Acordo de Proteção de Dados
1. Objeto
O presente Acordo de Proteção de Dados (doravante «APD») define as condições em que os dados pessoais do cliente, na qualidade de responsável pelo tratamento (doravante «o Cliente») , são tratados pelo prestador de serviços Nemorius, na qualidade de subcontratante (doravante «o Subcontratante»), no âmbito do contrato de prestação de serviços (doravante «o Contrato»).
O presente APD faz parte integrante do Contrato. Em caso de contradição entre os documentos, prevalecem as disposições do presente APD para todas as questões relativas à proteção de dados.
Os termos relativos à proteção de dados utilizados neste documento têm o significado que lhes é atribuído pelo Regulamento (UE) 2016/679 («RGPD»).
2. Compromissos do Subcontratante
O Subcontratante compromete-se a cumprir todas as disposições legais e regulamentares aplicáveis em matéria de proteção de dados, nomeadamente o RGPD e a Lei de Proteção de Dados.
Garante dispor de medidas adequadas para assegurar a segurança, a integridade e a confidencialidade dos dados tratados por conta do cliente.
O Subcontratante assegura que as pessoas autorizadas a aceder aos dados estejam sujeitas a uma obrigação de confidencialidade, seja ela contratual ou estatutária.
Além disso, implementa ações regulares de sensibilização e formação das suas equipas sobre os requisitos relativos à proteção de dados.
3. Instruções do Cliente
O Subcontratante trata os dados pessoais exclusivamente com base em instruções documentadas emanadas do Cliente.
O Cliente compromete-se a notificar qualquer alteração a estas instruções o mais rapidamente possível.
Se uma instrução dada se revelar contrária à regulamentação aplicável, o Subcontratante informa imediatamente o Cliente. O Cliente deve determinar os dados pessoais recolhidos e a sua finalidade, a fim de cumprir os requisitos legais do RGPD.
4. Proteção de dados desde a conceção
O serviço prestado é concebido de acordo com os princípios de proteção de dados desde a conceção e por predefinição.
O Subcontratante disponibiliza funcionalidades que permitem ao Cliente cumprir as suas obrigações enquanto responsável pelo tratamento.
O Cliente é o único responsável pela utilização que faz do serviço e pela sua conformidade com as regras aplicáveis.
5. Medidas de segurança
O Subcontratante implementa medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra qualquer acesso não autorizado, alteração, perda ou divulgação.
6. Gestão de violações de dados
Em caso de violação de dados pessoais, o Subcontratante informa o Cliente o mais rapidamente possível e, em qualquer caso, no prazo máximo de 72 horas úteis após ter tomado conhecimento da mesma.
Fornece ao Cliente os elementos necessários para que este possa cumprir as suas obrigações regulamentares.
O Subcontratante toma igualmente todas as medidas úteis para limitar as consequências do incidente.
Salvo acordo prévio do Cliente, o Subcontratante não está habilitado a notificar a autoridade de controlo (CNIL) nem a informar as pessoas em causa em nome do Cliente.
7. Assistência em matéria de segurança e análise de impacto
Mediante pedido por escrito, o Subcontratante disponibiliza ao Cliente as informações necessárias relativas às medidas de segurança implementadas, bem como as certificações da solução.
No entanto, não é obrigado a realizar essas análises nem a garantir a segurança do sistema do Cliente. Podem ser propostos serviços complementares, se for caso disso.
8. Assistência no que diz respeito aos direitos das pessoas
O Subcontratante apoia o Cliente, fornecendo-lhe as informações necessárias para responder aos pedidos das pessoas em causa.
Pode também, mediante instrução por escrito, executar as ações técnicas necessárias.
A gestão direta dos pedidos continua a ser da responsabilidade do Cliente, salvo prestação específica acordada entre as partes.
9. Recurso a subcontratantes posteriores
O Cliente autoriza o Subcontratante a recorrer a prestadores de serviços terceiros no âmbito da execução do Contrato, desde que seja informado do facto.
O Cliente pode formular uma objeção fundamentada em determinados casos (concorrência, litígio, condenação recente em matéria de dados).
Em caso de objeção admissível, o Subcontratante dispõe de um prazo de seis meses para propor uma solução conforme. Caso contrário, o Cliente poderá rescindir o Contrato nas condições previstas.
O Subcontratante assegura-se de que os seus próprios subcontratantes cumprem obrigações equivalentes às do presente APD e mantém-se responsável pelas suas ações.
10. Destino dos dados no termo do contrato
No termo do Contrato, o Cliente indica a sua escolha entre as seguintes possibilidades:
- restituição e posterior eliminação dos dados,
- eliminação imediata,
- transferência para outro prestador de serviços e posterior eliminação.
Na ausência de instruções, o Subcontratante procederá à eliminação dos dados 48 horas após a rescisão do contrato.
O Cliente é convidado a efetuar qualquer recuperação necessária antes do término do serviço. Sendo a eliminação irreversível, o Cliente assume as consequências.
Mediante pedido, o Subcontratante poderá fornecer um certificado de eliminação.
11. Transferências para fora da União Europeia
O Subcontratante esforça-se por não transferir os dados para fora da União Europeia.
Caso tal transferência seja necessária, compromete-se a implementar garantias adequadas (cláusulas contratuais-tipo, BCR, etc.).
12. Cooperação com as autoridades
O Subcontratante fornece ao Cliente as informações necessárias para responder aos pedidos das autoridades de controlo competentes.
13. Ponto de contacto
Cada parte designa um interlocutor responsável pelas questões relativas ao presente APD.
O Subcontratante comunica os dados de contacto do seu responsável pela proteção de dados ou do seu referente RGPD.
O Subcontratante informa o Cliente de que o responsável pela proteção de dados é o Sr. Esteban MATHIEU, cujos dados de contacto são: gdpr@nemorius.com
14. Evolução do acordo
O presente APD pode ser alterado para ter em conta as alterações legais ou regulamentares aplicáveis. O cliente será informado em caso de alteração do mesmo.
15. Direito aplicável e jurisdição
O presente acordo é regido pelo direito francês.
Qualquer litígio relativo à sua execução é da competência dos tribunais competentes na jurisdição da sede do Subcontratante.