Contrato para o Tratamento de Dados Pessoais por Conta de Terceiros

1. Introdução, âmbito de aplicação, definições

1. Este contrato regula os direitos e deveres do Responsável (encomendante) e do Subcontratante Viamodul (doravante designados por “Partes”) no âmbito do tratamento de dados pessoais por conta de outrem.
2. Este contrato aplica-se a todas as atividades em que colaboradores do Subcontratante ou subcontratantes por si mandatados (subcontratantes) tratem dados pessoais do Responsável por sua conta.
3. Os termos utilizados neste contrato devem ser entendidos conforme as definições do Regulamento Geral sobre a Proteção de Dados da UE (RGPD). Nesse sentido, o Responsável é o “Responsável pelo tratamento” e o Subcontratante é o “Subcontratante”. Sempre que adiante se exija forma “escrita”, entende-se a forma escrita nos termos do § 126 do BGB (Código Civil alemão). Fora desses casos, as declarações podem ser feitas por outra forma, desde que seja garantida prova equivalente, nomeadamente por e-mail.

2. Objeto e duração do tratamento

2.1 Objeto

O Subcontratante assume os seguintes tratamentos: importação e exportação de dados de um website ou loja do Responsável.

O tratamento baseia-se nos Termos e Condições Gerais e na Política de Privacidade em vigor entre as Partes (doravante “Contrato Principal”).

2.2 Duração

O tratamento inicia-se com a aceitação deste contrato e a respetiva disponibilização e vigora por tempo indeterminado até:

• à cessação do serviço encomendado;
• à denúncia deste contrato por qualquer uma das Partes.

 

3. Natureza, finalidade e abrangência do tratamento de dados

3.1 Natureza do tratamento

O tratamento tem a seguinte natureza:

3.1.1 Transmissão e armazenamento

Os dados disponibilizados e transmitidos pelo operador do website ou da loja são armazenados pelo Subcontratante após a sua receção/transmissão.

Após a conclusão do serviço, os dados serão eliminados dos suportes de dados do Subcontratante.

 

3.2 Finalidade do tratamento

O tratamento tem a finalidade que foi acordada entre o Responsável e o Subcontratante.

 

3.3 Tipos de dados

Os tipos de dados incluem todos os dados que o Responsável transmite ao Subcontratante ou aos quais lhe conceda acesso.

 

3.4 Categorias de titulares dos dados

São abrangidos pelo tratamento todos os dados que o Responsável transmite ao Subcontratante ou aos quais lhe conceda acesso.

 

4. Obrigações do Subcontratante

1. O Subcontratante limita o tratamento de dados pessoais aos fins para os quais foi mandatado pelo Responsável.
2. O Subcontratante confirma que conhece as disposições legais gerais aplicáveis à proteção de dados e observa os princípios de um tratamento correto de dados.
3. O Subcontratante compromete-se a manter estrita confidencialidade no tratamento.
4. As pessoas que possam tomar conhecimento dos dados tratados por conta do Responsável devem obrigar-se por escrito à confidencialidade, salvo se já estiverem legalmente sujeitas a um dever de sigilo aplicável.
5. O Subcontratante assegura que as pessoas por si envolvidas no tratamento foram, antes do início da atividade, instruídas quanto às disposições relevantes de proteção de dados e deste contrato. Medidas de formação e sensibilização adequadas serão repetidas com regularidade. O Subcontratante garante que as pessoas envolvidas no tratamento por conta serão continuamente orientadas e supervisionadas quanto ao cumprimento dos requisitos de proteção de dados.
6. No âmbito do tratamento encomendado, o Subcontratante apoia o Responsável, na medida do necessário, no cumprimento das suas obrigações em matéria de proteção de dados, em especial na elaboração e atualização do registo das atividades de tratamento, na realização de avaliações de impacto sobre a proteção de dados e em consultas necessárias à autoridade de controlo. As informações e documentação necessárias devem estar disponíveis e ser entregues sem demora.
7. Se o Responsável for sujeito a auditorias por autoridades de controlo ou outras entidades, ou se titulares de dados exercerem direitos junto do Responsável, o Subcontratante compromete-se a prestar o apoio necessário, na medida em que o tratamento por conta seja afetado.
8. O Subcontratante só pode prestar informações a terceiros ou aos titulares dos dados mediante prévia autorização do Responsável. Os pedidos dirigidos diretamente ao Subcontratante serão de imediato reencaminhados para o Responsável.
9. Quando legalmente exigido, o Subcontratante nomeia uma pessoa competente e fiável como Encarregado de Proteção de Dados. Deve assegurar-se que não existem conflitos de interesses. Em caso de dúvida, o Responsável pode contactar diretamente o Encarregado. O Subcontratante comunica sem demora ao Responsável os dados de contacto do Encarregado ou justifica a inexistência de nomeação. Alterações relativas à pessoa ou às funções internas do Encarregado são comunicadas sem demora.
10. O tratamento por conta ocorre exclusivamente dentro da UE ou do EEE.

5. Segurança do tratamento

1. As medidas de segurança de dados descritas no Anexo 1 são estabelecidas como vinculativas e definem o mínimo devido pelo Subcontratante. A descrição deve ser suficientemente detalhada para que um terceiro conhecedor possa, com base apenas nessa descrição, reconhecer inequivocamente o nível mínimo exigido. Não é permitido remeter para informações que não possam ser extraídas diretamente deste acordo ou dos seus anexos.
2. As medidas de segurança podem ser ajustadas à evolução técnica e organizativa, desde que o nível acordado não seja reduzido. Alterações necessárias para manter a segurança da informação devem ser implementadas sem demora pelo Subcontratante e comunicadas de imediato ao Responsável. Alterações substanciais devem ser acordadas entre as Partes.
3. Se as medidas de segurança adotadas deixarem de satisfazer os requisitos do Responsável, este pode solicitar ao Subcontratante a eliminação de todos os dados transmitidos e o bloqueio de quaisquer acessos aos dados.
4. O Subcontratante assegura que os dados tratados por conta são estritamente separados de outros conjuntos de dados.
5. Não serão criadas cópias ou duplicados sem o conhecimento do Responsável, exceto reproduções temporárias tecnicamente necessárias, desde que não comprometam o nível de proteção acordado.
6. O tratamento de dados é realizado exclusivamente em equipamentos do Subcontratante e não em residências privadas que não tenham sido verificadas como teletrabalho (home office), nem em equipamentos pessoais.
7. Não são utilizados suportes de dados dedicados (mesmo que voláteis) do ou para o Responsável.
8. O Subcontratante comprova regularmente o cumprimento das suas obrigações, em particular a implementação integral das medidas técnicas e organizativas acordadas e a sua eficácia. A prova está disponível online para o Responsável a qualquer momento. Como não são tratados dados pessoais, o Responsável é informado por circular apenas sobre situações conhecidas pelo Subcontratante que possam comprometer alguma das condições mencionadas no contrato.

6. Regras para retificação, eliminação e bloqueio de dados

1. No âmbito do serviço, os dados tratados não são retificados, eliminados ou bloqueados pelo Subcontratante, dado que ocorre apenas uma transmissão de dados.
2. O Responsável pode solicitar ao Subcontratante a retificação, eliminação e bloqueio de dados.

7. Subcontratação

1. A contratação de subcontratantes carece de consentimento expresso do Responsável, caso a caso. Excetuam-se fornecedores técnicos, como centros de dados e prestadores de suporte, desde que forneçam provas adequadas de segurança de dados ou cumpram as condições indicadas neste contrato.
2. O consentimento só é possível se ao subcontratante forem impostas contratualmente obrigações de proteção de dados pelo menos equivalentes às deste contrato. O Responsável pode, a pedido, consultar os contratos relevantes entre Subcontratante e subcontratante.
3. Os direitos do Responsável devem poder ser exercidos eficazmente também perante o subcontratante. Em particular, o Responsável deve ter o direito de realizar, a qualquer momento, controlos no âmbito aqui definido também junto dos subcontratantes ou por terceiros.
4. As responsabilidades do Subcontratante e do subcontratante devem estar claramente delimitadas.
5. Não é permitida subcontratação adicional por parte do subcontratante.
6. O Subcontratante seleciona o subcontratante com especial atenção à adequação das medidas técnicas e organizativas por este adotadas.
7. A transmissão de dados tratados por conta ao subcontratante só é admissível após o Subcontratante se ter certificado e documentado de que o subcontratante cumpre integralmente as suas obrigações. A documentação deve ser apresentada ao Responsável espontaneamente.
8. A contratação de subcontratantes que não prestem o tratamento por conta exclusivamente a partir do território da UE ou do EEE só é possível se forem observadas as condições referidas no capítulo 4 (10) deste contrato, nomeadamente apenas quando o subcontratante ofereça garantias adequadas de proteção de dados. O Subcontratante informa o Responsável sobre as garantias concretas oferecidas pelo subcontratante e como comprovar essas garantias.
9. O Subcontratante verifica regularmente, pelo menos a cada 12 meses, o cumprimento das obrigações pelo subcontratante. A verificação e os seus resultados devem ser documentados de forma suficientemente expressiva para serem compreensíveis por um terceiro conhecedor. A documentação é apresentada ao Responsável espontaneamente. O Subcontratante conserva a documentação por, pelo menos, três anos após o termo do tratamento por conta e apresenta-a ao Responsável mediante solicitação.
10. Se o subcontratante não cumprir as suas obrigações em matéria de proteção de dados, o Subcontratante é responsável perante o Responsável.
11. Atualmente, os subcontratantes designados no Anexo 2, com nome, morada e conteúdo da prestação, estão envolvidos no tratamento de dados pessoais na medida aí indicada e foram aprovados pelo Responsável. As restantes obrigações do Subcontratante perante os subcontratantes mantêm-se inalteradas.
12. Para efeitos deste contrato, apenas constituem subcontratação as prestações que tenham uma ligação direta com a prestação principal. Estão excluídas as prestações acessórias, como transporte, manutenção e limpeza, bem como a utilização de serviços de telecomunicações ou de apoio ao utilizador. Mantém-se, porém, a obrigação do Subcontratante de garantir, também nesses casos, o cumprimento da proteção e segurança de dados.

8. Direitos e obrigações do Responsável

1. Compete exclusivamente ao Responsável a avaliação da licitude do tratamento encomendado e a salvaguarda dos direitos dos titulares dos dados.
2. O Responsável emite todas as ordens, subordens ou instruções de forma documentada. Em casos urgentes, podem ser dadas instruções verbalmente, devendo o Responsável confirmá-las por escrito sem demora.
3. O Responsável informa o Subcontratante sem demora sempre que detete erros ou irregularidades na verificação dos resultados do serviço.
4. O Responsável tem o direito de verificar, em medida adequada, o cumprimento das disposições de proteção de dados e das cláusulas contratuais pelo Subcontratante, nomeadamente solicitando informações, consultando os dados armazenados e os programas de tratamento, bem como realizando outras verificações no local, desde que tal seja possível por razões de segurança. As pessoas encarregadas da verificação devem ter, na medida do necessário e possível por razões de segurança, acesso aos equipamentos do Subcontratante.
5. Como não são tratados nem armazenados dados pessoais, as verificações no Subcontratante não são obrigatórias para este e, se ocorrerem, devem realizar-se sem perturbações evitáveis da sua atividade. Salvo motivos urgentes devidamente documentados pelo Responsável, as verificações decorrem com aviso prévio adequado, durante o horário laboral do Subcontratante, e não com uma frequência superior a 12 meses. Se o Subcontratante apresentar prova de implementação integral das medidas técnicas e organizativas acordadas e de auditoria adequada, o Responsável pode renunciar a verificações próprias.

9. Obrigações de notificação

1. O Subcontratante comunica ao Responsável, sem demora, violações de segurança de dados pessoais tratados por conta do Responsável; suspeitas fundamentadas devem igualmente ser comunicadas. A comunicação deve ocorrer, o mais tardar, no prazo de 24 horas a contar do momento em que o Subcontratante teve conhecimento do evento relevante, para o endereço indicado pelo Responsável. A comunicação deve incluir, pelo menos, as seguintes informações:
   1. uma descrição da natureza da violação de dados pessoais, sempre que possível indicando as categorias e o número aproximado de titulares de dados afetados, as categorias afetadas e o número aproximado de registos de dados pessoais afetados;
   2. o nome e os dados de contacto do Encarregado de Proteção de Dados ou outro ponto de contacto para mais informações;
   3. uma descrição das prováveis consequências da violação de dados pessoais;
   4. uma descrição das medidas adotadas ou propostas pelo Subcontratante para sanar a violação de dados pessoais e, se aplicável, medidas para mitigar os seus eventuais efeitos adversos.
2. Devem igualmente ser comunicadas, sem demora, perturbações significativas na execução do serviço, bem como infrações às normas de proteção de dados ou às disposições deste contrato, por parte do Subcontratante ou dos seus colaboradores.
3. O Subcontratante informa de imediato o Responsável sobre auditorias ou medidas por autoridades de controlo ou terceiros, na medida em que estejam relacionadas com o tratamento por conta.
4. O Subcontratante assegura apoiar o Responsável, na medida necessária, no cumprimento dos deveres previstos nos artigos 33.º e 34.º do RGPD.

10. Instruções

1. O Responsável reserva para si um amplo direito de instruções relativamente ao tratamento por conta.
2. O Subcontratante reconhece, para efeitos de emissão e receção de instruções, exclusivamente a pessoa cuja identidade corresponda à do Conta da aplicação epages Mobile MBO.
3. Em caso de substituição ou impedimento prolongado das pessoas designadas, devem ser comunicados sem demora à outra Parte os respetivos substitutos ou representantes.
4. O Subcontratante informará imediatamente o Responsável se considerar que uma instrução emitida por este viola disposições legais. O Subcontratante tem o direito de suspender a execução da instrução até que esta seja confirmada ou alterada pelo Responsável.
5. As instruções recebidas e a sua execução devem ser documentadas pelo Subcontratante.

11. Cessação do serviço

1. Aquando da cessação da relação contratual, a conta epages Mobile MBO é eliminada de forma exclusiva e irrevogável pelo Responsável, sendo, assim, eliminados todos os dados tratados por conta ou cópias dos mesmos. A eliminação deve ocorrer de modo a impedir a recuperação, mesmo de informações residuais, com esforço razoável. Não se aplica destruição física conforme a norma DIN 66399, por não existir tal necessidade.
2. A eliminação dos dados no servidor em cloud também extingue o acesso aos dados por parte de subcontratantes.
3. A eliminação dos dados no servidor em cloud ocorre sem prova de destruição apropriada, uma vez que não foram armazenados dados pessoais.
4. Como não são armazenados dados pessoais, o Subcontratante não conserva qualquer documentação para prova do tratamento adequado de dados.

12. Remuneração

Não existe remuneração direta do Subcontratante por parte do Responsável. Qualquer remuneração separada ou reembolso de custos no âmbito deste serviço deve ser acordado fora deste contrato.

13. Responsabilidade

1. A correta transmissão dos dados é da exclusiva responsabilidade do Responsável, que responde pela indemnização de danos sofridos por uma pessoa devido a um tratamento ilícito ou incorreto de dados no âmbito da relação contratual.
2. O Subcontratante não suporta o ónus da prova de que um dano não resulta de circunstância por si imputável, na medida em que os dados relevantes tenham sido por ele tratados nos termos deste acordo. O Subcontratante não pode, portanto, ser responsabilizado pelo Responsável por custos de defesa jurídica incorridos.

 

14. Cláusula penal

1. Na medida em que os dados relevantes tenham sido tratados pelo Subcontratante ao abrigo deste acordo, não existe direito a cláusula penal.

 

15. Direito de denúncia extraordinária

1. Ambas as Partes podem, a qualquer momento, denunciar o contrato, ficando o Subcontratante obrigado a eliminar irrevogavelmente todos os dados pessoais do Responsável bem como os acessos que os possibilitam.

.

16. Disposições finais

1. Ambas as Partes são obrigadas a manter confidenciais, inclusive após o termo do contrato, todos os conhecimentos obtidos no âmbito da relação contratual relativos a segredos comerciais e a medidas de segurança de dados da outra Parte. Em caso de dúvida sobre se uma informação está sujeita à obrigação de confidencialidade, deve esta ser tratada como confidencial até autorização escrita da outra Parte.
2. Se bens do Responsável, na posse do Subcontratante, ficarem em risco por atos de terceiros (p. ex., penhora ou apreensão), por processo de insolvência ou similares, ou por outros eventos, o Subcontratante deve informar de imediato o Responsável.
3. Acordos acessórios exigem a forma escrita e referência expressa ao presente acordo.
4. É excluída a exceção de direito de retenção nos termos do § 273 do BGB relativamente aos dados tratados por conta e aos respetivos suportes de dados.
5. Se alguma disposição deste acordo for inválida, tal não afetará a validade das restantes disposições.

 

Local e data da última atualização

Lisboa, 23-05-2024