Alteração do Processamento de Dados
Introdução à presente alteração
Processar dados pessoais de uma forma segura, justa e transparente é extremamente importante para nós na TaxDome. Como parte deste esforço, processamos os dados pessoais de acordo com as Leis de Proteção de Dados da UE, incluindo o Regulamento Geral de Proteção de Dados da UE (“GDPR”), e a Lei de Proteção de Dados do Reino Unido (UK) 2018, na medida do aplicável. Também processamos dados pessoais de acordo com as Leis de Proteção de Dados de países não pertencentes à UE que regem o tratamento de vários tipos de dados pessoais, incluindo a Lei de Privacidade do Consumidor da Califórnia (“CCPA”), a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (“HIPAA”) e a conformidade com a indústria de cartões de pagamento (“PCI”).
Para proteger melhor os dados pessoais dos indivíduos, estamos a fornecer estes termos para reger a TaxDome e o seu tratamento de dados pessoais (a “Alteração ao Processamento de Dados” ou “APD”). Este DPA faz parte de, e altera os Termos de Serviço (“ToS”) e não requer qualquer ação adicional da sua parte.
Se não concordar com este APD, o utilizador pode interromper a utilização do serviço TaxDome e cancelar a sua conta.
Definições
É importante que todas as partes compreendam que dados e de quem são protegidos ao abrigo do presente DPA. Cada parte tem as respetivas obrigações de proteção dos dados pessoais; por conseguinte, as definições seguintes explicam o âmbito do presente DPA e os compromissos mútuos de proteção dos dados pessoais.
“TaxDome”, “nós”, ou “nosso” refere-se ao fornecedor do website e serviços TaxDome, (coletivamente referidos como o “Serviço TaxDome”).
“Você” ou “Cliente” refere-se à empresa ou organização que se inscreve para utilizar o Serviço TaxDome para gerir as relações com os seus consumidores ou utilizadores de serviços.
“Parte” refere-se à TaxDome e/ou ao cliente, consoante o contexto.
“Funcionários” refere-se aos indivíduos que trabalham para uma das partes ou que são contratados para prestar um serviço em nome da mesma. O funcionário poderá ter direitos sobre os seus dados pessoais (incluindo informações de contacto comercial) se residir na UE. É importante esclarecer a forma como os direitos do funcionário são protegidos.
“Sub-processador” é um Terceiro, contratantes independentes, vendedores e fornecedores que fornecem serviços e produtos específicos relacionados com o website da TaxDome e os nossos serviços, tais como alojamento, processamento de cartões de crédito e rastreio de fraudes, e alojamento de listas de correio (“terceiro” ou “contratante externo” terão significados semelhantes).
“Incidente” significa: (a) uma queixa ou um pedido relativo ao exercício dos direitos de um indivíduo ao abrigo do RGPD; (b) uma investigação ou apreensão dos dados pessoais por funcionários públicos, ou uma indicação específica de que tal investigação ou apreensão está iminente; ou (c) qualquer violação da segurança e/ou confidencialidade, tal como estabelecido na presente APD, que conduza à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos dados pessoais, ou qualquer indicação de que tal violação ocorreu ou está prestes a ocorrer.
Os termos “titular dos dados”, “dados pessoais”, “estado-membro”, “controlador”, “processador” e “processamento” têm o mesmo significado que no RGPD e os seus termos cognatos devem ser interpretados em conformidade.
“Lei de Proteção de Dados” significa toda a legislação aplicável relativa à proteção de dados e à privacidade, incluindo, sem limitação, o RGPD, juntamente com quaisquer leis nacionais de implementação em qualquer Estado-Membro da União Europeia ou, na medida do aplicável, em qualquer outro país, tal como alterada, revogada, consolidada ou substituída periodicamente.
“SCCs” refere-se às cláusulas padrão contratuais para subcontratantes, tal como aprovadas pela Comissão Europeia ou pela Autoridade Federal Suíça para a Proteção de Dados (conforme aplicável).
Por uma questão de legibilidade, não utilizamos a inicial maiúscula dos termos definidos no presente DPA. Os termos definidos são termos definidos, independentemente do seu formato.
1. Compromissos relativos aos dados pessoais
1.1 Cada parte concorda que os dados pessoais devem ser tratados como informação confidencial ao abrigo do presente APD. Cada parte deverá ainda cumprir sempre a legislação aplicável relativa à proteção de dados na jurisdição relevante no que diz respeito aos dados pessoais da outra parte.
1.2 Os dados pessoais permanecerão propriedade da parte que os divulga. A TaxDome reconhece que o cliente é o responsável pelo tratamento e mantém o controlo sobre os dados pessoais do titular dos dados.
1.3 A TaxDome processará os dados pessoais do cliente apenas na medida do necessário para efeitos de prestação dos serviços em conformidade com os ToS e quaisquer outras instruções escritas do cliente que sejam mutuamente acordadas por escrito. Os detalhes do processamento de dados pessoais, conforme exigido pelo artigo 28 (3) do GDPR, estão definidos no Anexo B. A TaxDome concorda que:
1.3.1 implementará e manterá um programa de segurança razoável e apropriado que inclua medidas de segurança, técnicas e organizacionais adequadas para proteger contra o processamento não autorizado, ilegal ou acidental, utilização, eliminação, perda ou destruição de, ou danos nos, dados pessoais do cliente;
1.3.2 não modificará, alterará, eliminará, publicará ou divulgará quaisquer dados pessoais de clientes a terceiros, nem permitirá que terceiros processem esses dados pessoais em nome da TaxDome, excepto se o terceiro estiver vinculado a disposições semelhantes em matéria de confidencialidade e tratamento de dados;
1.3.3 a TaxDome deve garantir que o acesso aos dados pessoais é limitado aos funcionários que necessitam desse acesso para cumprir as suas obrigações ao abrigo dos ToS, e que os seus funcionários envolvido no processamento de dados pessoais é informado da natureza confidencial dos dados pessoais, que recebeu formação adequada sobre as suas responsabilidades e que assinou acordos de confidencialidade por escrito. A TaxDome deve garantir que essas obrigações de confidencialidade sobrevivem à cessação do contrato com os funcionários; e
1.3.4 apenas processará os dados pessoais do cliente na medida do necessário para cumprir as suas obrigações ao abrigo dos ToS, mediante instruções escritas do cliente (apenas nos termos mutuamente acordados) e em conformidade com a legislação aplicável.
1.4 após a cessação da sua conta, a TaxDome eliminará ou, a pedido do cliente, devolverá todos os dados pessoais de acordo com a nossa política padrão de backup e retenção de acordo com os ToS, geralmente, o mais tardar 90 dias, a não ser que sejamos obrigados a reter dados pessoais devido à legislação da União, dos Estados-Membros ou dos Estados Unidos; nesse caso, a TaxDome reserva-se o direito de reter os dados pessoais.
1.5 as partes reconhecem que os clientes poderão, ocasionalmente, estar na posse de dados pessoais relativos aos funcionários da TaxDome no âmbito da utilização do Serviço TaxDome. A TaxDome garante que forneceu a esses funcionários todas as notificações necessárias e obteve todos os consentimentos, autorizações, aprovações e/ou acordos necessários ao abrigo de qualquer lei aplicável, a fim de permitir: (i) a divulgação dos dados pessoais dos funcionários da TaxDome ao cliente em ligação com a utilização do Serviço TaxDome pelo cliente; e (ii) o processamento posterior desses dados pessoais da TaxDome pelo cliente para efeitos de utilização do Serviço TaxDome.
2. Compromissos relativos a subcontratantes
2.1 As partes reconhecem que a TaxDome pode contratar subcontratantes de terceiros no âmbito das obrigações dos ToS. Para qualquer subcontratante com o qual a TaxDome se envolva, será celebrado um acordo escrito que contenha obrigações de proteção de dados não menos protetoras do que as desta alteração e conforme necessário para proteger os dados pessoais do cliente de acordo com o padrão exigido pelo RGPD
2.2 a TaxDome disponibilizará aos clientes a lista atual de subcontratantes, publicando essa lista online em: https://www.taxdome.com/policies/sub-processors/.
2.3 para que não haja dúvidas, a autorização acima para a contratação de subprocessadores constitui o consentimento prévio por escrito do cliente para o subprocessamento pela TaxDome para efeitos da Cláusula 9 das Cláusulas Contratuais Padrão.
3. Compromissos dos clientes e assistência da TaxDome
3.1 O Cliente garante que dispõe de todos os direitos necessários para fornecer à TaxDome os dados pessoais para o processamento no âmbito da prestação dos Serviços TaxDome.
3.2 na medida do exigido pela legislação aplicável, o cliente é responsável por garantir a obtenção de quaisquer consentimentos de titulares de dados que possam ser necessários para este processamento e por garantir que é mantido um registo desses consentimentos, incluindo qualquer consentimento para utilizar dados pessoais obtidos de terceiros. Se tal consentimento for revogado por um titular de dados, o cliente é responsável por comunicar o facto de tal revogação à TaxDome, e a TaxDome continua a ser responsável pela implementação de qualquer instrução do cliente no que diz respeito ao processamento posterior desses dados pessoais, ou, conforme possa estar em conformidade com qualquer uma das obrigações legais da TaxDome.
3.3 o cliente entende, como controlador, que é responsável (entre o cliente e a TaxDome) por:
3.3.1 determinar a legalidade de qualquer processamento, realizar quaisquer avaliações de impacto da proteção de dados necessárias e prestar contas às entidades reguladoras e aos indivíduos, conforme necessário;
3.3.2 fazer esforços razoáveis para verificar o consentimento dos pais quando os dados são coletados em um titular de dados com menos de 16 anos de idade;
3.3.3 fornecer avisos de privacidade relevantes aos titulares dos dados, conforme exigido na sua jurisdição, incluindo avisos sobre os seus direitos e fornecer os mecanismos para que os indivíduos exerçam esses direitos;
3.3.4 responder a pedidos de indivíduos sobre os seus dados e o processamento dos mesmos, incluindo pedidos para que os dados pessoais sejam alterados, corrigidos ou eliminados, e fornecer cópias dos dados efetivamente processados;
3.3.5 implementar as suas próprias medidas técnicas e organizacionais adequadas para garantir e demonstrar o processamento de acordo com esta DPA;
3.3.6 notificar indivíduos e quaisquer reguladores ou autoridades relevantes de qualquer incidente, conforme exigido por lei na sua jurisdição.
3.4 a TaxDome ajudará o cliente a implementar medidas técnicas e organizacionais adequadas, na medida em que isso seja razoável e comercialmente possível, no cumprimento das obrigações do cliente de responder aos pedidos dos indivíduos para exercer direitos ao abrigo do RGPD.
3.5 a TaxDome ajudará o cliente a implementar medidas técnicas e organizacionais apropriadas, na medida em que isso seja razoável e comercialmente possível, para garantir a conformidade com os artigos 32 a 36 (inclusive) do RGPD.
3.6 anualmente, a TaxDome fará uma auditoria independente de sua base de código e sistemas por terceiros independentes para demonstrar o cumprimento de suas obrigações sob este DPA. Mediante pedido do cliente, e sujeito a obrigações de confidencialidade, a TaxDome disponibilizará ao cliente informações razoavelmente necessárias para demonstrar o cumprimento das obrigações da TaxDome ao abrigo do presente DPA. No mínimo, mediante pedido por escrito, a TaxDome apresentará ao cliente um resumo executivo de quaisquer relatórios de auditoria de terceiros relativos à adequação das medidas de segurança técnica da TaxDome, conforme descrito na Política de Segurança.
4. Gestão de incidentes
4.1 Quando uma das partes tiver conhecimento de um incidente que afete o processamento dos dados pessoais, deve notificar prontamente a outra parte sobre o incidente e cooperar de forma razoável para permitir que a outra parte realize uma investigação exaustiva sobre o incidente, formule uma resposta correta e tome as medidas adicionais adequadas em relação ao incidente.
4.2 ambas as partes devem sempre ter procedimentos escritos que lhes permitam responder prontamente à outra sobre um incidente. Se o incidente for susceptível de exigir uma notificação de violação de dados nos termos da legislação aplicável, a parte responsável pelo incidente deve notificar a outra parte, sem demora injustificada, de que tomou conhecimento desse incidente.
4.3 quaisquer notificações feitas ao abrigo desta secção devem ser enviadas para help@taxdome.com (quando feita à TaxDome) e ao nosso ponto de contacto (quando feita ao cliente), deve conter: (i) a descrição da natureza do incidente, incluindo, sempre que possível, as categorias e o número aproximado de indivíduos em causa e as categorias, o número aproximado de registos em causa; (ii) o nome, os detalhes de contacto do ponto de contacto onde podem ser obtidas mais informações; (iii) uma descrição das consequências prováveis do incidente; e (iv) uma descrição das medidas tomadas ou propostas para resolver o incidente, incluindo, sempre que apropriado, medidas para mitigar os seus possíveis efeitos adversos.
5. Responsabilidade e indemnização
5.1 A responsabilidade de cada parte perante a outra parte ao abrigo ou em relação ao presente DPA será limitada em conformidade com as disposições dos ToS.
5.2 o cliente reconhece que a TaxDome depende do cliente para obter instruções quanto à medida em que a TaxDome tem o direito de processar os dados pessoais do cliente em nome do cliente na execução dos Serviços. Consequentemente, a TaxDome não será responsável, nos termos dos ToS, por qualquer reclamação apresentada por um titular de dados decorrente de qualquer ação ou omissão da TaxDome, na medida em que tal ação ou omissão tenha resultado das instruções do cliente ou do incumprimento pelo cliente das suas obrigações ao abrigo da lei de proteção de dados aplicável.
6. Duração e cessação
6.1 O presente DPA entrará em vigor no dia 1 de Janeiro de 2022 e manter-se-á até ser alterado ou rescindido em conformidade com os ToS.
6.2 a cessação ou expiração do presente DPA não dispensa as partes das obrigações de confidencialidade nele previstas.
7. Transferências internacionais de dados
7.1 Localizações dos centros de dados. O Cliente reconhece que a TaxDome pode transferir e processar dados pessoais para e nos Estados Unidos e em qualquer outra parte do mundo onde a TaxDome, as suas filiais ou os seus subcontratantes mantenham operações de processamento de dados. A TaxDome deverá sempre garantir que essas transferências são efetuadas em conformidade com os requisitos das Leis de Proteção de Dados.
7.2 Transferências de dados europeus. Na medida em que a TaxDome é um destinatário dos dados pessoais protegidos pelas Leis de Proteção de Dados da UE (“Dados da UE”), as partes concordam que a TaxDome disponibiliza os mecanismos listados abaixo:
7.2.1 SCCs: A TaxDome compromete-se a respeitar e a tratar os Dados da UE em conformidade com as SCCs, que são incorporadas na íntegra por referência e fazem parte integrante do presente DPA. Para efeitos das SCCs:
7.2.1.1 a TaxDome concorda que é o “importador de dados” e o cliente é o “exportador de dados” ao abrigo das SCCs (não obstante o facto de o cliente poder ser uma entidade localizada fora da UE);
7.2.1.2 as partes acordam ainda que as SCCs se aplicarão aos dados pessoais que sejam transferidos através do Serviço da Europa para fora da Europa, quer diretamente quer através de uma transferência subsequente, para qualquer país ou destinatário: (a) não reconhecido pela Comissão Europeia como fornecendo de um nível adequado de proteção de dados pessoais (conforme descrito na Lei de Proteção de Dados da UE)
7.2.2 se e na medida em que as Cláusulas Contratuais Padrão (quando aplicável) entrarem em conflito com qualquer disposição deste DPA, as Cláusulas Contratuais Padrão prevalecerão na medida de tal conflito.
Termos específicos da jurisdição
1. Na medida em que a TaxDome processa os dados pessoais com origem e protegidos pelas Leis de Proteção de Dados numa das jurisdições listadas no Anexo A, os termos especificados no Anexo A relativamente à(s) jurisdição(ões) aplicável(eis) (“Termos Específicos da Jurisdição”) aplicam-se para além dos termos do presente DPA. Na eventualidade de qualquer conflito ou ambiguidade entre os Termos Específicos de Jurisdição e quaisquer outros termos do presente DPA, os Termos Específicos de Jurisdição aplicáveis terão precedência, mas apenas na medida da aplicabilidade dos Termos Específicos de Jurisdição à TaxDome.
Anexo A – Termos específicos da jurisdição
Brasil
1. Após a entrada em vigor da Lei Geral de Proteção de Dados (“LGPD”) do Brasil, aplicar-se-á o seguinte: cada parte é responsável por cumprir as suas respetivas obrigações estabelecidas na LGPD, o Cliente apenas emitirá instruções de Processamento, conforme estabelecido na Secção 1 (Compromissos relativos aos dados pessoais) do DPA, que permitem à TaxDome cumprir as suas obrigações LGPD. Para os fins da Seção 7 (Transferências internacionais de dados), as Cláusulas contratuais padrão serão usadas para transferências para países não adequados de acordo com o GDPR.
Califórnia (EUA)
1. As definições de: “controlador” inclui “Empresa”; “processador” inclui “Fornecedor de Serviços”; “titular dos dados” inclui “Consumidor”; “dados pessoais” inclui “Informações Pessoais”; em cada caso, conforme definido na CCPA.
2. “Processar”, “Processado” ou “Processamento” significa qualquer operação ou conjunto de operações efetuadas sobre Informações Pessoais, ou sobre conjuntos de Informações Pessoais, quer seja ou não por meios automatizados.
3. As obrigações da TaxDome relativamente aos pedidos dos titulares dos dados, tal como descritas na Secção 3 (d) e 3 (e) (direitos dos titulares dos dados e cooperação) do presente DPA, aplicam-se aos direitos do Consumidor ao abrigo da CCPA.
4. Não obstante qualquer disposição em contrário, as Informações Pessoais do Cliente são as Informações Pessoais que a TaxDome processa em nome do Cliente ao abrigo do Acordo. A TaxDome poderá processar as Informações Pessoais do Cliente com o único objetivo de cumprir as suas obrigações ao abrigo do Acordo e não utilizará as Informações Pessoais do Cliente para qualquer outro fim sem o consentimento expresso por escrito do Cliente. Em particular, a TaxDome não deverá: (i) vender, tal como definido na CCPA, Informação Pessoal do Cliente ou partilhar Informação Pessoal do Cliente com terceiros sem a autorização do Cliente; (ii) reter, utilizar ou divulgar Informação Pessoal do Cliente para qualquer outro fim que não os especificados no presente Acordo, incluindo a retenção, utilização ou divulgação de Informação Pessoal do Cliente para um fim comercial que não o de prestar os seus serviços ao Cliente; e (iii) reter, utilizar ou divulgar Informação Pessoal do Cliente fora da relação comercial da TaxDome com o Cliente. As partes reconhecem que qualquer divulgação de Informações Pessoais do Cliente nos termos do Acordo não confere qualquer valor ao abrigo do Acordo.
5. A TaxDome cumprirá todos os requisitos aplicáveis da CCPA no cumprimento das suas obrigações ao abrigo do Acordo, incluindo a implementação e manutenção de medidas de segurança razoáveis adequadas à natureza das Informações Pessoais, de modo a proteger as Informações Pessoais do Cliente contra acesso, destruição, utilização, modificação ou divulgação não autorizados. A TaxDome compromete-se a reparar qualquer dano que qualquer pessoa possa sofrer devido ao Processamento efetuado em violação das suas obrigações legais, regulamentares e contratuais, excepto se a TaxDome provar que não é responsável por tal dano.
6. A TaxDome pode desidentificar ou agregar dados pessoais como parte da execução do Serviço especificado neste DPA e no Contrato.
7. Quando os subcontratantes processam os dados pessoais dos nossos clientes, a TaxDome toma medidas para garantir que esses subcontratantes são Prestadores de Serviços ao abrigo da CCPA com os quais a TaxDome celebrou um contrato escrito que inclui termos substancialmente semelhantes a esta DPA ou que estão de outra forma isentos da definição de “venda” da CCPA. A TaxDome efetua a devida diligência nos seus subprocessadores.
Canadá
1. A TaxDome toma medidas para garantir que os subprocessadores da TaxDome, conforme descrito na Secção 2 do DPA, são terceiros ao abrigo da PIPEDA, com os quais a TaxDome assinou um contrato escrito que inclui termos substancialmente semelhantes a este DPA. A TaxDome efetua as devidas diligências nos seus sub-processadores.
2. A TaxDome implementará e manterá medidas de segurança razoáveis e adequadas à natureza das Informações Pessoais, conforme estabelecido na Secção 1 do DPA.
Sérvia
1. Lei sobre a proteção de dados pessoais (Zakon o zaštiti podataka o ličnosti; Diário Oficial da República da Sérvia, n.º 87/2018).
Reino Unido
1. Os Regulamentos relativos à proteção de dados, à privacidade e às comunicações eletrónicas (alterações, etc.) (saída da UE) de 2019, tal como alterados, substituídos ou anulados, após a sua entrada em vigor, bem como a Lei de Proteção de Dados do Reino Unido de 2018.
Anexo B – Cláusulas Contratuais Padrão (Processadores)
Secção 1
Cláusula 1
Finalidade e âmbito
1. O objetivo destas cláusulas contratuais padrão é garantir o cumprimento dos requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção de pessoas singulares no que diz respeito ao tratamento de dados pessoais e sobre a livre circulação desses dados (Regulamento Geral de Proteção de Dados) para a transferência de dados pessoais para um país terceiro.
2. As partes:
a. a(s) pessoa(s) singular(es) ou coletiva(s), a(s) autoridade(s) pública(s), a(s) agência(s) ou outro(s) organismo(s) (a seguir designados por “entidade(s)”) que transfere(m) os dados pessoais, enumerados na parte A do anexo I (a seguir designado por “exportador de dados”), e
b. a(s) entidade(s) de um país terceiro que recebe(m) os dados pessoais do exportador de dados, direta ou indiretamente por intermédio de outra entidade também Parte nas presentes Cláusulas, enumerada(s) no Anexo I.A (a seguir designada(s) por “importador de dados”)
3. Concordaram com estas cláusulas contratuais padrão (doravante: ‘Cláusulas’).
4. As presentes cláusulas aplicam-se à transferência de dados pessoais, tal como especificado no Anexo I.B.
5. O Apêndice às presentes Cláusulas, que contém os Anexos aí referidos, faz parte integrante das presentes Cláusulas.
Cláusula 2
Efeito e invariabilidade das cláusulas
1. As presentes Cláusulas estabelecem garantias adequadas, incluindo direitos oponíveis dos titulares dos dados e vias de recurso eficazes, nos termos do artigo 46.º, n.º 1, e do artigo 46.º, n.º 2, © do Regulamento (UE) 2016/679 e, no que diz respeito às transferências de dados dos responsáveis pelo tratamento para os subcontratantes e/ou dos subcontratantes para os subcontratantes, cláusulas contratuais padrão nos termos do artigo 28.º, n.º 7, do Regulamento (UE) 2016/679, desde que não sejam alteradas, excepto para selecionar o(s) Módulo(s) adequado(s) ou para adicionar ou atualizar informações no Apêndice. Tal não impede as Partes de incluírem as cláusulas contratuais padrão estabelecidas nas presentes cláusulas num contrato mais amplo e/ou de acrescentarem outras cláusulas ou garantias adicionais, desde que não contradigam, direta ou indiretamente, as presentes cláusulas ou prejudiquem os direitos ou liberdades fundamentais dos titulares dos dados.
2. As presentes cláusulas não prejudicam as obrigações a que o exportador de dados está sujeito por força do Regulamento (UE) 2016/679.
Cláusula 3
Beneficiários terceiros
1. Os titulares dos dados podem invocar e aplicar estas cláusulas, na qualidade de terceiros beneficiários, contra o exportador e/ou importador de dados, com as seguintes excepções
a. Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
b. Cláusula 8.1(b), 8.9(a), (c), (d) e (e);
c. Cláusula 9, alíneas a), c), d) e e);
d. Cláusula 12, alíneas a), d) e f);
e. Cláusula 13;
f. Cláusula 15.1 (c), (d) e (e);
g. Cláusula 16(e);
h. Cláusula 18, alíneas a) e b).
2. A alínea a) não prejudica os direitos dos titulares dos dados ao abrigo do Regulamento (UE) 2016/679.
Cláusula 4
Interpretação
1. Sempre que as presentes cláusulas utilizem termos definidos no Regulamento (UE) 2016/679, esses termos terão o mesmo significado que no referido regulamento.
2. As presentes cláusulas devem ser lidas e interpretadas em função das disposições do Regulamento (UE) 2016/679.
3. As presentes cláusulas não devem ser interpretadas de forma a entrar em conflito com os direitos e obrigações previstos no Regulamento (UE) 2016/679.
Cláusula 5
Hierarquia
Em caso de contradição entre estas Cláusulas e as disposições de acordos relacionados entre as Partes, existentes no momento em que estas Cláusulas forem acordadas ou celebradas posteriormente, estas Cláusulas prevalecerão.
Cláusula 6
Descrição da(s) transferência(s)
Os pormenores da(s) transferência(s) e, em especial, as categorias de dados pessoais transferidos e a(s) finalidade(s) para as quais são transferidos, são especificados no Anexo I.B.
Cláusula 7ª – Opcional
Cláusula de atracagem
1. Uma entidade que não seja Parte nas presentes cláusulas pode, com o acordo das Partes, aderir às mesmas em qualquer altura, quer como exportador quer como importador de dados, preenchendo o apêndice e assinando a parte A do Anexo I.
2. Uma vez preenchido o apêndice e assinado o Anexo I.A, a entidade aderente tornar-se-á Parte nas presentes cláusulas e terá os direitos e obrigações de um exportador ou importador de dados em conformidade com a sua designação no Anexo I.A.
3. A entidade aderente não terá quaisquer direitos ou obrigações decorrentes das presentes cláusulas relativamente ao período anterior à sua adesão.
Secção 2 – Obrigações das Partes
Cláusula 8
Salvaguardas de proteção de dados
O exportador de dados garante que envidou esforços razoáveis para determinar que o importador de dados é capaz, através da implementação de medidas técnicas e organizacionais adequadas, de cumprir as suas obrigações ao abrigo das presentes cláusulas.
8.1 Instruções
1. O importador de dados deve processar os dados pessoais apenas em instruções documentadas do exportador de dados. O exportador de dados pode dar tais instruções durante a vigência do contrato.
2. O importador de dados deve informar imediatamente o exportador de dados se não puder seguir essas instruções.
8.2 Limitação da finalidade
O importador de dados processará os dados pessoais apenas para a(s) finalidade(s) específica(s) da transferência, conforme estabelecido no Anexo I.B, salvo instruções adicionais do exportador de dados.
8.3 Transparência
Mediante pedido, o exportador de dados facultará gratuitamente ao titular dos dados uma cópia das presentes cláusulas, incluindo o apêndice, tal como preenchido pelas Partes. Na medida do necessário para proteger os segredos comerciais ou outras informações confidenciais, incluindo as medidas descritas no Anexo II e os dados pessoais, o exportador de dados pode suprimir parte do texto do apêndice às presentes cláusulas antes de partilhar uma cópia, mas deve fornecer um resumo significativo sempre que a pessoa em causa não possa, de outro modo, compreender o seu conteúdo ou exercer os seus direitos. A pedido, as Partes comunicarão ao titular dos dados os motivos das supressões, na medida do possível sem revelar a informação suprimida. A presente cláusula não prejudica as obrigações do exportador de dados nos termos dos artigos 13º e 14º do Regulamento (UE) 2016/679.
8.4 Precisão
Se o importador de dados tiver conhecimento de que os dados pessoais que recebeu são inexatos ou estão desatualizados, deve informar o exportador de dados sem demora injustificada. Neste caso, o importador de dados deve cooperar com o exportador de dados para eliminar ou retificar os dados.
8.5 Duração do processamento e eliminação ou devolução dos dados
O processamento pelo importador de dados deve ocorrer apenas durante o período especificado no Anexo I.B. Após o término da prestação dos serviços de processamento, o importador de dados deverá, à escolha do exportador de dados, excluir todos os dados pessoais processados em nome do exportador de dados e certificar ao exportador de dados que o fez, ou retornar para o exportador de dados todos os dados pessoais processados em seu nome e exclir as cópias existentes. Até que os dados sejam excluídos ou devolvidos, o importador de dados continuará a garantir o cumprimento destas Cláusulas. No caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou exclusão de dados pessoais, o importador de dados garante que continuará a garantir a conformidade com estas Cláusulas e apenas as processará na medida e pelo tempo exigido por essa lei local. Isso sem prejuízo da Cláusula 14, em particular a exigência de o importador de dados nos termos da Cláusula 14(e) notificar o exportador de dados durante a vigência do contrato se tiver motivos para acreditar que está ou se tornou sujeito a leis ou práticas não está de acordo com os requisitos da Cláusula 14(a).
8.6 Segurança de processamento
1. O importador de dados e, durante a transmissão, também o exportador de dados devem aplicar medidas técnicas e organizativas adequadas para garantir a segurança dos dados, incluindo a proteção contra uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizados a esses dados (a seguir designada “violação de dados pessoais”). Ao avaliarem o nível de segurança adequado, as Partes terão em devida conta os conhecimentos técnicos disponíveis, os custos de aplicação, a natureza, o âmbito, o contexto e a(s) finalidade(s) do tratamento, bem como os riscos que o tratamento implica para as pessoas em causa. As Partes devem, em especial, considerar o recurso à cifragem ou à pseudonimização, incluindo durante a transmissão, sempre que a finalidade do processamento possa ser cumprida dessa forma. Em caso de pseudonimização, as informações adicionais que permitem atribuir os dados pessoais a uma determinada pessoa devem, sempre que possível, permanecer sob o controlo exclusivo do exportador de dados. No cumprimento das obrigações que lhe incumbem por força do presente número, o importador de dados aplicará, pelo menos, as medidas técnicas e organizativas especificadas no Anexo II. O importador de dados efetuará controlos regulares para garantir que estas medidas continuam a proporcionar um nível de segurança adequado.
2. O importador de dados só concederá acesso aos dados pessoais aos membros da sua equipa na medida do estritamente necessário para a execução, gestão e controlo do contrato. Deve assegurar que as pessoas autorizadas a processar os dados pessoais se comprometam a manter a confidencialidade ou estejam sujeitas a uma obrigação legal de confidencialidade adequada.
3. Na eventualidade de uma violação de dados pessoais relativa a dados pessoais processados pelo importador de dados ao abrigo das presentes cláusulas, o importador de dados toma as medidas adequadas para resolver a violação, incluindo medidas para atenuar os seus efeitos adversos. O importador de dados notifica igualmente o exportador de dados sem demora injustificada após ter tido conhecimento da violação. Essa notificação deve conter os dados de um ponto de contacto onde possam ser obtidas mais informações, uma descrição da natureza da violação (incluindo, se possível, as categorias e o número aproximado de titulares de dados e de registos de dados pessoais em causa), as suas consequências prováveis e as medidas tomadas ou propostas para resolver a violação, incluindo, se for caso disso, medidas para atenuar os seus eventuais efeitos negativos. Quando, e na medida em que, não seja possível fornecer todas as informações ao mesmo tempo, a notificação inicial deve conter as informações então disponíveis e, à medida que estas se tornem disponíveis, devem ser fornecidas subsequentemente outras informações sem atrasos indevidos.
4. O importador de dados coopera com o exportador de dados e presta-lhe assistência para que este possa cumprir as obrigações que lhe incumbem por força do Regulamento (UE) 2016/679, nomeadamente a de notificar a autoridade de controlo competente e os titulares dos dados afetados, tendo em conta a natureza do processamento e as informações de que o importador de dados dispõe.
8.7 Dados sensíveis
Se a transferência envolver dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convições religiosas ou filosóficas, ou a filiação sindical, dados genéticos ou dados biométricos destinados a identificar uma pessoa singular de forma inequívoca, dados relativos à saúde ou à vida sexual ou orientação sexual de uma pessoa, ou dados relativos a condenações penais e infrações (a seguir designados “dados sensíveis”), o importador de dados aplicará as restrições específicas e/ou garantias adicionais descritas na parte B do Anexo I.
8.8 Transferências subsequentes
O importador de dados só pode divulgar os dados pessoais a terceiros mediante instruções documentadas do exportador de dados. Os dados só podem ser divulgados a um terceiro localizado fora da União Europeia (no mesmo país que o importador de dados ou noutro país terceiro, a seguir designado por “transferência subsequente”) se o terceiro estiver ou concordar em ficar vinculado pelas presentes cláusulas, ao abrigo do módulo adequado, ou se
1. A transferência subsequente for para um país que beneficie de uma decisão de adequação nos termos do artigo 45.º do Regulamento (UE) 2016/679 que abranja a transferência subsequente;
2. O terceiro assegura de outro modo garantias adequadas nos termos dos artigos 46.º ou 47.º do Regulamento (UE) 2016/679 relativamente ao processamento em questão;
3. A transferência subsequente for necessária para a instauração, exercício ou defesa de ações judiciais no âmbito dos processos administrativos, regulamentares ou judiciais específicos; ou
4. A transferência subsequente for necessária para proteger os interesses vitais da pessoa em causa ou de outra pessoa singular.
Qualquer transferência subsequente está sujeita ao cumprimento, pelo importador de dados, de todas as outras garantias previstas nas presentes cláusulas, em especial à limitação da finalidade.
8.9 Documentação e conformidade
1. O importador de dados deve lidar pronta e adequadamente com as consultas do exportador de dados relacionadas ao processamento sob estas Cláusulas.
2. As Partes devem estar em condições de demonstrar o cumprimento das presentes cláusulas. Em especial, o importador de dados deve conservar documentação adequada sobre as atividades processuais realizadas em nome do exportador de dados.
3. O importador de dados disponibiliza ao exportador de dados todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas nas presentes cláusulas e, a pedido do exportador de dados, autoriza e contribui para auditorias das atividades processuais abrangidas pelas presentes cláusulas, a intervalos razoáveis ou se houver indícios de incumprimento. Ao decidir sobre uma revisão ou auditoria, o exportador de dados pode ter em conta as certificações pertinentes detidas pelo importador de dados.
4. O exportador de dados pode optar por realizar a auditoria sozinho ou contratar um auditor independente. As auditorias podem incluir inspeções nas instalações ou instalações físicas do importador de dados e devem, quando apropriado, ser realizadas com antecedência razoável.
5. As Partes devem disponibilizar as informações referidas nos parágrafos (b) e (c), incluindo os resultados de quaisquer auditorias, à autoridade supervisora competente mediante solicitação.
Cláusula 9
Utilização de subcontratantes
1. AUTORIZAÇÃO GERAL POR ESCRITO, o importador de dados tem a autorização geral do exportador de dados para a contratação de subcontratantes ulteriores a partir de uma lista acordada. O importador de dados informa especificamente o exportador de dados, por escrito, de quaisquer alterações previstas a essa lista através da adição ou substituição de subcontratantes ulteriores com, pelo menos, dez (10) dias de antecedência, dando assim ao exportador de dados tempo suficiente para se poder opor a essas alterações antes da contratação do(s) subcontratante(s) ulterior(es). O importador de dados fornece ao exportador de dados as informações necessárias para que este possa exercer o seu direito de oposição.
2. Se o importador de dados contratar um subcontratante ulterior para realizar atividades de processamento específico (em nome do exportador de dados), fá-lo-á através de um contrato escrito que preveja, em substância, as mesmas obrigações em matéria de proteção de dados que vinculam o importador de dados ao abrigo das presentes cláusulas, incluindo em termos de direitos de terceiros beneficiários para os titulares dos dados. 1 As Partes acordam que, ao cumprir a presente cláusula, o importador de dados cumpre as obrigações que lhe incumbem por força da cláusula 8.8. O importador de dados assegura que o subcontratante ulterior cumpre as obrigações a que o importador de dados está sujeito nos termos das presentes cláusulas.
3. O importador de dados deve fornecer, a pedido do exportador de dados, uma cópia desse acordo de subcontratação e de quaisquer alterações subsequentes ao exportador de dados. Na medida do necessário para proteger os segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o importador de dados poderá redigir o texto do acordo antes de partilhar uma cópia.
4. O importador de dados continua a ser plenamente responsável perante o exportador de dados pelo cumprimento das obrigações do subcontratante ulterior nos termos do seu contrato com o importador de dados. O importador de dados notificará o exportador de dados de qualquer incumprimento pelo subcontratante ulterior das suas obrigações ao abrigo desse contrato.
5. O importador de dados acordará com o subcontratante ulterior uma cláusula de terceiro beneficiário segundo a qual – no caso de o importador de dados desaparecer, deixar de existir juridicamente ou se tornar insolvente – o exportador de dados terá o direito de rescindir o contrato de subcontratação ulterior e de dar instruções ao subcontratante ulterior para apagar ou devolver os dados pessoais.
Cláusula 10
Direitos do titular dos dados
1. O importador de dados deve notificar prontamente o exportador de dados de qualquer solicitação que tenha recebido de um titular de dados. Não responderá pessoalmente à solicitação, a menos que tenha sido autorizado a fazê-lo pelo exportador de dados.
2. O importador de dados deve ajudar o exportador de dados a cumprir as suas obrigações de resposta às solicitações dos titulares de dados para o exercício dos seus direitos ao abrigo do Regulamento (UE) 2016/679. A este respeito, as Partes estabelecem no Anexo II as medidas técnicas e organizativas adequadas, tendo em conta a natureza do processamento, através das quais a assistência deve ser prestada, bem como o âmbito e extensão da assistência necessária.
3. No cumprimento das suas obrigações ao abrigo das alíneas a) e b), o importador de dados deve cumprir as instruções do exportador de dados.
Cláusula 11
Reparação
1. O importador de dados deve informar os titulares dos dados, de forma transparente e facilmente acessível, através de um aviso individual ou no seu website, de um ponto de contacto autorizado para tratar as reclamações. Deve tratar prontamente quaisquer reclamações que receba de um titular de dados.
2. Em caso de litígio entre um titular de dados e uma das Partes no que respeita ao cumprimento das presentes cláusulas, essa Parte envidará todos os esforços para resolver a questão de forma amigável e atempada. As Partes manter-se-ão mutuamente informadas sobre tais litígios e, sempre que ACTIVE/110240378.1 8 adequado, cooperarão na sua resolução.
a. apresentar uma queixa à autoridade de controlo do Estado-Membro da sua residência habitual ou do seu local de trabalho, ou à autoridade de controlo competente nos termos da cláusula 13;
b. remeter o litígio para os tribunais competentes na acepção da cláusula 18.
3. Se o titular dos dados invocar um direito de terceiro beneficiário nos termos da cláusula 3, o importador de dados aceitará a decisão do titular dos dados de:
4. As Partes aceitam que o titular dos dados possa ser representado por um organismo, organização ou associação sem fins lucrativos nas condições previstas no artigo 80.º, n.º 1, do Regulamento (UE) 2016/679.
5. O importador de dados deve respeitar uma decisão que seja vinculativa nos termos da legislação aplicável da UE ou do Estado-Membro.
6. O importador de dados concorda que a escolha feita pelo titular dos dados não prejudicará os seus direitos substantivos e processuais de procurar soluções em conformidade com a legislação aplicável.
Cláusula 12
Responsabilidade
1. Cada Parte será responsável perante a(s) outra(s) por quaisquer danos que cause à(s) outra(s) Parte(s) em virtude de qualquer violação das presentes cláusulas.
2. O importador de dados será responsável perante o titular dos dados, e o titular dos dados terá direito a receber uma indemnização, por quaisquer danos materiais ou morais que o importador de dados ou o seu subcontratante ulterior causem ao titular dos dados ao violar os direitos de terceiros beneficiários ao abrigo das presentes cláusulas.
3. Não obstante o disposto na alínea b), o exportador de dados é responsável perante o titular dos dados, e o titular dos dados tem direito a receber uma indemnização, por quaisquer danos materiais ou morais que o exportador de dados ou o importador de dados (ou o seu subcontratante ulterior) causem ao titular dos dados por violação dos direitos de terceiros beneficiários ao abrigo das presentes cláusulas. Tal não prejudica a responsabilidade do exportador de dados e, se o exportador de dados for um subcontratante atuando em nome de um responsável pelo processamento, a responsabilidade do responsável pelo processamento ao abrigo do Regulamento (UE) 2016/679 ou do Regulamento (UE) 2018/1725, conforme aplicável.
4. As Partes acordam que, se o exportador de dados for responsabilizado nos termos da alínea c) por danos causados pelo importador de dados (ou pelo seu subcontratante ulterior), terá o direito de reclamar ao importador de dados a parte da indemnização correspondente à responsabilidade do importador de dados pelos danos.
5. Quando mais de uma Parte for responsável por qualquer dano causado ao titular dos dados em resultado da violação das presentes cláusulas, todas as Partes responsáveis serão solidariamente responsáveis e o titular dos dados tem o direito de intentar uma ação em tribunal contra qualquer uma dessas Partes.
6. As Partes acordam que, se uma Parte for considerada responsável nos termos da alínea e), terá o direito de reclamar à(s) outra(s) Parte(s) a parte da indemnização correspondente à sua responsabilidade pelos danos.
7. O importador de dados não pode invocar o comportamento de um subcontratante ulterior para evitar a sua própria responsabilidade.
Cláusula 13
Supervisão
1. Se o exportador de dados estiver sediado num Estado-Membro da UE: A autoridade de controlo responsável por assegurar o cumprimento do Regulamento (UE) 2016/679 pelo exportador de dados no que diz respeito à transferência de dados, conforme indicado no Anexo I.C, atua como autoridade de controlo competente.
A autoridade de controlo do Estado-Membro em que está sediado o representante na acepção do artigo 27.º, n.º 1, do Regulamento (UE) 2016/679, conforme indicado no anexo I.C, atua como autoridade de controlo competente. A autoridade de controlo de um dos Estados-Membros em que se situam os titulares de dados cujos dados pessoais são transferidos ao abrigo das presentes cláusulas em relação à oferta de bens ou serviços a esses titulares, ou cujo comportamento é controlado, tal como indicado no ponto C do Anexo I, atuará como autoridade de controlo competente.
2. O importador de dados aceita submeter-se à jurisdição da autoridade de controlo competente e cooperar com ela em quaisquer procedimentos destinados a garantir o cumprimento das presentes cláusulas. Em especial, o importador de dados aceita responder a inquéritos, submeter-se a auditorias e cumprir as medidas adoptadas pela autoridade de controlo, incluindo medidas corretivas e compensatórias. Fornecerá à autoridade de controlo uma confirmação escrita de que foram tomadas as medidas necessárias.
Secção 3 – Legislação local e obrigações em caso de acesso pelas autoridades públicas
Cláusula 14
Leis e práticas locais que afetam o cumprimento das Cláusulas
1. As Partes garantem que não têm motivos para crer que as leis e práticas do país terceiro de destino aplicáveis ao tratamento dos dados pessoais pelo importador de dados, incluindo quaisquer requisitos de divulgação de dados pessoais ou medidas que autorizem o acesso por parte das autoridades públicas, impeçam o importador de dados de cumprir as suas obrigações ao abrigo das presentes cláusulas. Tal baseia-se no entendimento de que as leis e práticas que respeitam a essência dos direitos e liberdades fundamentais e não excedem o que é necessário e proporcional numa sociedade democrática para salvaguardar um dos objetivos enumerados no artigo 23.º, n.º 1, do Regulamento (UE) 2016/679, não estão em contradição com as presentes cláusulas.
2. As Partes declaram que, ao fornecer a garantia do parágrafo (a), levaram em consideração, em particular, os seguintes elementos:
a. as circunstâncias específicas da transferência, incluindo a extensão da cadeia de processamento, o número de atores envolvidos e os canais de transmissão utilizados; transferências pretendidas; o tipo de destinatário; a finalidade do processamento; as categorias e formato dos dados pessoais transferidos; o setor econômico em que ocorre a transferência; o local de armazenamento dos dados transferidos;
b. as leis e práticas do país terceiro de destino – incluindo as que exigem a divulgação de dados às autoridades públicas ou que autorizam o acesso por parte dessas autoridades – relevantes à medida das circunstâncias específicas da transferência, bem como as limitações e garantias aplicáveis;
c. quaisquer salvaguardas contratuais, técnicas ou organizacionais relevantes implementadas para complementar as salvaguardas previstas nas presentes cláusulas, incluindo medidas aplicadas durante a transmissão e o tratamento dos dados pessoais no país de destino.
3. O importador de dados garante que, ao efetuar a avaliação prevista na alínea b), envidou todos os esforços para fornecer ao exportador de dados as informações pertinentes e concorda que continuará a cooperar com o exportador de dados para assegurar o cumprimento das presentes cláusulas
4. As Partes acordam em documentar a avaliação efetuada nos termos da alínea b) e disponibilizá-la à autoridade de controlo competente, a pedido desta.
5. O importador de dados concorda em notificar prontamente o exportador de dados se, após ter concordado com as presentes cláusulas e durante a vigência do contrato, tiver razões para crer que está ou ficou sujeito a leis ou práticas não conformes com os requisitos da alínea a), incluindo na sequência de uma alteração das leis do país terceiro ou de uma medida (como uma solicitação de divulgação) que indique uma aplicação dessas leis na prática que não esteja em conformidade com os requisitos da alínea a).
6. Na sequência de uma notificação nos termos da alínea e), ou se o exportador de dados tiver motivos para crer que o importador de dados deixou de poder cumprir as obrigações que lhe incumbem por força das presentes cláusulas, o exportador de dados identifica prontamente as medidas adequadas (por exemplo, medidas técnicas ou organizativas para garantir a segurança e a confidencialidade) a adoptar pelo exportador de dados e/ou pelo importador de dados para resolver a situação. O exportador de dados suspende a transferência de dados se considerar que não podem ser asseguradas garantias adequadas para essa transferência ou se receber instruções da autoridade de controlo competente nesse sentido. Neste caso, o exportador de dados tem o direito de rescindir o contrato, na medida em que este diga respeito ao tratamento de dados pessoais ao abrigo das presentes cláusulas. Se o contrato envolver mais de duas partes, o exportador de dados só pode exercer este direito de rescisão relativamente à parte em causa, salvo acordo em contrário das partes. Se o contrato for rescindido nos termos da presente cláusula, aplicar-se-á o disposto nas alíneas d) e e) da cláusula 16.
Cláusula 15
Obrigações do importador de dados em caso de acesso por autoridades públicas
15.1 Notificação
1. O importador de dados compromete-se a notificar prontamente o exportador de dados e, sempre que possível, o titular dos dados (se necessário, com a ajuda do exportador de dados) se
a. receber uma solicitação juridicamente vinculativa de uma autoridade pública, incluindo autoridades judiciais, ao abrigo da legislação do país de destino, para a divulgação de dados pessoais transferidos nos termos das presentes cláusulas; essa notificação deve incluir informações sobre os dados pessoais solicitados, a autoridade requerente, a base jurídica da solicitação e a resposta dada; ou
b. tomar conhecimento de qualquer acesso direto das autoridades públicas aos dados pessoais transferidos nos termos das presentes cláusulas, em conformidade com a legislação do país de destino; essa notificação deve incluir todas as informações de que o importador dispõe.
2. Se o importador de dados estiver proibido de notificar o exportador de dados e/ou a pessoa em causa ao abrigo da legislação do país de destino, o importador de dados concorda em envidar os seus melhores esforços para obter uma derrogação à proibição, com o objetivo de comunicar o máximo de informações possível, o mais rapidamente possível. O importador de dados concorda em documentar os seus melhores esforços para os poder demonstrar a pedido do exportador de dados.
3. Se a legislação do país de destino o permitir, o importador de dados compromete-se a fornecer ao exportador de dados, a intervalos regulares durante a vigência do contrato, o máximo de informações pertinentes sobre os pedidos recebidos (nomeadamente, o número de solicitações, o tipo de dados solicitados, a(s) autoridade(s) requerente(s), se as solicitações foram contestadas e o resultado dessas contestações, etc.).
4. O importador de dados compromete-se a conservar as informações referidas nas alíneas a) a c) durante a vigência do contrato e a disponibilizá-las à autoridade de controlo competente, a pedido desta.
5. As alíneas a) a c) não prejudicam a obrigação do importador de dados, nos termos da alínea e) da Cláusula 14 e da Cláusula 16, de informar prontamente o exportador de dados sempre que não possa cumprir as presentes cláusulas.
15.2 Revisão da legalidade e minimização de dados
1. O importador de dados compromete-se a verificar a legalidade da solicitação de divulgação, nomeadamente se esta se mantém no âmbito dos poderes conferidos à autoridade pública requerente, e a contestar a solicitação se, após uma avaliação cuidadosa, concluir que existem motivos razoáveis para considerar que a solicitação é ilegal nos termos da legislação do país de destino, das obrigações aplicáveis ao abrigo do direito internacional e dos princípios de cortesia internacional. O importador de dados deve, nas mesmas condições, recorrer das possibilidades de recurso. Ao contestar um pedido, o importador de dados deve procurar obter medidas provisórias com o objetivo de suspender os efeitos do pedido até que a autoridade judicial competente se pronuncie sobre o seu mérito. Não divulgará os dados pessoais solicitados enquanto não for obrigado a fazê-lo ao abrigo das regras processuais aplicáveis. Estes requisitos não prejudicam as obrigações do importador de dados nos termos da alínea e) da cláusula 14.
2. O importador de dados compromete-se a documentar a sua apreciação jurídica e qualquer contestação do pedido de divulgação e, na medida em que a legislação do país de destino o permita, a disponibilizar a documentação ao exportador de dados. Deve também disponibilizá-la à autoridade de controlo competente, a pedido desta.
3. O importador de dados compromete-se a fornecer a quantidade mínima de informação permitida ao responder a uma solicitação de divulgação, com base numa interpretação razoável da solicitação.
Secção 4 – Disposições finais
Cláusula 16
Incumprimento das cláusulas e rescisão
1. O importador de dados deve informar imediatamente o exportador de dados se, por qualquer motivo, não puder cumprir as presentes cláusulas.
2. Se o importador de dados violar as presentes cláusulas ou não puder cumpri-las, o exportador de dados suspenderá a transferência de dados pessoais para o importador de dados até que o cumprimento seja novamente assegurado ou o contrato seja rescindido. Esta disposição não prejudica a alínea f) da cláusula 14.
3. O exportador de dados tem o direito de rescindir o contrato, na medida em que este diga respeito ao tratamento de dados pessoais ao abrigo das presentes cláusulas, se
a. o exportador de dados tiver suspendido a transferência de dados pessoais para o importador de dados nos termos da alínea b) e o cumprimento das presentes cláusulas não for restabelecido num prazo razoável e, de qualquer forma, no prazo de um mês a contar da suspensão;
b. o importador de dados violar de forma substancial ou persistente as presentes cláusulas; ou
c. o importador de dados não cumprir uma decisão vinculativa de um tribunal competente ou de uma autoridade de controlo relativamente às suas obrigações nos termos das presentes cláusulas.
4. Nestes casos, informará a autoridade de controlo competente desse incumprimento. Se o contrato envolver mais de duas Partes, o exportador de dados pode exercer este direito de rescisão apenas em relação à Parte em causa, excepto se as Partes tiverem acordado em contrário.
5. Os dados pessoais que tenham sido transferidos antes da rescisão do contrato nos termos da alínea c) serão, à escolha do exportador de dados, imediatamente devolvidos ao exportador de dados ou eliminados na sua totalidade. O mesmo se aplica a quaisquer cópias dos dados. O importador de dados deve certificar a eliminação dos dados ao exportador de dados. Até que os dados sejam eliminados ou devolvidos, o importador de dados deve continuar a assegurar o cumprimento das presentes cláusulas. No caso de a legislação local aplicável ao importador de dados proibir a devolução ou a eliminação dos dados pessoais transferidos, o importador de dados garante que continuará a assegurar o cumprimento das presentes cláusulas e que só tratará os dados na medida e durante o tempo exigidos pela legislação local.
6. Qualquer das Partes pode revogar o seu acordo de vinculação às presentes Cláusulas se (i) a Comissão Europeia adoptar uma decisão nos termos do artigo 45.º, n.º 3, do Regulamento (UE) 2016/679 que abranja a transferência de dados pessoais a que se aplicam as presentes Cláusulas; ou (ii) o Regulamento (UE) 2016/679 passar a fazer parte do quadro jurídico do país para o qual os dados pessoais são transferidos. Tal não prejudica outras obrigações aplicáveis ao tratamento em causa ao abrigo do Regulamento (UE) 2016/679.
Cláusula 17
Lei aplicável
As presentes cláusulas serão regidas pela lei de um dos Estados-Membros da UE, desde que essa lei permita direitos de terceiros beneficiários. As Partes acordam que esta será a lei da Irlanda.
Cláusula 18
Escolha do foro e da jurisdição
1. Qualquer litígio emergente das presentes cláusulas será resolvido pelos tribunais de um Estado-Membro da UE
2. As Partes acordam em que estes serão os tribunais da Irlanda.
3. O titular dos dados pode igualmente intentar uma ação judicial contra o exportador e/ou importador de dados junto dos tribunais do Estado-Membro em que tem a sua residência habitual.
4. As Partes acordam em submeter-se à jurisdição dos referidos tribunais
Anexo
Anexo I
A. Lista de partes
EXPORTADOR DE DADOS (CLIENTE) | IMPORTADOR DE DADOS (TAXDOME) | |
NOME DA EMPRESA | TaxDome, LLC | |
MORADA | 1178 Broadway, New York, NY 10001 | |
NOME DA PESSOA DE CONTACTO, CARGO E DETALHES DE CONTACTO | Victor Radzinsky, CEO
dpo@taxdome.com |
|
ASSINATURA E DATA: | ||
CARGO: | Controlador | Processador |
Atividades relevantes para os dados transferidos ao abrigo destas cláusulas: Consulte o Anexo I.B
B. DESCRIÇÃO DA TRANSFERÊNCIA
Categorias dos titulares dos dados cujos dados pessoais são transferidos
Os dados pessoais dizem respeito aos utilizadores finais dos nossos clientes.
Categorias dos dados pessoais transferidos
A plataforma TaxDome atende a uma ampla base de clientes e utilizadores finais que se estende por um vasto conjunto de indústrias. A TaxDome não controla nem limita o assunto que os utilizadores finais dos nossos clientes submetem através da utilização da nossa ferramenta. Considerando isto, a natureza do produto e a função da TaxDome como processador, não é possível inventariar uma lista absoluta de categorias de dados ingeridos e processados. A TaxDome processa dados que podem incluir, mas não se limitam a: nome, idade, sexo, género, situação familiar, morada, nível de educação, estilo de vida e hábitos, endereço IP e dados de localização, satisfação do cliente, profissão, situação profissional, dados de utilização e registos de imagem (fotografia digital ou vídeo).
Dados sensíveis transferidos (se aplicável) e restrições ou salvaguardas aplicadas que tenham plenamente em conta a natureza dos dados e os riscos envolvidos, como, por exemplo, a limitação estrita da finalidade, as restrições de acesso (incluindo o acesso apenas por parte dos funcionários que tenham seguido uma formação especializada), a manutenção de um registo do acesso aos dados, as restrições às transferências posteriores ou medidas de segurança adicionais.
A TaxDome processa dados que podem incluir, mas não se limitam às categorias especiais de dados: dados de saúde, dados genéticos, origem racial e étnica, orientação e/ou hábitos sexuais, opinião política, filiação ou crenças religiosas, filiação não política ou não sindical, condenações penais e infrações.
A frequência da transferência (por exemplo, se os dados são transferidos numa base pontual ou contínua).
Os dados pessoais são ingeridos numa base contínua.
Natureza do processamento
Os dados pessoais são ingeridos pela utilização quotidiana da plataforma. Os dados podem ser ingeridos através de entradas manuais pelos clientes da TaxDome ou de forma automatizada através das recolhas de registos na plataforma. Os dados são armazenados na base de dados de produção da TaxDome.
Finalidade(s) da transferência de dados e do processamento posterior
Os dados pessoais são processados com o objetivo de prestar o serviço TaxDome e apoiar o website TaxDome e os serviços da plataforma.
O período durante o qual os dados pessoais serão conservados, ou, se isso não for possível, os critérios utilizados para determinar esse período
O assunto e a duração do processamento dos dados pessoais estão definidos nos Termos de Serviço.
Para transferências para (sub) processadores, especifique também o assunto, a natureza e a duração do processamento
A TaxDome utiliza os sub-processadores que se encontram online em www.taxdome.com/policies/sub-processors/ para prestar serviços aos seus clientes. A lista especifica o assunto e a natureza das atividades do processamento realizadas pelos sub-processadores da TaxDome e o mecanismo de transferência dos dados aplicável.
C. AUTORIDADE DE SUPERVISÃO COMPETENTE
Identificar a(s) autoridade(s) de controlo competente(s) em conformidade com a cláusula 13
Localização do representante da UE do exportador de dados/localização da maior base de clientes do exportador de dados
Anexo II
MEDIDAS TÉCNICAS E ORGANIZATIVAS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZATIVAS PARA GARANTIR A SEGURANÇA DOS DADOS
Descrição das medidas técnicas e organizativas aplicadas pelo(s) importador(es) de dados (incluindo quaisquer certificações pertinentes) para garantir um nível de segurança adequado, tendo em conta a natureza, o âmbito, o contexto e a finalidade do processamento, bem como os riscos para os direitos e liberdades dos indivíduos.
As medidas técnicas e organizacionais adoptadas pela TaxDome para proteger os dados pessoais transferidos para fora do EEE para um país não adequado são publicadas e estão disponíveis em: https://www.taxdome.com/policies/security/
Última atualização November 10, 2023