Acordo de Tratamento de Dados

Esta versão é uma tradução da versão inglesa apenas para fins informativos. Em caso de discrepâncias, prevalece a versão inglesa.

Responsável pelo tratamento: Cliente localizado na UE (o “Responsável pelo tratamento“) e

Empresa:Reg.no.Cidade:País do registo:

(o “Processador de dados“)(separadamente designado de “Parte” e coletivamente de “Partes”)

celebrou o presente:

Contrato de Processador de Dados

(o “Contrato“)relativo ao processamento, por parte do Processador de Dados, de dados pessoais em nome do Controlador de Dados.

1. Os dados pessoais processados

1.1 Este acordo (o “Acordo“) foi celebrado em conexão com o uso dos serviços do Subcontratante pela Responsável pelo tratamento como parte dos serviços subscrição e adicionais, conforme descrito nos termos gerais da One.com (o “Principais Acordo”).

1.2 A Subcontratante trata os tipos de dados pessoais em nome do Responsável pelo tratamento em relação aos titulares dos dados relevantes, conforme especificado em Horário 1. Os dados pessoais referem-se aos titulares dos dados listados em Horário 1.

1.3 A Subcontratante poderá iniciar o tratamento de dados pessoais em nome da Responsável pelo tratamento após a entrada em vigor do Acordo Principal. Após a cessação da Acordo Principal, o tratamento cessará e os dados pessoais serão eliminados de acordo com as instruções em Horário 1do Acordo.

1.4 O Contrato e o Contrato Principal são interdependentes e não podem ser rescindidos em separado. No entanto, o Contrato pode ser substituído por outro Contrato de Processador de Dados válido sem rescisão do Contrato Principal.

2. Objetivo

2.1 O Processador de Dados só pode processar dados pessoais para os fins que sejam necessários para satisfazer as obrigações do Processador de Dados e, ao fazê-lo, prestar os serviços estabelecidos no Contrato Principal.

3. Obrigações do Controlador de Dados

3.1 O Controlador de Dados garante que os dados pessoais são processados para fins legítimos e objetivos e que o Processador de Dados não processa mais dados pessoais que os exigidos para atender às referidas finalidades.

3.2 O Controlador de Dados é responsável por assegurar que existe uma base jurídica válida para o processamento no ato de transferência dos dados pessoais para o Processador de Dados. Mediante pedido do Processador de Dados, o Controlador de Dados compromete-se, por escrito, a ter em consideração e/ou a prestar documentação de base para o processamento.

3.3 Além disso, o Controlador de Dados garante que os titulares de dados a que os dados pessoais pertencem receberam informações suficientes sobre o processamento dos próprios dados pessoais.

4. Obrigações do Processador de Dados

4.1 Todo o processamento pelo Processador de Dados de dados pessoais prestados pelo Controlador de Dados deve ser feito em conformidade com as instruções preparadas pelo Controlador de Dados; além disso, o Processador de Dados é ainda obrigado a cumprir com toda e qualquer legislação de proteção de dados em vigor de tempos a tempos. Se a legislação da União Europeia ou a legislação de um Estado Membro da UE à qual o Processador de Dados está sujeita estipule que o Processador de Dados é obrigado a processar os dados pessoais listados no Anexo 1, o Processador de Dados deve informar o Controlador de Dados desse requisito jurídico antes do processamento. No entanto, tal não se aplica se esta legislação proibir tais informações, com base em argumentos importantes de interesses públicos. O Processador de Dados deve imediatamente informar o Controlador de Dados se, no parecer do Processador de Dados, uma instrução infringir o Regulamento Geral de Proteção de Dados da UE ou as disposições de proteção de dados de um Estado-Membro da UE.

4.2 O Processador de Dados deve tomar todas as medidas de segurança técnicas e organizacionais necessárias, incluindo quaisquer medidas adicionais, exigidas para garantir que os dados pessoais não são acidental ou ilegalmente destruídos, perdidos, comprometidos ou divulgados a terceiros não autorizados, usados indevidamente ou de outra forma processados de uma maneira que seja contrária à legislação de proteção de dados em vigor num dado momento. Estas medidas são descritas em maior detalhe no Anexo 2.

4.3 O Processador de Dados deve garantir que os trabalhadores autorizados do processamento de dados pessoais se submeteram a compromissos de confidencialidade ou que estão sob obrigações de confidencialidade estatutárias apropriadas.

4.4 Se solicitado pelo Controlador de Dados, o Processador de Dados deve declarar e/ou documentar que o Processador de Dados cumpre os requisitos da legislação de proteção de dados aplicável, incluindo documentação relativa aos fluxos do Processador de Dados, bem como procedimentos/políticas para o processamento de dados pessoais.

4.5 Tendo em conta a natureza do processamento, o Processador de Dados deve, na medida do possível, auxiliar o controlador com as medidas técnicas e organizacionais apropriadas, para a satisfação da obrigação do Controlador de Dados de responder a pedidos de exercício dos direitos do titular de dados, conforme estabelecido no capítulo 3 do Regulamento Geral de Proteção de Dados.

4.6 O Processador de Dados, ou outro Processador de Dados (subprocessador de dados) deve enviar pedidos e objeções de titulares de dados ao Controlador de Dados, para processamento adicional por parte do Controlador de Dados dos mesmos, exceto se o Processador de Dados estiver autorizado a tratar ele próprio esse pedido. Se requerido pelo Controlador de Dados, o Processador de Dados deve auxiliar o Controlador de Dados a responder a pedidos e/ou objeções do género.

4.7 Caso o Processador de Dados processar dados pessoais noutro estado-membro da UE, o Processador de Dados deve cumprir a legislação relativa às medidas de segurança nesse estado membro.

4.8 O Subcontratante deve notificar o Responsável pelo tratamento em caso de interrupção do funcionamento, suspeita de violação das regras de proteção de dados ou de ocorrência de outras irregularidades relacionadas com o tratamento dos dados pessoais. O prazo do Subcontratante para notificar o Responsável pelo tratamento de uma violação de segurança é de 48 horas a partir do momento em que o Subcontratante toma conhecimento de uma violação de segurança. Se o Responsável pelo tratamento o solicitar, o Subcontratante deve prestar assistência ao Responsável pelo tratamento no que diz respeito à clarificação do âmbito da violação de segurança, incluindo a preparação de qualquer notificação à Agência de Proteção de Dados competente e/ou aos titulares dos dados.

4.9 A Subcontratante deve disponibilizar ao Responsável pelo tratamento todas as informações necessárias para demonstrar o cumprimento do artigo 28.º do Regulamento Geral sobre a Proteção de Dados e do Acordo. Neste contexto, o Subcontratante permite e contribui para auditorias, incluindo inspeções, realizadas pelo Responsável pelo tratamento ou por outro auditor mandatado pelo Responsável pelo tratamento. A Responsável pelo tratamento suportar os custos de qualquer auditoria ou inspeção.

5. Transferência de dados para subprocessadores de dados e terceiros

5.1 O Processador de Dados deve cumprir as condições estabelecidas no art.º28, números 2 e 4 do Regulamento Geral de Proteção de Dados para contratação de outro Processador de Dados (subprocessador de dados). Isto implica que o Processador de Dados não contrata outro Processador de Dados (subprocessador de dados) para a consecução das obrigações do Contrato sem o consentimento prévio por escrito específico ou geral do Controlador de Dados.

5.2 O Controlador de Dados pelo presente concede ao Processador de Dados autoridade geral para celebrar contratos com subprocessadores de dados. O Processador de Dados deve notificar o Controlador de Dados de quaisquer alterações relativas ao acrescento ou substituições de subprocessadores de dados o mais tardar 30 dias antes do início do processamento de dados pessoais por um novo subprocessador dados. O Controlador de Dados pode emitir objeções razoáveis e relevantes face a tais alterações, no prazo de 14 dias após a receção da notificação. Se o Processador de Dados continuar a pretender usar um subprocessador de dados a que o Controlador de Dados tenha objetado, as Partes têm o direito de rescindir o Contrato, conforme na cláusula 7.

5.3 Quando o Controlador de Dados tiver aprovado que o Processador de Dados possa usar um subprocessador de dados, o Processador de Dados tem de impor as mesmas obrigações ao mesmo subprocessador de dados que as estabelecidas no Contrato. Isto é executado através de um contrato ou outro ato jurídico nos termos da legislação UE ou da legislação de um Estado-Membro. Deverá garantir-se, por ex., que o subprocessador de dados presta garantias suficientes para implementar medidas técnicas e organizacionais apropriadas de forma tal que o processamento satisfaça os requisitos do Regulamento Geral de Proteção de Dados (os termos integrais).

5.4 Se o subprocessador de dados não cumprir as suas obrigações de proteção de dados, o Processador de Dados permanece totalmente responsável perante o Controlador de Dados pelo desempenho das obrigações do subprocessador de dados.

5.5 A divulgação, transferência e uso interno dos dados pessoais do Controlador de Dados a países estrangeiros ou organizações internacionais só poderá ter lugar em conformidade com as instruções documentadas do Controlador de Dados; exceto se estipulado pela legislação da UE ou pela legislação de um Estado-Membro a que o Processador de Dados se encontre sujeito. Em caso positivo, o Processador de Dados tem de notificar o Controlador de Dados deste requisito jurídico antes do processamento, exceto se a lei proibir tal notificação por motivos importantes de interesses públicos.

5.6 Se os dados pessoais estipulados no Anexo 1 forem transferidos para subprocessadores de dados fora da UE/EEE, tem de, no referido contrato, vir declarado que a legislação de proteção de dados aplicável no país do Controlador de Dados se aplica aos subprocessadores de dados. Além disso, se o subprocessador de dados recetor estiver sediado na UE/EEE, tem de vir declarado no referido contrato os requisitos estatutários específicos do país da UE recetor relativamente aos processadores de dados, por ex., as exigências de notificação das autoridades nacionais têm de ser cumpridas.

5.7 A Subcontratante é obrigada a celebrar acordos escritos de processamento de dados com subprocessadores de dados dentro da UE/EEE. Quanto aos subprocessadores de dados fora da UE/EEE, o Subcontratante deve garantir as salvaguardas adequadas, por exemplo, a versão mais recente das Cláusulas Contratuais-Tipo da Comissão da UE e celebrar um acordo de processamento de dados.

5.8 No momento de assinatura do presente Contrato, o Processador de Dados contrata os subprocessadores de dados listados no Anexo 3.

6. Responsabilidade

6.1 A responsabilidade das Partes é governada pelo Contrato Principal.

6.2 A responsabilidade por danos das Parte nos termos do presente Contrato é governada pelo Contrato Principal.

7. Data de vigência e rescisão

7.1 O presente Contrato entra em vigor no mesmo momento que o Contrato Principal. Em caso de rescisão do Contrato Principal, este Contrato também será rescindido. No entanto, o Processador de Dados permanece vinculado pelas obrigações estipuladas no presente Contrato, contanto que o Processador de Dados processe dados pessoais em nome do Controlador de Dados.

7.2 Mediante rescisão dos serviços de processamento o Processador de Dados é obrigado, mediante pedido do Controlador de Dados, a eliminar ou devolver todos os dados pessoais ao Controlador de Dados, bem como eliminar as cópias existentes, exceto se a retenção dos dados pessoais for prescrita pela legislação da UE ou nacional.

8. Legislação e jurisdição aplicáveis

8.1 Qualquer discórdia ou litígio decorrente de, ou associado ao presente Contrato deve ser resolvido por um tribunal de primeira instância competente, na mesma jurisdição e com a mesma escolha de lei que declarado no Contrato Principal.

9. Assinaturas

Anexo 1

Categorias de titulares de dados, Tipos de dados pessoais e Instruções

1. Categorias de titulares de dados:

• O Subcontratante processará contacto informações dos visitantes do site da Responsável pelo tratamento e clientes reais, potenciais ou antigos e/ou membros, funcionários, fornecedores, parceiros de negócios e colaboração e afiliados.
• O Subcontratante coloca o seu sistema à disposição do Responsável pelo tratamento como um serviço alojado, não sendo possível aos Subcontratante determinar todas as categorias de titulares de dados. Se o Responsável pelo tratamento alojar dados sobre outras categorias de titulares de dados com o Subcontratante, é obrigação do Responsável pelo tratamento registar essas informações.

2. Tipos de dados pessoais:

Em geral, todos os dados pessoais tratados através do espaço web do Responsável pelo tratamento são tratados pelo Subcontratante. A lista não exaustiva abaixo inclui os tipos mais comuns de dados pessoais tratados através de espaços web. O Responsável pelo tratamento decide quais os dados pessoais que escolhe tratar através da infraestrutura do Subcontratante. Tal pode incluir categorias especiais de dados pessoais enumeradas no artigo 9.º GDPR.

• Informações de contacto e identificação, incluindo e-mail
• Endereços IP
• Nomes de domínio
• Nomes de utilizador
• Informações sobre os membros
• Dados analíticos e de utilização
• Histórico de pedidos e informações
• Contratos
• Comunicação
• Suporte
• Imagens
• Marketing estado de consentimento
• Dados pessoais incluídos em e-mails
• Podem ocorrer tipos adicionais de dados pessoais

3. Instruções

Serviço

A Subcontratante poderá tratar dados pessoais relativos aos titulares dos dados com a finalidade de prestar, desenvolver, gerir, administrar e gerir os serviços da Acordo Principal, incluindo garantir a estabilidade e o tempo de atividade dos nossos servidores e cumprir os requisitos legais.

Período de conservação

Os dados pessoais armazenados/alojados nos nossos sistemas são eliminados ou tornados anónimos num prazo razoável após a Responsável pelo tratamento ter terminado completamente a Acordo Principal.

Local de processamento

O processamento de dados pessoais cobertos pelo Acordo não deve ser feito sem o consentimento prévio por escrito do Responsável pelo tratamento em locais diferentes do centro de dados da Subcontratante em Copenhague e da localização dos subprocessadores de dados, conforme listado no Anexo 3.

Programa 2

Medidas de segurança

Programa 3

Lista de subprocessadores

Mass hosting product

Unmanaged VPS

Managed VPS

Website Builder

Premium Care

WP.one

*As entidades marcadas com * fazem parte do Group.one