Introdução à presente Emenda
O processamento de dados pessoais de forma segura, justa, e transparente é extremamente importante para nós em TaxDome. Como parte deste esforço, nós processamos dados pessoais de acordo com a UE e com as leis de proteção de dados incluindo a UE e o Regulamento Geral de Protecção de Dados («RGPD»), e a Lei de Proteção de Dados do Reino Unido de 2018 até à extensão aplicável. Nós também processamos dados pessoais de acordo com leis de proteção de dados de países terceiros que regem o tratamento de vários tipos de dados pessoais, incluindo a Lei da Privacidade do Consumidor da Califórnia («CCPA»), Lei da Portabilidade do Seguro de Saúde e Responsabilidade («HIPAA»), e conformidade da indústria de cartões de pagamento («PCI»).
Para proteger melhor os indivíduos e os seus dados pessoais, nós estamos a fornecer estes termos a governar TaxDome e o seu tratamento de dados pessoais (a «Alteração do processamento de dados» ou «APD»). Esta APD faz parte de, e altera os Termos de Serviço («TdS») e não requer ação adicional sobre a sua parte.
Se não concordar com esta APD, poderá descontinuar a utilização do serviço TaxDome e cancelar a sua conta.
Definições
É importante que todas as partes compreendam que data e de quem está protegida dentro deste APD. Cada parte tem obrigações respetivas para proteger dados pessoais; portanto, as definições seguintes explicam o âmbito desta APD e os compromissos mútuos para proteger dados pessoais.
«TaxDome», «nós», «nós», ou «nosso(a)» refere-se ao fornecedor de website e serviços TaxDome, (coletivamente referidos a as o « Serviços TaxDome. »).
Você»ou Cliente» refere-se à empresa ou organização que se inscreve para utilizar o Serviço TaxDome para gerir as relações com os seus consumidores ou utilizadores do serviço.
«Parte» refere-se a TaxDome e/ou ao cliente dependendo do contexto.
Funcionários» refere-se aos indivíduos que são funcionários ou que estão sob contrato para executar um serviço em nome de uma das partes. Os funcionários podem ter direitos sobre os seus dados pessoais (incluindo informações de contacto comercial) se residirem na UE. É importante ser claro sobre a forma como os direitos dos funcionários são protegidos.
«Subprocessador» é a Terceiros, contratados independentes, vendedores e fornecedores que fornecem serviços e produtos específicos relacionados para o site de TaxDome e os nossos serviços, como hospedagem, processamento de cartão de crédito e triagem de fraude e hospedagem de lista de e-mails («de terceiros» ou «contratante externo» deve ter significados semelhantes).
Incidente» significa: (a) um reclamação ou um pedido relativo ao exercício dos direitos de um indivíduo ao abrigo da RDPB; (b) uma investigação ou apreensão dos dados pessoais por funcionários governamentais, ou uma indicação específica de que tal investigação ou apreensão é iminente; ou © qualquer violação da segurança e/ou confidencialidade, tal como estabelecido na presente APD, que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos dados pessoais, ou qualquer indicação de que tal violação tenha ocorrido ou esteja prestes a ocorrer.
Os termos, «sujeito dos Dados», «Dados pessoais», «Estado Membro», «Controlador» , «Processador», e «Processamento» terão o mesmo significado em o RGPD, e os seus termos cognatos serão interpretados em conformidade.
‘Lei de Proteção de Dados’ significa toda a legislação aplicável relativa à proteção de dados e privacidade, incluindo, sem limitação, o RGPD, juntamente com quaisquer leis nacionais de implementação em qualquer Estado Membro da União Europeia ou, para na medida aplicável, em qualquer outro país, conforme alterado, revogado, consolidado ou substituído de tempos em tempos
«SCCs» refere-se às cláusulas contratuais padrão para processadores como aprovadas por a Comissão Europeia ou Autoridade Federal de Proteção de Dados da Suíça (conforme aplicável).
Para facilitar a leitura de , não usamos iniciais letras maiúsculas de termos definidos em este APD. Termos definidos são termos definidos, independentemente do seu formato.
-
1. Compromissos relativos a dados pessoais
- Cada parte concorda que os dados pessoais devem ser tratados como informações confidenciais sob este APD. Além disso, cada parte deverá sempre cumprir as leis aplicáveis relacionadas a proteção de dados na jurisdição relevante em relação aos seus dados pessoais.
- Os Dados Pessoais permanecerão propriedade de a parte divulgadora. TaxDome reconhece que o cliente é o controlador e mantém o controle sobre os dados pessoais do titular dos dados.
-
A TaxDome processará os dados pessoais do cliente apenas na medida estritamente necessária para a prestação dos serviços de acordo com os TdS e quaisquer outras instruções escritas do cliente que sejam mutuamente acordadas por escrito. Os detalhes do tratamento de dados pessoais, tal como exigido pelo artigo 28(3) RGPD, são apresentados no Anexo B. A TaxDome concorda com isso:
- isto implementará e manterá um programa de segurança razoável e adequado, incluindo medidas de segurança, técnicas e organizacionais adequadas para proteger contra processamento não autorizado, ilegal ou acidental, utilização, apagamento, perda ou destruição de, ou danos nos dados pessoais dos clientes;
- isto não modificará, alterará, apagará, publicará ou divulgará quaisquer dados pessoais do cliente a terceiros, nem permitirá que terceiros processem tais dados pessoais em nome da TaxDome, a menos que o terceiro esteja vinculado a disposições semelhantes de confidencialidade e tratamento de dados;
- Deve assegurar que o acesso aos dados pessoais seja limitado ao pessoal que necessite desse acesso para cumprir as suas obrigações ao abrigo dos TdS, e ao seu pessoal envolvido no ;o tratamento de dados pessoais é informado da natureza confidencial dos dados pessoais, recebeu formação adequada sobre as suas responsabilidades e executou acordos de confidencialidade escritos. TaxDome deve assegurar que tais obrigações de confidencialidade sobrevivam à cessação do compromisso do pessoal; e
- só processará os dados pessoais do cliente na medida necessária para cumprir as suas obrigações nos termos da TdS, mediante instruções escritas do cliente (apenas conforme acordado mutuamente), e em conformidade com as leis aplicáveis.
- Após o encerramento da sua conta, a TaxDome apagará, ou a pedido do cliente, devolverá todos os dados pessoais de acordo com a nossa política padrão de salvaguarda e retenção de dados de acordo com os TdS, normalmente, o mais tardar 90 dias, a menos que sejamos obrigados a reter dados pessoais devido à legislação da União, dos Estados Membros ou dos Estados Unidos; neste caso, a TaxDome reserva-se o direito de reter dados pessoais.
- As partes reconhecem que os clientes podem, de tempos a tempos, estar na posse de dados pessoais relacionados com o pessoal de TaxDome no âmbito da utilização do Serviço TaxDome. TaxDome garante que forneceu a esse pessoal todas as notificações necessárias e obteve todos os consentimentos, autorizações, aprovações e/ou acordos necessários, conforme exigido por qualquer lei aplicável, a fim de permitir: (i) a divulgação dos dados pessoais do pessoal de TaxDome ao cliente relacionados com a utilização do Serviço TaxDome pelo cliente; e (ii) o processamento posterior de tais dados pessoais de TaxDome pelo cliente para efeitos de utilização do Serviço TaxDome.
-
2. Compromissos relativos aos sub-processadores
- As partes reconhecem que TaxDome pode contratar sub-processadores de terceiros em ligação com as obrigações da TdS. Para qualquer sub-processador com o qual TaxDome se comprometa, celebraremos um acordo escrito contendo obrigações de proteção de dados não menos protetoras do que as constantes da presente emenda e conforme necessário para proteger os dados pessoais do cliente de acordo com o padrão exigido pela RGPD
- A TaxDome deve disponibilizar aos clientes a lista actual de sub-processadores, colocando essa lista online em https://www.taxdome.com/policies/sub-processors/.
- Para evitar dúvidas, a autorização acima referida para a contratação de sub-processadores constitui o consentimento prévio por escrito do cliente para o sub-processamento pela TaxDome para efeitos da cláusula 9 das cláusulas contratuais-tipo.
-
3. Compromisos dos clientes e assistência TaxDome
- O cliente garante que tem todos os direitos necessários para fornecer a TaxDome os dados pessoais a tratar no âmbito da prestação dos serviços de TaxDome.
- Na medida exigida pela lei aplicável, o cliente é responsável por assegurar que quaisquer consentimentos do titular dos dados que possam ser necessários a este tratamento sejam obtidos, e por assegurar que seja mantido um registo de tais consentimentos, incluindo qualquer consentimento para a utilização de dados pessoais que sejam obtidos de terceiros. Se tal consentimento for revogado por um titular dos dados, o cliente é responsável por comunicar o facto de tal revogação a TaxDome, e TaxDome permanece responsável pela implementação de qualquer instrução do cliente com respeito ao tratamento posterior desses dados pessoais, ou, como pode estar de acordo com qualquer das obrigações legais de TaxDome.
-
O cliente compreende, como controlador, que é responsável (como entre cliente e TaxDome) por:
- determinação da licitude de qualquer processamento, realização de quaisquer avaliações de impacto de protecção de dados necessárias, e contabilidade aos reguladores e indivíduos, conforme seja necessário;
- fazer esforços razoáveis para verificar o consentimento parental quando os dados são recolhidos sobre uma pessoa com menos de 16 anos de idade;
- fornecer às pessoas em causa as advertências relevantes em matéria de privacidade que possam ser exigidas na sua jurisdição, incluindo a notificação dos seus direitos e fornecer os mecanismos para o exercício desses direitos pelos indivíduos;
- respondendo a pedidos de indivíduos sobre os seus dados e o processamento dos mesmos, incluindo pedidos de alteração, correção ou eliminação de dados pessoais, e fornecendo cópias dos dados efectivamente processados;
- implementar as suas próprias medidas técnicas e organizacionais adequadas para assegurar e demonstrar o processamento de acordo com esta APD;
- notificar indivíduos e quaisquer reguladores ou autoridades relevantes de qualquer incidente que possa ser exigido por lei na sua jurisdição.
- TaxDome prestará assistência ao cliente através da implementação de medidas técnicas e organizacionais adequadas, na medida em que tal seja razoável e comercialmente possível, no cumprimento das obrigações do cliente de responder aos pedidos dos indivíduos para o exercício de direitos ao abrigo do RGPD.
- TaxDome deve prestar assistência ao cliente através da implementação de medidas técnicas e organizacionais adequadas, na medida em que tal seja razoável e comercialmente possível, para assegurar o cumprimento dos artigos 32º a 36º (inclusive) do RGPD.
- Numa base anual, a TaxDome irá obter uma auditoria independente da sua base de códigos e sistemas por terceiros independentes para demonstrar o cumprimento das suas obrigações ao abrigo deste APD. A pedido do cliente, e sujeito a obrigações de confidencialidade, a TaxDome disponibilizará ao cliente as informações razoavelmente necessárias para demonstrar o cumprimento das obrigações da TaxDome ao abrigo deste APD. No mínimo, mediante pedido escrito, a TaxDome apresentará ao cliente um resumo executivo de quaisquer relatórios de auditoria de terceiros relativamente à adequação das medidas de segurança técnica da TaxDome, conforme descrito em Política de segurança.
-
4. Gestão de Incidentes
- Quando uma das partes tomar conhecimento de um incidente que tenha impacto no processamento de dados pessoais, notificará prontamente a outra sobre o incidente e cooperará razoavelmente para permitir à outra parte efectuar uma investigação exaustiva do incidente, formular uma resposta correcta, e tomar as medidas adicionais adequadas em relação ao incidente.
- Ambas as partes devem ter sempre em vigor procedimentos escritos que lhes permitam responder prontamente à outra parte sobre um incidente. Quando for razoavelmente provável que o incidente exija uma notificação de violação de dados ao abrigo da legislação aplicável, a parte responsável pelo incidente notificará a outra sem demora injustificada de ter tomado conhecimento de tal incidente.
- Quaisquer notificações feitas ao abrigo desta secção devem ser feitas a privacy@taxdome. Com (quando feitas à TaxDome) e ao nosso ponto de contacto com o cliente (quando feitas ao cliente), e devem conter: (i) uma descrição da natureza do incidente, incluindo, sempre que possível, as categorias e o número aproximado de indivíduos envolvidos e as categorias e o número aproximado de registos em causa; (ii) o nome e os dados de contacto do ponto de contacto onde mais informações podem ser obtidas; (iii) uma descrição das prováveis consequências do incidente; e (iv) uma descrição das medidas tomadas ou propostas para resolver o incidente, incluindo, sempre que apropriado, medidas para mitigar os seus possíveis efeitos adversos.
-
5. Responsabilidade Civil e Indemnização
- A responsabilidade de cada parte perante a outra parte ao abrigo ou em ligação com esta APD será limitada de acordo com as disposições dos TdS.
- O cliente reconhece que a TaxDome confia no cliente para orientação quanto à medida em que a TaxDome tem o direito de processar os dados pessoais do cliente em nome do cliente na execução dos serviços. Consequentemente, a TaxDome não será responsável, ao abrigo dos mesmos, por qualquer reclamação apresentada por um sujeito dos dados resultante de qualquer acção ou omissão da TaxDome, na medida em que tal acção ou omissão tenha resultado das instruções do cliente ou do incumprimento por parte do cliente das suas obrigações ao abrigo da lei de proteção de dados aplicável.
-
6. Duração e Rescisão
- Esta APD entrará em vigor em 1 de Janeiro de 2022 e continuará até que seja alterada ou terminada de acordo com os TdS.
- A rescisão ou expiração de este APD não isentará as partes das obrigações de confidencialidade aqui contidas.
-
7. Transferências internacionais de dados
- Localização dos centros de dados. O cliente reconhece que TaxDome pode transferir e processar dados pessoais para e nos Estados Unidos e em qualquer outra parte do mundo onde TaxDome, as suas afiliadas ou os seus sub-processadores mantenham operações de processamento de dados. TaxDome deve assegurar sempre que tais transferências sejam efetuadas em conformidade com os requisitos das leis de proteção de dados.
-
Transferências europeias de dados. Na medida em que TaxDome é um destinatário de dados pessoais protegidos pelas leis de proteção de dados da UE ("dados da UE"), as partes concordam que TaxDome disponibiliza os mecanismos abaixo indicados:
-
SCCs: TaxDome concorda em respeitar e processar os dados da UE em conformidade com os SCCs, que são incorporados na íntegra por referência e formam parte integrante deste APD. Para os fins do SCCs:
- TaxDome concorda que é o "importador de dados" e o cliente é o "exportador de dados" ao abrigo das SCCs (apesar de o próprio cliente poder ser uma entidade localizada fora da UE);
- O Anexo B inclui as SCCs e respectivos anexos as partes acordam ainda que as SCCs serão aplicáveis aos dados pessoais que são transferidos através do serviço da Europa para fora da Europa, diretamente ou através de transferência para qualquer país ou destinatário: (a) não reconhecidos pela Comissão Europeia como fornecendo um nível adequado de proteção de dados pessoais (como descrito na lei de proteção de dados da UE)
- Se e na medida em que as cláusulas contratuais-tipo (quando aplicável) entrarem em conflito com qualquer disposição deste APD, as cláusulas contratuais-tipo prevalecerão na medida em que tal conflito ocorra.
-
SCCs: TaxDome concorda em respeitar e processar os dados da UE em conformidade com os SCCs, que são incorporados na íntegra por referência e formam parte integrante deste APD. Para os fins do SCCs:
Anexo A — Termos Específicos de Jurisdição
Brasil
- Com a entrada em vigor da lei geral de protecção de dados ("LGPD") do Brasil, aplicar-se-á o seguinte: cada parte é responsável pelo cumprimento das suas respectivas obrigações estabelecidas no LGPD, e o cliente só emitirá instruções de processamento, tal como estabelecido na secção 1 (compromissos relativos aos dados pessoais) do APD, que permitem ao TaxDome cumprir as suas obrigações no âmbito da LGPD. Para efeitos da secção 7 (transferências internacionais de dados), as cláusulas contratuais padrão serão utilizadas para transferências para países não adequados, de acordo com as LGPD.
Califórnia
- As definições de: "responsável pelo tratamento" inclui "empresa"; "processador" inclui "prestador de serviços"; "titular dos dados" inclui "consumidor"; "dados pessoais" inclui "informações pessoais"; em cada caso, tal como definido em CCPA.
- "Processo", " "Processado" ou "Processamento" significa qualquer operação ou conjunto de operações que sejam realizadas sobre Informações Pessoais, ou sobre conjuntos de Informações Pessoais, seja ou não por meios automatizados.
- As obrigações de TaxDome relativamente aos pedidos das pessoas em causa, tal como descritas na secção 3(d) e 3(e) (direitos das pessoas em causa e cooperação) da presente APD, aplicam-se aos direitos dos consumidores ao abrigo do CCPA.
- Não obstante qualquer coisa em contrário, a Informação Pessoal do Cliente é a Informação Pessoal que a TaxDome processa em nome do Cliente ao abrigo do Contrato. A TaxDome pode processar as Informações Pessoais do Cliente com a única finalidade de cumprir as suas obrigações nos termos do Contrato e não deverá utilizar as Informações Pessoais do Cliente para qualquer outro fim sem o consentimento expresso por escrito do Cliente. Em particular, a TaxDome não poderá: (i) vender, como é definido na CCPA, Informações Pessoais do Cliente ou partilhar Informações Pessoais do Cliente com terceiros sem a permissão do Cliente; (ii) reter, utilizar ou divulgar Informações Pessoais do Cliente para quaisquer outros fins que não os especificados no presente Contrato, incluindo a retenção, utilização ou divulgação de Informações Pessoais do Cliente para um fim comercial que não seja o de prestar os seus serviços ao Cliente; e (iii) reter, utilizar ou divulgar Informações Pessoais do Cliente fora da relação comercial da TaxDome com o Cliente. As partes reconhecem que qualquer divulgação de Informações Pessoais do Cliente nos termos do Contrato não confere qualquer valor nos termos do Contrato.
- TaxDome cumprirá todos os requisitos aplicáveis da CCPA no cumprimento das suas obrigações nos termos do acordo, incluindo a implementação e manutenção de medidas de segurança razoáveis adequadas à natureza das Informações Pessoais, a fim de proteger as Informações Pessoais dos clientes contra acesso não autorizado, destruição, utilização, modificação, ou divulgação. TaxDome compromete-se a reparar qualquer dano que qualquer pessoa possa sofrer devido ao processamento efetuado em violação das suas obrigações legais, regulamentares e contratuais, excepto se TaxDome provar que não é responsável por tal dano.
- TaxDome pode desidentificar ou agregar dados pessoais como parte da execução do serviço especificado neste APD e no acordo.
- Quando os sub-processadores processam os dados pessoais dos nossos clientes, TaxDome toma medidas para assegurar que tais sub-processadores são prestadores de serviços ao abrigo da CCPA com quem TaxDome celebrou um contrato escrito que inclui termos substancialmente semelhantes a esta APD ou que estão isentos da definição de "venda" da CCPA. TaxDome efectua a devida diligência sobre os seus sub-processadores.
Canadá
- TaxDome toma medidas para assegurar que os sub-processadores de TaxDome, tal como descritos na secção 2 do APD, são terceiros sob PIPEDA, com os quais TaxDome celebrou um contrato escrito que inclui termos substancialmente semelhantes a este APD. TaxDome efectua a devida diligência sobre os seus sub-processadores.
- TaxDome implementará e manterá medidas de segurança razoáveis adequadas à natureza das informações pessoais, tal como estabelecido na secção 1 do APD.
Sérvia
- Lei sobre a proteção de dados pessoais (Zakon o zašti podataka o licnosti; Jornal Oficial da República da Sérvia, nº 87/2018).
Reino Unido
- Os Regulamentos de 2019 sobre Proteção de Dados, Privacidade e Comunicações Eletrónicas (alterações, etc.) (saída da UE), tal como alterados, anulados ou substituídos, uma vez entrados em vigor, e a Lei de Proteção de Dados do Reino Unido de 2018.
Anexo B — Cláusulas contratuais padrão (processadores)
Secção 1
Cláusula 1
Finalidade e âmbito
- O objectivo destas cláusulas contratuais-tipo é assegurar o cumprimento dos requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de Abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (regulamento geral de protecção de dados) para a transferência de dados pessoais para um país terceiro.
-
As Partes:
- a(s) pessoa(s) singular(es) ou colectiva(s), autoridade(s) pública(s), agência(s) ou outro(s) organismo(s) (adiante designado por "entidade(s)") que transfere(m) os dados pessoais, tal como enumerados no anexo i. A (adiante designado por cada "exportador de dados"), e
- a entidade ou entidades de um país terceiro que recebem os dados pessoais do exportador de dados, directa ou indirectamente através de outra entidade também parte nestas cláusulas, tal como enumeradas no anexo i. A (doravante cada "importador de dados")
- concordaram com estas cláusulas contratuais padrão (doravante: ‘Cláusulas’).
- Estas Cláusulas aplicam-se no que respeita à transferência de dados pessoais, tal como especificado no anexo I.B.
- O apêndice a estas cláusulas contendo os anexos aí referidos é parte integrante destas cláusulas.
Cláusula 2
Efeito e invariabilidade das Cláusulas
- Estas cláusulas estabelecem salvaguardas apropriadas, incluindo direitos executórios das pessoas em causa e recursos legais eficazes, nos termos do artigo 46(1) e do artigo 46(2)© of Regulamento (UE) 2016/679 e, no que respeita às transferências de dados dos responsáveis pelo tratamento para os processadores e/ou processadores para os processadores, cláusulas contratuais-tipo nos termos do artigo 28(7) do Regulamento (UE) 2016/679, desde que não sejam alteradas, excepto para seleccionar o(s) Módulo(s) apropriado(s) ou para acrescentar ou actualizar informações no Apêndice. Isto não impede as Partes de incluir as cláusulas contratuais-tipo estabelecidas nestas cláusulas num contrato mais amplo e/ou de acrescentar outras cláusulas ou salvaguardas adicionais, desde que não contradigam, directa ou indirectamente, estas cláusulas ou prejudiquem os direitos ou liberdades fundamentais dos titulares dos dados.
- Estas cláusulas não prejudicam as obrigações a que o exportador de dados está sujeito por em virtude do Regulamento (UE) 2016/679.
Cláusula 3
Beneficiários Terceiros
-
Os titulares dos dados podem invocar e aplicar estas cláusulas, como terceiros beneficiários, contra o exportador e/ou importador de dados, com as seguintes exceções:
- Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
- Cláusula 8.1(b), 8.9(a), ©, (d) e (e);
- Cláusula 9(a), ©, (d) e (e);
- Cláusula 12(a), (d) e (f);
- Cláusula 13;
- Cláusula 15.1©, (d) e (e);
- Cláusula 16(e);
- Cláusula 18 (a) e (b).
- O parágrafo (a) é sem prejuízo dos direitos de dados sujeitos ao abrigo do Regulamento (UE) 2016/679.
Cláusula 4
Interpretação
- Quando estas cláusulas utilizarem termos definidos no Regulamento (UE) 2016/679, esses termos terão o mesmo significado que no referido Regulamento.
- Estas Cláusulas devem ser lidas e interpretadas em à luz de as disposições do Regulamento (UE) 2016/679.
- Estas Cláusulas não devem ser interpretadas de forma a que entre em conflito com direitos e obrigações previstos no Regulamento (UE) 2016/679.
Cláusula 5
Hierarquia
Em caso de contradição entre estas cláusulas e as disposições de acordos conexos entre as partes, existentes no momento em que estas cláusulas forem acordadas ou celebradas posteriormente, estas cláusulas prevalecerão.
Cláusula 6
Descrição de transferência(s)
Os detalhes de a(s) transferência(s) e em em particular as categorias de os dados pessoais que são transferidos e a(s) finalidade(s) para a qual são transferidos estão especificados no Anexo I.B.
Cláusula 7 - Opcional
Cláusula de ancoragem
- Uma entidade que não faça parte destas cláusulas pode, com o acordo das Partes, aceder a estas cláusulas em qualquer altura, quer como exportador de dados quer como importador de dados, preenchendo o Apêndice e assinando o Anexo I.A.
- Uma vez concluído o Apêndice e assinado o Anexo I.A, a entidade aderente tornar-se-á Parte nestas cláusulas e terá os direitos e obrigações de um exportador ou importador de dados de acordo com a sua designação no Anexo I.A.
- A entidade aderente não terá direitos ou obrigações decorrentes destas Cláusulas do período anterior a se tornar uma Parte.
Secção 2— Obrigações das Partes
Cláusula 8
Salvaguardas de proteção de dados
O exportador de dados garante que fez esforços razoáveis para determinar que o importador de dados é capaz, através da implementação de medidas técnicas e organizacionais apropriadas, para cumprir suas obrigações sob estes Cláusulas.
-
-
Instruções
- O importador de dados deve processar os dados pessoais apenas em instruções documentadas do exportador de dados. O exportador de dados pode fornecer tais instruções durante o contrato.
- O importador de dados deve informar imediatamente o exportador de dados se este for incapaz de seguir essas instruções.
-
Limitação da finalidade
O importador de dados processará os dados pessoais apenas para a(s) finalidade(s) específica(s) de da transferência, conforme estabelecido em Anexo I.B, a menos que em instruções adicionais do exportador de dados.
-
Transparência
Mediante pedido, o exportador de dados disponibilizará gratuitamente ao interessado uma cópia destas cláusulas, incluindo o apêndice, tal como preenchido pelas Partes. Na medida do necessário para proteger os segredos comerciais ou outras informações confidenciais, incluindo as medidas descritas no Anexo II e os dados pessoais, o exportador de dados poderá redigir parte do texto do Apêndice às presentes cláusulas antes de partilhar uma cópia, mas deverá fornecer um resumo significativo sempre que o titular dos dados não possa, de outro modo, compreender o seu conteúdo ou exercer os seus direitos. Mediante pedido, as Partes fornecerão ao titular dos dados os motivos das redacções, na medida do possível sem revelar a informação redaccionada. Esta cláusula não prejudica as obrigações do exportador de dados nos termos dos artigos 13º e 14º do Regulamento (UE) 2016/679.
-
Precisão
Se o importador de dados tomar conhecimento de que os dados pessoais que recebeu é inexactos, ou se tornaram desactualizados, este deve informar o exportador de dados sem atraso indevido. In neste caso, o importador de dados deve cooperar com o exportador de dados para apagar ou rectificar os dados.
-
Duração de processamento e eliminação ou devolução de dados
O tratamento de dados pelo importador de dados só terá lugar durante o período especificado no anexo I.B. Após o fim da prestação dos serviços de tratamento, o importador de dados, à escolha do exportador de dados, apagará todos os dados pessoais tratados em nome do exportador de dados e certificará ao exportador de dados que o fez, ou devolverá ao exportador de dados todos os dados pessoais tratados em seu nome e apagará as cópias existentes. Até que os dados sejam apagados ou devolvidos, o importador de dados continuará a assegurar o cumprimento das presentes cláusulas. No caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou eliminação dos dados pessoais, o importador de dados garante que continuará a assegurar o cumprimento das presentes cláusulas e só as processará na medida e durante o tempo exigido por essa lei local. Isto não prejudica a cláusula 14, em particular a exigência do importador de dados nos termos da cláusula 14(e) de notificar o exportador de dados durante toda a duração do contrato se tiver razões para crer que está ou se tornou sujeito a leis ou práticas não conformes com os requisitos da cláusula 14(a).
-
Segurança do processamento
- O importador de dados e, durante a transmissão, também o exportador de dados devem implementar medidas técnicas e organizacionais adequadas para garantir a segurança dos dados, incluindo proteção contra uma quebra de segurança que conduza à destruição acidental ou ilegal, perda, alteração, divulgação ou acesso não autorizado a esses dados (aqui após a violação de dados pessoais). Ao avaliar o nível de segurança adequado, as Partes terão em devida conta; o estado da técnica, os custos de implementação, a natureza, o âmbito, o contexto e a(s) finalidade(s) do tratamento e os riscos envolvidos no tratamento dos dados para as pessoas em causa. As Partes considerarão, nomeadamente, o recurso à codificação ou à pseudonímia, inclusive durante a transmissão, sempre que a finalidade do tratamento possa ser cumprida dessa forma. Em caso de pseudonimização, as informações adicionais para a atribuição dos dados pessoais a uma determinada pessoa em causa permanecerão, sempre que possível, sob o controlo exclusivo do exportador de dados. No cumprimento das suas obrigações nos termos do presente número, o importador de dados aplicará, pelo menos, as medidas técnicas e organizacionais especificadas no Anexo II. O importador de dados deve efetuar controlos regulares para garantir que essas medidas continuem a proporcionar um nível de segurança adequado.
- O importador de dados só dará acesso aos dados pessoais aos membros do seu pessoal na medida estritamente necessária para a execução, gestão e controlo do contrato. Deve assegurar que as pessoas autorizadas a tratar os dados pessoais se comprometeram a respeitar a confidencialidade ou estão sob uma obrigação legal de confidencialidade apropriada.
- Em caso de violação de dados pessoais relativos a dados pessoais tratados pelo importador de dados ao abrigo das presentes cláusulas, o importador de dados tomará as medidas adequadas para resolver a violação, incluindo medidas para mitigar os seus efeitos adversos. O importador de dados notificará igualmente o exportador de dados sem demora injustificada, depois de ter tomado conhecimento da violação. Tal notificação deve conter os dados de um ponto de contacto onde se possam obter mais informações, uma descrição da natureza da violação (incluindo, sempre que possível, as categorias e o número aproximado de titulares dos dados e registos de dados pessoais em causa), as suas prováveis consequências e as medidas tomadas ou propostas para fazer face à violação, incluindo, se for caso disso, medidas destinadas a atenuar os seus possíveis efeitos adversos. Quando, e na medida em que, não seja possível fornecer todas as informações ao mesmo tempo, a notificação inicial deve conter as informações então disponíveis e, à medida que estas se tornem disponíveis, as informações adicionais devem ser fornecidas posteriormente sem demora injustificada.
- O importador de dados deve cooperar e ajudar o exportador de dados a permitir que este cumpra as suas obrigações nos termos do Regulamento (UE) 2016/679, em particular para notificar a autoridade de controlo competente e as pessoas afectadas, tendo em conta a natureza do tratamento e as informações disponíveis para o importador de dados.
-
Dados sensíveis
Sempre que a transferência envolva dados pessoais que revelem origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, ou filiação sindical, dados genéticos ou dados biométricos para efeitos de identificação única de uma pessoa singular, dados relativos à saúde ou à vida sexual ou orientação sexual de uma pessoa, ou dados relativos a condenações penais e infracções (a seguir designados "dados sensíveis"), o importador de dados aplicará as restrições específicas e/ou salvaguardas adicionais descritas no anexo i. B.
-
Transferências subsequentes
O importador de dados só deve revelar os dados pessoais a terceiros mediante instruções documentadas do exportador de dados. Além disso, os dados só podem ser divulgados a terceiros localizados fora da União Europeia (no mesmo país que o importador de dados ou noutro país terceiro, doravante "transferência posterior") se o terceiro estiver ou concordar em estar vinculado por estas cláusulas, sob o módulo apropriado, ou se:
- a transferência subsequente é para um país que beneficia de uma decisão de adequação nos termos do artigo 45º do Regulamento (UE) 2016/679 que abrange a transferência subsequente;
- o terceiro garante de outra forma as salvaguardas adequadas nos termos dos artigos 46º ou 47º do Regulamento (UE) 2016/679 no que diz respeito ao processamento em questão;
- a transferência subsequente é necessária para o estabelecimento, exercício ou defesa de reivindicações legais em o contexto de específico administrativo, regulatório ou processos judiciais; ou
- a transferência subsequente é necessária em para proteger o vital interesses de titular dos dados ou de outra pessoa física.
Qualquer transferência subsequente está sujeita ao cumprimento pelo importador de dados de todas as outras salvaguardas ao abrigo destas cláusulas, em particular a limitação da finalidade.
-
Documentação e conformidade
- O importador de dados deve lidar imediata e adequadamente com as consultas do exportador de dados relacionadas ao processamento sob estas Cláusulas.
- As Partes serão capazes de demonstrar conformidade com estas Cláusulas. Em particular , o importador de dados deve manter a documentação apropriada em as atividades de processamento realizadas em em nome de o exportador de dados.
- O importador de dados colocará à disposição do exportador de dados todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas nas presentes cláusulas e, a pedido do exportador de dados, permitirá e contribuirá para auditorias das actividades de tratamento abrangidas pelas presentes cláusulas, a intervalos razoáveis ou se houver indícios de incumprimento. Ao decidir sobre uma revisão ou auditoria, o exportador de dados pode ter em conta as certificações pertinentes na posse do importador de dados.
- O exportador de dados pode optar por realizar a auditoria por si próprio ou mandatar um auditor independente. As auditorias podem incluir inspecções nas instalações ou instalações físicas do importador de dados e devem, se for caso disso, ser efectuadas com um pré-aviso razoável.
- As partes devem disponibilizar as informações referidas nas alíneas b) e ©, incluindo os resultados de eventuais auditorias, à autoridade de controlo competente, mediante pedido.
-
Cláusula 9
Uso de subprocessadores
- AUTORIZAÇÃO GERAL ESCRITA o importador de dados tem a autorização geral do exportador de dados para a contratação de sub-processador(es) a partir de uma lista acordada. O importador de dados deve informar especificamente por escrito o exportador de dados de quaisquer alterações previstas a essa lista através da adição ou substituição de subcontratantes com pelo menos dez (10) dias de antecedência, dando assim ao exportador de dados tempo suficiente para poder opor-se a tais alterações antes da contratação do(s) subcontratante(s) ulterior(es). O importador de dados deve fornecer ao exportador de dados as informações necessárias para permitir ao exportador de dados exercer o seu direito de oposição.
- Se o importador de dados contratar um subcontratante ulterior para realizar actividades de tratamento específicas (em nome do exportador de dados), fá-lo-á através de um contrato escrito que preveja, em substância, as mesmas obrigações de Proteção de Dados que vinculam o importador de dados ao abrigo destas cláusulas activas/110240378.1 7, incluindo em termos de direitos de terceiros beneficiários para os titulares dos dados. 1 as partes concordam que, ao cumprir esta cláusula, o importador de dados cumpre as suas obrigações nos termos da Cláusula 8.8. O importador de dados deve assegurar que o sub-processador cumpra as obrigações a que o importador de dados está sujeito nos termos das presentes Cláusulas.
- O importador de dados deve fornecer, a pedido do exportador de dados, uma cópia do referido acordo de subtratamento e de quaisquer alterações subsequentes ao exportador de dados. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o importador de dados pode redigir o texto do acordo antes de partilhar uma cópia.
- O importador de dados permanece inteiramente responsável perante o exportador de dados pelo cumprimento das obrigações do subcontratante ulterior nos termos do seu contrato com o importador de dados. O importador de dados notificará o exportador de dados de qualquer incumprimento por parte do subcontratante ulterior das suas obrigações nos termos desse contrato.
- O importador de dados acordará com o subcontratante subcontratado uma cláusula de terceiro beneficiário segundo a qual - caso o importador de dados tenha desaparecido de facto, deixado de existir por lei ou se tenha tornado insolvente - o exportador de dados terá o direito de rescindir o contrato do subcontratante subcontratante subcontratado e de dar instruções ao subcontratante subcontratante subcontratado para apagar ou devolver os dados pessoais.
Cláusula 10
Direitos do titular dos dados
- O importador de dados deve notificar imediatamente o exportador de dados de qualquer pedido que tenha recebido de uma pessoa em causa. O importador de dados não responderá a esse pedido, a menos que tenha sido autorizado pelo exportador de dados.
- O importador de dados ajudará o exportador de dados a cumprir as suas obrigações de resposta aos pedidos das pessoas em causa para o exercício dos seus direitos ao abrigo do Regulamento (UE) 2016/679. A este respeito, as partes estabelecerão no anexo ii as medidas técnicas e organizacionais adequadas, tendo em conta a natureza do tratamento, através das quais a assistência será prestada, bem como o âmbito e a extensão da assistência necessária.
- No cumprimento das suas obrigações nos termos das alíneas (a) e (b), o importador de dados deve cumprir as instruções do exportador de dados.
Cláusula 11
Reparação
- O importador de dados deve informar as pessoas em causa num formato transparente e facilmente acessível, através de aviso individual ou no seu website, de um ponto de contacto autorizado a tratar as queixas. Deve tratar prontamente quaisquer reclamações que receba de um titular dos dados.
-
Em caso de litígio entre um titular dos dados e uma das Partes no que respeita ao cumprimento destas cláusulas, essa Parte envidará os seus melhores esforços para resolver a questão de forma amigável e atempada. As Partes manter-se-ão mutuamente informadas sobre tais litígios e, sempre que ACTIVE/110240378.1 8 apropriado, cooperarão na sua resolução.
- apresentar uma queixa à autoridade de controlo no Estado-membro da sua residência habitual ou local de trabalho, ou à autoridade de controlo competente nos termos da Cláusula 13;
- remeter o litígio para os tribunais competentes na acepção da Cláusula 18.
- Se o titular dos dados invocar um direito de terceiro beneficiário nos termos da Cláusula 3, o importador de dados deve aceitar a decisão do titular dos dados:
- As Partes aceitam que a pessoa em causa possa ser representada por um organismo, organização ou associação sem fins lucrativos, nas condições estabelecidas no artigo 80(1) do Regulamento (UE) 2016/679.
- O importador de dados deve cumprir uma decisão vinculativa ao abrigo da legislação aplicável da UE ou do Estado-Membro.
- O importador de dados concorda que a escolha feita pelo titular dos dados não prejudicará os seus direitos substantivos e processuais de procurar recursos em conformidade com as leis aplicáveis.
Cláusula 12
Responsabilidade
- Cada Parte será responsável perante a(s) outra(s) Parte(s) por quaisquer danos causa à(s) outra(s) Parte(s) por qualquer violação de estas Cláusulas.
- O importador de dados será responsável perante o titular dos dados, e o titular dos dados terá direito a receber uma indemnização por quaisquer danos materiais ou morais que o importador de dados ou o seu subcontratante causem ao titular dos dados, violando os direitos dos terceiros beneficiários ao abrigo das presentes Cláusulas.
- Não obstante a parágrafo (b), o exportador de dados será responsável perante o titular dos dados, e este terá direito a receber uma indemnização, por quaisquer danos materiais ou morais que o exportador ou o importador de dados (ou o seu subcontratante) cause ao titular dos dados, violando os direitos dos terceiros beneficiários ao abrigo das presentes Cláusulas. Isto não prejudica a responsabilidade do exportador de dados e, se o exportador de dados for um subcontratante agindo por conta de um responsável pelo tratamento, a responsabilidade do responsável pelo tratamento ao abrigo do Regulamento (UE) 2016/679 ou do Regulamento (UE) 2018/1725, conforme aplicável.
- As Partes acordam que se o exportador de dados for considerado responsável nos termos do parágrafo © por danos causados pelo importador de dados (ou pelo seu sub-processador), terá o direito de reclamar do importador de dados a parte da indemnização correspondente à responsabilidade do importador de dados pelos danos.
- Quando mais de uma Parte for responsável por qualquer dano causado à pessoa em causa em resultado de uma violação destas cláusulas, todas as Partes responsáveis serão solidariamente responsáveis e a pessoa em causa tem o direito de intentar uma acção em tribunal contra qualquer uma destas Partes.
- As Partes acordam que se uma Parte for considerada responsável nos termos da alínea (e), terá o direito de reclamar da outra Parte a devolução da parte da indemnização correspondente à sua/seu responsabilidade pelos danos.
- O importador de dados não pode invocar a conduta de um subprocessador para evita sua própria responsabilidade.
Cláusula 13
Supervisão
-
Se o exportador de dados estiver estabelecido num Estado-membro da UE: a autoridade de controlo com a responsabilidade de assegurar o cumprimento pelo exportador de dados do regulamento (UE) 2016/679 no que respeita à transferência de dados, tal como indicado no anexo i. C, actuará como autoridade de controlo competente.
- O importador de dados concorda em submeter-se à jurisdição e cooperar com a autoridade supervisora competente em quaisquer procedimentos destinados a assegurar o cumprimento destas cláusulas. Em particular, o importador de dados concorda em responder a inquéritos, submeter-se a auditorias e cumprir as medidas adoptadas pela autoridade de controlo, incluindo medidas correctivas e compensatórias. Fornecerá à autoridade de controlo uma confirmação escrita de que foram tomadas as medidas necessárias.
Seção 3— Leis e obrigações locais em caso de acesso por autoridades públicas
Cláusula 14
Leis e práticas locais que afetam o cumprimento das Cláusulas
- As partes garantem que não têm motivos para acreditar que as leis e práticas do país terceiro de destino aplicáveis ao tratamento dos dados pessoais pelo importador de dados, incluindo quaisquer requisitos de divulgação de dados pessoais ou medidas que autorizem o acesso por parte das autoridades públicas, impeçam o importador de dados de cumprir as suas obrigações nos termos destas cláusulas. Isto baseia-se no entendimento de que as leis e práticas que respeitam a essência dos direitos e liberdades fundamentais e não excedem o que é necessário e proporcional numa sociedade democrática para salvaguardar um dos objectivos enumerados no n.º 1 do artigo 23º do Regulamento (UE) 2016/679, não estão em contradição com estas cláusulas.
-
As partes declaram que ao fornecer a garantia no parágrafo (a), tiveram em devida conta, em particular, os seguintes elementos:
- as circunstâncias específicas da transferência, incluindo a duração da cadeia de tratamento, o número de intervenientes envolvidos e os canais de transmissão utilizados; as transferências posteriores previstas; o tipo de destinatário; a finalidade do tratamento; as categorias e o formato dos dados pessoais transferidos; o sector económico em que a transferência ocorre; o local de armazenamento dos dados transferidos;
- as leis e práticas do país terceiro de destino - incluindo as que exigem a divulgação de dados às autoridades públicas ou que autorizam o acesso por parte dessas autoridades - relevantes à luz das circunstâncias específicas da transferência, e das limitações e salvaguardas aplicáveis;
- as leis e práticas do país terceiro de destino - incluindo as que exigem a divulgação de dados às autoridades públicas ou que autorizam o acesso por parte dessas autoridades - relevantes à luz das circunstâncias específicas da transferência, e das limitações e salvaguardas aplicáveis;
- O importador de dados garante que, ao efetuar a avaliação nos termos da alínea (b), envidou os seus melhores esforços para fornecer ao exportador de dados informações relevantes e concorda que continuará a cooperar com o exportador de dados para assegurar o cumprimento destas cláusulas
- As partes acordam em documentar a avaliação nos termos da alínea (b) e colocá-la à disposição da autoridade de controlo competente, mediante pedido.
- O importador de dados concorda em notificar imediatamente o exportador de dados se, após ter concordado com estas cláusulas e durante a vigência do contrato, tiver razões para acreditar que está ou se tornou sujeito a leis ou práticas não conformes com os requisitos da alínea (a), incluindo na sequência de uma alteração das leis do país terceiro ou de uma medida (tal como um pedido de divulgação) que indique uma aplicação de tais leis na prática que não esteja em conformidade com os requisitos da alínea (a).
- Na sequência de uma notificação nos termos da alínea (e), ou se o exportador de dados tiver razões para crer que o importador de dados já não pode cumprir as suas obrigações nos termos das presentes cláusulas, o exportador de dados deve identificar imediatamente as medidas adequadas (e. G. Medidas técnicas ou organizacionais para garantir a segurança e confidencialidade) a adoptar pelo exportador e/ou importador de dados para resolver a situação. O exportador de dados suspenderá a transferência de dados se considerar que não podem ser asseguradas salvaguardas adequadas para essa transferência, ou se tiver dado instruções à autoridade de controlo competente para o fazer. Neste caso, o exportador de dados terá o direito de rescindir o contrato, na medida em que este diga respeito ao tratamento de dados pessoais ao abrigo das presentes cláusulas. Se o contrato envolver mais de duas partes, o exportador de dados poderá exercer este direito de resolução apenas em relação à parte em causa, a menos que as partes tenham acordado em contrário. Se o contrato for rescindido nos termos da presente cláusula, aplicam-se as alíneas d) e e) da cláusula 16.
Cláusula 15
Obrigações do importador de dados em caso de acesso por parte das autoridades públicas
-
-
Notificação
-
O importador de dados concorda em notificar o exportador de dados e, sempre que possível, o titular dos dados prontamente (se necessário com a ajuda do exportador de dados) se :
- receber um pedido juridicamente vinculativo de uma autoridade pública, incluindo autoridades judiciais, ao abrigo da legislação do país de destino, para a divulgação dos dados pessoais transferidos nos termos das presentes Cláusulas; essa notificação deve incluir informações sobre os dados pessoais solicitados, a autoridade requerente, a base jurídica do pedido e a resposta fornecida; ou
- toma conhecimento de qualquer acesso directo das autoridades públicas aos dados pessoais transferidos nos termos das presentes cláusulas em conformidade com a legislação do país de destino; tal notificação deve incluir toda a informação disponível para o importador.
- Se o importador de dados estiver proibido de notificar o exportador de dados e/ou a pessoa em causa ao abrigo das leis do país de destino, o importador de dados concorda em envidar os seus melhores esforços para obter uma derrogação à proibição, com vista a comunicar o máximo de informação possível, o mais rapidamente possível. O importador de dados concorda em documentar os seus melhores esforços a fim de poder demonstrá-los a pedido do exportador de dados
- Quando permitido pela legislação do país de destino, o importador de dados concorda em fornecer ao exportador de dados, a intervalos regulares durante a vigência do contrato, o maior número possível de informações relevantes sobre os pedidos recebidos (em particular, número de pedidos, tipo de dados solicitados, autoridade/entidades requerentes, se os pedidos foram contestados e o resultado de tais contestações, etc.).
- O importador de dados concorda em preservar a informação nos termos dos parágrafos (a) a © durante a vigência do contrato e colocá-la à disposição da autoridade de controlo competente, mediante pedido.
- Os parágrafos (a) a © não prejudicam a obrigação do importador de dados nos termos da Cláusula 14(e) e da Cláusula 16 de informar prontamente o exportador de dados sempre que este não possa cumprir estas Cláusulas.
-
O importador de dados concorda em notificar o exportador de dados e, sempre que possível, o titular dos dados prontamente (se necessário com a ajuda do exportador de dados) se :
-
Revisão de legalidade e minimização de dados
- O importador de dados concorda em rever a legalidade do pedido de divulgação, em particular se permanece dentro dos poderes concedidos à autoridade pública requerente, e em contestar o pedido se, após avaliação cuidadosa, concluir que existem motivos razoáveis para considerar que o pedido é ilegal ao abrigo das leis do país de destino, das obrigações aplicáveis ao abrigo do direito internacional e dos princípios de cortesia internacional. O importador de dados deve, nas mesmas condições, prosseguir com as possibilidades de recurso. Ao contestar um pedido, o importador de dados deve procurar medidas provisórias com vista a suspender os efeitos do pedido até que a autoridade judicial competente tenha decidido sobre o seu mérito. O importador de dados não divulgará os dados pessoais solicitados até que tal lhe seja solicitado ao abrigo das regras processuais aplicáveis. Estes requisitos não prejudicam as obrigações do importador de dados nos termos da Cláusula 14(e).
- O importador de dados concorda em documentar a sua avaliação legal e qualquer contestação ao pedido de divulgação e, na medida do permitido pela legislação do país de destino, disponibilizar a documentação ao exportador de dados. Colocá-la-á igualmente à disposição da autoridade de controlo competente, mediante pedido.
- O importador de dados concorda em fornecer a quantidade mínima de informação permitida ao responder a um pedido de divulgação, com base numa interpretação razoável do pedido.
-
Seção 4 — Disposições Finais
Cláusula 16
Incumprimento das Cláusulas e rescisão
- O importador de dados informará imediatamente o exportador de dados se, por qualquer razão, não puder cumprir estas cláusulas.
- No caso de o importador de dados violar estas Cláusulas ou não conseguir cumprir as mesmas, o exportador de dados suspenderá a transferência de dados pessoais para o importador de dados até que o cumprimento seja novamente assegurado ou até que o contrato seja rescindido. Tal não prejudica o disposto na Cláusula 14(f)
-
O exportador de dados tem o direito de rescindir o contrato, na medida em que este diga respeito ao tratamento de dados pessoais ao abrigo das presentes Cláusulas, quando:
- O importador de dados informará imediatamente o exportador de dados se, por qualquer razão, não puder cumprir estas cláusulas.
- No caso de o importador de dados violar estas Cláusulas ou não conseguir cumprir as mesmas, o exportador de dados suspenderá a transferência de dados pessoais para o importador de dados até que o cumprimento seja novamente assegurado ou até que o contrato seja rescindido. Tal não prejudica o disposto na Cláusula 14(f)
- O exportador de dados tem o direito de rescindir o contrato, na medida em que este diga respeito ao tratamento de dados pessoais ao abrigo das presentes Cláusulas, quando:
- Nestes casos, deve informar a autoridade de controlo competente desse incumprimento. Quando o contrato envolver mais de duas partes, o exportador de dados só poderá exercer este direito de resolução em relação à Parte em causa, a menos que as partes tenham acordado em contrário.
- Os dados pessoais que tenham sido transferidos antes do termo do contrato nos termos do parágrafo © serão imediatamente devolvidos ao exportador de dados, à escolha deste, ou apagados na sua totalidade. O mesmo se aplica a todas as cópias dos dados. O importador de dados certificará o apagamento dos dados ao exportador de dados. Até que os dados sejam apagados ou devolvidos, o importador de dados continuará a assegurar o cumprimento das presentes cláusulas. No caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou eliminação dos dados pessoais transferidos, o importador de dados garante que continuará a assegurar o cumprimento das presentes cláusulas e só processará os dados na medida e durante o tempo exigido por essa lei local.
- Qualquer das partes pode revogar o seu acordo para ficar vinculada pelas presentes cláusulas sempre que (i) a Comissão Europeia adoptar uma decisão nos termos do n.º 3 do artigo 45.º do regulamento (EU) 2016/679 que abranja a transferência de dados pessoais aos quais se aplicam estas cláusulas; ou (ii) o regulamento (EU) 2016/679 se torne parte do quadro jurídico do país para o qual os dados pessoais são transferidos. Isto sem prejuízo de outras obrigações aplicáveis ao tratamento em questão ao abrigo do regulamento (EU) 2016/679.
Cláusula 17
Lei aplicável
Estas cláusulas são regidas pela lei de um dos estados membros da UE, desde que tal lei permita direitos de terceiros beneficiários. As partes concordam que esta é a lei da irlanda.
Cláusula 18
Escolha de fórum e jurisdição
- Qualquer disputa decorrente destas Cláusulas será resolvida por os tribunais de um Estado membro da UE
- As Partes concordam que serão os tribunais da Irlanda.
- Um titular de dados também pode intentar uma ação judicial contra o exportador e/ou importador de dados perante os tribunais de Estado-Membro em onde tem a sua residência habitual.
- As Partes concordam em submeter-se à jurisdição de tal tribunais
Apêndice
Anexo I
A. Lista de partes
POSIÇÃO E DETALHES DE CONTACTO
dpo@taxdome.com

Atividades relevantes para os dados transferidos sob estas cláusulas: Ver Anexo I.B
B. DESCRIÇÃO DA TRANSFERÊNCIA
Categorias de titulares de dados cujos dados pessoais são transferidos
Os dados pessoais dizem respeito aos utilizadores finais dos nossos clientes.
Categorias de dados pessoais transferidos
A plataforma TaxDome atende a uma ampla base de clientes e utilizadores finais que abrange todo o espectro das indústrias. TaxDome não controla nem limita o assunto que os utilizadores finais dos nossos clientes submetem através da utilização da nossa ferramenta. Considerando isto, a natureza do produto, e o papel de TaxDome como processador, não é possível inventariar uma lista absoluta de categorias de dados ingeridos e processados. "
Dados sensíveis transferidos (se aplicável) e restrições ou salvaguardas aplicadas que tenham plenamente em consideração a natureza dos dados e os riscos envolvidos, tais como, por exemplo, limitação estrita da finalidade, restrições de acesso (incluindo acesso apenas para o pessoal que tenha seguido formação especializada), manutenção de um registo de acesso aos dados, restrições para transferências ulteriores ou medidas de segurança adicionais.
TaxDome processa dados que poderiam incluir mas não se limitam às categorias especiais de dados: dados de saúde, dados genéticos, origem racial e étnica, orientação e/ou hábitos sexuais, opinião política, filiação ou crenças religiosas, filiação não política ou não sindical, condenações penais e delitos.
A frequência da transferência (e. G. Se os dados são transferidos de uma só vez ou de forma contínua).
Os dados pessoais são ingeridos numa base contínua.
Natureza do processamento
Os dados pessoais são ingeridos no dia a dia da utilização da plataforma. Os dados podem ser ingeridos através de entradas manuais pelos clientes da taxdome ou de forma automatizada através das recolhas de registos na plataforma. Os dados são armazenados na base de dados de produção do taxdome.
Objetivo(s) da transferência de dados e processamento posterior
Os Dados Pessoais são Processados com a finalidade de fornecer o serviço TaxDome e dar suporte ao site TaxDome e aos serviços da plataforma.
O período durante o qual os dados pessoais serão retidos, ou, se ou seja não é possível, os critérios usados para determinam esse período
O assunto e a duração do tratamento dos dados pessoais são definidos na Termos do Serviço.
Para transferências para (sub)processadores, especificar também o assunto, natureza e duração do processamento
TaxDome utiliza os sub-processadores encontrados online em https://www.taxdome.com/policies/sub-processors/ ao fornecer serviços aos seus clientes. A lista especifica o assunto e a natureza das actividades de processamento realizadas pelos sub-processadores da taxdome e o mecanismo de transferência de dados aplicável.
C. AUTORIDADE DE SUPERVISÃO COMPETENTE
Identificar a(s) autoridade(s) de supervisão competente(s), em conformidade com a Cláusula 13
Localização do representante/localização da UE do exportador de dados/exportador de dados da maior base de clientes do exportador de dados
Anexo II
MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DE OS DADOS
Descrição das medidas técnicas e organizacionais implementadas pelo(s) importador(es) de dados (incluindo quaisquer certificações relevantes) para assegurar um nível de segurança adequado, tendo em conta a natureza, âmbito, contexto e finalidade do tratamento, e os riscos para os direitos e liberdades das pessoas singulares.
As medidas técnicas e organizacionais da TaxDome tomadas para proteger os dados pessoais transferidos fora do EEA para um país não adequado são publicadas e estão disponíveis em: https://www.taxdome.com/policies/security/