dados pessoais que requerem proteção especial são os dados pessoais nos termos do Art. 9 do RGPD que revelam a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas ou a filiação sindical dos Titulares dos Dados, os dados pessoais nos termos do Art. 10 do RGPD sobre condenações penais e infracções penais ou medidas de segurança relacionadas, bem como dados genéticos nos termos do Art. 4 (13) do RGPD, dados biométricos nos termos do Art. 4 (14) do RGPD, dados de saúde nos termos do Art. 4 (15) do RGPD, e dados sobre a vida sexual ou orientação sexual de uma pessoa singular.

(5) De acordo com o artigo 4.º, n.º 2, do RGPD, o tratamento é qualquer operação ou conjunto de operações efectuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, o registo, a organização, o arquivamento, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.

(6) Nos termos do artigo 4.º, n.º 21, do RGPD, a autoridade de controlo é um organismo estatal independente criado por um Estado-Membro nos termos do artigo 51.

§ 2 Objeto do contrato

(1) O Subcontratante presta ao Responsável pelo Tratamento os serviços especificados no Contrato Principal. Ao fazê-lo, o Subcontratante obtém acesso a dados pessoais, que o Subcontratante trata para o Responsável pelo Tratamento exclusivamente em nome e de acordo com as instruções do Responsável pelo Tratamento. O âmbito e a finalidade do tratamento de dados pelo Subcontratante são definidos no Contrato Principal e em quaisquer descrições de serviços associadas. O responsável pelo tratamento é responsável por avaliar a admissibilidade do tratamento de dados.

(2) As Partes celebram o presente Acordo para especificar os direitos e obrigações mútuos ao abrigo da legislação em matéria de proteção de dados. Em caso de dúvida, as disposições do presente acordo prevalecem sobre as disposições do contrato principal.

(3) As disposições do presente contrato aplicam-se a todas as actividades relacionadas com o Contrato Principal em que o Subcontratante e os seus funcionários ou pessoas autorizadas pelo Subcontratante entram em contacto com dados pessoais provenientes do Responsável pelo Tratamento ou recolhidos para o Responsável pelo Tratamento.

(4) O termo do presente Acordo será regido pelo termo do Contrato Principal, exceto se as disposições seguintes derem origem a outras obrigações ou direitos de rescisão.

§ 3 Direito de instrução

(1) O subcontratante só pode recolher, tratar ou utilizar dados no âmbito do contrato principal e de acordo com as instruções do responsável pelo tratamento. Se o Subcontratante for obrigado a efetuar um tratamento posterior por força da legislação da União Europeia ou dos Estados-Membros a que está sujeito, deverá notificar o Responsável pelo Tratamento destes requisitos legais antes do tratamento.

(2) As instruções do Responsável pelo Tratamento são inicialmente determinadas pelo presente Acordo. Posteriormente, podem ser alteradas, completadas ou substituídas pelo Responsável pelo Tratamento, por escrito ou sob a forma de texto, através de instruções individuais (instruções individuais). O Responsável pelo Tratamento tem o direito de emitir essas instruções em qualquer altura. Isto inclui instruções relativas à correção, eliminação e bloqueio de dados.

(3) Todas as instruções emitidas devem ser documentadas pelo Responsável pelo Tratamento. As instruções que ultrapassem o serviço acordado no contrato principal devem ser tratadas como um pedido de alteração do serviço.

(4) Se o Subcontratante considerar que uma instrução do Responsável pelo Tratamento viola as disposições relativas à proteção de dados, notifica o Responsável pelo Tratamento sem demora injustificada. O responsável pelo tratamento de dados tem o direito de suspender a execução da instrução em causa até que esta seja confirmada ou alterada pelo responsável pelo tratamento. O responsável pelo tratamento pode recusar-se a executar uma instrução manifestamente ilegal.

§ 4 Tipos de dados tratados, grupo de titulares de dados, país terceiro

(1) No âmbito da execução do Contrato Principal, o Subcontratante terá acesso aos dados pessoais especificados mais pormenorizadamente no Anexo 1.

(2) O grupo de titulares de dados afectados pelo tratamento de dados é enumerado no Anexo 1.

(3) A transferência de dados pessoais para um país terceiro pode ser efectuada nas condições previstas nos artigos. 44 e seguintes do RGPD. DO RGPD.

§ 5 Medidas de proteção do responsável pelo tratamento de dados

(1) O subcontratante é obrigado a respeitar as disposições legais em matéria de proteção de dados e a não divulgar a terceiros nem expor ao seu acesso as informações obtidas no domínio do responsável pelo tratamento. Os documentos e dados devem ser protegidos contra a divulgação a pessoas não autorizadas, tendo em conta o estado da técnica.

(2) O Subcontratante organizará a organização interna no seu âmbito de responsabilidade de forma a cumprir os requisitos especiais de proteção de dados. Deve ter tomado as medidas técnicas e organizacionais especificadas no Anexo 2 para proteger adequadamente os dados do Responsável pelo tratamento nos termos do Art. 32 do RGPD, que o responsável pelo tratamento reconhece como adequadas. O Subcontratante reserva-se o direito de alterar as medidas de segurança tomadas, assegurando que o nível de proteção acordado contratualmente não seja prejudicado.

(3) As pessoas empregadas no processamento de dados pelo Processador de Dados estão proibidas de recolher, processar ou utilizar dados pessoais sem autorização. O responsável pelo tratamento de dados obriga todas as pessoas a quem confia o tratamento e a execução do presente contrato (doravante designadas por "colaboradores") a cumprirem esta obrigação (obrigação de confidencialidade, Art. 28 (3) lit. b GDPR) e assegura o cumprimento desta obrigação com o devido cuidado.

(4) O subcontratante nomeou um responsável pela proteção de dados. O responsável pela proteção de dados do subcontratante é a heyData GmbH, Schützenstr. 5, 10117 Berlin, datenschutz@heydata.eu, www.heydata.eu.

§ 6 Obrigações de informação do responsável pelo tratamento de dados

(1) Em caso de interrupções, suspeitas de violação da proteção de dados ou de incumprimento das obrigações contratuais do subcontratante, suspeitas de incidentes relacionados com a segurança ou outras irregularidades no tratamento de dados pessoais pelo subcontratante, por pessoas por ele empregadas no âmbito do contrato ou por terceiros, o subcontratante informa o responsável pelo tratamento sem demora injustificada. O mesmo se aplica às auditorias do Subcontratante pela autoridade de controlo da proteção de dados. A notificação de uma violação de dados pessoais deve conter, pelo menos, as seguintes informações

(a) Uma descrição da natureza da violação de dados pessoais, incluindo, na medida do possível, as categorias e o número de titulares de dados afectados, as categorias afectadas e o número de registos de dados pessoais afectados;

(b) Uma descrição das medidas adoptadas ou propostas pelo subcontratante para resolver a violação e, se for caso disso, das medidas destinadas a atenuar os seus eventuais efeitos negativos;

(c) uma descrição das consequências prováveis da violação de dados pessoais.

(2) O subcontratante deve tomar imediatamente as medidas necessárias para proteger os dados e atenuar as eventuais consequências negativas para as pessoas em causa, informar o responsável pelo tratamento e solicitar instruções complementares.

(3) Além disso, o subcontratante é obrigado a fornecer ao responsável pelo tratamento informações a qualquer momento, na medida em que os dados do responsável pelo tratamento sejam afectados por uma violação nos termos do n.º 1.

(4) O subcontratante informará o responsável pelo tratamento de quaisquer alterações significativas das medidas de segurança nos termos da Secção 5 (2).

§ 7 Direitos de controlo do responsável pelo tratamento

(1) O Responsável pelo tratamento pode certificar-se das medidas técnicas e organizativas do Subcontratante antes do início do tratamento de dados e, posteriormente, com uma periodicidade anual. Para este efeito, o Responsável pelo tratamento pode, por exemplo, obter informações junto do Subcontratante, obter certificados existentes de peritos, certificações ou auditorias internas ou, após coordenação atempada, inspecionar pessoalmente as medidas técnicas e organizativas do Subcontratante durante o horário normal de expediente ou mandar inspeccioná-las por um terceiro competente, desde que esse terceiro não esteja numa relação de concorrência com o Subcontratante. O responsável pelo tratamento efectua os controlos apenas na medida do necessário e não perturba desproporcionadamente as operações do subcontratante no processo.

(2) O subcontratante compromete-se a fornecer ao responsável pelo tratamento, a pedido deste, verbalmente ou por escrito, e dentro de um prazo razoável, todas as informações e elementos de prova necessários para efetuar uma verificação das medidas técnicas e organizativas do subcontratante.

(3) O Responsável pelo tratamento documenta os resultados da inspeção e notifica-os ao Subcontratante. Em caso de erros ou irregularidades que o Responsável pelo Tratamento detecte, nomeadamente durante a inspeção dos resultados da inspeção, o Responsável pelo Tratamento informa o Subcontratante sem demora injustificada. Se, durante o controlo, forem detectados factos cuja prevenção futura exija alterações ao procedimento ordenado, o Responsável pelo Tratamento notifica sem demora o Subcontratante das alterações processuais necessárias.

§ 8 Utilização de prestadores de serviços

(1) Os serviços acordados contratualmente serão executados com a participação dos prestadores de serviços indicados no Anexo 3 (doravante "Subprocessadores"). O Responsável pelo Tratamento concede ao Subcontratante a sua autorização geral, na aceção do Artigo 28 (2) s. 1 do RGPD, para contratar Subcontratantes adicionais no âmbito das suas obrigações contratuais ou para substituir Subcontratantes já contratados.

(2) O subcontratante informará o responsável pelo tratamento antes de qualquer alteração prevista em relação ao envolvimento ou substituição de um subcontratante ulterior. O responsável pelo tratamento pode opor-se à participação ou substituição prevista de um subcontratante ulterior por um motivo importante ao abrigo da legislação em matéria de proteção de dados.

(3) A objeção à participação ou substituição prevista de um subcontratante ulterior deve ser apresentada no prazo de duas semanas após a receção da informação sobre a alteração. Se não for apresentada qualquer objeção, a participação ou substituição será considerada aprovada. Se houver um motivo importante nos termos da legislação sobre proteção de dados e não for possível uma solução amigável entre o responsável pelo tratamento e o subcontratante, o responsável pelo tratamento tem um direito especial de rescisão no final do mês seguinte à objeção.

(4) Ao contratar subcontratantes ulteriores, o processador de dados obriga-os a respeitar as disposições do presente acordo.

(5) Não existe uma relação de subcontratante ulterior na aceção destas disposições se o subcontratante subcontratar a terceiros serviços que sejam considerados meramente auxiliares. Estes incluem, por exemplo, serviços postais, de transporte e de expedição, serviços de limpeza, serviços de telecomunicações sem qualquer referência específica aos serviços prestados pelo subcontratante ao responsável pelo tratamento e serviços de vigilância. Os serviços de manutenção e teste constituem relações de subcontratação que requerem consentimento, na medida em que são fornecidos para sistemas de TI que também são utilizados no âmbito da prestação de serviços ao responsável pelo tratamento.

§ 9 Pedidos e direitos dos titulares dos dados

(1) O Subcontratante apoia o Responsável pelo tratamento com medidas técnicas e organizacionais adequadas no cumprimento das obrigações do Responsável pelo tratamento nos termos dos artigos 12-22 e 32 a 36 do RGPD.

(2) Se uma pessoa em causa invocar direitos, como o direito de acesso, retificação ou apagamento dos seus dados, diretamente contra o responsável pelo tratamento de dados, este último não reagirá de forma independente, mas remeterá a pessoa em causa para o responsável pelo tratamento e aguardará as instruções deste.

§ 10 Responsabilidade

(1) Na relação interna com o responsável pelo tratamento de dados, o responsável pelo tratamento é o único responsável perante o titular dos dados pela indemnização de danos sofridos por um titular dos dados devido a um tratamento de dados inadmissível ou incorreto nos termos da legislação relativa à proteção de dados ou à utilização no âmbito do tratamento encomendado.

(2) O subcontratante tem responsabilidade ilimitada por danos, desde que a causa do dano se baseie numa violação intencional ou por negligência grosseira do dever por parte do subcontratante, do seu representante legal ou do seu agente indireto.

(3) O Subcontratante só é responsável por um comportamento negligente em caso de incumprimento de uma obrigação cujo cumprimento seja uma condição prévia para a boa execução do contrato e em cujo cumprimento o Responsável pelo tratamento confie e possa confiar regularmente, mas limitado aos danos médios típicos do contrato. Em todos os outros aspectos, a responsabilidade do Subcontratante - incluindo a dos seus agentes indiretos - é excluída.

(4) A limitação da responsabilidade prevista no § 10.3 não se aplica aos pedidos de indemnização por danos causados à vida, ao corpo, à saúde ou à assunção de uma garantia.

§ 11 Rescisão do contrato principal

(1) Após a cessação do Contrato Principal, o Subcontratante devolverá ao Responsável pelo Tratamento todos os documentos, dados e suportes de dados que lhe foram fornecidos ou - a pedido do Responsável pelo Tratamento, a menos que exista uma obrigação de armazenar os dados pessoais ao abrigo da legislação da União ou da legislação da República Federal da Alemanha - eliminá-los-á. Isto também se aplica a quaisquer cópias de segurança de dados no Processador de Dados. O processador de dados deve, a pedido, fornecer prova documentada da eliminação correcta de quaisquer dados.

(2) O responsável pelo tratamento tem o direito de controlar a devolução completa e contratual ou a eliminação dos dados junto do subcontratante, de forma adequada.

(3) O subcontratante é obrigado a manter a confidencialidade dos dados de que teve conhecimento no âmbito do contrato principal, mesmo após o termo do contrato principal. O presente Acordo mantém-se válido para além do termo do Contrato Principal enquanto o Subcontratante tiver à sua disposição dados pessoais que lhe tenham sido transmitidos pelo Responsável pelo Tratamento ou que tenha recolhido para o Responsável pelo Tratamento.

§ 12 Disposições finais

(1) Na medida em que o Subcontratante não realize expressamente acções de apoio ao abrigo do presente Acordo a título gratuito, pode cobrar ao Responsável pelo Tratamento uma taxa razoável por esse motivo, a menos que as acções ou omissões do próprio Subcontratante tenham tornado esse apoio diretamente necessário.

(2) As alterações e aditamentos ao presente Acordo devem ser efectuados por escrito. O mesmo se aplica a qualquer renúncia a este requisito formal. A prioridade dos acordos contratuais individuais não é afetada.

(3) Se determinadas disposições do presente Acordo forem ou se tornarem total ou parcialmente inválidas ou inaplicáveis, tal não afectará a validade das restantes disposições.

(4) O presente acordo está sujeito ao direito alemão.

Anexo 2 - Medidas técnicas e organizativas do responsável pelo tratamento de dados

1. Introdução

Este documento resume as medidas técnicas e organizacionais tomadas pelo Processador na aceção do Art. 32 para. 1 DO RGPD. Trata-se de medidas tomadas pelo Subcontratante para proteger os dados pessoais. O objetivo do documento é apoiar o Responsável pelo tratamento no cumprimento das suas obrigações de responsabilidade nos termos do Art. 5, n.º 2 do RGPD.

2. Confidencialidade (art. 32.º, n.º 1, alínea b) do RGPD)

2.1 Controlo de entrada

As seguintes medidas implementadas impedem o acesso de pessoas não autorizadas aos sistemas de processamento de dados:

• Trabalhar a partir de casa: pessoas não autorizadas não têm acesso às casas dos empregados

• Trabalhar no escritório em casa: instrução aos empregados para trabalharem num escritório separado da sua sala de estar, se possível

2.2 Controlo de admissão

As seguintes medidas implementadas impedem o acesso de pessoas não autorizadas aos sistemas de processamento de dados:

• Autenticação com utilizador e palavra-passe

• Utilização de firewalls

• Utilização da gestão de dispositivos móveis

• Encriptação de suportes de dados

• Bloqueio automático do ambiente de trabalho

• Gestão das autorizações dos utilizadores

• Criar perfis de utilizador

• Regras da palavra-passe central

• Utilização da autenticação de dois factores

• Política da empresa para palavras-passe seguras

• Instruções gerais para bloquear manualmente o ambiente de trabalho quando abandona o posto de trabalho

2.3 Controlo de acesso

As seguintes medidas implementadas garantem que pessoas não autorizadas não têm acesso a dados pessoais:

• Registo do acesso às aplicações (nomeadamente quando introduz, altera e apaga dados)

• Mantém o número de administradores o mais reduzido possível

• Gestão dos direitos dos utilizadores pelos administradores do sistema

• Instrui os empregados de que os dados só serão apagados após consulta

2.4 Controlo da separação

As medidas que se seguem garantem que os dados pessoais recolhidos para diferentes fins são tratados separadamente:

• Armazenamento fisicamente separado em sistemas ou suportes de dados separados

• Separação do sistema de produção e de ensaio

• Separação lógica do cliente (do lado do software)

• Definição de direitos de base de dados

• Instrução interna para anonimizar/pseudonimizar os dados pessoais em caso de divulgação ou após o termo do período legal de eliminação, se possível.

3. Integridade (art. 32.º, n.º 1, alínea b) do RGPD)

3.1 Controlo da transferência

É assegurado que os dados pessoais não podem ser lidos, copiados, alterados ou removidos sem autorização durante a transmissão ou armazenamento em suportes de dados e que é possível verificar que pessoas ou organismos receberam dados pessoais. Para o efeito, foram implementadas as seguintes medidas:

• Encriptação WLAN (WPA2 com palavra-passe forte)

• Registo de acessos e recuperações

• Disponibilização de dados através de ligações encriptadas, como SFTP ou HTTPS

• Proibição de carregar dados da empresa em servidores externos

3.2 Controlo de entrada

As medidas que se seguem garantem que é possível verificar quem tratou os dados pessoais nos sistemas de tratamento de dados e em que momento:

• Registar a introdução, alteração e eliminação de dados

• Controlo manual ou automático dos registos

• Rastreabilidade da entrada, alteração e eliminação de dados através de nomes de utilizadores individuais (e não de grupos de utilizadores)

• Responsabilidades claras para as supressões

legal.dpa.latest.annexes.2.3.2.text.6

4. Disponibilidade e resiliência (art. 32.º, n.º 1, alínea b), do RGPD)

As medidas que se seguem garantem que os dados pessoais são protegidos contra a destruição ou perda acidental e estão sempre disponíveis para o cliente:

• Extintores de incêndio em salas de servidores

• Dispositivos para monitorizar a temperatura e a humidade em salas de servidores

• Ar condicionado nas salas de servidores

• Tiras de proteção de tomadas em salas de servidores

• Fonte de alimentação ininterrupta (UPS)

• Vigilância por vídeo em salas de servidores

• Mensagem de alarme para acesso não autorizado a salas de servidores

• Cópias de segurança regulares

• Verificar o processo de backup

• Armazenamento de cópias de segurança de dados numa localização segura e fora do local

• Testes regulares de recuperação de dados e registo dos resultados

• Não há instalações sanitárias na sala do servidor ou por cima dela

• Aloja (pelo menos os dados mais importantes) num hoster profissional

5. Procedimentos de revisão, apreciação e avaliação regulares (art. 32.º, n.º 1, alínea d), do RGPD; art. 25.º, n.º 1, do RGPD)

5.1 Gestão da proteção de dados

As medidas que se seguem destinam-se a garantir que a organização cumpre os requisitos básicos da lei de proteção de dados:

• Utilização da plataforma heyData para a gestão da proteção de dados

• Nomeação do responsável pela proteção de dados eiData

• Obrigação dos trabalhadores de manter o sigilo dos dados

• Formação regular sobre proteção de dados para os funcionários

• Manter uma visão geral das actividades de tratamento (art. 30.º do RGPD)

5.2 Gestão da resposta a incidentes

As medidas que se seguem destinam-se a garantir que os processos de comunicação são desencadeados em caso de violação da proteção de dados:

• Processo de comunicação de violações da proteção de dados, de acordo com o Art. 4 No. 12 do RGPD às autoridades de controlo (Art. 33 do RGPD)

• Processo de notificação de violações de dados de acordo com o Art. 4 n.º 12 do RGPD aos titulares dos dados (art. 34.º do RGPD)

• Envolvimento do responsável pela proteção de dados em incidentes de segurança e violações de dados

• Utilização de firewalls

5.3 Configurações padrão favoráveis à proteção de dados (Art. 25 para. 2 GDPR)

As medidas que se seguem destinam-se a garantir que os processos de comunicação são desencadeados em caso de violação da proteção de dados:

• Processo de comunicação de violações da proteção de dados, de acordo com o Art. 4 No. 12 do RGPD às autoridades de controlo (Art. 33 do RGPD)

• Processo de notificação de violações de dados de acordo com o Art. 4 n.º 12 do RGPD aos titulares dos dados (art. 34.º do RGPD)

5.4 Controlo das encomendas

As medidas que se seguem garantem que os dados pessoais só podem ser tratados em conformidade com as instruções:

• Instruções escritas ao contratante ou instruções em forma de texto (por exemplo, através de um acordo de processamento de dados)

• Assegurar a destruição dos dados após a conclusão da encomenda, por exemplo, solicitando as confirmações correspondentes

• Confirmação por parte dos contratantes de que comprometem os seus próprios empregados a respeitar o sigilo dos dados (normalmente no acordo de processamento de dados)

• Seleção cuidadosa dos contratantes (especialmente no que diz respeito à segurança dos dados)

• Revisão contínua dos contratantes e das suas actividades

• Assegurar a destruição dos dados após a conclusão da encomenda, por exemplo, solicitando as confirmações correspondentes

Versão 1.3, em vigor a partir de 10 de abril de 2024