Adenda ao tratamento de dados

Em vigor: 7 de janeiro de 2025

Visão geral

Esta Adenda ao Processamento de Dados (esta "Adenda") faz parte do Acordo entre a ORGiD e o Cliente ou qualquer outro acordo assinado entre as Partes que incorpore esta Adenda por referência e regule o processamento de Dados Pessoais pela ORGiD na sua capacidade de Processador em relação ao fornecimento do Produto pela ORGiD. Esta Adenda aplica-se apenas se a ORGiD e o Cliente não tiverem celebrado um acordo de processamento de dados separado ou um acordo contratual semelhante relativamente ao processamento de Dados Pessoais. Todos os termos em maiúsculas utilizados mas não definidos na presente Adenda têm o significado que lhes é atribuído no Acordo. Os termos "dados pessoais", "titular dos dados", "tratamento", "responsável pelo tratamento", "subcontratante", "representante" e "autoridade de controlo" terão os significados atribuídos no RGPD ou no RGPD do Reino Unido, conforme aplicável, em cada caso, independentemente de se aplicar ou não a Lei de Proteção de Dados.

1. Nomeação como responsável pelo tratamento de dados

O controlador

O Responsável pelo Tratamento nomeia a ORGiD como Subcontratante para receber e processar os Dados Pessoais em nome do Responsável pelo Tratamento apenas na medida do necessário para fornecer o Serviço de Nuvem e conforme possa ser subsequentemente acordado pelas partes por escrito. As instruções do Responsável pelo Tratamento para o Processamento de Dados Pessoais ao abrigo ou em relação a esta Adenda devem cumprir as Leis de Proteção de Dados, conforme aplicável. O Responsável pelo tratamento é responsável por garantir uma base jurídica válida para o tratamento dos dados pessoais. A entidade jurídica que aceita a presente Adenda na qualidade de Responsável pelo Tratamento declara que está autorizada a aceitar e a celebrar a presente Adenda em nome do Responsável pelo Tratamento, e que aceita a presente Adenda exclusivamente em nome deste.

O processador

O Subcontratante recolherá, receberá, processará e utilizará os Dados Pessoais em nome e de acordo com as instruções do Cliente, na qualidade de Responsável pelo Tratamento, em conformidade com a legislação relativa à proteção de dados, conforme aplicável, e não utilizará nem processará os Dados Pessoais do Cliente para qualquer outro fim que não seja na sua qualidade de Subcontratante nomeado pelo Responsável pelo Tratamento. O objeto e os detalhes do processamento estão descritos no "Anexo 1" da presente Adenda.

2. Transferências internacionais de dados

Transferência internacional de dados

Antes de o Responsável pelo Tratamento transferir Dados Pessoais para o Subcontratante, ou permitir que o Subcontratante aceda a Dados Pessoais localizados numa jurisdição que exija um Mecanismo Internacional de Transferência de Dados, o Responsável pelo Tratamento deve verificar se os requisitos relevantes são cumpridos. Se não forem cumpridos, as partes devem trabalhar em conjunto e de boa fé para cumprir os requisitos desse Mecanismo Internacional de Transferência de Dados. As partes instituirão e cumprirão qualquer Mecanismo Internacional de Transferência de Dados que possa ser exigido pela Lei de Proteção de Dados aplicável.

Mecanismo Internacional de Transferência de Dados

Se o Responsável pelo Tratamento estiver estabelecido no Espaço Económico Europeu ("EEE"), na Suíça ou no Reino Unido ("RU") e transferir Dados Pessoais para o Subcontratante, então a Adenda sobre Transferência de Dados deverá: (i) aplicar-se-á a essas transferências; (ii) terá precedência sobre todos os outros termos, incluindo os termos do presente Acordo, relativamente a essas transferências; (iii) constituirá um contrato juridicamente vinculativo entre o exportador de dados e o Subcontratante como ou em nome do importador de dados; e (iv) será incorporada no Acordo.

No que diz respeito aos Dados Pessoais de titulares de dados do EEE, Suíça e Reino Unido, as Partes concordam que o Subcontratante pode processar os Dados Pessoais fora do EEE, Suíça e Reino Unido apenas quando os requisitos da Lei de Proteção de Dados (incluindo, quando aplicável, os artigos 44º a 47º do RGPD) são cumpridos ou quando se aplica uma exceção (incluindo, quando aplicável, as enumeradas no artigo 49º do RGPD). No que diz respeito aos dados pessoais de titulares de dados brasileiros, o Controlador de Dados concorda que a ORGiD pode processar os Dados Pessoais do Cliente fora do Brasil, e representa e garante que essa transferência de Dados Pessoais do Cliente está em conformidade com a lei brasileira de proteção de dados (LGPD).

3. Proteção de dados

3.1. Conformidade

As partes cumprirão as respectivas obrigações ao abrigo da legislação em matéria de proteção de dados e os respectivos avisos de privacidade.

3.2. Confidencialidade

O Subcontratante restringirá o acesso aos Dados Pessoais às pessoas autorizadas que necessitem dessas informações para prestar os Serviços. Essas pessoas autorizadas são obrigadas a manter a confidencialidade de quaisquer Dados Pessoais. O Subcontratante não publicará, revelará ou divulgará (e assegurará que o seu pessoal não publicará, revelará ou divulgará) os Dados Pessoais a terceiros, exceto se o Responsável pelo Tratamento tiver dado o seu consentimento prévio por escrito.

3.3. Segurança

O Subcontratante aplicará as medidas técnicas, administrativas e organizativas adequadas, conforme aplicável, e descritas no "Anexo 2" da presente Adenda, necessárias para (i) garantir um nível de confidencialidade e segurança adequado aos riscos representados pelo processamento e pela natureza dos Dados Pessoais; e (ii) impedir o processamento não autorizado ou ilegal de Dados Pessoais, perda acidental, divulgação ou destruição de, ou danos a, Dados Pessoais fornecidos pelo Controlador e processados pelo Processador. Essas medidas de segurança serão, pelo menos, tão protectoras como os requisitos de segurança estabelecidos no Acordo. Ao escolher os controlos de segurança, o Subcontratante terá em conta o estado da técnica, o custo de implementação, a natureza, o âmbito, o contexto e as finalidades do tratamento de dados pessoais e o risco para os titulares dos dados de um incidente de segurança ou de uma violação de dados pessoais que afecte os dados pessoais.

3.4. Retenção

Os Dados Pessoais recebidos do Cliente serão retidos apenas durante o tempo que for razoavelmente necessário em relação à execução do Contrato pelo Subcontratante ou conforme exigido pela Lei de Proteção de Dados. As obrigações do Subcontratante relacionadas com a devolução ou eliminação de Dados Pessoais sobreviverão à cessação do contrato até que todos os Dados Pessoais tenham sido devolvidos ou eliminados de acordo com a presente Adenda.

3.5. Cooperação

O Subcontratante cooperará, na medida do razoavelmente necessário, em relação aos pedidos do Responsável pelo Tratamento relacionados com a segurança dos dados, notificações de violação de dados, avaliações de impacto sobre a proteção de dados e consultas com as autoridades de supervisão, bem como para o cumprimento da obrigação do Responsável pelo Tratamento de responder a pedidos de exercício dos direitos da pessoa em causa ao abrigo da Lei de Proteção de Dados. O Subcontratante reserva-se o direito de cobrar ao Responsável pelo Tratamento o tempo razoável para essa cooperação e os custos incorridos por quaisquer disposições especiais solicitadas.

3.6. Pedidos de terceiros

Se o Subcontratante receber um pedido de um titular de dados ou de um terceiro relacionado com qualquer investigação governamental ou processo judicial que o Subcontratante considere que lhe exigiria a apresentação de quaisquer Dados Pessoais, o Subcontratante informará prontamente o Responsável pelo Tratamento, por escrito, de tal inquérito, pedido ou queixa e cooperará com o Responsável pelo Tratamento se pretender limitar, contestar ou proteger-se contra tal divulgação, na medida do permitido pela Lei aplicável. O Subcontratante ajudará o Responsável pelo Tratamento, na medida em que seja comercialmente razoável, a cumprir a obrigação do Responsável pelo Tratamento de responder aos pedidos dos Titulares dos Dados e das autoridades de controlo, conforme exigido pela Lei de Proteção de Dados. O Responsável pelo Tratamento será o único responsável pela resposta a quaisquer pedidos dos Titulares dos Dados e, se esse pedido for feito diretamente ao Subcontratante, o Subcontratante informará imediatamente o Responsável pelo Tratamento e aconselhará os Titulares dos Dados a apresentarem o seu pedido ao Responsável pelo Tratamento.

3.7. Instruções do cliente

Não obstante qualquer disposição em contrário no Contrato, o Subcontratante apenas processará os Dados Pessoais para prestar os Serviços ao Responsável pelo Tratamento, de acordo com as instruções escritas do Responsável pelo Tratamento, conforme permitido pela última frase da Secção 3.8 abaixo, ou conforme exigido pela Lei aplicável. O Processador informará imediatamente o Controlador se o cumprimento de uma instrução resultar numa violação da Lei de Proteção de Dados ou se o Processador tiver de divulgar Dados Pessoais em resposta a uma obrigação legal (a menos que a obrigação legal proíba o Processador de fazer essa divulgação).

3.8. Âmbito do tratamento

O Subcontratante está proibido de: (a) Vender Dados Pessoais, (b) reter, utilizar ou divulgar Dados Pessoais para qualquer fim que não seja o fim comercial específico de executar as instruções documentadas do Responsável pelo Tratamento para os fins comerciais definidos na presente Adenda, incluindo a retenção, utilização ou divulgação dos Dados Pessoais para um fim comercial que não seja a execução das instruções do Responsável pelo Tratamento, ou (c) reter, utilizar ou divulgar os Dados Pessoais fora da relação comercial direta entre as partes, tal como definido no presente Acordo. O Processador certifica que compreende estas restrições. Não obstante o acima exposto, o Processador pode processar Dados Pessoais para reter ou empregar outra pessoa como subprocessador de acordo com esta Adenda, para utilização interna pelo Processador para melhorar a qualidade dos seus serviços (desde que o Processador não utilize os Dados Pessoais para prestar serviços em nome de outra pessoa), ou para detetar incidentes de segurança de dados ou proteger contra actividades maliciosas, enganosas, fraudulentas ou ilegais.

3.9. Informações sensíveis

O Responsável pelo Tratamento informará o Subcontratante se os Dados Pessoais forem Dados Sensíveis e o Responsável pelo Tratamento obterá o consentimento explícito dos Titulares dos Dados para a transferência de Dados Sensíveis para tratamento, na medida em que esse consentimento seja exigido pela Lei de Proteção de Dados.

3.10. Subcontratantes

O Responsável pelo Tratamento concede ao Subcontratante uma autorização geral para, na qualidade de subcontratante, contratar outros subcontratantes ("Subcontratantes") para o ajudarem a prestar os Serviços em conformidade com o Acordo. O Subcontratante assegurará que cada Subcontratante apenas acede e utiliza os Dados Pessoais na medida do necessário para cumprir as obrigações que lhe foram subcontratadas e em conformidade com a presente Adenda. De acordo com as leis de proteção de dados, o Subcontratante disponibilizará ao Responsável pelo tratamento uma lista desses subcontratantes no Anexo 3 antes de transferir quaisquer dados pessoais para esses subcontratantes. O Responsável pelo Tratamento pode optar por ser notificado por e-mail, por escrito, pelo Subcontratante de quaisquer alterações à lista de Subcontratantes, actualizando essa lista periodicamente, de modo a dar ao Responsável pelo Tratamento a oportunidade de se opor a essas alterações no prazo de 30 dias após ter sido notificado. Se o Responsável pelo Tratamento e o Subcontratante não conseguirem resolver essas objecções, qualquer das Partes pode rescindir o Contrato mediante notificação escrita à outra Parte. O responsável pelo tratamento tem o direito de analisar todas as actividades do subcontratante ulterior em conformidade com a legislação relativa à proteção de dados, incluindo o direito de obter informações do subcontratante ulterior, mediante pedido por escrito, sobre a execução das obrigações em matéria de proteção de dados previstas em cada contrato de subcontratação ulterior.

3.11. Responsabilidade do subcontratante ulterior

Sempre que o Subcontratante contratar um Subcontratante ulterior para realizar actividades de tratamento específicas em nome do Responsável pelo Tratamento, serão impostas a esse Subcontratante ulterior, através de um contrato, obrigações de proteção de dados substancialmente semelhantes às estabelecidas na presente Adenda, em especial fornecendo garantias suficientes para aplicar medidas técnicas e organizativas adequadas de modo a que o tratamento cumpra os requisitos da legislação em matéria de proteção de dados. O Subcontratante será responsável pelos actos ou omissões dos seus Subcontratantes na mesma medida em que seria responsável se executasse diretamente os serviços do Subcontratante.

3.12. Manutenção de registos

A pedido de uma autoridade de controlo para obter registos relativos a Dados Pessoais, o Subcontratante cooperará para fornecer à autoridade de controlo registos relacionados com as actividades de tratamento realizadas em nome do Responsável pelo Tratamento, incluindo informações sobre as categorias de Dados Pessoais tratados e as finalidades do tratamento, a utilização de prestadores de serviços relativamente a esse tratamento, quaisquer divulgações ou transferências de dados para terceiros e uma descrição geral das medidas técnicas e organizativas para proteger a segurança desses dados.

3.13. Transferência de dados pessoais

O Responsável pelo Tratamento autoriza o Subcontratante a transferir, armazenar ou processar Dados Pessoais nos Estados Unidos ou em qualquer outro país em que o Subcontratante ou os seus Subcontratantes mantenham instalações. O Responsável pelo Tratamento nomeia o Subcontratante para efetuar qualquer transferência de Dados Pessoais para qualquer um desses países e para armazenar e processar Dados Pessoais de modo a prestar os Serviços. O Subcontratante realizará todas essas actividades em conformidade com o Contrato, a presente Adenda, a Lei de Proteção de Dados, qualquer Mecanismo Internacional de Transferência de Dados aplicável e as instruções do Responsável pelo Tratamento.

3.14. Supressão ou devolução

Após a conclusão das obrigações do Subcontratante em relação ao processamento de Dados Pessoais ao abrigo do presente Acordo ou quando instruído pelo Responsável pelo Tratamento, o Subcontratante eliminará quaisquer Dados Pessoais ou devolvê-los-á ao Responsável pelo Tratamento de forma segura e eliminará todas as cópias restantes dos Dados Pessoais após essa devolução, exceto quando exigido de outra forma pela legislação aplicável. O Processador tornará anónimos quaisquer Dados Pessoais que não possam ser apagados ou devolvidos, de tal forma que os dados deixem de constituir Dados Pessoais. O Subcontratante transmitirá as instruções do Responsável pelo Tratamento a todos os Subcontratantes. O Responsável pelo Tratamento pode, antes da rescisão ou expiração e através da emissão de uma Instrução, estipular o método e o formato razoavelmente seguro para devolver quaisquer Dados Pessoais antes de serem eliminados. O Responsável pelo Tratamento será responsável por qualquer custo adicional relacionado com o método seguro indicado para a devolução dos Dados Pessoais.

3.15. Notificação de infração

De acordo com a Secção 7.8.1 do Acordo, após ter conhecimento de uma Violação de Dados Pessoais, o Subcontratante notificará o Responsável pelo Tratamento, sem demora injustificada: (a) a natureza da Violação de Dados Pessoais; (b) o número e as categorias de titulares de dados e registos de dados afectados; e (c) o nome e os dados de contacto da pessoa de contacto relevante no Subcontratante. O Subcontratante investigará imediatamente a Violação de Dados Pessoais, para identificar, prevenir e mitigar os efeitos de tal Violação de Dados Pessoais, e levará a cabo qualquer recuperação ou outra ação necessária para remediar a Violação de Dados Pessoais. A pedido do Responsável pelo Tratamento, prestaremos prontamente toda a assistência razoável necessária para permitir a notificação às autoridades competentes e/ou aos Titulares dos Dados afectados do Incidente de Segurança relevante, se o Responsável pelo Tratamento for obrigado a fazê-lo ao abrigo da Legislação de Proteção de Dados.

3.16. Auditorias

Mediante pedido e a expensas do Responsável pelo Tratamento, o Subcontratante disponibilizará ao Responsável pelo Tratamento todas as informações necessárias e permitirá e contribuirá para auditorias, incluindo inspecções razoáveis, realizadas pelo Responsável pelo Tratamento ou por outro auditor mandatado pelo Responsável pelo Tratamento, para demonstrar a conformidade com a Lei de Proteção de Dados. Para maior clareza, tais auditorias ou inspecções limitam-se apenas ao processamento de Dados Pessoais pelo Subcontratante para o Cliente e não a qualquer outro aspeto do negócio ou sistemas de informação do Subcontratante. Se o Responsável pelo Tratamento exigir que o Subcontratante contribua para auditorias ou inspecções necessárias para demonstrar a conformidade, o Responsável pelo Tratamento notificará o Subcontratante por escrito com, pelo menos, 60 dias de antecedência em relação a essa auditoria ou inspeção. Essa notificação por escrito especificará os objectos, pessoas, locais ou documentos a disponibilizar. Esse aviso por escrito, e tudo o que for produzido em resposta ao mesmo, será considerado Informação Confidencial e, não obstante qualquer disposição em contrário no Acordo, permanecerá Informação Confidencial para sempre ou pelo período mais longo permitido pela Lei aplicável após a cessação do Acordo. Esses materiais e produtos de trabalho derivados produzidos em resposta ao pedido do Controlador não serão divulgados a ninguém sem a autorização prévia por escrito da ORGiD, exceto se essa divulgação for exigida pela Lei aplicável. Se a divulgação for exigida pela Lei aplicável, o Responsável pelo Tratamento dará ao Processador uma notificação escrita imediata dessa exigência e uma oportunidade de obter uma ordem de proteção para proibir ou restringir essa divulgação, exceto na medida em que essa notificação seja proibida pela Lei aplicável ou por ordem de um tribunal ou agência governamental. O Responsável pelo Tratamento envidará todos os esforços para cooperar com o Processador no sentido de agendar auditorias ou inspecções em horários que sejam convenientes para o Processador. O Subcontratante pode cobrar uma taxa razoável por esses pedidos, exceto se essa investigação resultar de uma violação das suas obrigações aqui previstas, na medida do permitido pela lei aplicável. Se, após analisar a resposta do Subcontratante ao pedido de auditoria ou inspeção do Cliente, o Responsável pelo Tratamento exigir auditorias ou inspecções adicionais, o Responsável pelo Tratamento reconhece e aceita que será o único responsável pelos honorários razoáveis e por todos os custos incorridos em relação a essas auditorias ou inspecções adicionais.

3.17. Conflitos

Em caso de conflito ou incoerência entre a presente Adenda relativa ao processamento de dados, a Adenda relativa à transferência de dados e o Acordo, a ordem de prioridade será: a Adenda relativa à transferência de dados (mas apenas na medida em que se aplique ao abrigo da secção 3.6.a acima), a presente Adenda relativa ao processamento de dados e o Acordo. Quando disposições individuais da presente Adenda forem inválidas ou inaplicáveis, a validade e a aplicabilidade das outras disposições da presente Adenda não serão afectadas.

3.18. Alterações

A ORGiD pode atualizar qualquer parte ou a totalidade dos termos da Adenda, conforme necessário, para cumprir a Legislação de Proteção de Dados e entrará em vigor e será vinculativa na data de renovação da próxima Subscrição de Produto do Cliente ou mediante acordo escrito do Fornecedor de Serviços, consoante o que ocorrer primeiro. Se esta Adenda for incorporada por referência como URL de uma página Web, a versão actualizada da Adenda será publicada no mesmo URL e o Controlador será partilhado com o Controlador para aprovação por escrito. Se a presente Adenda for incorporada como parte de um acordo comercial celebrado pelas Partes, a versão actualizada da Adenda será partilhada com o Responsável pelo Tratamento para aprovação por escrito. Se o Responsável pelo Tratamento não concordar com uma modificação por escrito, o Responsável pelo Tratamento notificará o Subcontratante por escrito e as Partes trabalharão em conjunto e de boa-fé para elaborar uma nova Adenda sobre Tratamento de Dados mutuamente aceitável.

Apêndice 1: Pormenores do tratamento de dados

a1.1. Lista das Partes

Exportador(es) de dados

O exportador de dados é a Parte Divulgadora e deve ser um Responsável pelo Tratamento, tal como definido no presente Acordo, com o nome, endereço e dados de contacto fornecidos à ORGiD. As actividades relevantes para os dados transferidos ao abrigo das presentes Cláusulas Contratuais-tipo incluem a utilização dos Serviços relevantes em conformidade com o Acordo. O exportador de dados terá o papel de responsável pelo tratamento.

Importador(es) de dados

O importador de dados é a Parte recetora e será a ORGiD, tal como definida no presente Acordo, com o nome, endereço e dados de contacto a seguir indicados:

  • Vspry Australia Pty Limited T/As ORGiD, com endereço em L38, 71 Eagle St Brisbane Queensland Australia

O importador de dados terá a função de Subcontratante quando as actividades relevantes para os dados transferidos ao abrigo das presentes Cláusulas Contratuais-tipo incluírem a prestação dos Serviços relevantes ao Cliente, em conformidade com o Acordo.

O importador de dados terá o papel de responsável pelo tratamento quando o exportador e o importador forem, cada um deles, um responsável independente pelo tratamento de dados pessoais e determinarem, de forma independente, a finalidade e os meios de tratamento de dados pessoais ao abrigo da lei de proteção de dados, quando as actividades relevantes para os dados transferidos ao abrigo das presentes cláusulas contratuais-tipo incluírem o apoio dos serviços relevantes ao cliente, em conformidade com o acordo.

A1.2. Descrição da transferência

As actividades de tratamento de dados levadas a cabo pela Parte recetora ao abrigo da presente adenda são as seguintes

Assunto

Fornecimento e apoio dos Serviços pelos Prestadores de Serviços ao abrigo do Contrato.

Duração do tratamento e conservação

Durante o período de vigência do presente acordo, acrescido do período que decorre desde a sua expiração até à anonimização, devolução ou eliminação dos dados em conformidade com o presente acordo.

Natureza e objetivo

A Parte recetora tratará os dados pessoais para efeitos de prestação dos serviços em conformidade com o Acordo e tal como descrito no mesmo.

Categorias de dados

Dados pessoais relativos a indivíduos fornecidos à Parte recetora como Processador no desempenho e fornecimento dos Serviços ao Cliente, pela (ou sob a direção da) Parte divulgadora, que podem incluir:

  • As informações de contacto são tratadas para autenticar e comunicar com os titulares dos dados. As informações de contacto incluem o endereço de correio eletrónico, o número de telefone e o endereço postal.

  • As Informações Pessoais são processadas para permitir que o Responsável pelo Tratamento e os seus utilizadores finais utilizem o Serviço. As Informações Pessoais são processadas para permitir que o Titular dos Dados apresente, transfira, comprove ou partilhe toda ou parte das suas Informações Pessoais com o Responsável pelo Tratamento ou com terceiros ao utilizar o seu Cartão de Identificação. As Informações Pessoais incluem nome, género, idade, data de nascimento, informações de pagamento, localização, informações sobre educação, informações sobre filiação, informações sobre emprego, relações familiares, animais de estimação, certificações, licenças, credenciais, direitos, documentos de identidade, provas de identidade, fotografias de rosto e assinaturas,

  • As Informações de Utilização são processadas para apoiar a utilização do Serviço pelos Titulares de Dados e pelos Responsáveis pelo Tratamento. As Informações de Utilização incluem informações do dispositivo, informações de rede, acções e eventos realizados com a aplicação ou o website, tais como, aberturas de aplicações, aberturas de mensagens, compras, pesquisas, leituras de códigos de barras, eventos de check-in/check-out, verificações, pagamentos, instalações, desinstalações, partilhas e métodos de registo, informações de utilização do website e da aplicação, dados de e-mail, dados de utilização do sistema, dados de integração de aplicações e outros dados electrónicos ou comunicações submetidos, armazenados, enviados ou recebidos pelos utilizadores finais.

Dados pessoais relativos a indivíduos fornecidos à Parte recetora como Controlador numa transferência de Controlador para Controlador para efeitos de venda de Serviços ao Cliente ou suporte dos Serviços para o Cliente, por (ou sob a direção de) a Parte divulgadora, que podem incluir:

  • Informações de contacto dos representantes, agentes, referências ou parceiros do Cliente, que são processadas para autenticar e comunicar com os Titulares dos Dados, a fim de vender o Serviço ao Cliente ou apoiar o Serviço para o Cliente. As informações de contacto incluem o endereço de correio eletrónico e o número de telefone.

  • As Informações Pessoais dos representantes, agentes, referências ou parceiros do Cliente são processadas de forma a permitir que o Responsável pelo Tratamento venda o Serviço ao Cliente ou apoie o Serviço para o Cliente. As Informações Pessoais incluem o nome destes representantes, informações de emprego, certificações, licenças, credenciais, direitos, documentos de identidade, comprovativos de identidade e fotografias de rosto.

Os Dados Sensíveis que podem ser transferidos para o Prestador de Serviços Subcontratante como Subcontratante através dos Serviços, por ou sob a direção do Responsável pelo Tratamento de Dados, podem incluir as seguintes categorias:

  • Origem racial ou étnica, para efeitos de emissão de cartões de membro em nome de organizações que defendem os direitos de membros ou não membros de determinadas origens raciais ou étnicas. 

  • Opiniões políticas, para efeitos de emissão de cartões de membro de diferentes organizações políticas ou de organizações que defendem determinadas políticas.

  • Crenças religiosas ou filosóficas, para efeitos de emissão de cartões de membro religioso em nome de grupos religiosos organizados.

  • Filiação sindical, para efeitos de emissão de cartões de filiação sindical em nome dos sindicatos.

  • Dados biométricos, com o consentimento explícito das pessoas em causa, ou para cumprir as obrigações de emprego ou por interesse público substancial para evitar fraudes de identidade.

  • Identidade de género ou orientação sexual, para efeitos de emissão de cartões de membro em nome de organizações que defendem os direitos de identidade de género ou sexual, ou com o consentimento explícito do titular dos dados, a fim de lhe permitir partilhar a sua identidade ou pronomes com outros utilizadores ou instituições.

  • Dados relativos à saúde, para efeitos de medicina preventiva ou ocupacional, como cartão de identificação de doente, profissional ou serviço de saúde, para utilização na identificação de uma deficiência, doente ou prestador de cuidados. Os dados relativos à saúde podem também ser tratados por razões de interesse público no domínio da saúde pública, em que podem ser exigidas credenciais de saúde no âmbito de um emprego ou de uma viagem internacional.

  • Se a pseudonimização dos dados não puder ser aplicada, o Subcontratante só tratará os dados sensíveis se o Responsável pelo Tratamento receber o consentimento explícito da pessoa em causa e se o tratamento for objeto de derrogação da lei.

  • Os dados sensíveis relativos a indivíduos fornecidos ao Fornecedor de Serviços como Responsável pelo Tratamento numa transferência de Responsável pelo Tratamento para Responsável pelo Tratamento com o objetivo de vender o Serviço ao Cliente ou de apoiar o Serviço para o Cliente, por ou sob a direção do Responsável pelo Tratamento, não serão processados.

Frequência da transferência 

Contínuo

Sujeitos dos dados

Os titulares dos dados incluem indivíduos do EEE, Suíça, Reino Unido e Brasil sobre os quais são fornecidos dados pessoais ao Processador através dos Serviços pelo (ou sob a direção do) Controlador. Os Titulares dos Dados podem ser qualquer indivíduo com uma relação comercial, pessoal, de afiliação ou institucional com o Responsável pelo Tratamento ou cliente do Responsável pelo Tratamento, incluindo os seus clientes, utilizadores finais, membros, fornecedores, colaboradores, voluntários, licenciados, vendedores, potenciais clientes, funcionários, subcontratantes, convidados, familiares, tutores, pacientes, instrutores, constituintes, amigos, representantes.

A1.3. Autoridade de controlo competente

A autoridade de controlo competente será a autoridade neerlandesa para a proteção de dados (Autoriteit Persoonsgegevens, AP).

Apêndice 2: Medidas de segurança

  1. O Subcontratante implementará e cumprirá um programa escrito de segurança da informação coerente com as normas estabelecidas pelo sector e adequado à natureza dos Dados Pessoais. Este programa incluirá salvaguardas administrativas, técnicas e físicas destinadas a proteger essas informações contra o acesso não autorizado, a destruição, a utilização, a modificação ou a divulgação, bem como contra quaisquer ameaças ou riscos previstos para a segurança ou integridade dessas informações. O programa deve também incluir salvaguardas contra o acesso ou utilização não autorizados que possam resultar em danos ou inconvenientes substanciais para o Responsável pelo Tratamento, os seus clientes ou os seus empregados.

  2. O Subcontratante adoptará e aplicará políticas e normas razoáveis em matéria de segurança.

  3. O transformador atribuirá a responsabilidade pela gestão da segurança da informação.

  4. O transformador afectará recursos humanos adequados à segurança da informação.

  5. O Subcontratante efectuará controlos de verificação do pessoal permanente que terá acesso aos dados pessoais.

  6. O Subcontratante efectuará verificações de antecedentes adequadas e exigirá que os funcionários, fornecedores e outras pessoas com acesso aos dados pessoais celebrem acordos de confidencialidade por escrito.

  7. O Subcontratante deve ministrar formação para sensibilizar os funcionários e outras pessoas com acesso aos Dados Pessoais para os riscos de segurança da informação e para reforçar o cumprimento das políticas e normas do Subcontratante relacionadas com a proteção de dados.

  8. O Subcontratante impedirá o acesso não autorizado aos Dados Pessoais através da utilização, conforme adequado, de controlos de entrada físicos e lógicos, áreas seguras para o processamento de dados, procedimentos para monitorizar a utilização das instalações de processamento de dados, pistas de auditoria do sistema incorporadas, utilização de palavras-passe seguras, tecnologia de deteção de intrusão na rede, tecnologia de encriptação e autenticação, procedimentos de início de sessão seguros e proteção contra vírus, monitorizando continuamente a conformidade com as políticas e normas do Subcontratante relacionadas com a proteção de dados. Em particular, o Processador deve implementar e cumprir

    1. Medidas de controlo do acesso físico para impedir o acesso não autorizado aos sistemas de tratamento de dados

    2. Medidas de controlo de recusa de utilização para impedir a utilização não autorizada dos sistemas de proteção de dados
      regime de autorização e direitos de acesso para garantir que as pessoas autorizadas a utilizar um sistema de tratamento de dados só têm acesso aos dados a que têm direito de acesso e que os dados pessoais não podem ser lidos, copiados, modificados ou retirados sem autorização

    3. Medidas de controlo da transmissão de dados para garantir que os dados pessoais não podem ser lidos, copiados, modificados ou removidos sem autorização durante a transmissão eletrónica, o transporte ou o armazenamento em suportes de dados e a transferência e receção de registos

    4. Encriptação no armazenamento de quaisquer conjuntos de dados na posse do Subcontratante, incluindo dados pessoais sensíveis, utilizando níveis de encriptação adequados baseados em normas de encriptação líderes do sector

    5. Garantir que todos os dados pessoais sensíveis transmitidos eletronicamente (exceto por fax) a uma pessoa fora do sistema informático do Processador ou transmitidos através de uma rede pública são encriptados utilizando as versões mais recentes do protocolo TLS 1.2 para proteger a segurança da transmissão

    6. Medidas de controlo de entrada de dados para garantir que o Processador pode verificar e determinar se e por quem os Dados Pessoais do Cliente foram introduzidos nos sistemas de processamento de dados, modificados ou removidos

    7. Medidas de teste de segurança contínuas para garantir que as práticas de segurança da informação permanecem relevantes, eficazes e actualizadas, incluindo testes anuais de penetração, utilização de ferramentas de verificação do sistema, testes de restauro de cópias de segurança, falhas de pré-produção e realização de post-mortems sobre quaisquer incidentes reais, a fim de atualizar os planos de recuperação de desastres relevantes

    8. Medidas de supervisão do subcontratante para garantir que, se o Subcontratante for autorizado a utilizar subcontratantes, os Dados Pessoais são tratados estritamente de acordo com as instruções do Responsável pelo Tratamento de Dados

  9. O subcontratante adoptará as medidas que se afigurem adequadas às circunstâncias.

Apêndice 3: Sub-processadores

Para permitir que o Fornecedor de Serviços forneça a Subscrição, os Subcontratantes são contratados para ajudar em determinadas actividades de processamento de dados necessárias. Uma lista dos Subcontratantes utilizados e a finalidade da sua contratação encontra-se na página dos Subcontratantes disponível em https://www.orgid.app/subprocessors/, que está incorporada na presente Adenda e pode ser actualizada periodicamente, sujeita aos termos da mesma.