Adenda ao tratamento de dados do RGPD
Adenda ao processamento de dados da Beonic
Última atualização: 27 de dezembro de 2022
Esta Adenda ao Processamento de Dados ("APD") e os seus Anexos são celebrados entre a Beonic ("Processador de Dados") e o Cliente ("Controlador de Dados") e complementam o Contrato de Cliente (definido abaixo) quando as Leis de Proteção de Dados se aplicam à sua utilização dos Serviços Beonic para processar Dados Pessoais.
O presente Acordo de Parceria, incluindo os seus Anexos, está incorporado no(s) Contrato(s) de Cliente ao abrigo do(s) qual(is) a Beonic concordou em prestar Serviços ao utilizador, o que pode ser especificado no seu Contrato de Cliente. Em caso de conflito ou incoerência com os termos do Contrato de Cliente do utilizador, o presente ATD prevalecerá sobre os termos do Contrato de Cliente, na medida em que tal conflito ou incoerência possa surgir. O termo do presente APD seguirá o termo do Acordo de Cliente.
Este APD é um acordo entre o utilizador e a entidade que representa ("Cliente", "você" ou "seu") e a Beonic ("nós" ou "nosso") ou um revendedor dos Serviços (conforme aplicável), e reflecte o acordo das partes relativamente aos termos que regem o Processamento de Dados Pessoais ao abrigo do Acordo de Cliente. Neste APD, uma referência ao Contrato de Cliente é uma referência a um dos seguintes:
- Contrato de Serviço Principal (MSA) da Beonic;
- Contrato de serviços Beonic;
- Contrato de Revendedor Beonic;
- Termos de Licença do Cliente Beonic - www.beonic.com/customer-terms; ou
- Qualquer outro acordo entre o Cliente e a Beonic que regule a utilização dos Serviços Beonic por parte do Cliente,
cada um deles um "Contrato de Cliente" e referidos genericamente na presente APD como o "Contrato".
ESTA DPA INCLUI:
- Lista de subcontratantes, anexa ao presente documento como Anexo 1.
- Cláusulas contratuais-tipo, anexas ao presente documento como Anexo 2.
- Anexo I do apêndice às cláusulas contratuais-tipo, que inclui pormenores sobre os dados pessoais transferidos pelo exportador de dados para o importador de dados.
- Anexo II do apêndice às cláusulas contratuais-tipo, que inclui uma descrição das medidas de segurança técnicas e organizativas aplicadas pelo importador de dados, tal como referido.
- A Adenda do Reino Unido, anexada ao presente documento como Anexo 3.
- Definições
Os termos não definidos de outra forma no presente APD terão o significado estabelecido no Contrato de Cliente. O termo do presente APD seguirá o termo do seu Contrato de Cliente.
"CCPA" significa a Lei de Privacidade do Consumidor da Califórnia, secções 1798.100 e seguintes do Código Civil da Califórnia, e os seus regulamentos de implementação.
"Responsável pelo Tratamento" significa a pessoa singular ou colectiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outros, determina as finalidades e os meios de Tratamento de Dados Pessoais e será considerado como incluindo a "Empresa", tal como definida na CCPA. Neste DPA, o Cliente (tal como definido no Acordo) é o Responsável pelo Tratamento.
"Lei de Proteção de Dados" significa toda a legislação aplicável relativa à proteção de dados e à privacidade, incluindo, sem limitação, o RGPD da UE, juntamente com quaisquer leis nacionais de implementação em qualquer Estado-Membro da União Europeia ou, na medida do aplicável, em qualquer outro país, conforme alterado, revogado, consolidado ou substituído periodicamente; o RGPD do Reino Unido; POPIA; LGPD; e CCPA.
"Titular dos dados" significa a pessoa singular e viva a quem os dados pessoais dizem respeito e deve ser considerado como incluindo o "Consumidor", tal como definido na CCPA.
"Documentação" significa o registo de instruções, incluindo todas as especificações, colocadas por ou em nome do Cliente para os Serviços sujeitos ao Contrato.
"Utilizadores Finais" significa os visitantes dos Locais cujos dispositivos móveis são detectados pelo WiFi e cujos detalhes do dispositivo são registados e monitorizados pela Beonic; e indivíduos que se registam para utilizar os serviços WiFi para convidados fornecidos pelo Cliente nas suas instalações, locais e locais
"RGPD UE" significa o Regulamento Geral sobre a Proteção de Dados (UE) 2016/679, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
"Instrução" significa a instrução escrita e documentada, emitida pelo Responsável pelo Tratamento ao Subcontratante, e que ordena ao mesmo que execute uma ação específica em relação aos Dados Pessoais (incluindo, mas não se limitando a, despersonalização, bloqueio, eliminação, disponibilização).
"LGPD" significa a Lei Geral de Proteção de Dados Pessoais do Brasil (conforme alterada pela Lei nº 13.853, de 8 de julho de 2019).
"Dados Pessoais" significa qualquer informação relativa a um indivíduo identificado ou identificável quando essa informação está contida nos Dados do Cliente e é protegida de forma semelhante a dados pessoais ou informação pessoalmente identificável ao abrigo da Lei de Proteção de Dados aplicável.
Por "violação de dados pessoais" entende-se uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação não autorizada ou o acesso a dados pessoais transmitidos, armazenados ou de outro modo tratados.
"Plataforma" significa a plataforma tecnológica desenvolvida e operada pela Beonic e utilizada pelos Clientes para efeitos de análise da localização dos visitantes, para recolher informações dos Utilizadores Finais e para interagir com os Utilizadores Finais.
"POPIA" significa a Lei de Proteção de Informações Pessoais da África do Sul de 2013.
"Processamento" significa qualquer operação ou conjunto de operações efectuadas sobre Dados Pessoais, incluindo a recolha, registo, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, utilização, divulgação por transmissão, disseminação ou qualquer outra forma de disponibilização, alinhamento ou combinação, restrição ou apagamento de Dados Pessoais. Os termos "processar", "processar" e "tratado" serão interpretados em conformidade.
"Processador" significa uma pessoa física ou jurídica, autoridade pública, agência ou outro órgão que processa Dados Pessoais em nome do Controlador e deve ser considerado como incluindo o "Provedor de Serviços", conforme definido no CCPA. Neste APD, a Beonic (conforme definido no Acordo) é o Processador.
"Serviços" significa os serviços a serem fornecidos pela Beonic ao Cliente, conforme estabelecido no Contrato.
Por "Beonic" entende-se a entidade Beonic especificada no acordo relevante.
"Cláusulas contratuais-tipo" significa as cláusulas contratuais-tipo anexas ao presente documento como Anexo 2, em conformidade com a Decisão de Execução (UE) 2021/914 da Comissão Europeia, de 4 de junho de 2021, que podem ser alteradas, substituídas ou suprimidas.
"Adenda do Reino Unido" significa a Adenda Internacional sobre a Transferência de Dados emitida pelo Comissário da Informação do Reino Unido ao abrigo da secção 119A(1) da Lei da Proteção de Dados de 2018, conforme possa ser alterada, substituída ou reposta.
"RGPD do Reino Unido" significa o Regulamento Geral sobre a Proteção de Dados (UE) 2016/679, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, na medida em que faz parte da legislação de Inglaterra e do País de Gales, da Escócia e da Irlanda do Norte, em virtude da secção 3 da Lei da União Europeia (Retirada) de 2018.
"Locais": instalações, locais e locais do cliente nos quais são oferecidos serviços WiFi a particulares que utilizam a plataforma.
"Serviço WiFi" significa o acesso à Internet sem fios para convidados oferecido pelo Cliente num Local de Venda utilizando a sua rede sem fios juntamente com a Plataforma.
- Pormenores do tratamento
- Categorias de titulares de dados: Categorias de titulares de dados cujos dados pessoais serão processados pela Beonic abrange:
- Utilizadores finais
- Empregados, contratantes e outros trabalhadores do Cliente
- Funcionários, contratantes e outros trabalhadores de fornecedores do Cliente (como os Processadores terceiros do Cliente)
- Outros indivíduos cujos Dados Pessoais são fornecidos à Beonic ou adicionados à Plataforma pelo Cliente.
- Categorias de Dados Pessoais: As categorias de Dados Pessoais que podem ser processadas pela Beonic incluem:
- Nome completo e prefixo
- Número de telemóvel
- Endereço de correio eletrónico
- Data de nascimento
- Género
- Idade
- Identidades nas redes sociais e dados publicamente disponíveis
- Código postal
- País ou estado de residência
- Detalhes do dispositivo de navegação, incluindo o endereço do Media Access Control
- A hora, a data e o local de registo dos titulares dos dados no serviço WiFi
- A duração e a frequência da utilização do serviço WiFi e das visitas aos locais pelos titulares dos dados
- A localização aproximada dos dispositivos de navegação dos Titulares dos Dados enquanto se encontram num Local
- Histórico de navegação na Internet dos titulares dos dados durante a utilização do serviço WiFi
- O envolvimento dos Titulares dos Dados com as publicações do Cliente nas redes sociais e outras actividades sociais
- Informações demográficas dos titulares dos dados
- Interesses e gostos dos titulares dos dados
- Natureza e objetivo do processamento: A Beonic processará os Dados Pessoais com o objetivo de fornecer os Serviços ao Cliente, as categorias de Dados Pessoais que serão processadas dependerão dos Serviços fornecidos ao Cliente.
- Duração do processamento: A Beonic processará os Dados Pessoais até que o Serviço seja terminado pelo Cliente.
- Responsabilidade do cliente
- As partes reconhecem e concordam que o Cliente é o Controlador dos Dados Pessoais e a Beonic é o Processador desses dados. No que diz respeito à sua utilização dos Serviços, o Controlador será o único responsável pelo cumprimento dos requisitos legais relativos à proteção de dados e à privacidade, em particular no que diz respeito à divulgação e transferência de Dados Pessoais para o Processador e ao Processamento de Dados Pessoais.
- Sem prejuízo da generalidade da cláusula 3.1, o Responsável pelo Tratamento assegurará que dispõe de todos os consentimentos e avisos adequados necessários para permitir a transferência legal dos Dados Pessoais para o Subcontratante durante a vigência e para os efeitos do Contrato de Cliente.
- Para evitar dúvidas, as instruções do Responsável pelo Tratamento para o processamento de Dados Pessoais devem estar em conformidade com a Lei de Proteção de Dados. O presente Acordo de Proteção de Dados constitui a instrução completa e final do Cliente à Beonic relativamente aos Dados Pessoais e as instruções adicionais fora do âmbito do Acordo de Proteção de Dados requerem um acordo prévio por escrito entre as partes. As instruções serão inicialmente especificadas no Contrato e poderão, posteriormente, ser alteradas, ampliadas ou substituídas pelo Responsável pelo Tratamento em instruções escritas separadas (como instruções individuais).
- O Responsável pelo tratamento informará o Subcontratante, sem demora injustificada e de forma exaustiva, sobre quaisquer erros ou irregularidades relacionados com as disposições legais relativas ao tratamento de dados pessoais.
- Obrigações do transformador
- Cumprimento das instruções: O Processador deve recolher, processar e utilizar os Dados Pessoais apenas no âmbito das Instruções do Controlador. Se o Subcontratante considerar que uma Instrução do Responsável pelo Tratamento infringe a Lei de Proteção de Dados, deve informar imediatamente o Responsável pelo Tratamento. Se o Processador não puder processar os Dados Pessoais de acordo com as Instruções devido a um requisito legal ao abrigo de qualquer lei aplicável da União Europeia ou de um Estado-Membro, o Processador (i) notificará prontamente o Responsável pelo Tratamento desse requisito legal antes do Processamento relevante, na medida do permitido pela Lei de Proteção de Dados; e (ii) cessará todo o Processamento (para além do mero armazenamento e manutenção da segurança dos Dados Pessoais afectados) até que o Responsável pelo Tratamento emita novas instruções com as quais o Processador possa cumprir. Se esta disposição for invocada, o Processador não será responsável perante o Responsável pelo Tratamento, ao abrigo do Contrato, por qualquer falha na execução dos serviços aplicáveis até que o Responsável pelo Tratamento emita novas instruções relativamente ao Processamento.
- Segurança: O Subcontratante tomará as medidas técnicas e organizativas adequadas para proteger adequadamente os Dados Pessoais contra a destruição acidental ou ilícita, a perda, a alteração, a divulgação não autorizada ou o acesso aos Dados Pessoais, descritos no Anexo II do Apêndice às Cláusulas Contratuais-tipo. Tais medidas incluem, mas não se limitam a:
- A prevenção do acesso de pessoas não autorizadas aos sistemas de tratamento de dados pessoais (controlo do acesso físico);
- Impedir que os sistemas de tratamento de dados pessoais sejam utilizados sem autorização (controlo de acesso lógico);
- Garantir que as pessoas autorizadas a utilizar um sistema de tratamento de dados pessoais só tenham acesso aos dados pessoais a que têm direito, de acordo com os seus direitos de acesso, e que, durante o tratamento ou utilização e após armazenamento, os dados pessoais não possam ser lidos, copiados, modificados ou apagados sem autorização (controlo do acesso aos dados);
- Garantir que os dados pessoais não possam ser lidos, copiados, modificados ou apagados sem autorização durante a transmissão eletrónica, o transporte ou o armazenamento em suportes de armazenamento, e que as entidades destinatárias de qualquer transferência de dados pessoais através de meios de transmissão de dados possam ser estabelecidas e verificadas (controlo da transferência de dados);
- Garantir a criação de uma pista de auditoria para documentar se e por quem os dados pessoais foram introduzidos, modificados ou retirados dos sistemas de tratamento de dados pessoais (controlo de entrada);
- Garantir que os dados pessoais são tratados exclusivamente de acordo com as instruções do responsável pelo tratamento (controlo das instruções);
- Garantir que os dados pessoais estão protegidos contra a destruição ou perda acidental (controlo de disponibilidade).
A pedido do Responsável pelo Tratamento, o Subcontratante fornecerá um programa atualizado de proteção e segurança dos dados pessoais relacionado com o tratamento a que se refere o presente documento.
O Processador facilitará o cumprimento, por parte do Controlador, da sua obrigação de implementar medidas de segurança relativamente aos Dados Pessoais, de acordo com as Leis de Proteção de Dados, (i) implementando e mantendo as medidas de segurança descritas no Anexo 2, (ii) cumprindo os termos da Secção 4.4 (Violações de Dados Pessoais); e (iii) fornecendo ao Controlador informações relativas ao Processamento, de acordo com a Secção 5 (Auditorias).
- Confidencialidade: O Subcontratante assegurará que todo o pessoal autorizado pelo Subcontratante a tratar Dados Pessoais em seu nome está sujeito a obrigações de confidencialidade relativamente a esses Dados Pessoais. O compromisso de confidencialidade manter-se-á após o termo das actividades acima referidas.
- Violações de dados pessoais: O Processador notificará o Controlador logo que possível após ter conhecimento de qualquer Violação de Dados Pessoais que afecte quaisquer Dados Pessoais. A pedido do Responsável pelo Tratamento, o Subcontratante prestará prontamente ao Responsável pelo Tratamento toda a assistência razoável necessária para lhe permitir notificar as violações de dados pessoais relevantes às autoridades competentes e/ou aos titulares de dados afectados, se o Responsável pelo Tratamento for obrigado a fazê-lo ao abrigo da Lei de Proteção de Dados.
- Pedidos dos titulares dos dados: O Processador prestará assistência razoável, incluindo através de medidas técnicas e organizacionais adequadas e tendo em conta a natureza do Processamento, para permitir que o Controlador responda a qualquer pedido dos Titulares dos Dados que procurem exercer os seus direitos ao abrigo da Lei de Proteção de Dados no que diz respeito aos Dados Pessoais (incluindo o acesso, retificação, restrição, eliminação ou portabilidade dos Dados Pessoais, conforme aplicável), na medida do permitido por lei. Se esse pedido for feito diretamente ao Processador, o Processador informará imediatamente o Controlador e aconselhará os Titulares dos Dados a apresentarem o seu pedido ao Controlador. O Responsável pelo Tratamento será o único responsável pela resposta a quaisquer pedidos dos Titulares dos Dados. O Responsável pelo tratamento reembolsará o Processador pelos custos decorrentes desta assistência.
- Subcontratantes: O Processador terá o direito de contratar Subprocessadores para cumprir as obrigações do Processador definidas no Acordo apenas com o consentimento escrito do Controlador. Para este efeito, o Responsável pelo Tratamento autoriza a contratação, como Subcontratantes, das empresas afiliadas do Subcontratante e dos terceiros indicados no Anexo 1. Para evitar dúvidas, a autorização acima constitui o consentimento prévio por escrito do Responsável pelo Tratamento para o sub-processamento pelo Processador para efeitos da Cláusula 8.8 das Cláusulas Contratuais-tipo.
Se o Subcontratante pretender contratar Subcontratantes que não sejam as empresas listadas no Anexo 1, o Subcontratante notificará o Responsável pelo tratamento por escrito (através de uma notificação in-app no portal web Beonic IO) e dará ao Responsável pelo tratamento a oportunidade de se opor à contratação dos novos Subcontratantes no prazo de 30 dias após ter sido notificado. A objeção deve ser baseada em motivos razoáveis (por exemplo, se o Responsável provar que existem riscos significativos para a proteção dos seus Dados Pessoais no Subcontratante). Se o Subcontratante e o Responsável pelo Tratamento não conseguirem resolver essa objeção, qualquer uma das partes pode rescindir o Contrato mediante notificação escrita à outra parte. O Responsável pelo Tratamento receberá um reembolso de quaisquer taxas pré-pagas mas não utilizadas durante o período subsequente à data efectiva da cessação.
Quando o Processador contrata Sub-Processadores, o Processador celebrará um contrato com o Sub-Processador que impõe ao Sub-Processador as mesmas obrigações que se aplicam ao Processador ao abrigo deste DPA e cumpre os requisitos da Lei de Proteção de Dados. Se o Subcontratante não cumprir as suas obrigações em matéria de proteção de dados, o Subcontratante continuará a ser responsável perante o Responsável pelo tratamento pelo cumprimento dessas obrigações do Subcontratante.
Quando é contratado um subcontratante ulterior, o Responsável pelo Tratamento deve ter o direito de monitorizar e inspecionar as actividades do subcontratante ulterior em conformidade com a presente APD e a Lei da Proteção de Dados, incluindo obter informações do Subcontratante, mediante pedido por escrito, sobre a substância do contrato e a implementação das obrigações de proteção de dados ao abrigo do contrato de subcontratação ulterior, se necessário através da inspeção dos documentos contratuais relevantes.
- Transferências de dados: O Responsável pelo Tratamento reconhece e aceita que, no âmbito da execução dos serviços previstos no Contrato, os Dados Pessoais serão transferidos para a Beonic Group Pty Ltd (ACN 165 152 241) e outras subsidiárias na Austrália.
- Transferências do EEE: As Cláusulas Contratuais Padrão (módulo 2) no Anexo 2 aplicar-se-ão no que diz respeito aos Dados Pessoais que são transferidos para fora do EEE, diretamente ou através de transferência subsequente, para a Austrália e para qualquer país não reconhecido pela Comissão Europeia como fornecendo um nível adequado de proteção de dados pessoais (conforme descrito na Lei de Proteção de Dados).
- Transferências do Reino Unido: A Adenda do Reino Unido no Anexo 3, que é aqui incorporada no presente Acordo, aplicar-se-á no que respeita aos Dados Pessoais que são transferidos para fora do Reino Unido, quer diretamente quer através de transferência subsequente, para a Austrália e para qualquer país não reconhecido pelo Governo do Reino Unido como fornecendo um nível adequado de proteção de dados pessoais (conforme descrito na Lei de Proteção de Dados). (ii) O Quadro 1 da Adenda do Reino Unido será considerado preenchido com as informações constantes do Anexo 1 das Cláusulas Contratuais-tipo; e (iii) qualquer conflito entre os termos das Cláusulas Contratuais-tipo e da Adenda do Reino Unido será resolvido em conformidade com a Secção 10 e a Secção 11 da Adenda do Reino Unido.
Se, na execução do presente ATD, a Beonic transferir quaisquer Dados Pessoais para um Subcontratante localizado fora do Reino Unido ou do EEE, a Beonic deverá, antes dessa transferência, assegurar a existência de um mecanismo legal que garanta a adequação desse processamento.
- Eliminação ou recuperação de dados pessoais: Exceto na medida do necessário para cumprir a Lei de Proteção de Dados, após a rescisão ou expiração do Acordo, o Processador eliminará todos os Dados Pessoais (incluindo cópias dos mesmos) processados de acordo com este APD. Se o Processador não puder eliminar os Dados Pessoais por motivos técnicos ou outros, o Processador aplicará medidas para garantir que os Dados Pessoais sejam bloqueados para qualquer outro processamento.
O Responsável pelo Tratamento deve, após a rescisão ou expiração do Contrato e através da emissão de uma Instrução, estipular, dentro de um período de tempo definido pelo Processador, as medidas razoáveis para devolver os dados ou para eliminar os dados armazenados. Qualquer custo adicional relacionado com a devolução ou eliminação de dados pessoais após a rescisão ou expiração do Contrato será suportado pelo Responsável pelo Tratamento.
- Auditorias
- O Responsável pelo Tratamento pode, antes do início do tratamento e, posteriormente, a intervalos regulares, auditar as medidas técnicas e organizativas adoptadas pelo Subcontratante. Para esse efeito, o Responsável pelo Tratamento pode:
- obter informações do Processador;
- solicitar ao Processador que apresente ao Controlador um atestado ou certificado existente emitido por um perito profissional independente; ou
- mediante acordo prévio razoável e atempado, durante o horário normal de expediente e sem interromper as operações comerciais do Processador, realizar uma inspeção no local das operações comerciais do Processador ou solicitar que a mesma seja realizada por um terceiro qualificado que não seja concorrente do Processador.
- O Processador deve, mediante pedido por escrito do Controlador e dentro de um período de tempo razoável, fornecer ao Controlador todas as informações necessárias para essa auditoria, na medida em que essas informações estejam sob o controlo do Processador e o Processador não esteja impedido de as divulgar pela lei aplicável, por um dever de confidencialidade ou por qualquer outra obrigação devida a terceiros.
- Disposições específicas do POPIA
- Esta Secção 6 aplica-se apenas quando o Cliente recolhe e processa Dados Pessoais sobre Titulares de Dados na República da África do Sul ("Controlador SA").
- Para efeitos de cumprimento do POPIA, as referências aos seguintes termos no presente DPA devem ser consideradas como incluindo as seguintes definições do POPIA:
- Considera-se que o "responsável pelo tratamento de dados" inclui uma referência a uma "parte responsável";
- Considera-se que o termo "subcontratante" inclui uma referência a um "operador"; e
- Considera-se que "dados pessoais" inclui uma referência a "informações pessoais".
- O presente APD constitui um acordo de operador entre a Beonic e um SA Controller.
- As partes concordam que o SA Controller é a "parte responsável" e que o Beonic é um "operador" para efeitos do POPIA e que o Beonic actua sob o mandato do SA Controller quando processa dados pessoais em seu nome.
- O SA Controller é o único responsável pelo cumprimento das obrigações de notificação previstas na secção 18 do POPIA.
- A obrigação da Beonic de aplicar medidas de segurança, tal como previsto na secção 4.2 do presente DPA, será considerada como uma obrigação de tomar medidas técnicas e organizativas adequadas e razoáveis para efeitos da secção 19 do POPIA.
- O Controlador SA reconhece e aceita que, no âmbito da execução dos serviços previstos no Acordo, os dados pessoais serão transferidos para a Beonic Group Pty Ltd (ACN 165 152 241) e outras filiais na Austrália e que o presente APD constituirá um acordo vinculativo para efeitos da secção 72 da POPIA e:
- as medidas de segurança a aplicar pela Beonic a esses dados pessoais, tal como estabelecido na secção 4.2, devem ser medidas técnicas e organizacionais razoáveis e adequadas; e
- a Beonic aplicará as mesmas medidas de segurança no que respeita a qualquer transferência posterior de dados pessoais para um país terceiro.
- Disposições gerais
Em caso de conflito, o presente DPA prevalecerá sobre os regulamentos do Acordo. Se determinadas disposições do presente DPA forem inválidas ou inaplicáveis, a validade e a aplicabilidade das outras disposições do presente DPA não serão afectadas.
Após a incorporação do presente APD no Acordo, as partes indicadas na Secção 7 abaixo (Partes do presente APD) concordam com as Cláusulas Contratuais-tipo (quando e como aplicável) e com todos os apêndices anexos. Em caso de conflito ou incoerência entre o presente APD e as cláusulas contratuais-tipo do Anexo 2, prevalecem as cláusulas contratuais-tipo.
- Partes da presente DPA
O presente ATD constitui uma alteração ao Contrato e faz parte do mesmo. Após a incorporação do presente APD no Contrato, o Controlador e a Beonic tornam-se partes do presente APD.
A entidade jurídica que aceita o presente APD na qualidade de responsável pelo tratamento declara que está autorizada a aceitar e a celebrar o presente APD e que aceita o presente APD exclusivamente em nome do responsável pelo tratamento.
- Assinatura
As partes acordam que a execução do acordo constitui a execução do presente APD por ambas as partes.
EXPOSIÇÃO 1
Sub-processadores
Os subprocessadores da Beonic estão listados em:
EXPOSIÇÃO 2
Cláusulas contratuais-tipo
(Módulo 2: Do controlador ao processador)
SECÇÃO I
Cláusula 1
Objetivo e âmbito de aplicação
- O objetivo das presentes cláusulas contratuais-tipo é assegurar o cumprimento dos requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados)[1], para a transferência de dados pessoais para um país terceiro.
- As partes:
- a(s) pessoa(s) singular(es) ou colectiva(s), a(s) autoridade(s) pública(s), a(s) agência(s) ou outro(s) organismo(s) (a seguir designados por "entidade(s)") que transfere(m) os dados pessoais, enumerados na secção A do Anexo I (a seguir designado por "exportador de dados"), e
- a(s) entidade(s) de um país terceiro que recebe(m) os dados pessoais do exportador de dados, direta ou indiretamente através de outra entidade que também é Parte nestas Cláusulas, enumerada(s) no Anexo I.A. (a seguir designada(s) por "importador de dados")
concordaram com as presentes cláusulas contratuais-tipo (a seguir designadas por "Cláusulas").
- As presentes cláusulas aplicam-se à transferência de dados pessoais, tal como especificado no Anexo I.B.
- O Apêndice às presentes Cláusulas, que contém os Anexos nelas referidos, faz parte integrante das presentes Cláusulas.
Cláusula 2
Efeito e invariabilidade das cláusulas
- As presentes Cláusulas estabelecem garantias adequadas, incluindo direitos oponíveis dos titulares dos dados e vias de recurso eficazes, nos termos do artigo 46.º, n.º 1, e do artigo 46.º, n.º 2, alínea c), do Regulamento (UE) 2016/679 e, no que diz respeito às transferências de dados de responsáveis pelo tratamento para subcontratantes e/ou de subcontratantes para subcontratantes, cláusulas contratuais-tipo nos termos do artigo 28.º, n.º 7, do Regulamento (UE) 2016/679, desde que não sejam alteradas, exceto para selecionar o(s) Módulo(s) adequado(s) ou para acrescentar ou atualizar informações no Apêndice. Tal não impede as Partes de incluírem as cláusulas contratuais-tipo estabelecidas nas presentes cláusulas num contrato mais amplo e/ou de acrescentarem outras cláusulas ou garantias adicionais, desde que não contradigam, direta ou indiretamente, as presentes cláusulas ou prejudiquem os direitos ou liberdades fundamentais dos titulares dos dados.
- As presentes cláusulas não prejudicam as obrigações a que o exportador de dados está sujeito por força do Regulamento (UE) 2016/679.
Cláusula 3
Beneficiários terceiros
- Os titulares dos dados podem invocar e aplicar estas cláusulas, na qualidade de terceiros beneficiários, contra o exportador e/ou importador de dados, com as seguintes excepções
- Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
- Cláusula 8 - Módulo Um: Cláusula 8.5 (e) e Cláusula 8.9 (b); Módulo Dois: Cláusula 8.1 (b), 8.9 (a), (c), (d) e (e); Módulo Três: Cláusula 8.1 (a), (c) e (d) e Cláusula 8.9 (a), (c), (d), (e), (f) e (g); Módulo Quatro: Cláusula 8.1, alínea b) e Cláusula 8.3, alínea b);
- Cláusula 9 - Módulo Dois: Cláusula 9 (a), (c), (d) e (e); Módulo Três: Cláusula 9 (a), (c), (d) e (e);
- Cláusula 12 - Módulo Um: Cláusula 12(a) e (d); Módulos Dois e Três: Cláusula 12ª, alíneas a), d) e f);
- Cláusula 13;
- Cláusula 15.1 (c), (d) e (e);
- Cláusula 16(e);
- Cláusula 18 - Módulos Um, Dois e Três: Cláusula 18 (a) e (b); Módulo Quatro: Cláusula 18.
- A alínea a) não prejudica os direitos dos titulares dos dados ao abrigo do Regulamento (UE) 2016/679.
Cláusula 4
Interpretação
- Sempre que as presentes cláusulas utilizem termos definidos no Regulamento (UE) 2016/679, esses termos terão o mesmo significado que no referido regulamento.
- As presentes cláusulas devem ser lidas e interpretadas à luz das disposições do Regulamento (UE) 2016/679.
- As presentes cláusulas não devem ser interpretadas de forma a entrar em conflito com os direitos e obrigações previstos no Regulamento (UE) 2016/679.
Cláusula 5
Hierarquia
Em caso de contradição entre as presentes cláusulas e as disposições de acordos conexos entre as Partes, existentes no momento em que as presentes cláusulas são acordadas ou celebradas posteriormente, prevalecem as presentes cláusulas.
Cláusula 6
Descrição da(s) transferência(s)
Os pormenores da(s) transferência(s) e, em especial, as categorias de dados pessoais transferidos e a(s) finalidade(s) para as quais são transferidos, são especificados no Anexo I.B.
Cláusula 7
Cláusula de atracagem
- Uma entidade que não seja Parte nas presentes cláusulas pode, com o acordo das Partes, aderir às mesmas em qualquer altura, quer como exportador quer como importador de dados, preenchendo o apêndice e assinando o Anexo I.A.
- Uma vez preenchido o apêndice e assinado o Anexo I.A, a entidade aderente tornar-se-á Parte nas presentes cláusulas e terá os direitos e obrigações de um exportador ou importador de dados em conformidade com a sua designação no Anexo I.A.
- A entidade aderente não terá quaisquer direitos ou obrigações decorrentes das presentes cláusulas relativamente ao período anterior à sua adesão.
SECÇÃO II - OBRIGAÇÕES DAS PARTES
Cláusula 8
Salvaguardas de proteção de dados
O exportador de dados garante que envidou esforços razoáveis para determinar que o importador de dados é capaz, através da aplicação de medidas técnicas e organizativas adequadas, de cumprir as suas obrigações ao abrigo das presentes cláusulas.
8.1 Instruções
- O importador de dados só pode tratar os dados pessoais mediante instruções documentadas do exportador de dados. O exportador de dados pode dar essas instruções durante toda a vigência do contrato.
- O importador de dados deve informar imediatamente o exportador de dados se não puder seguir essas instruções.
8.2 Limitação do objetivo
O importador de dados tratará os dados pessoais apenas para o(s) objetivo(s) específico(s) da transferência, tal como estabelecido na secção B do Anexo I, exceto se receber instruções adicionais do exportador de dados.
8.3 Transparência
Mediante pedido, o exportador de dados facultará gratuitamente ao titular dos dados uma cópia das presentes cláusulas, incluindo o apêndice, tal como preenchido pelas Partes. Na medida do necessário para proteger os segredos comerciais ou outras informações confidenciais, incluindo as medidas descritas no Anexo II e os dados pessoais, o exportador de dados pode suprimir parte do texto do apêndice às presentes cláusulas antes de partilhar uma cópia, mas deve fornecer um resumo significativo sempre que a pessoa em causa não possa, de outro modo, compreender o seu conteúdo ou exercer os seus direitos. A pedido, as Partes comunicarão ao titular dos dados os motivos das supressões, na medida do possível sem revelar as informações suprimidas. A presente cláusula não prejudica as obrigações do exportador de dados nos termos dos artigos 13º e 14º do Regulamento (UE) 2016/679.
8.4 Exatidão
Se o importador de dados tiver conhecimento de que os dados pessoais que recebeu são inexactos ou estão desactualizados, deve informar o exportador de dados sem demora injustificada. Neste caso, o importador de dados deve cooperar com o exportador de dados para apagar ou retificar os dados.
8.5 Duração do tratamento e apagamento ou devolução dos dados
O tratamento de dados pelo importador de dados só é efectuado durante o período especificado na parte B do anexo I. Após o termo da prestação dos serviços de tratamento, o importador de dados deve, à escolha do exportador de dados, apagar todos os dados pessoais tratados em nome do exportador de dados e certificar a este último que o fez, ou devolver ao exportador de dados todos os dados pessoais tratados em seu nome e apagar as cópias existentes. Até que os dados sejam apagados ou devolvidos, o importador de dados deve continuar a assegurar o cumprimento das presentes cláusulas. No caso de a legislação local aplicável ao importador de dados proibir a devolução ou o apagamento dos dados pessoais, o importador de dados garante que continuará a assegurar o cumprimento das presentes cláusulas e que só os tratará na medida e durante o tempo exigidos por essa legislação local. Tal não prejudica a cláusula 14, em especial o requisito de o importador de dados, nos termos da alínea e) da cláusula 14, notificar o exportador de dados durante a vigência do contrato se tiver razões para crer que está ou passou a estar sujeito a leis ou práticas não conformes com os requisitos da alínea a) da cláusula 14.
8.6 Segurança do tratamento
- O importador de dados e, durante a transmissão, também o exportador de dados, aplicam medidas técnicas e organizativas adequadas para garantir a segurança dos dados, incluindo a proteção contra uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizados a esses dados (a seguir designada "violação de dados pessoais"). Ao avaliarem o nível de segurança adequado, as Partes terão em devida conta os conhecimentos técnicos mais recentes, os custos de aplicação, a natureza, o âmbito, o contexto e a(s) finalidade(s) do tratamento, bem como os riscos que o tratamento implica para as pessoas em causa. As Partes devem, em especial, considerar o recurso à cifragem ou à pseudonimização, incluindo durante a transmissão, sempre que a finalidade do tratamento possa ser cumprida dessa forma. Em caso de pseudonimização, as informações adicionais que permitem atribuir os dados pessoais a uma determinada pessoa devem, sempre que possível, permanecer sob o controlo exclusivo do exportador de dados. No cumprimento das obrigações que lhe incumbem por força do presente número, o importador de dados aplicará, pelo menos, as medidas técnicas e organizativas especificadas no Anexo II. O importador de dados efectuará controlos regulares para assegurar que estas medidas continuam a proporcionar um nível de segurança adequado.
- O importador de dados só concederá acesso aos dados pessoais aos membros do seu pessoal na medida do estritamente necessário para a execução, gestão e controlo do contrato. Deve assegurar que as pessoas autorizadas a tratar os dados pessoais se comprometam a respeitar a confidencialidade ou estejam sujeitas a uma obrigação legal de confidencialidade adequada.
- Em caso de violação de dados pessoais relativos a dados pessoais tratados pelo importador de dados ao abrigo das presentes cláusulas, o importador de dados toma as medidas adequadas para resolver a violação, incluindo medidas para atenuar os seus efeitos negativos. O importador de dados notifica igualmente o exportador de dados sem demora injustificada após ter tido conhecimento da violação. Essa notificação deve conter os dados de um ponto de contacto onde possam ser obtidas mais informações, uma descrição da natureza da violação (incluindo, se possível, as categorias e o número aproximado de titulares de dados e de registos de dados pessoais em causa), as suas consequências prováveis e as medidas tomadas ou propostas para resolver a violação, incluindo, se for caso disso, medidas para atenuar os seus eventuais efeitos negativos. Quando, e na medida em que, não seja possível fornecer todas as informações ao mesmo tempo, a notificação inicial deve conter as informações então disponíveis e, à medida que estas se tornem disponíveis, devem ser fornecidas subsequentemente outras informações sem atrasos indevidos.
- O importador de dados coopera com o exportador de dados e presta-lhe assistência para que este possa cumprir as obrigações que lhe incumbem por força do Regulamento (UE) 2016/679, nomeadamente a de notificar a autoridade de controlo competente e os titulares dos dados afectados, tendo em conta a natureza do tratamento e as informações de que o importador de dados dispõe.
8.7 Dados sensíveis
Se a transferência implicar dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, dados genéticos ou dados biométricos destinados a identificar uma pessoa singular de forma inequívoca, dados relativos à saúde ou à vida sexual ou orientação sexual de uma pessoa, ou dados relativos a condenações penais e infracções (a seguir designados "dados sensíveis"), o importador de dados aplicará as restrições específicas e/ou garantias adicionais descritas na parte B do Anexo I.
8.8 Transferências posteriores
O importador de dados só pode divulgar os dados pessoais a terceiros mediante instruções documentadas do exportador de dados. Além disso, os dados só podem ser divulgados a um terceiro situado fora da União Europeia[2] (no mesmo país que o importador de dados ou noutro país terceiro, a seguir designado "transferência subsequente") se o terceiro estiver ou concordar em ficar vinculado pelas presentes cláusulas, ao abrigo do módulo adequado, ou se:
- a transferência subsequente é para um país que beneficia de uma decisão de adequação nos termos do artigo 45.º do Regulamento (UE) 2016/679 que abrange a transferência subsequente;
- o terceiro assegura de outro modo garantias adequadas nos termos dos artigos 46.º ou 47.º do Regulamento (UE) 2016/679 relativamente ao tratamento em causa;
- a transferência subsequente é necessária para a declaração, o exercício ou a defesa de acções judiciais no âmbito de processos administrativos, regulamentares ou judiciais específicos; ou
- a transferência subsequente é necessária para proteger os interesses vitais da pessoa em causa ou de outra pessoa singular.
Qualquer transferência subsequente está sujeita ao cumprimento, pelo importador de dados, de todas as outras garantias previstas nas presentes cláusulas, em especial a limitação da finalidade.
8.9 Documentação e conformidade
- O importador de dados deve responder pronta e adequadamente aos pedidos de informação do exportador de dados relacionados com o tratamento efectuado ao abrigo das presentes cláusulas.
- As Partes devem estar em condições de demonstrar o cumprimento das presentes cláusulas. Em especial, o importador de dados deve conservar documentação adequada sobre as actividades de tratamento efectuadas em nome do exportador de dados.
- O importador de dados disponibiliza ao exportador de dados todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas nas presentes cláusulas e, a pedido do exportador de dados, permite e contribui para auditorias das actividades de tratamento abrangidas pelas presentes cláusulas, a intervalos razoáveis ou se houver indícios de incumprimento. Ao decidir sobre uma revisão ou auditoria, o exportador de dados pode ter em conta as certificações pertinentes detidas pelo importador de dados.
- O exportador de dados pode optar por efetuar a auditoria por si próprio ou mandatar um auditor independente. As auditorias podem incluir inspecções às instalações do importador de dados e devem, se for caso disso, ser realizadas com um pré-aviso razoável.
- As Partes facultam as informações referidas nas alíneas b) e c), incluindo os resultados de eventuais auditorias, à autoridade de controlo competente, a pedido desta.
Cláusula 9
Utilização de subcontratantes
- O importador de dados tem a autorização geral do exportador de dados para a contratação de subcontratantes ulteriores a partir de uma lista acordada. O importador de dados informa especificamente o exportador de dados, por escrito, de quaisquer alterações previstas a essa lista através da adição ou substituição de subcontratantes ulteriores com, pelo menos, 30 dias de antecedência, dando assim ao exportador de dados tempo suficiente para se poder opor a essas alterações antes da contratação do(s) subcontratante(s) ulterior(es). O importador de dados fornece ao exportador de dados as informações necessárias para que este possa exercer o seu direito de oposição.
- Sempre que o importador de dados contrate um subcontratante ulterior para realizar actividades de tratamento específicas (em nome do exportador de dados), fá-lo-á através de um contrato escrito que preveja, em substância, as mesmas obrigações em matéria de proteção de dados que as que vinculam o importador de dados ao abrigo das presentes cláusulas, incluindo em termos de direitos de terceiros beneficiários para os titulares dos dados[3]. As Partes acordam que, ao cumprir a presente cláusula, o importador de dados cumpre as suas obrigações ao abrigo da cláusula 8.8. O importador de dados assegura que o subcontratante ulterior cumpre as obrigações a que o importador de dados está sujeito nos termos das presentes cláusulas.
- O importador de dados fornecerá, a pedido do exportador de dados, uma cópia desse acordo de subcontratação e de quaisquer alterações subsequentes ao exportador de dados. Na medida do necessário para proteger os segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o importador de dados pode redigir o texto do acordo antes de partilhar uma cópia.
- O importador de dados continua a ser plenamente responsável perante o exportador de dados pelo cumprimento das obrigações do subcontratante ulterior nos termos do seu contrato com o importador de dados. O importador de dados notificará o exportador de dados de qualquer incumprimento pelo subcontratante ulterior das suas obrigações ao abrigo desse contrato.
- O importador de dados acordará com o subcontratante ulterior uma cláusula de terceiro beneficiário segundo a qual - no caso de o importador de dados ter desaparecido de facto, ter deixado de existir juridicamente ou ter-se tornado insolvente - o exportador de dados terá o direito de rescindir o contrato de subcontratação ulterior e de dar instruções ao subcontratante ulterior para apagar ou devolver os dados pessoais.
Cláusula 10
Direitos das pessoas em causa
- O importador de dados notifica prontamente o exportador de dados de qualquer pedido que tenha recebido de uma pessoa em causa. O importador de dados não pode responder ele próprio a esse pedido, a menos que tenha sido autorizado a fazê-lo pelo exportador de dados.
- O importador de dados deve ajudar o exportador de dados a cumprir as suas obrigações de resposta aos pedidos dos titulares de dados para o exercício dos seus direitos ao abrigo do Regulamento (UE) 2016/679. A este respeito, as Partes estabelecem no Anexo II as medidas técnicas e organizativas adequadas, tendo em conta a natureza do tratamento, através das quais a assistência deve ser prestada, bem como o âmbito e a extensão da assistência solicitada.
- No cumprimento das suas obrigações ao abrigo das alíneas a) e b), o importador de dados deve cumprir as instruções do exportador de dados.
Cláusula 11
Reparação
- O importador de dados deve informar as pessoas em causa, de forma transparente e facilmente acessível, através de aviso individual ou no seu sítio Web, de um ponto de contacto autorizado a tratar as reclamações. Deve tratar prontamente quaisquer reclamações que receba de uma pessoa em causa.
- Em caso de litígio entre uma pessoa em causa e uma das Partes no que respeita ao cumprimento das presentes cláusulas, essa Parte envidará todos os esforços para resolver a questão de forma amigável e atempada. As Partes manter-se-ão mutuamente informadas sobre tais litígios e, se for caso disso, cooperarão na sua resolução.
- Se o titular dos dados invocar um direito de terceiro beneficiário nos termos da cláusula 3, o importador de dados aceitará a decisão do titular dos dados de:
- apresentar uma queixa à autoridade de controlo do Estado-Membro da sua residência habitual ou do seu local de trabalho, ou à autoridade de controlo competente nos termos da cláusula 13;
- remeter o litígio para os tribunais competentes na aceção da cláusula 18.
- As Partes aceitam que o titular dos dados possa ser representado por um organismo, organização ou associação sem fins lucrativos nas condições previstas no artigo 80.º, n.º 1, do Regulamento (UE) 2016/679.
- O importador de dados deve respeitar uma decisão que seja vinculativa nos termos da legislação aplicável da UE ou do Estado-Membro.
- O importador de dados concorda que a escolha feita pelo titular dos dados não prejudicará os seus direitos substantivos e processuais de procurar soluções em conformidade com a legislação aplicável.
Cláusula 12
Responsabilidade civil
- Cada Parte será responsável perante a(s) outra(s) por quaisquer danos que cause à(s) outra(s) Parte(s) em virtude de qualquer violação das presentes cláusulas.
- O importador de dados é responsável perante a pessoa em causa, e a pessoa em causa tem direito a receber uma indemnização, por quaisquer danos materiais ou morais que o importador de dados ou o seu subcontratante ulterior cause à pessoa em causa ao violar os direitos de terceiros beneficiários ao abrigo das presentes cláusulas.
- Não obstante o disposto na alínea b), o exportador de dados é responsável perante o titular dos dados, e o titular dos dados tem direito a receber uma indemnização, por quaisquer danos materiais ou morais que o exportador de dados ou o importador de dados (ou o seu subcontratante ulterior) causem ao titular dos dados por violação dos direitos de terceiros beneficiários ao abrigo das presentes cláusulas. Esta disposição não prejudica a responsabilidade do exportador de dados e, se o exportador de dados for um subcontratante actuando em nome de um responsável pelo tratamento, a responsabilidade do responsável pelo tratamento nos termos do Regulamento (UE) 2016/679 ou do Regulamento (UE) 2018/1725, conforme aplicável.
- As Partes acordam que, se o exportador de dados for considerado responsável, nos termos da alínea c), por danos causados pelo importador de dados (ou pelo seu subcontratante ulterior), terá o direito de reclamar ao importador de dados a parte da indemnização correspondente à responsabilidade do importador de dados pelos danos.
- Se mais de uma Parte for responsável por qualquer dano causado à pessoa em causa em resultado da violação das presentes cláusulas, todas as Partes responsáveis serão solidariamente responsáveis e a pessoa em causa tem o direito de intentar uma ação em tribunal contra qualquer uma dessas Partes.
- As Partes acordam que, se uma Parte for considerada responsável nos termos da alínea e), terá o direito de reclamar à(s) outra(s) Parte(s) a parte da indemnização correspondente à sua responsabilidade pelos danos.
- O importador de dados não pode invocar o comportamento de um subcontratante ulterior para evitar a sua própria responsabilidade.
Cláusula 13
Supervisão
- A autoridade de controlo responsável por garantir a conformidade do exportador de dados com o Regulamento (UE) 2016/679 no que respeita à transferência de dados, tal como indicado no Anexo I.C, actua como autoridade de controlo competente.
- O importador de dados aceita submeter-se à jurisdição da autoridade de controlo competente e cooperar com ela em quaisquer procedimentos destinados a garantir o cumprimento das presentes cláusulas. Em especial, o importador de dados aceita responder a inquéritos, submeter-se a auditorias e cumprir as medidas adoptadas pela autoridade de controlo, incluindo medidas corretivas e compensatórias. Fornecerá à autoridade de controlo uma confirmação escrita de que foram tomadas as medidas necessárias.
SECÇÃO III - LEGISLAÇÃO LOCAL E OBRIGAÇÕES EM CASO DE ACESSO DAS AUTORIDADES PÚBLICAS
Cláusula 14
Leis e práticas locais que afectam o cumprimento das Cláusulas
- As Partes garantem que não têm motivos para crer que as leis e práticas do país terceiro de destino aplicáveis ao tratamento dos dados pessoais pelo importador de dados, incluindo quaisquer requisitos de divulgação de dados pessoais ou medidas que autorizem o acesso por parte das autoridades públicas, impeçam o importador de dados de cumprir as suas obrigações ao abrigo das presentes cláusulas. Tal baseia-se no entendimento de que as leis e práticas que respeitam a essência dos direitos e liberdades fundamentais e não excedem o que é necessário e proporcional numa sociedade democrática para salvaguardar um dos objectivos enumerados no artigo 23.º, n.º 1, do Regulamento (UE) 2016/679, não estão em contradição com as presentes cláusulas.
- As Partes declaram que, ao fornecerem a garantia referida na alínea a), tiveram devidamente em conta, nomeadamente, os seguintes elementos:
- as circunstâncias específicas da transferência, incluindo a extensão da cadeia de tratamento, o número de intervenientes e os canais de transmissão utilizados; as transferências ulteriores previstas; o tipo de destinatário; a finalidade do tratamento; as categorias e o formato dos dados pessoais transferidos; o sector económico em que a transferência ocorre; o local de armazenamento dos dados transferidos;
- as leis e práticas do país terceiro de destino - incluindo as que exigem a divulgação de dados às autoridades públicas ou que autorizam o acesso por parte dessas autoridades - relevantes à luz das circunstâncias específicas da transferência, bem como as limitações e garantias aplicáveis[4];
- Quaisquer garantias contratuais, técnicas ou organizativas pertinentes adoptadas para complementar as garantias previstas nas presentes cláusulas, incluindo medidas aplicadas durante a transmissão e o tratamento dos dados pessoais no país de destino.
- O importador de dados garante que, ao efetuar a avaliação prevista na alínea b), envidou todos os esforços para fornecer ao exportador de dados as informações pertinentes e concorda que continuará a cooperar com o exportador de dados para garantir o cumprimento das presentes cláusulas.
- As Partes acordam em documentar a avaliação efectuada nos termos da alínea b) e disponibilizá-la à autoridade de controlo competente, a pedido desta.
- O importador de dados concorda em notificar prontamente o exportador de dados se, depois de ter concordado com as presentes cláusulas e durante a vigência do contrato, tiver razões para crer que está ou ficou sujeito a leis ou práticas não conformes com os requisitos da alínea a), incluindo na sequência de uma alteração das leis do país terceiro ou de uma medida (como um pedido de divulgação) que indique uma aplicação dessas leis na prática não conforme com os requisitos da alínea a).
- Na sequência de uma notificação nos termos da alínea e), ou se o exportador de dados tiver motivos para crer que o importador de dados já não pode cumprir as obrigações que lhe incumbem por força das presentes cláusulas, o exportador de dados identifica prontamente as medidas adequadas (por exemplo, medidas técnicas ou organizativas para garantir a segurança e a confidencialidade) a adotar pelo exportador de dados e/ou pelo importador de dados para resolver a situação. O exportador de dados suspende a transferência de dados se considerar que não podem ser asseguradas garantias adequadas para essa transferência, ou se receber instruções da autoridade de controlo competente para o fazer. Neste caso, o exportador de dados tem o direito de rescindir o contrato, na medida em que este diga respeito ao tratamento de dados pessoais ao abrigo das presentes cláusulas. Se o contrato envolver mais de duas partes, o exportador de dados só pode exercer este direito de rescisão relativamente à parte em causa, salvo acordo em contrário das partes. Se o contrato for resolvido nos termos da presente cláusula, aplicar-se-á o disposto nas alíneas d) e e) da cláusula 16.
Cláusula 15
Obrigações do importador de dados em caso de acesso das autoridades públicas
15.1 Notificação
- O importador de dados compromete-se a notificar prontamente o exportador de dados e, sempre que possível, a pessoa em causa (se necessário, com a ajuda do exportador de dados) se
- receber um pedido juridicamente vinculativo de uma autoridade pública, incluindo autoridades judiciais, ao abrigo da legislação do país de destino, para a divulgação de dados pessoais transferidos nos termos das presentes cláusulas; essa notificação deve incluir informações sobre os dados pessoais solicitados, a autoridade requerente, a base jurídica do pedido e a resposta dada; ou
- tiver conhecimento de qualquer acesso direto das autoridades públicas a dados pessoais transferidos nos termos das presentes cláusulas, em conformidade com a legislação do país de destino; essa notificação deve incluir todas as informações de que o importador dispõe.
- Se o importador de dados estiver proibido de notificar o exportador de dados e/ou a pessoa em causa ao abrigo da legislação do país de destino, o importador de dados concorda em envidar os seus melhores esforços para obter uma derrogação à proibição, com o objetivo de comunicar o máximo de informações possível, o mais rapidamente possível. O importador de dados concorda em documentar os seus melhores esforços para os poder demonstrar a pedido do exportador de dados.
- Sempre que a legislação do país de destino o permita, o importador de dados compromete-se a fornecer ao exportador de dados, a intervalos regulares durante a vigência do contrato, o maior número possível de informações pertinentes sobre os pedidos recebidos (em especial, número de pedidos, tipo de dados solicitados, autoridade(s) requerente(s), se os pedidos foram contestados e o resultado dessas contestações, etc.).
- O importador de dados compromete-se a conservar as informações referidas nas alíneas a) a c) durante o período de vigência do contrato e a disponibilizá-las à autoridade de controlo competente, a pedido desta.
- As alíneas a) a c) não prejudicam a obrigação do importador de dados, nos termos da cláusula 14, alínea e), e da cláusula 16, de informar prontamente o exportador de dados sempre que não possa cumprir as presentes cláusulas.
15.2 Controlo da legalidade e minimização dos dados
- O importador de dados compromete-se a verificar a legalidade do pedido de divulgação, em especial se este continua a ser abrangido pelos poderes conferidos à autoridade pública requerente, e a contestar o pedido se, após uma avaliação cuidadosa, concluir que existem motivos razoáveis para considerar que o pedido é ilegal nos termos da legislação do país de destino, das obrigações aplicáveis ao abrigo do direito internacional e dos princípios de cortesia internacional. O importador de dados deve, nas mesmas condições, recorrer das possibilidades de recurso. Ao contestar um pedido, o importador de dados deve procurar obter medidas provisórias com o objetivo de suspender os efeitos do pedido até que a autoridade judicial competente se pronuncie sobre o seu mérito. Não divulgará os dados pessoais solicitados enquanto não for obrigado a fazê-lo ao abrigo das regras processuais aplicáveis. Estes requisitos não prejudicam as obrigações do importador de dados nos termos da alínea e) da cláusula 14.
- O importador de dados compromete-se a documentar a sua apreciação jurídica e qualquer contestação do pedido de divulgação e, na medida em que a legislação do país de destino o permita, a disponibilizar a documentação ao exportador de dados. Deve também disponibilizá-la à autoridade de controlo competente, a pedido desta.
- O importador de dados compromete-se a fornecer a quantidade mínima de informação permitida ao responder a um pedido de divulgação, com base numa interpretação razoável do pedido.
SECÇÃO IV - DISPOSIÇÕES FINAIS
Cláusula 16
Incumprimento das cláusulas e rescisão
- O importador de dados informará imediatamente o exportador de dados se, por qualquer motivo, não puder cumprir as presentes cláusulas.
- Se o importador de dados violar as presentes cláusulas ou não puder cumpri-las, o exportador de dados suspenderá a transferência de dados pessoais para o importador de dados até que o cumprimento seja novamente assegurado ou o contrato seja rescindido. Esta disposição não prejudica a alínea f) da cláusula 14.
- O exportador de dados tem o direito de rescindir o contrato, na medida em que este diga respeito ao tratamento de dados pessoais ao abrigo das presentes cláusulas, se
- o exportador de dados tiver suspendido a transferência de dados pessoais para o importador de dados nos termos da alínea b) e o cumprimento das presentes cláusulas não for restabelecido num prazo razoável e, em qualquer caso, no prazo de um mês a contar da suspensão;
- o importador de dados violar de forma substancial ou persistente as presentes cláusulas; ou
- o importador de dados não cumprir uma decisão vinculativa de um tribunal competente ou de uma autoridade de controlo relativamente às suas obrigações nos termos das presentes cláusulas.
Nestes casos, informará a autoridade de controlo competente desse incumprimento. Se o contrato envolver mais de duas Partes, o exportador de dados pode exercer este direito de rescisão apenas em relação à Parte em causa, exceto se as Partes tiverem acordado em contrário.
- Os dados pessoais que tenham sido transferidos antes da rescisão do contrato nos termos da alínea c) serão, à escolha do exportador de dados, imediatamente devolvidos ao exportador de dados ou apagados na sua totalidade. O mesmo se aplica a quaisquer cópias dos dados. O importador de dados deve certificar o apagamento dos dados ao exportador de dados. Até que os dados sejam apagados ou devolvidos, o importador de dados deve continuar a assegurar o cumprimento das presentes cláusulas. No caso de a legislação local aplicável ao importador de dados proibir a devolução ou o apagamento dos dados pessoais transferidos, o importador de dados garante que continuará a assegurar o cumprimento das presentes cláusulas e que só tratará os dados na medida e durante o tempo exigidos pela legislação local.
- Qualquer das Partes pode revogar o seu acordo de vinculação às presentes Cláusulas se (i) a Comissão Europeia adotar uma decisão nos termos do artigo 45.º, n.º 3, do Regulamento (UE) 2016/679 que abranja a transferência de dados pessoais a que as presentes Cláusulas se aplicam; ou (ii) o Regulamento (UE) 2016/679 passar a fazer parte do quadro jurídico do país para o qual os dados pessoais são transferidos. Isto sem prejuízo de outras obrigações aplicáveis ao tratamento em causa ao abrigo do Regulamento (UE) 2016/679.
Cláusula 17
Direito aplicável
As presentes cláusulas são regidas pela legislação do Estado-Membro da UE em que o exportador de dados está estabelecido. Se essa legislação não permitir direitos de terceiros beneficiários, serão regidas pela legislação de outro Estado-Membro da UE que permita direitos de terceiros beneficiários. As Partes acordam que esta será a legislação da República da Irlanda (especificar o Estado-Membro).
Cláusula 18
Escolha do foro e da jurisdição
- Qualquer litígio decorrente das presentes cláusulas será resolvido pelos tribunais de um Estado-Membro da UE.
- As Partes acordam em que estes serão os tribunais da República da Irlanda (especificar o Estado-Membro).
- A pessoa em causa pode igualmente intentar uma ação judicial contra o exportador e/ou importador de dados junto dos tribunais do Estado-Membro em que tem a sua residência habitual.
- As Partes acordam em submeter-se à jurisdição desses tribunais.
APÊNDICE
ANEXO I
- LISTA DAS PARTES
Exportador(es) de dados:
Nome: Cliente
Endereço: Conforme especificado no Acordo
Nome, cargo e dados de contacto da pessoa a contactar: Os dados de contacto do exportador de dados são especificados no Acordo
Atividades relevantes para os dados transferidos de acordo com estas Cláusulas: Os serviços a serem prestados pela Beonic ao Cliente, conforme descrito no Contrato.
Assinatura e data: As partes acordam que a assinatura do acordo constitui a assinatura das presentes cláusulas por ambas as partes.
Função (controlador/processador): Controlador
Importador(es) de dados:
Nome: Beonic
Endereço: Conforme especificado no Acordo
Nome, cargo e contactos da pessoa a contactar:
Michael Walker 5 Ward Avenue POTTS POINT NSW 2011 AUSTRALIA privacy@beonic.com
Dados de contacto do responsável pela proteção de dados:
Evalian Limited West Lodge Colden Common Winchester, Reino Unido, SO21 1TH dpo@evalian.co.uk
Atividades relevantes para os dados transferidos de acordo com estas Cláusulas: Os serviços a serem prestados pela Beonic ao Cliente, conforme descrito no Contrato.
Assinatura: As partes acordam que a assinatura do acordo constitui a assinatura das presentes cláusulas por ambas as partes
Função (controlador/processador): Processador
- DESCRIÇÃO DA TRANSFERÊNCIA
Categorias de titulares de dados cujos dados pessoais são transferidos
- Categorias de titulares de dados definidas na Secção 2 do Acordo de Processamento de Dados ao qual estas Cláusulas estão incorporadas.
Categorias de dados pessoais transferidos
- Categorias de dados pessoais definidas na Secção 2 do Acordo de Processamento de Dados ao qual estas Cláusulas estão incorporadas.
Dados sensíveis transferidos (se aplicável) e restrições ou salvaguardas aplicadas que tenham plenamente em conta a natureza dos dados e os riscos envolvidos, como, por exemplo, a limitação estrita da finalidade, as restrições de acesso (incluindo o acesso apenas por parte de pessoal que tenha seguido uma formação especializada), a manutenção de um registo do acesso aos dados, as restrições às transferências posteriores ou medidas de segurança adicionais.
- As partes não prevêem a transferência de categorias especiais de dados.
A frequência da transferência (por exemplo, se os dados são transferidos numa base pontual ou contínua).
- Contínuo
Natureza do tratamento
- Categorias de dados pessoais definidas na Secção 2 do Acordo de Tratamento de Dados a que estas Cláusulas estão associadas.
Finalidade(s) da transferência de dados e do tratamento posterior
- Prestação dos serviços a serem fornecidos pela Beonic ao exportador de dados, conforme estabelecido nos contratos de cliente da Beonic.
O período durante o qual os dados pessoais serão conservados ou, se tal não for possível, os critérios utilizados para determinar esse período
- Duração dos contratos de cliente Beonic.
No caso de transferências para (sub)transformadores, especificar também o objeto, a natureza e a duração do tratamento
- Como indicado acima
- AUTORIDADE DE CONTROLO COMPETENTE
Identificar a(s) autoridade(s) de controlo competente(s) em conformidade com a cláusula 13:
- A autoridade de controlo competente do Estado-Membro da UE em que o exportador de dados está estabelecido.
ANEXO II - MEDIDAS TÉCNICAS E ORGANIZATIVAS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZATIVAS DESTINADAS A GARANTIR A SEGURANÇA DOS DADOS
Descrição das medidas técnicas e organizativas aplicadas pelo(s) importador(es) de dados (incluindo quaisquer certificações pertinentes) para garantir um nível de segurança adequado, tendo em conta a natureza, o âmbito, o contexto e a finalidade do tratamento, bem como os riscos para os direitos e liberdades das pessoas singulares.
- Políticas e sensibilização
Políticas de segurança da informação e procedimentos operacionais conexos e formação do pessoal em matéria de segurança da informação.
- Controlo de acesso
Controlo de acesso com privilégios mínimos com base no acesso por função. Processo definido de gestão do acesso dos utilizadores com auditoria contínua das permissões de acesso dos utilizadores. Acesso privilegiado e administrativo restrito com base na necessidade de conhecimento, com auditoria contínua das permissões de acesso dos utilizadores.
- Identificação e autenticação
Controlos de gestão da identidade e do acesso para garantir que só os utilizadores exclusivamente identificados, autorizados e autenticados têm acesso aos sistemas de tratamento de dados pessoais.
- Segurança dos dados
Classificação e rotulagem dos dados. Encriptação de dados em repouso e em trânsito. Gestão centralizada de chaves, incluindo rotação.
- Recursos Humanos Segurança
Verificação dos antecedentes pré-contratuais dos potenciais membros do pessoal que terão acesso a dados pessoais, exigindo que estejam sujeitos a obrigações de confidencialidade e dispondo de um processo disciplinar para gerir as violações da confidencialidade ou o incumprimento das políticas de segurança da informação ou de proteção de dados.
- Segurança física
Implementação de controlos de segurança física para impedir o acesso não autorizado aos dados pessoais e aos sistemas de informação utilizados para o tratamento de dados pessoais.
- Segurança técnica
Normas e construções de configuração segura. Controlos de segurança do perímetro da rede. Software anti-malware instalado em todos os computadores.
- Gestão de incidentes
Procedimentos de gestão de incidentes de segurança da informação.
- Garantia independente
Análises de garantia efectuadas por terceiros, incluindo testes de penetração dos sistemas de informação adequados, pelo menos uma vez por ano.
ANEXO III - LISTA DE SUBCONTRATANTES
O responsável pelo tratamento autorizou a utilização dos seguintes subcontratantes:
Os subcontratantes listados em:
EXPOSIÇÃO 3
Adenda IDT
Módulo 2: Do controlador ao processador
Cláusulas-tipo de proteção de dados a emitir pelo Comissário nos termos do S119A(1) da Lei da Proteção de Dados de 2018
Adenda à transferência internacional de dados às cláusulas contratuais-tipo da Comissão Europeia
VERSÃO B1.0, em vigor a partir de 21 de março de 2022
A presente adenda foi emitida pelo Comissário da Informação para as partes que efectuam transferências sujeitas a restrições. O Comissário para a Informação considera que esta adenda oferece garantias adequadas para as transferências sujeitas a restrições quando é celebrada como um contrato juridicamente vinculativo.
Parte 1: Quadros
Quadro 1: Partes
Data de início |
Data do DPA |
|
As partes |
Exportador (que envia a Transferência Restrita) |
Importador (que recebe a Transferência Restrita) |
Dados das partes |
Tal como previsto no Anexo 1.A das cláusulas contratuais-tipo |
Tal como previsto no Anexo 1.A das cláusulas contratuais-tipo |
Contacto principal |
Tal como previsto no Anexo 1.A das cláusulas contratuais-tipo |
Tal como previsto no Anexo 1.A das cláusulas contratuais-tipo |
Assinatura (se necessário para efeitos da Secção 2) |
As partes acordam que a execução do acordo constitui a execução da presente adenda por ambas as partes. |
As partes acordam que a execução do acordo constitui a execução da presente adenda por ambas as partes. |
Quadro 2: SCCs, módulos e cláusulas selecionados
Adenda CSC da UE |
A versão das CCA aprovadas da UE à qual esta Adenda é anexada, detalhada abaixo, incluindo as Informações do Apêndice: Data: Data do DPA Referência (caso exista): N/A Outro identificador (caso exista): Conforme previsto no Anexo 2 do presente DPA. Ou ☐ as Cláusulas Contratuais Especiais da UE Aprovadas, incluindo a Informação do Apêndice e apenas com os seguintes módulos, cláusulas ou disposições opcionais das Cláusulas Contratuais Especiais da UE Aprovadas em vigor para efeitos da presente Adenda: |
Quadro 3: Informações do apêndice
"Informação do Apêndice" significa a informação que deve ser fornecida para os módulos selecionados, tal como consta do Apêndice das CCA aprovadas da UE (com exceção das Partes), e que, no caso da presente Adenda, consta de
Anexo 1A: Lista das Partes: Conforme estabelecido no Anexo I.A. das Cláusulas Contratuais-tipo |
Anexo 1B: Descrição da transferência: De acordo com o anexo I.B. das cláusulas contratuais-tipo |
Anexo II: Medidas técnicas e organizativas, incluindo medidas técnicas e organizativas destinadas a garantir a segurança dos dados: De acordo com o Anexo II das cláusulas contratuais-tipo |
Anexo III: Lista dos subcontratantes (unicamente para os módulos 2 e 3): De acordo com o anexo III das cláusulas contratuais-tipo |
Quadro 4: Fim da presente adenda em caso de alteração da adenda aprovada
Terminar a presente adenda quando a adenda aprovada for alterada |
☒ nem Festa |
Parte 2: Cláusulas obrigatórias
Celebração da presente adenda
- Cada Parte aceita ficar vinculada pelos termos e condições estabelecidos na presente adenda, em troca de a outra Parte aceitar também ficar vinculada pela presente adenda.
- Embora o Anexo 1A e a Cláusula 7 das Cláusulas Contratuais Especiais da UE Aprovadas exijam a assinatura das Partes, para efeitos de efetuar Transferências Restritas, as Partes podem celebrar a presente Adenda de qualquer forma que as torne juridicamente vinculativas para as Partes e que permita aos titulares dos dados fazer valer os seus direitos, tal como estabelecido na presente Adenda. A celebração da presente adenda terá o mesmo efeito que a assinatura das Cláusulas Contratuais Especiais da UE aprovadas e de qualquer parte das Cláusulas Contratuais Especiais da UE aprovadas.
Interpretação da presente adenda
- Sempre que a presente Adenda utilizar termos definidos nas Cláusulas Aprovadas das Cláusulas Contratuais Especiais da UE, esses termos terão o mesmo significado que nas Cláusulas Aprovadas das Cláusulas Contratuais Especiais da UE. Além disso, os seguintes termos têm os seguintes significados:
Adenda |
A presente Adenda Internacional sobre Transferência de Dados, que é constituída pela presente Adenda que incorpora as Cláusulas Contratuais Suplementares da UE da Adenda. |
Adenda CSC da UE |
A(s) versão(ões) das CEC aprovadas da UE a que a presente adenda se encontra apensa, tal como consta do quadro 2, incluindo a informação do apêndice. |
Apêndice Informações |
Como indicado no quadro 3. |
Salvaguardas adequadas |
A norma de proteção dos dados pessoais e dos direitos dos titulares dos dados, exigida pela legislação de proteção de dados do Reino Unido quando se efectua uma transferência restrita com base em cláusulas-tipo de proteção de dados ao abrigo do artigo 46.º, n.º 2, alínea d), do RGPD do Reino Unido. |
Adenda aprovada |
O modelo de adenda emitido pelo ICO e apresentado ao Parlamento em conformidade com o artigo 119.º-A da Lei da Proteção de Dados de 2018, em 2 de fevereiro de 2022, tal como é revisto ao abrigo do artigo 18. |
SCCs da UE aprovadas |
As cláusulas contratuais-tipo estabelecidas no anexo da Decisão de Execução (UE) 2021/914 da Comissão, de 4 de junho de 2021. |
OIC |
O Comissário da Informação. |
Transferência restrita |
Uma transferência abrangida pelo Capítulo V do RGPD do Reino Unido. |
REINO UNIDO |
O Reino Unido da Grã-Bretanha e da Irlanda do Norte. |
Leis de proteção de dados do Reino Unido |
Todas as leis relacionadas com a proteção de dados, o tratamento de dados pessoais, a privacidade e/ou as comunicações electrónicas em vigor periodicamente no Reino Unido, incluindo o RGPD do Reino Unido e a Lei de Proteção de Dados de 2018. |
RGPD DO REINO UNIDO |
Tal como definido na secção 3 da Lei de Proteção de Dados de 2018. |
- A presente adenda deve ser sempre interpretada de forma coerente com a legislação do Reino Unido em matéria de proteção de dados e de modo a cumprir a obrigação das Partes de fornecer as garantias adequadas.
- Se as disposições incluídas na Adenda às CPS da UE alterarem as CPS Aprovadas de qualquer forma que não seja permitida pelas CPS Aprovadas da UE ou pela Adenda Aprovada, essa(s) alteração(ões) não será(ão) incorporada(s) na presente Adenda e a disposição equivalente das CPS Aprovadas da UE tomará(ão) o seu lugar.
- Em caso de incoerência ou conflito entre as leis de proteção de dados do Reino Unido e a presente adenda, aplicam-se as leis de proteção de dados do Reino Unido.
- Se o significado da presente adenda não for claro ou se existir mais do que um significado, aplica-se o significado que estiver mais de acordo com as leis de proteção de dados do Reino Unido.
- Quaisquer referências à legislação (ou a disposições específicas da legislação) significam essa legislação (ou disposição específica) tal como pode ser alterada ao longo do tempo. Isto inclui os casos em que essa legislação (ou disposição específica) tenha sido consolidada, reeditada e/ou substituída após a celebração da presente adenda.
Hierarquia
- Embora a Cláusula 5 das Cláusulas Aprovadas das Cláusulas Contratuais Especiais da UE estabeleça que as Cláusulas Aprovadas das Cláusulas Contratuais Especiais da UE prevalecem sobre todos os acordos conexos entre as partes, as partes acordam que, para as Transferências Restritas, prevalecerá a hierarquia da Secção 10.
- Em caso de incoerência ou conflito entre a Adenda Aprovada e as Cláusulas Contratuais Suplementares da UE (conforme aplicável), a Adenda Aprovada prevalece sobre as Cláusulas Contratuais Suplementares da UE, exceto se (e na medida em que) os termos incoerentes ou conflituosos das Cláusulas Contratuais Suplementares da UE proporcionarem maior proteção aos titulares dos dados, caso em que esses termos prevalecerão sobre a Adenda Aprovada.
- Nos casos em que a presente adenda incorpora cláusulas contratuais adicionais da UE que foram celebradas para proteger transferências sujeitas ao Regulamento Geral sobre a Proteção de Dados (UE) 2016/679, as Partes reconhecem que nada na presente adenda tem impacto nessas cláusulas contratuais adicionais da UE.
Incorporação e alterações das SCC da UE
- A presente adenda incorpora a adenda às CEC da UE, que é alterada na medida do necessário para que
- Em conjunto, operam para as transferências de dados efectuadas pelo exportador de dados para o importador de dados, na medida em que as leis de proteção de dados do Reino Unido se apliquem ao tratamento de dados pelo exportador de dados ao efetuar essa transferência de dados, e prevêem garantias adequadas para essas transferências de dados;
- As secções 9 a 11 prevalecem sobre a cláusula 5 (Hierarquia) da Adenda às CCA da UE; e
- a presente Adenda (incluindo as Cláusulas Contratuais Suplementares da UE nela incorporadas) é (1) regida pelas leis de Inglaterra e do País de Gales e (2) qualquer litígio dela decorrente será resolvido pelos tribunais de Inglaterra e do País de Gales, em cada caso, exceto se as leis e/ou os tribunais da Escócia ou da Irlanda do Norte tiverem sido expressamente escolhidos pelas Partes.
- A menos que as Partes tenham acordado alterações alternativas que satisfaçam os requisitos da Secção 12, aplicar-se-á o disposto na Secção 15.
- Não podem ser feitas quaisquer alterações às CSC da UE Aprovadas que não sejam para cumprir os requisitos da Secção 12.
- São introduzidas as seguintes alterações à Adenda EU SCC (para efeitos da Secção 12):
- As referências às "Cláusulas" significam a presente Adenda, incorporando as CEC da UE da Adenda;
- Na cláusula 2, suprimir as palavras:
"e, no que respeita às transferências de dados de responsáveis pelo tratamento para subcontratantes e/ou de subcontratantes para subcontratantes, cláusulas contratuais-tipo nos termos do artigo 28.º, n.º 7, do Regulamento (UE) 2016/679";
- A cláusula 6 (Descrição da(s) transferência(s)) passa a ter a seguinte redação
"Os pormenores da(s) transferência(s) e, em especial, as categorias de dados pessoais transferidos e a(s) finalidade(s) para as quais são transferidos são os especificados no Anexo I.B, sempre que a legislação do Reino Unido em matéria de proteção de dados se aplique ao tratamento de dados pelo exportador de dados ao efetuar essa transferência."
- A cláusula 8.7 (i) do Módulo 1 passa a ter a seguinte redação
"é para um país que beneficia de regulamentos de adequação nos termos da Secção 17A do RGPD do Reino Unido que abrange a transferência subsequente";
- A cláusula 8.8 (i) dos módulos 2 e 3 passa a ter a seguinte redação
"a transferência subsequente é para um país que beneficia de regulamentos de adequação nos termos da Secção 17A do RGPD do Reino Unido que abrange a transferência subsequente;"
- As referências ao "Regulamento (UE) 2016/679", ao "Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados)" e a "esse Regulamento" são todas substituídas por "Leis de Proteção de Dados do Reino Unido". As referências a artigo(s) específico(s) do "Regulamento (UE) 2016/679" são substituídas pelo artigo ou secção equivalente da legislação de proteção de dados do Reino Unido;
- As referências ao Regulamento (UE) 2018/1725 são suprimidas;
- As referências à "União Europeia", "União", "UE", "Estado-Membro da UE", "Estado-Membro" e "UE ou Estado-Membro" são todas substituídas por "Reino Unido";
- A referência à "Cláusula 12(c)(i)" na Cláusula 10(b)(i) do Módulo 1 é substituída por "Cláusula 11(c)(i)";
- A alínea a) da cláusula 13 e a parte C do anexo I não são utilizadas;
- As expressões "autoridade de controlo competente" e "autoridade de controlo" são substituídas por "Comissário da Informação";
- Na cláusula 16, alínea e), a subsecção (i) passa a ter a seguinte redação
"o Secretário de Estado elabora regulamentos nos termos da Secção 17A da Lei de Proteção de Dados de 2018 que abrangem a transferência de dados pessoais a que estas cláusulas se aplicam;";
- A cláusula 17 passa a ter a seguinte redação
"As presentes cláusulas regem-se pelas leis de Inglaterra e do País de Gales";
- A cláusula 18 passa a ter a seguinte redação
"Qualquer litígio decorrente das presentes cláusulas será resolvido pelos tribunais de Inglaterra e do País de Gales. O titular dos dados pode igualmente intentar uma ação judicial contra o exportador e/ou importador de dados junto dos tribunais de qualquer país do Reino Unido. As Partes concordam em submeter-se à jurisdição desses tribunais."; e
- As notas de rodapé das SCCs Aprovadas da UE não fazem parte da Adenda, exceto as notas de rodapé 8, 9, 10 e 11.
Alterações à presente adenda
- As Partes podem acordar em alterar as cláusulas 17 e/ou 18 da Adenda CCA da UE de modo a remeter para as leis e/ou tribunais da Escócia ou da Irlanda do Norte.
- Se as Partes desejarem alterar o formato das informações incluídas na Parte 1: Quadros da Adenda Aprovada, podem fazê-lo mediante acordo escrito sobre a alteração, desde que esta não reduza as Salvaguardas Adequadas.
- Ocasionalmente, o OIC pode publicar uma adenda aprovada revista:
- introduz alterações razoáveis e proporcionadas na adenda aprovada, incluindo a correção de erros na adenda aprovada; e/ou
- reflecte as alterações às leis de proteção de dados do Reino Unido;
A adenda aprovada revista especificará a data de início da produção de efeitos das alterações à adenda aprovada e a necessidade de as Partes reverem a presente adenda, incluindo as informações do apêndice. A presente adenda é automaticamente alterada conforme estabelecido na adenda aprovada revista a partir da data de início especificada.
- Se a OIC emitir uma Adenda Aprovada revista nos termos da Secção 18, se alguma das Partes selecionadas no Quadro 4 "Cessação da Adenda quando a Adenda Aprovada sofre alterações", tiver um aumento substancial, desproporcionado e demonstrável em resultado direto das alterações na Adenda Aprovada:
- os seus custos diretos de cumprimento das suas obrigações ao abrigo da Adenda; e/ou
- o seu risco ao abrigo da Adenda,
e, em qualquer dos casos, tiver tomado medidas razoáveis para reduzir esses custos ou riscos de modo a que não sejam substanciais e desproporcionados, essa Parte pode pôr termo à presente adenda no termo de um período de pré-aviso razoável, mediante notificação escrita desse período à outra Parte antes da data de início da adenda aprovada revista.
- As Partes não necessitam do consentimento de terceiros para efetuar alterações à presente adenda, mas quaisquer alterações devem ser efectuadas em conformidade com os seus termos.