Acordo de Tratamento de Dados
Esta versão é uma tradução da versão inglesa apenas para fins informativos. Em caso de discrepâncias, prevalece a versão inglesa.
Responsável pelo tratamento: Cliente localizado na UE (o “Responsável pelo tratamento“) e
Empresa:
Reg.no.
Cidade:
País do registo:
Processador de dados:
One.com Group AB
559205-2400
Malmö
Suécia
(o “Processador de dados“)
(separadamente designado de “Parte” e coletivamente de “Partes”)
celebrou o presente:
Contrato de Processador de Dados
(o “Contrato“)
relativo ao processamento, por parte do Processador de Dados, de dados pessoais em nome do Controlador de Dados.
1. Os dados pessoais processados
1.1 Este acordo (o “Acordo“) foi celebrado em conexão com o uso dos serviços do Subcontratante pela Responsável pelo tratamento como parte dos serviços subscrição e adicionais, conforme descrito nos termos gerais da One.com (o “Principais Acordo”).
1.2 A Subcontratante trata os tipos de dados pessoais em nome do Responsável pelo tratamento em relação aos titulares dos dados relevantes, conforme especificado em Horário 1. Os dados pessoais referem-se aos titulares dos dados listados em Horário 1.
1.3 A Subcontratante poderá iniciar o tratamento de dados pessoais em nome da Responsável pelo tratamento após a entrada em vigor do Acordo Principal. Após a cessação da Acordo Principal, o tratamento cessará e os dados pessoais serão eliminados de acordo com as instruções em Horário 1 do Acordo.
1.4 O Contrato e o Contrato Principal são interdependentes e não podem ser rescindidos em separado. No entanto, o Contrato pode ser substituído por outro Contrato de Processador de Dados válido sem rescisão do Contrato Principal.
2. Objetivo
2.1 O Processador de Dados só pode processar dados pessoais para os fins que sejam necessários para satisfazer as obrigações do Processador de Dados e, ao fazê-lo, prestar os serviços estabelecidos no Contrato Principal.
3. Obrigações do Controlador de Dados
3.1 O Controlador de Dados garante que os dados pessoais são processados para fins legítimos e objetivos e que o Processador de Dados não processa mais dados pessoais que os exigidos para atender às referidas finalidades.
3.2 O Controlador de Dados é responsável por assegurar que existe uma base jurídica válida para o processamento no ato de transferência dos dados pessoais para o Processador de Dados. Mediante pedido do Processador de Dados, o Controlador de Dados compromete-se, por escrito, a ter em consideração e/ou a prestar documentação de base para o processamento.
3.3 Além disso, o Controlador de Dados garante que os titulares de dados a que os dados pessoais pertencem receberam informações suficientes sobre o processamento dos próprios dados pessoais.
4. Obrigações do Processador de Dados
4.1 Todo o processamento pelo Processador de Dados de dados pessoais prestados pelo Controlador de Dados deve ser feito em conformidade com as instruções preparadas pelo Controlador de Dados; além disso, o Processador de Dados é ainda obrigado a cumprir com toda e qualquer legislação de proteção de dados em vigor de tempos a tempos. Se a legislação da União Europeia ou a legislação de um Estado Membro da UE à qual o Processador de Dados está sujeita estipule que o Processador de Dados é obrigado a processar os dados pessoais listados no Anexo 1, o Processador de Dados deve informar o Controlador de Dados desse requisito jurídico antes do processamento. No entanto, tal não se aplica se esta legislação proibir tais informações, com base em argumentos importantes de interesses públicos. O Processador de Dados deve imediatamente informar o Controlador de Dados se, no parecer do Processador de Dados, uma instrução infringir o Regulamento Geral de Proteção de Dados da UE ou as disposições de proteção de dados de um Estado-Membro da UE.
4.2 O Processador de Dados deve tomar todas as medidas de segurança técnicas e organizacionais necessárias, incluindo quaisquer medidas adicionais, exigidas para garantir que os dados pessoais não são acidental ou ilegalmente destruídos, perdidos, comprometidos ou divulgados a terceiros não autorizados, usados indevidamente ou de outra forma processados de uma maneira que seja contrária à legislação de proteção de dados em vigor num dado momento. Estas medidas são descritas em maior detalhe no Anexo 2.
4.3 O Processador de Dados deve garantir que os trabalhadores autorizados do processamento de dados pessoais se submeteram a compromissos de confidencialidade ou que estão sob obrigações de confidencialidade estatutárias apropriadas.
4.4 Se solicitado pelo Controlador de Dados, o Processador de Dados deve declarar e/ou documentar que o Processador de Dados cumpre os requisitos da legislação de proteção de dados aplicável, incluindo documentação relativa aos fluxos do Processador de Dados, bem como procedimentos/políticas para o processamento de dados pessoais.
4.5 Tendo em conta a natureza do processamento, o Processador de Dados deve, na medida do possível, auxiliar o controlador com as medidas técnicas e organizacionais apropriadas, para a satisfação da obrigação do Controlador de Dados de responder a pedidos de exercício dos direitos do titular de dados, conforme estabelecido no capítulo 3 do Regulamento Geral de Proteção de Dados.
4.6 O Processador de Dados, ou outro Processador de Dados (subprocessador de dados) deve enviar pedidos e objeções de titulares de dados ao Controlador de Dados, para processamento adicional por parte do Controlador de Dados dos mesmos, exceto se o Processador de Dados estiver autorizado a tratar ele próprio esse pedido. Se requerido pelo Controlador de Dados, o Processador de Dados deve auxiliar o Controlador de Dados a responder a pedidos e/ou objeções do género.
4.7 Caso o Processador de Dados processar dados pessoais noutro estado-membro da UE, o Processador de Dados deve cumprir a legislação relativa às medidas de segurança nesse estado membro.
4.8 O Subcontratante deve notificar o Responsável pelo tratamento em caso de interrupção do funcionamento, suspeita de violação das regras de proteção de dados ou de ocorrência de outras irregularidades relacionadas com o tratamento dos dados pessoais. O prazo do Subcontratante para notificar o Responsável pelo tratamento de uma violação de segurança é de 48 horas a partir do momento em que o Subcontratante toma conhecimento de uma violação de segurança. Se o Responsável pelo tratamento o solicitar, o Subcontratante deve prestar assistência ao Responsável pelo tratamento no que diz respeito à clarificação do âmbito da violação de segurança, incluindo a preparação de qualquer notificação à Agência de Proteção de Dados competente e/ou aos titulares dos dados.
4.9 A Subcontratante deve disponibilizar ao Responsável pelo tratamento todas as informações necessárias para demonstrar o cumprimento do artigo 28.º do Regulamento Geral sobre a Proteção de Dados e do Acordo. Neste contexto, o Subcontratante permite e contribui para auditorias, incluindo inspeções, realizadas pelo Responsável pelo tratamento ou por outro auditor mandatado pelo Responsável pelo tratamento. A Responsável pelo tratamento suportar os custos de qualquer auditoria ou inspeção.
5. Transferência de dados para subprocessadores de dados e terceiros
5.1 O Processador de Dados deve cumprir as condições estabelecidas no art.º28, números 2 e 4 do Regulamento Geral de Proteção de Dados para contratação de outro Processador de Dados (subprocessador de dados). Isto implica que o Processador de Dados não contrata outro Processador de Dados (subprocessador de dados) para a consecução das obrigações do Contrato sem o consentimento prévio por escrito específico ou geral do Controlador de Dados.
5.2 O Controlador de Dados pelo presente concede ao Processador de Dados autoridade geral para celebrar contratos com subprocessadores de dados. O Processador de Dados deve notificar o Controlador de Dados de quaisquer alterações relativas ao acrescento ou substituições de subprocessadores de dados o mais tardar 30 dias antes do início do processamento de dados pessoais por um novo subprocessador dados. O Controlador de Dados pode emitir objeções razoáveis e relevantes face a tais alterações, no prazo de 14 dias após a receção da notificação. Se o Processador de Dados continuar a pretender usar um subprocessador de dados a que o Controlador de Dados tenha objetado, as Partes têm o direito de rescindir o Contrato, conforme na cláusula 7.
5.3 Quando o Controlador de Dados tiver aprovado que o Processador de Dados possa usar um subprocessador de dados, o Processador de Dados tem de impor as mesmas obrigações ao mesmo subprocessador de dados que as estabelecidas no Contrato. Isto é executado através de um contrato ou outro ato jurídico nos termos da legislação UE ou da legislação de um Estado-Membro. Deverá garantir-se, por ex., que o subprocessador de dados presta garantias suficientes para implementar medidas técnicas e organizacionais apropriadas de forma tal que o processamento satisfaça os requisitos do Regulamento Geral de Proteção de Dados (os termos integrais).
5.4 Se o subprocessador de dados não cumprir as suas obrigações de proteção de dados, o Processador de Dados permanece totalmente responsável perante o Controlador de Dados pelo desempenho das obrigações do subprocessador de dados.
5.5 A divulgação, transferência e uso interno dos dados pessoais do Controlador de Dados a países estrangeiros ou organizações internacionais só poderá ter lugar em conformidade com as instruções documentadas do Controlador de Dados; exceto se estipulado pela legislação da UE ou pela legislação de um Estado-Membro a que o Processador de Dados se encontre sujeito. Em caso positivo, o Processador de Dados tem de notificar o Controlador de Dados deste requisito jurídico antes do processamento, exceto se a lei proibir tal notificação por motivos importantes de interesses públicos.
5.6 Se os dados pessoais estipulados no Anexo 1 forem transferidos para subprocessadores de dados fora da UE/EEE, tem de, no referido contrato, vir declarado que a legislação de proteção de dados aplicável no país do Controlador de Dados se aplica aos subprocessadores de dados. Além disso, se o subprocessador de dados recetor estiver sediado na UE/EEE, tem de vir declarado no referido contrato os requisitos estatutários específicos do país da UE recetor relativamente aos processadores de dados, por ex., as exigências de notificação das autoridades nacionais têm de ser cumpridas.
5.7 A Subcontratante é obrigada a celebrar acordos escritos de processamento de dados com subprocessadores de dados dentro da UE/EEE. Quanto aos subprocessadores de dados fora da UE/EEE, o Subcontratante deve garantir as salvaguardas adequadas, por exemplo, a versão mais recente das Cláusulas Contratuais-Tipo da Comissão da UE e celebrar um acordo de processamento de dados.
5.8 No momento de assinatura do presente Contrato, o Processador de Dados contrata os subprocessadores de dados listados no Anexo 3.
6. Responsabilidade
6.1 A responsabilidade das Partes é governada pelo Contrato Principal.
6.2 A responsabilidade por danos das Parte nos termos do presente Contrato é governada pelo Contrato Principal.
7. Data de vigência e rescisão
7.1 O presente Contrato entra em vigor no mesmo momento que o Contrato Principal. Em caso de rescisão do Contrato Principal, este Contrato também será rescindido. No entanto, o Processador de Dados permanece vinculado pelas obrigações estipuladas no presente Contrato, contanto que o Processador de Dados processe dados pessoais em nome do Controlador de Dados.
7.2 Mediante rescisão dos serviços de processamento o Processador de Dados é obrigado, mediante pedido do Controlador de Dados, a eliminar ou devolver todos os dados pessoais ao Controlador de Dados, bem como eliminar as cópias existentes, exceto se a retenção dos dados pessoais for prescrita pela legislação da UE ou nacional.
8. Legislação e jurisdição aplicáveis
8.1 Qualquer discórdia ou litígio decorrente de, ou associado ao presente Contrato deve ser resolvido por um tribunal de primeira instância competente, na mesma jurisdição e com a mesma escolha de lei que declarado no Contrato Principal.
9. Assinaturas
Em nome do Controlador de Dados:
__________________________
[Nome] [Título]
Em nome do Processador de Dados:
__________________________
Ronni Engelhardt CEO
Anexo 1
Categorias de titulares de dados, Tipos de dados pessoais e Instruções
1. Categorias de titulares de dados:
- O Subcontratante processará contacto informações dos visitantes do site da Responsável pelo tratamento e clientes reais, potenciais ou antigos e/ou membros, funcionários, fornecedores, parceiros de negócios e colaboração e afiliados.
- O Subcontratante coloca o seu sistema à disposição do Responsável pelo tratamento como um serviço alojado, não sendo possível aos Subcontratante determinar todas as categorias de titulares de dados. Se o Responsável pelo tratamento alojar dados sobre outras categorias de titulares de dados com o Subcontratante, é obrigação do Responsável pelo tratamento registar essas informações.
2. Tipos de dados pessoais:
Em geral, todos os dados pessoais tratados através do espaço web do Responsável pelo tratamento são tratados pelo Subcontratante. A lista não exaustiva abaixo inclui os tipos mais comuns de dados pessoais tratados através de espaços web. O Responsável pelo tratamento decide quais os dados pessoais que escolhe tratar através da infraestrutura do Subcontratante. Tal pode incluir categorias especiais de dados pessoais enumeradas no artigo 9.º GDPR.
- Informações de contacto e identificação, incluindo e-mail
- Endereços IP
- Nomes de domínio
- Nomes de utilizador
- Informações sobre os membros
- Dados analíticos e de utilização
- Histórico de pedidos e informações
- Contratos
- Comunicação
- Suporte
- Imagens
- Marketing estado de consentimento
- Dados pessoais incluídos em e-mails
- Podem ocorrer tipos adicionais de dados pessoais
3. Instruções
Serviço
A Subcontratante poderá tratar dados pessoais relativos aos titulares dos dados com a finalidade de prestar, desenvolver, gerir, administrar e gerir os serviços da Acordo Principal, incluindo garantir a estabilidade e o tempo de atividade dos nossos servidores e cumprir os requisitos legais.
Período de conservação
Os dados pessoais armazenados/alojados nos nossos sistemas são eliminados ou tornados anónimos num prazo razoável após a Responsável pelo tratamento ter terminado completamente a Acordo Principal.
Local de processamento
O processamento de dados pessoais cobertos pelo Acordo não deve ser feito sem o consentimento prévio por escrito do Responsável pelo tratamento em locais diferentes do centro de dados da Subcontratante em Copenhague e da localização dos subprocessadores de dados, conforme listado no Anexo 3.
Programa 2
Medidas de segurança
| Domínio | Práticas |
| Organização da segurança das informações | Propriedade de segurança. A One.com designou um epresentante de segurança responsável por coordenar e monitorizar regras e procedimentos de segurança. Uma governação composta por indivíduos de nível C auxiliam e orientam o representante de segurança. Funções e responsabilidades de segurança. O pessoal da One.com com acesso aos dados do cliente está sujeito a obrigações de confidencialidade, que são enfatizadas no ato de contratação e por consciencialização contínua. Gestão de risco. A One.com realiza continuamente avaliações de risco, como parte da Gestão do Risco, antes de processar os dados do cliente ou de lançar serviços. O rastreamento da Gestão de Risco permite um enfoque em ameaças relevantes através do estabelecimento de prioridades, estruturação e mitigação dos riscos acima do que é aceite. São implementadas cópias de segurança. O Processador de Dados retém os seus documentos de segurança em virtude dos seus requisitos de retenção após deixarem de estar em vigor. |
| Administração de ativos | Inventário de bens. O Processador de Dados mantém um inventário de todos os suportes nos quais os dados do cliente estão armazenados. O acesso aos inventários de tais suportes encontra-se limitado aos trabalhadores do Processador de Dados autorizados por escrito para acesso aos mesmos. Manuseamento de bens – A One.com classifica os dados dos clientes para ajudar a quantificálos e permitir que o acesso aos mesmos seja devidamente restringido. – Os trabalhadores do Processador de Dados tem de obter a autorização do Processador de Dados antes de armazenarem dados dos clientes em serviços portáteis, aceder remotamente aos dados dos clientes ou a processar dados dos clientes fora das instalações do Processador de Dados. |
| Segurança dos Recursos humanos | Formação sobre segurança. A One.com informa os próprios trabalhadores sobre procedimentos de segurança relevante e respetivas funções, aborda novas ameaças, etc., na medida em que os trabalhadores desempenham um papel fundamental para a mesma. |
| Segurança física e ambiental | Acesso físico às instalações. A One.com limita o acesso às instalações onde sistemas de informação que processam dados do cliente se localizam a indivíduos autorizados identificados. Acesso físico aos componentes. A One.com garante restrições suficientes nos suportes que contêm dados do cliente. Proteção contra perturbações. A One.com usa uma série de sistemas padrão da indústria para proteger contra a perda de dados decorrente de falhas de alimentação, inundações, incêndios ou interferência da linha. Eliminação de componentes. A One.com utiliza processos padrão da indústria para eliminar dados do cliente quando deixam de ser necessários. |
| Gestão das comunicações e operações | Política operacional. A One.com mantém documentos de segurança que descrevem as suas medidas de segurança e os procedimentos e as responsabilidades relevantes dos próprios trabalhadores que têm acesso aos dados dos clientes. Procedimento de recuperação de dados – A One.com armazena cópias de dados de clientes e procedimentos de recuperação de dados num local diferente do equipamento computorizado primário para o processamento dos dados dos clientes. – A One.com possui procedimentos implementados específicos que regem o acesso às cópias dos dados dos clientes. Software malicioso. A One.com possui controlos anti-malware que ajudam a evitar que software malicioso obtenha acesso não autorizado aos dados dos clientes, incluindo software malicioso originário de redes públicas. Também foi implementado um antivírus. Registo de eventos. A One.com regista, ou permite ao cliente registar, aceder e utilizar sistemas de informação que contêm dados dos clientes, registando o ID de acesso, a hora, a autorização concedida ou negada e a atividade relevante. Encriptação. As comunicações via Internet entre o sistema que tratam dados pessoais são encriptadas. |
| Controlo do acesso | Política de acesso. A One.com mantém um registo de privilégios de segurança dos indivíduos que têm acesso aos dados dos clientes. Autorização de acesso – A One.com desativa as credenciais de autenticação que não foram usadas durante um período de tempo para não exceder os seis meses. – A One.com identifica os trabalhadores que podem conceder, alterar ou cancelar o acesso autorizado aos dados e recursos. – A One.com certifica-se de que nos casos em que mais do que um indivíduo tenha acesso a sistemas que contêm dados dos clientes, os indivíduos possuem identificadores/inícios de sessão separados. O menor privilégio – A One.com limita o acesso aos dados dos clientes aos indivíduos que necessitem de aceder aos mesmos para desempenhar a sua função profissional. Integridade e confidencialidade – A One.com instrui o próprio pessoal a desativar sessões administrativas quando abandonam as instalações ou quando os computadores são deixados sem supervisão. – A One.com armazena palavras-passe de uma forma que as torna ininteligíveis quando estão em vigor. Autenticação – A One.com usa práticas padrão da indústria para identificar e autenticar utilizadores que tentam aceder aos sistemas de informação. – Nos casos em que os mecanismos de autenticação se baseiam em palavras-passe, o Processador de Dados exige que as palavras-passe sejam renovadas com regularidade. – A One.com garante que os identificadores desativados ou expirados não são concedidos a outros indivíduos. – A One.com monitoriza ou permite ao cliente monitorizar tentativas repetidas de obter acesso ao sistema de informação usando uma palavra-passe inválida. – A One.com mantém procedimentos padrão da indústria para desativar palavras-passe que tenham sido corrompidas ou acidentalmente divulgadas. – A One.com usa práticas de proteção de palavras-passe padrão da indústria, incluindo práticas destinadas a manter a confidencialidade e a integridade de palavras-passe quando estas são atribuídas e distribuídas, e durante o seu armazenamento. Design da rede. A One.com tem controlos implementados para evitar que indivíduos obtenham direitos de acesso que não lhes tenham sido atribuídos e de aceder a dados dos clientes quando não têm autorização de acesso aos mesmos. |
| Gestão de incidentes de segurança das informações | Processo de resposta a incidentes – A One.com mantém um registo de violações de segurança com uma descrição da violação, do período de tempo, das consequências da violação, do nome do denunciante, a quem a violação foi comunicada, e o procedimento para recuperação de dados. – Para cada violação de segurança que seja um Incidente de Segurança, a One.com enviará uma notificação sem demoras indevidas e, em todo o caso, dentro de 72 horas. – A One.com monitoriza ou permite que o Cliente monitorize, divulgue os dados do cliente, incluindo quais os dados divulgados, a quem e em que altura. |
| Gestão da continuidade empresarial | – A One.com mantém planos de emergência e contingência para as instalações nas quais os sistemas de informação do Processador de Dados que processa os dados dos clientes se situam. – O armazenamento redundante da One.com e os seus procedimentos para recuperação de dados foram idealizados para procurar reconstruir os dados dos clientes no seu estado original ou da última cópia de segurança, antes de terem sido perdidos ou destruídos. |
Programa 3
Lista de subprocessadores
Mass hosting product
| Fornecedor | Localização | Função |
| Global Connect A/S | DK | Centro de dados |
| Digital Realty Trust Inc. | DK | Centro de dados (backup) |
| One.com A/S* | DK | Monitorização de sistemas |
| One.com India pvt. Ltd.* | IN | Monitorização de sistemas |
Unmanaged VPS
| Fornecedor | Localização | Função |
| Envia TEL GmbH | DE | Centro de dados |
| Dogado GmbH* | DE | Monitorização de sistemas |
Managed VPS
| Fornecedor | Localização | Função |
| Global Connect A/S | DK | Centro de dados |
| Digital Realty Trust Inc | DK | Centro de dados (backup) |
| WebPros International GmbH (Plesk) | CH (Suíça) | Painel de controlo provedor |
| One.com A/S* | DK | Monitorização de sistemas |
| One.com India pvt. Ltd.* | IN | Monitorização de sistemas |
| Acronis International GmbH | CH (Suíça) | Provedor de backup |
Website Builder
| Fornecedor | Localização | Função |
| Global Connect A/S | DK | Centro de dados |
| Digital Realty Trust Inc | DK | Centro de dados (backup) |
| Amazon Web Services Inc. | US/DE | Website Builder Funções de avaliação (cluster DE) |
| SiteWit corp. (Kliken) | US | Estatísticas do website |
| Termly Inc.* | US | Gestão de consentimentos |
| Shore GmbH* | DE | Reservas |
| Google Inc. | US | Captcha |
| One.com A/S* | DK | Monitorização de sistemas |
| One.com India pvt. Ltd.* | IN | Monitorização de sistemas |
Premium Care
| Fornecedor | Localização | Função |
| Liven Studio Ltd. (WP Umbrella) | US | Software de monitorização para WordPress |
WP.one
| Fornecedor | Localização | Função |
| Google Inc. | US/NL | Google Cloud (cluster NL) |
*As entidades marcadas com * fazem parte do Group.one
