Esta tradução é fornecida apenas por conveniência. Em caso de divergência, prevalece a versão em inglês deste documento, que constitui o único texto juridicamente vinculativo.
Acordo de Processamento de Dados
Acordo de Tratamento de Dados
Este Acordo de Tratamento de Dados ("ATD") é celebrado entre:
- Sonetel AB (publ), org.nr. 556486-5847 ("Fornecedor"); e
- A empresa ou entidade que você representa, (o "Cliente")
doravante conjuntamente designadas por "Partes" ou individualmente uma "Parte".
1. Enquadramento
1.1 Este ATD constitui parte integrante do Contrato de Serviços Principal (o "Contrato") entre o Fornecedor e o Cliente. 1.2 Ao celebrar o Contrato, o Fornecedor tratará Dados Pessoais em nome do Cliente, na qualidade de Subcontratante. O Cliente é o Responsável pelo tratamento dos Dados Pessoais. 1.3 Se o Cliente for Responsável conjunto com outra parte pelos Dados Pessoais relevantes, o Cliente deverá informar o Fornecedor em conformidade. 1.4 O objetivo deste Contrato é assegurar que o Tratamento seja realizado de acordo com os requisitos aplicáveis ao tratamento de dados e as obrigações ao abrigo das Regras de Proteção de Dados e garantir a proteção adequada da integridade pessoal e dos direitos fundamentais dos indivíduos durante a transferência de Dados Pessoais do Cliente para o Fornecedor no âmbito dos Serviços que o Fornecedor presta ao abrigo do Contrato.
2. Definições
| "Tratamento" | significa qualquer operação ou conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição; |
|---|---|
| "Dados pessoais" | significa qualquer informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular; |
| "Regras de Proteção de Dados" | significa as leis e regulamentos aplicáveis em cada momento relativos ao Tratamento de Dados Pessoais, incluindo, mas não se limitando a, o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (o "RGPD"), decisões vinculativas, regulamentos e recomendações da Autoridade de Controlo e adaptações e regulamentos locais complementares em matéria de proteção de dados. |
| "Responsável pelo tratamento" | significa a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser estabelecidos pelo direito da União ou de um Estado-Membro; |
| "Subcontratante" | significa uma pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que trata os dados pessoais por conta do responsável pelo tratamento; |
| "Subsubcontratante" | significa a pessoa singular ou coletiva que trata dados pessoais na qualidade de subsubcontratante em nome do Fornecedor; |
| "Titular dos dados" | significa a pessoa singular a quem os Dados pessoais dizem respeito. |
| "Autoridade de Controlo" | significa uma autoridade pública independente que é instituída por um Estado-Membro nos termos do artigo 51.º. A Autoridade de Controlo na Suécia é a Autoridade Sueca de Proteção de Dados. |
2.1 Salvo indicação em contrário, qualquer outro termo ou conceito utilizado em letras maiúsculas neste ATD (exceto em alguns casos como parte de um título) terá o significado e a conceção estabelecidos nas Regras de Proteção de Dados e, de outra forma, no Contrato, a menos que as circunstâncias exijam obviamente outra interpretação.
3. Responsabilidades e instruções
3.1 O Cliente é Responsável pelo tratamento de todos os Dados Pessoais que o Fornecedor Trata em nome do Cliente ao abrigo do Contrato. O Cliente é, portanto, responsável por cumprir as Regras de Proteção de Dados. O Cliente compromete-se a informar o Fornecedor das Regras de Proteção de Dados que são relevantes para realizar o Tratamento ao abrigo deste Contrato. Para além dos requisitos que se aplicam diretamente a um Subcontratante de acordo com as Regras de Proteção de Dados, o Fornecedor será obrigado a cumprir outros requisitos aplicáveis de acordo com as Regras de Proteção de Dados e recomendações da Autoridade de Controlo das quais o Fornecedor tenha sido informado pelo Cliente. O Cliente deverá também informar continuamente o Fornecedor sobre ações de terceiros, incluindo da Autoridade de Controlo e do Titular dos dados, em resultado do Tratamento. 3.2 O Fornecedor e qualquer pessoa que atue sob a autoridade do Fornecedor, que tenha acesso a Dados Pessoais, não deverá Tratar esses dados para quaisquer outros fins que não sejam de acordo com as instruções escritas do Cliente ou de acordo com as Regras de Proteção de Dados. As instruções que se aplicam a este ATD estão estabelecidas no Anexo 1. Para além das instruções estabelecidas no Anexo 1, este ATD e o Contrato constituem as instruções do Cliente ao Fornecedor relativamente ao Tratamento de Dados Pessoais. O Cliente deverá informar imediatamente o Fornecedor de quaisquer alterações que afetem as obrigações do Fornecedor ao abrigo deste ATD. 3.3 Os Dados Pessoais ao abrigo deste ATD também podem ser Tratados se esse Tratamento for exigido pelo direito da União ou ao abrigo do direito nacional de um Estado-Membro ao qual o Fornecedor ou o Subsubcontratante esteja sujeito. Se esse Tratamento for exigido, o Fornecedor ou Subsubcontratante deverá informar o Cliente do requisito legal antes do Tratamento, a menos que essa informação seja proibida de acordo com um interesse público ao abrigo dessa lei. 3.4 O Fornecedor tem o direito de armazenar e Tratar dados derivados do Cliente em formato agregado ou anonimizado, não contendo Dados Pessoais, ao abrigo deste ATD.
4. Segurança
4.1 O Fornecedor deverá implementar medidas técnicas e organizativas, conforme exigido pelas Regras de Proteção de Dados, a fim de garantir um nível de segurança adequado tendo em conta o risco e para proteger os Dados Pessoais que estão a ser Tratados contra destruição, perda ou alteração acidentais ou ilícitas, ou divulgação ou acesso não autorizados aos Dados Pessoais que estão a ser Tratados. 4.2 O Fornecedor deverá auxiliar o Cliente a assegurar que as obrigações ao abrigo dos artigos 32.º a 36.º do RGPD sejam cumpridas, tendo em consideração o tipo de Tratamento e a informação disponível ao Fornecedor. 4.3 O Fornecedor deverá notificar o Cliente sem demora injustificada após tomar conhecimento de uma violação de dados pessoais.
5. Divulgação de Dados Pessoais e Informações
5.1 No caso de o Fornecedor receber um pedido do Titular dos dados, da Autoridade de Controlo ou de outro terceiro para obter informações relativas a Dados Pessoais que o Fornecedor Trata em nome do Cliente, o Fornecedor deverá, sem demora, encaminhar o pedido ao Cliente. O Fornecedor e qualquer pessoa que atue sob a autoridade do Fornecedor não podem divulgar Dados Pessoais ou outras informações sobre o Tratamento de Dados Pessoais sem instruções explícitas do Cliente, a menos que essa divulgação seja exigida de acordo com as Regras de Proteção de Dados aplicáveis. 5.2 O Fornecedor deverá auxiliar o Cliente no cumprimento da sua obrigação de responder a pedidos relativos ao direito de acesso, retificação e apagamento do Titular dos dados, adotando medidas técnicas e organizativas adequadas, tendo em conta a natureza do Tratamento, e auxiliar na divulgação de Dados Pessoais quando exigido pela legislação nacional aplicável.
6. Contacto com a Autoridade de Controlo
6.1 O Fornecedor deverá informar o Cliente de quaisquer contactos da Autoridade de Controlo relativos ao Tratamento de Dados Pessoais ao abrigo deste ATD. O Fornecedor não está autorizado a representar o Cliente ou a agir em nome do Cliente em relação à Autoridade de Controlo, se não for exigido pelas Regras de Proteção de Dados.
7. Subsubcontratantes
7.1 Os Dados Pessoais podem ser Tratados por um Subsubcontratante desde que o Fornecedor celebre um acordo por escrito com o Subsubcontratante que lhe imponha as obrigações correspondentes ao Tratar Dados Pessoais conforme este ATD. 7.2 O Fornecedor compromete-se a informar o Cliente de quaisquer planos para contratar novos Subsubcontratantes ou para substituir Subsubcontratantes. O Cliente tem o direito de se opor a tais alterações. Essa oposição pode relacionar-se apenas com fundamentos objetivos ligados ao cumprimento dos requisitos de segurança técnicos e organizativos ao Tratar Dados Pessoais ao abrigo do ATD. 7.3 O Fornecedor é responsável por assegurar que os requisitos para a utilização de Subsubcontratantes ao abrigo das Regras de Proteção de Dados sejam tidos em conta e por garantir que esses Subsubcontratantes forneçam garantias suficientes para implementar medidas técnicas e organizativas adequadas de forma a que o Tratamento cumpra os requisitos das Regras de Proteção de Dados. 7.4 O Fornecedor deverá fornecer ao Cliente uma lista correta e atualizada dos Subsubcontratantes designados para o Tratamento de Dados Pessoais ao abrigo deste ATD, juntamente com as Informações de Contacto e a localização geográfica do Tratamento. Esta lista está disponível para o Cliente em https://sonetel.com/en/help/help-topics/terms-conditions/sub-processors/. O Fornecedor compromete-se a notificar o Cliente de qualquer atualização da lista de Subsubcontratantes e a garantir que está sempre correta. 7.5 Se um Subsubcontratante não cumprir as obrigações ao abrigo do Contrato, deste ATD e/ou de acordo com as Regras de Proteção de Dados, o Fornecedor será responsável pelo cumprimento das obrigações do Subsubcontratante em relação ao Cliente.
8. Auditorias
8.1 O Fornecedor deverá fornecer ao Cliente todas as informações necessárias para cumprir as obrigações de acordo com este ATD e as Regras de Proteção de Dados dentro de um prazo razoável após tal pedido ter sido feito pelo Cliente ao Fornecedor. 8.2 O Fornecedor deverá permitir e contribuir para auditorias, incluindo inspeções realizadas pelo Cliente ou por outro auditor independente (a expensas do Cliente) selecionado pelo Cliente, e que o Fornecedor possa razoavelmente aceitar. O auditor é obrigado a assinar acordos de confidencialidade suficientes fornecidos pelo Fornecedor antes das auditorias. O Cliente tem o direito de realizar uma auditoria por ano sem custos. Se o Cliente desejar realizar auditorias adicionais, o Cliente deve compensar o Fornecedor por todos os custos associados à(s) auditoria(s). 8.3 O Fornecedor deverá, relativamente às obrigações estabelecidas na secção 8 deste ATD, informar imediatamente o Cliente se o Fornecedor considerar que uma instrução viola as Regras de Proteção de Dados.
9. Transferências de Dados Pessoais para fora da UE/EEE
9.1 No caso de o Fornecedor e/ou o Subsubcontratante transferirem Dados Pessoais para um local fora da UE/EEE, o Fornecedor e/ou os Subsubcontratantes deverão assegurar que essa transferência cumpre as Regras de Proteção de Dados aplicáveis.
10. Confidencialidade
10.1 O fornecedor deverá, quando aplicável, cumprir a legislação nacional aplicável a informações classificadas ou confidenciais. O Fornecedor compromete-se a garantir que o pessoal autorizado a tratar Dados Pessoais ao abrigo deste ATD se tenha comprometido a observar a confidencialidade do Tratamento ou esteja sujeito ao dever legal aplicável de confidencialidade. 10.2 A secção 10.1 acima não se aplica a informações solicitadas pela Autoridade de Controlo de acordo com as Regras de Proteção de Dados ou outra obrigação legal. 10.3 A obrigação de confidencialidade também se aplica após o Contrato e/ou o ATD terem cessado de se aplicar.
11. Portabilidade de dados
11.1 O Fornecedor deverá assegurar que o Cliente seja capaz de cumprir qualquer obrigação relativa à Portabilidade de Dados relacionada com Dados Pessoais que o Fornecedor Trata em nome do Cliente.
12. Compensação
12.1 No caso de as obrigações impostas ao Fornecedor de acordo com as Secções 5, 8, 9 e 11 resultarem em trabalho extenso para o Fornecedor, o Fornecedor terá direito a uma compensação razoável do Cliente. 12.2 No caso de o Cliente apresentar uma objeção legítima a um novo Subsubcontratante nos termos da Secção 7 e o Fornecedor não concordar em substituir o Subsubcontratante, o Fornecedor terá direito a uma compensação adicional do Cliente pelos custos incorridos pelo Fornecedor devido ao facto de o Subsubcontratante não poder ser utilizado. 12.3 O Fornecedor terá direito a uma compensação razoável por todo o trabalho e todos os custos que surjam devido às Instruções do Cliente para o Tratamento se estas excederem as funcionalidades e o nível de segurança baseados nos serviços que o Fornecedor normalmente fornece aos seus clientes, por exemplo, no caso de o sistema/serviços do Fornecedor ou outros exigirem que o Fornecedor faça ajustes especiais em nome do Cliente.
13. Responsabilidade
13.1 Se o Fornecedor, qualquer pessoa que atue sob a autoridade do Fornecedor ou um Subsubcontratante, Tratar Dados Pessoais em violação deste ATD ou das Instruções para Tratamento de Dados fornecidas pelo Cliente, o Fornecedor deverá, tendo em consideração a limitação de responsabilidade decorrente do Contrato, compensar o Cliente pelos danos diretos sofridos pelo Cliente devido ao Tratamento indevido. Independentemente da limitação de responsabilidade neste Contrato, a responsabilidade do Fornecedor ao abrigo do parágrafo 13.1 será sempre limitada a um montante equivalente às taxas pagas pelo Cliente ao Fornecedor ao abrigo do Contrato por um período de doze (12) meses antes da ocorrência do dano. No caso de o Contrato não ter sido válido durante um ano contratual completo, esse montante será calculado com base nos custos que se espera que o Cliente pague durante um ano contratual ao abrigo do Contrato. 13.2 Durante a vigência deste ATD e posteriormente, o Cliente deverá indemnizar e isentar o Fornecedor de quaisquer danos diretos, incluindo reclamações de Titulares de dados e terceiros, que o Fornecedor tenha sofrido devido a instruções pouco claras, inadequadas ou ilegais do Cliente, ou de outra forma, dependendo das circunstâncias derivadas do Cliente. 13.3 A obrigação do Fornecedor de pagar indemnizações, estabelecida na secção 13.1 acima, só se aplica, desde que i) o Cliente informe o Fornecedor por escrito, sem demora injustificada, de quaisquer reclamações contra o Cliente; e ii) o Cliente permita ao Fornecedor controlar a defesa da reclamação e tomar decisões independentes relativamente a acordos.
14. Prazo e Cessação
14.1 Este ATD entra em vigor quando devidamente assinado por ambas as Partes, seja separadamente como uma alteração ao Contrato ou como parte do Contrato, e permanece em vigor enquanto o Fornecedor Tratar Dados Pessoais em nome do Cliente. 14.2 Após a cessação do Contrato ou deste ATD (dependendo do que ocorrer primeiro), o Fornecedor deverá, de acordo com as instruções do Cliente, apagar ou devolver todos os Dados Pessoais ao Cliente e assegurar-se de que todos os Subsubcontratantes façam o mesmo. 14.3 Se o Cliente não tiver solicitado que os Dados Pessoais sejam devolvidos, o Fornecedor deverá apagar os dados no prazo de 90 dias após a cessação do ATD ou do Contrato (o que ocorrer primeiro). O fornecedor deverá apagar quaisquer cópias existentes, a menos que o armazenamento de Dados Pessoais seja exigido pelo direito da União ou pelo direito nacional do Estado-Membro.
15. Alterações e aditamentos
15.1 Se as Regras de Proteção de Dados forem alteradas durante a vigência deste ATD, ou se a Autoridade de Controlo emitir orientações, decisões ou regulamentos relativos à aplicação das Regras de Proteção de Dados que resultem em que este ATD já não cumpra os requisitos para um ATD, as Partes deverão fazer as alterações necessárias a este ATD, a fim de cumprir esses requisitos novos ou adicionais. Essas alterações entrarão em vigor o mais tardar trinta (30) dias após uma Parte enviar uma notificação de alteração à outra Parte ou, de outra forma, o mais tardar conforme prescrito pelas Regras de Proteção de Dados, orientações, decisões ou regulamentos da Autoridade de Controlo. 15.2 Outras alterações e aditamentos a este ATD, para serem vinculativos, devem ser feitos por escrito e devidamente assinados por ambas as Partes.
16. Disposições diversas
16.1 Este ATD substitui e anula todos os ATD anteriores entre as Partes e substitui quaisquer disposições divergentes do Contrato relativas ao objeto deste ATD, independentemente do que seja declarado de outra forma no Contrato. 16.2 Este ATD será regido pela mesma lei e sujeito ao mesmo foro que o Contrato. 16.3 Além disso, os termos do Contrato também se aplicarão ao Tratamento de Dados Pessoais pelo Fornecedor e às obrigações ao abrigo deste ATD. No entanto, em caso de contradições entre as disposições do Contrato e este ATD, as disposições do ATD prevalecerão relativamente a todo o Tratamento de Dados Pessoais. As disposições do Contrato não podem restringir ou modificar quaisquer obrigações deste ATD. 16.4 Este ATD será regido pela mesma lei e estará sujeito ao mesmo foro conforme estabelecido no Contrato.
Anexo 1 – Instruções de Tratamento de Dados
Nestas instruções de tratamento de dados, todas as palavras em maiúsculas terão o mesmo significado definido no ATD, salvo indicação expressa em contrário.
| Finalidades Especifique todas as finalidades para as quais os Dados Pessoais serão Tratados pelo Fornecedor na qualidade de subcontratante do Cliente | O Fornecedor trata dados pessoais com a finalidade de cumprir o serviço ao abrigo do Contrato. Os dados pessoais também podem ser tratados para suporte informático e serviços relacionados. Além disso, o Fornecedor trata dados para deteção de fraudes e outras ações preventivas. |
|---|---|
| Categorias de dados Especifique os Dados Pessoais que serão Tratados pelo Fornecedor na qualidade de subcontratante | O Fornecedor trata as seguintes categorias de dados pessoais: |
- Informações e dados transferidos pelo Cliente para o Fornecedor ao utilizar os serviços do Fornecedor,
- dados de utilizador e informações relacionadas com a utilização dos serviços do fornecedor,
- conteúdo gerado pelo utilizador final, e
- outras informações relevantes para suporte informático e serviços relacionados.
O Fornecedor não Trata dados pessoais sensíveis; o Cliente é responsável por assegurar que dados pessoais sensíveis não sejam transferidos para os serviços do Fornecedor, a menos que o Fornecedor tenha fornecido ao Cliente consentimento por escrito antecipadamente para esse Tratamento. Categorias de titulares de dados Especifique as categorias de titulares de dados cujos Dados Pessoais serão Tratados pelo Fornecedor na qualidade de subcontratante | O fornecedor trata as seguintes categorias de Titulares de dados:
- Informações sobre utilizadores registados, e
- Informações sobre Titulares de dados que aparecem em material que o Cliente transfere para o Fornecedor através da utilização de qualquer um dos serviços do Fornecedor, e
- Informações de utilizadores finais.
Requisitos de conservação Especifique o período de conservação dos Dados Pessoais armazenados pelo Fornecedor | Os dados pessoais devem ser apagados a pedido do Cliente e de acordo com as instruções do Cliente. O Fornecedor tem um período de conservação de 90 dias após a cessação do Contrato ou ATD.