Adenda à transferência de dados

Introdução

Esta Adenda de Transferência de Dados (esta "ADD") entre a ORGiD (o "Fornecedor de Serviços") e o Cliente aplica-se a qualquer transferência de Dados Pessoais sujeitos à Lei de Proteção de Dados para o Fornecedor de Serviços fora do EEE, Suíça ou Reino Unido. Entre o Prestador de Serviços e o Cliente, o presente ACD será incorporado no Acordo e na Adenda ao Processamento de Dados ("APD"), conforme aplicável. Os termos "dados pessoais", "titular dos dados", "processamento", "controlador", "processador", "representante" e "autoridade supervisora" terão os significados dados no GDPR ou no GDPR do Reino Unido, conforme aplicável, em cada caso, independentemente de se aplicar a Lei de Proteção de Dados. Além disso, outros termos utilizados no presente ACD podem ser definidos nos referidos acordos.

1. Definições

"Transferência Internacional de Dados" significa uma atividade de processamento através da qual os Dados Pessoais, que são processados de acordo com a Lei de Proteção de Dados, são transferidos para o Fornecedor de Serviços (ou para as nossas instalações) num país terceiro que não seja o EEE, o Reino Unido, a Suíça ou um país sujeito a uma decisão de adequação tomada pela Comissão Europeia ou pelo Secretário de Estado do Reino Unido (conforme aplicável), de acordo com as disposições relevantes da Lei de Proteção de Dados aplicável.

"Cláusulas contratuais-tipo" são as cláusulas contratuais-tipo aprovadas pela Comissão Europeia na Decisão 2021/914 da Comissão, de 4 de junho de 2021, para transferências de dados pessoais em países não reconhecidos como oferecendo um nível adequado de proteção de dados pessoais pela Comissão Europeia (tal como alteradas e actualizadas periodicamente).

"Adenda IDTA do Reino Unido" significa as Cláusulas Obrigatórias da Adenda B.1.0 emitidas pelo ICO e apresentadas ao Parlamento em conformidade com o artigo 119.º-A da Lei de Proteção de Dados de 2018 em 2 de fevereiro de 2022, tal como revistas ao abrigo da Secção 18 dessas Cláusulas Obrigatórias.

2. Transferências de dados de responsável pelo tratamento para responsável pelo tratamento

Dados EEE / Suíça:

Quando ocorre uma Transferência Internacional de Dados em que mais do que uma parte actua como Responsável pelo Tratamento e uma parte partilha Dados Pessoais de titulares de dados do EEE ou da Suíça com o Prestador de Serviços também como Responsável pelo Tratamento ao abrigo da Adenda de Partilha de Dados, então: (i) quaisquer Transferências Internacionais de Dados que ocorram de tais dados serão regidas pelas Cláusulas Contratuais Padrão para Transferências de Controlador para Controlador de Dados Pessoais da União Europeia ("EEA C2C SCCs") ou as Cláusulas Contratuais Padrão para Transferências de Controlador para Controlador de Dados Pessoais da Suíça ("Swiss C2C SCCs"), que são incorporadas nesta Adenda de Transferência de Dados; e (ii) os Anexos I e II dessas SCCs devem ser preenchidos com as informações estabelecidas nos Cronogramas 1 e 2 da Adenda de Processamento de Dados e da Adenda de Partilha de Dados, respetivamente.

Dados do Reino Unido: 

Quando ocorre uma Transferência Internacional de Dados para a qual mais do que uma parte actua como Responsável pelo Tratamento e uma parte partilha Dados Pessoais de titulares de dados do Reino Unido com o Prestador de Serviços também como Responsável pelo Tratamento ao abrigo do Acordo de Partilha de Dados, então quaisquer Transferências de Dados que ocorram desses dados serão regidas pelas CCT C2C do EEE que incorporam os Quadros 1 e 2 da Adenda ao Processamento de Partilha de Dados e o Acordo Internacional de Transferência de Dados do Reino Unido ("Adenda IDTA do Reino Unido"), que é incorporado nesta Adenda à Transferência de Dados.

Além disso, estas disposições destinam-se a cumprir o Regulamento Geral sobre a Proteção de Dados (RGPD), a Lei Federal Suíça sobre a Proteção de Dados (FADP) e a Lei de Proteção de Dados do Reino Unido de 2018, que regulam a transferência de dados pessoais para fora do Espaço Económico Europeu (EEE), da Suíça e do Reino Unido (RU), respetivamente.

3. Transferências de dados do responsável pelo tratamento para o subcontratante

Dados EEE / Suíça: 

Quando o Responsável pelo Tratamento transfere Dados Pessoais de titulares de dados do EEE ou da Suíça para o Prestador de Serviços que actua como Subcontratante ao abrigo da Adenda sobre o Tratamento de Dados, quaisquer Transferências Internacionais de Dados desses dados devem estar em conformidade com as Cláusulas Contratuais do Responsável pelo Tratamento do EEE para o Subcontratante, que são incorporadas no presente ACD com as seguintes alterações: (i) o Processador deve informar o Controlador de quaisquer alterações pretendidas à lista de subprocessadores, actualizando-a online; e (ii) os Anexos I e II das Cláusulas Contratuais do Controlador ao Processador do EEE devem ser preenchidos com as informações especificadas nos Apêndices 1 e 2 da Adenda sobre o Processamento de Dados, respetivamente.

Dados do Reino Unido: 

Quando o responsável pelo tratamento transfere dados pessoais de titulares de dados do Reino Unido para o prestador de serviços que actua como subcontratante ao abrigo da adenda sobre o tratamento de dados, quaisquer transferências internacionais de dados desses dados devem respeitar as CCT do responsável pelo tratamento para o subcontratante do EEE que integram os apêndices 1 e 2 da adenda sobre o tratamento de dados e a adenda IDTA do Reino Unido.

As leis relevantes que regem as transferências internacionais de dados incluem

O Regulamento Geral sobre a Proteção de Dados da UE (RGPD) e a Lei de Proteção de Dados do Reino Unido de 2018.

4. Medidas suplementares 

Relativamente a quaisquer transferências internacionais de dados, aplicam-se as seguintes medidas suplementares:

(a) O Processador declara e garante que, no momento da transferência, não recebeu quaisquer pedidos legais formais de qualquer serviço/agência governamental de inteligência ou segurança no país para o qual os Dados Pessoais relevantes estão a ser exportados, para acesso a (ou para cópias de) Dados Pessoais que tenham sido transferidos para o Processador nos termos do presente Acordo ("Pedidos de Agências Governamentais"); e

(b) se, durante a vigência do presente ACD, o Subcontratante receber quaisquer Pedidos de Agências Governamentais, informará o Responsável pelo Tratamento por escrito (exceto se proibido pela Lei Aplicável de o fazer) logo que razoavelmente praticável e as partes (logo que razoavelmente praticável) discutirão e determinarão se todas ou quaisquer transferências de Dados Pessoais ao abrigo do presente Acordo devem ser suspensas à luz de tais Pedidos de Agências Governamentais.

5. Garantias adicionais

(a) Se a legislação em matéria de proteção de dados exigir a execução de CCT ou de uma adenda à IDTA do Reino Unido para uma transferência específica de dados pessoais para o subcontratante como um acordo separado, o subcontratante executará prontamente essas CCT ou adenda à IDTA do Reino Unido, mediante pedido, com as alterações necessárias para refletir os requisitos aplicáveis da legislação em matéria de proteção de dados.

(b) No caso de qualquer um dos meios de legitimação das transferências de dados pessoais para fora dos países do EEE, da Suíça ou do Reino Unido referidos no presente ACD deixar de ser válido, ou de qualquer autoridade de controlo exigir a suspensão das transferências de dados pessoais ao abrigo desses meios, o Subcontratante pode alterar ou implementar disposições alternativas para essas transferências, tal como exigido pela legislação relevante em matéria de proteção de dados. O Subcontratante notificará a outra parte da data efectiva de tais alterações.

6. Conflitos

Em caso de conflito ou incoerência entre qualquer disposição do presente ACD e qualquer outro acordo aplicável, a ordem de precedência será a seguinte: a adenda à ACDI do Reino Unido e as cláusulas contratuais-tipo relevantes (se aplicável), o presente ACD, a adenda relativa ao tratamento de dados (se aplicável) e o acordo.

7. Alterações

O Fornecedor de Serviços pode atualizar qualquer parte ou a totalidade dos termos da Adenda, conforme necessário, para cumprir a Legislação de Proteção de Dados e tornar-se-á efectiva e vinculativa na data de renovação da próxima Subscrição de Produto ou mediante acordo escrito do Cliente, consoante o que ocorrer primeiro. Se a presente Adenda for incorporada por referência como URL de uma página Web, a versão actualizada da Adenda será publicada no mesmo URL e o Cliente será notificado por escrito. Se a presente Adenda for incorporada como parte de um acordo comercial celebrado pelas Partes, a versão actualizada da Adenda será partilhada com o Cliente para aprovação por escrito. Se o Cliente não concordar com uma atualização, o Cliente deverá notificar o Fornecedor de Serviços por escrito e a Adenda anterior permanecerá em vigor enquanto as Partes trabalham em conjunto e de boa fé para formar uma nova Adenda de Transferência de Dados mutuamente aceitável.