Apêndice de processamento de dados

 

Este Apêndice faz parte integrante do Contrato e é celebrado por:

 

  1. (i) O Cliente (" Exportador de Dados ")
  2. (ii) POSTCODEZIP (" Importador de Dados ")

 

Cada um sendo uma " Parte " e comumente " Partes ".

 

Preâmbulo

ONDE o Importador de Dados fornece serviços profissionais de software, computadores e serviços relacionados;

ONDE, de acordo com o Contrato, o Importador de Dados concordou em fornecer ao Exportador de Dados os serviços especificados no Contrato (os " Serviços ");

ONDE, ao fornecer os Serviços, o Importador de Dados recebe ou se beneficia do acesso às informações do Exportador de Dados ou de outras pessoas que tenham um relacionamento (potencial) com o Exportador de Dados, tais informações podem ser qualificadas como dados pessoais na acepção do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, sobre a proteção dos indivíduos no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (" RGPD ") e outras leis de proteção de dados aplicáveis.

ONDE este Apêndice contém os termos e condições aplicáveis ​​à coleta, processamento e uso de tais dados pessoais pelo Importador de Dados na qualidade de agente autorizado de processamento de dados do Exportador de Dados, para garantir que as Partes cumpram a lei de proteção de dados aplicável .

 

PORTANTO, e para permitir que as Partes continuem seu relacionamento legalmente, as Partes concluíram este Apêndice da seguinte forma:

Parte 1

 

1. Estrutura do documento e definições

1.1 Estrutura

Este Apêndice compreende diferentes partes, como segue:

 

Parte 1:

contém disposições gerais, por exemplo, sobre as definições usadas neste Apêndice, conformidade com as leis locais, tempo e rescisão

Parte 2:

contém o corpo do documento Cláusulas Contratuais Padrão não alteradas

Apêndice 1.1 da Parte 2:

contém os detalhes das operações de processamento fornecidas pelo Importador de Dados ao Exportador de Dados como o agente de processamento de dados autorizado (incluindo o processamento, natureza e finalidade do processamento, o tipo de dados pessoais e as categorias de titulares de dados) sob este Apêndice

Apêndice 2 da Parte 2:

contém uma descrição das medidas de segurança técnica e organizacional do Importador de Dados, que são aplicadas em conexão com todas as atividades de processamento descritas no Apêndice 1.1 da Parte 2

Parte 3:

contém as assinaturas das Partes vinculadas por este Apêndice e identifica cada Importador de Dados

 

1.2 Terminologia e definições

Para os fins deste Apêndice, a terminologia e as definições usadas pelo GDPR são aplicáveis ​​(no corpo do documento Cláusula Contratual Padrão na Parte 2, onde os termos definidos não são capitalizados). 

 

"Estado membro"

significa um país pertencente à União Europeia ou ao Espaço Económico Europeu

"Categorias especiais de dados (pessoais)"

refere-se a dados pessoais que revelem a origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, ou filiação sindical, e dados genéticos, dados biométricos, se processados ​​para fins de identificação única de uma pessoa, dados relativos à saúde, dados relativos ao sexo de uma pessoa vida ou orientação sexual

"Cláusulas Contratuais Padrão"

significa as Cláusulas Contratuais Padrão para a transferência de dados pessoais de agentes de processamento estabelecidos em países terceiros, nos termos da Decisão da Comissão 2010/87/UE de 5 de fevereiro de 2010, que foi alterada pela Decisão de Execução (UE) 2016/2297 da Comissão de 16 de fevereiro de 2010 Dezembro de 2016

“Processador de dados”?

significa qualquer agente de processamento, localizado dentro ou fora da UE/EEE, que concorda em receber do Importador de Dados ou de qualquer outro processador do Importador de Dados, dados pessoais para o propósito exclusivo de atividades de processamento a serem realizadas pelo Exportador de Dados após a transferir de acordo com as instruções do Exportador de Dados, os termos deste Apêndice e o Contrato com o Importador de Dados

 

 

2. Obrigações do Exportador de Dados

2.1 O Exportador de Dados tem a obrigação de garantir a conformidade com todas as obrigações aplicáveis ​​sob o GDPR e qualquer outra lei de proteção de dados aplicável que se aplique ao Exportador de Dados e mostrar tal conformidade conforme exigido pelo Artigo 5 (2) do GDPR. O Exportador de Dados garante que o Importador de Dados obteve o consentimento prévio dos titulares de dados de acordo com o Artigo 6 (a) do GDPR e cumpriu sua obrigação de informar os titulares de dados de acordo com os Artigos 13 e 14 do GDPR.

2.2 O Exportador de Dados deve fornecer ao Importador de Dados os respectivos arquivos das atividades de processamento de acordo com o Artigo 30 (1) do GDPR relacionado aos Serviços sob este Apêndice, na medida necessária para que o Importador de Dados cumpra a obrigação sob Artigo 30.º, n.º 2, do RGPD.

2.3 O Exportador de Dados deve nomear um responsável ou representante de proteção de dados na medida exigida pela lei de proteção de dados aplicável. O Exportador de Dados é obrigado a fornecer os dados de contato do agente ou representante de proteção de dados, se houver, ao Importador de Dados.

2.4. O Exportador de Dados confirma antes da conclusão do processamento, ao aceitar este Apêndice, que as medidas de segurança técnica e organizacional do Importador de Dados, conforme estabelecido no Apêndice 2 da Parte 2, são adequadas e suficientes para proteger os direitos do titular dos dados e confirma que o importador de dados oferece garantias suficientes a esse respeito.

 

3. Conformidade com a lei local

Para cumprir os requisitos da implementação dos agentes de processamento nos termos do artigo 28.º do RGPD, são aplicáveis ​​as seguintes alterações:

 

3.1 Instruções

  1. (i) O Exportador de Dados instrui o Importador de Dados a processar dados pessoais apenas em nome do Exportador de Dados. As instruções do Exportador de Dados são fornecidas neste Apêndice e no Contrato. O Exportador de Dados tem a obrigação de garantir que todas as instruções dadas ao Importador de Dados estejam em conformidade com as leis de proteção de dados aplicáveis. O Importador de Dados deve processar dados pessoais apenas de acordo com as instruções fornecidas pelo Exportador de Dados, a menos que exigido de outra forma pela União Europeia ou pela lei do Estado Membro (no último caso, a Parte 1 Cláusula 3.2 (iv) (c) se aplica) .
  2. (ii) Todas as outras instruções que vão além das instruções neste Apêndice ou no Contrato devem ser incluídas no assunto deste Apêndice e do Contrato. Se a implementação desta instrução adicional envolver custos para o Importador de Dados, o Importador de Dados deverá informar o Exportador de Dados sobre tais custos e fornecer uma explicação antes de implementar a instrução. Somente após o Exportador de Dados confirmar a aceitação desses custos para a implementação da instrução, o Importador de Dados deverá implementar esta instrução adicional. O Exportador de Dados deve fornecer instruções adicionais por escrito, a menos que a urgência ou outras circunstâncias específicas exijam outro formulário (por exemplo, oral, eletrônico). As instruções em outra forma que não a escrita devem ser confirmadas por escrito e sem demora pelo Exportador de Dados.
  3. 1. A menos que o Exportador de Dados não possa realizar a retificação, apagamento ou restrição de dados pessoais por si só, as instruções também podem estar relacionadas à retificação, apagamento e/ou restrição de dados pessoais conforme estabelecido na Parte 1 Cláusula 3.3.
  4. 2. O Importador de Dados deve informar imediatamente o Exportador de Dados se, na sua opinião, uma Instrução violar o GDPR ou outras disposições aplicáveis ​​de proteção de dados da União Europeia ou de um Estado Membro (" Instrução Contestada"). Se o Importador de Dados acreditar que uma Instrução infringe o GDPR ou outras disposições de proteção de dados aplicáveis ​​da União Europeia ou de um Estado Membro, o Importador de Dados não é obrigado a seguir a Instrução Contestada. Se o Exportador de Dados confirmar a Instrução Contestada mediante recebimento de informações do Importador de Dados e reconhece sua responsabilidade pela Instrução Contestada, o Importador de Dados deve implementar a Instrução Contestada, a menos que a Instrução Contestada esteja relacionada com (i) a implementação de medidas técnicas e organizacionais, (ii) os direitos dos Dados Sujeitos ou (iii) a contratação de processadores de Dados. Nos casos (i) a (iii), o Importador de Dados poderá entrar em contato com uma autoridade supervisora ​​competente para que a Instrução contestada seja avaliada legalmente por tal autoridade.Se a autoridade supervisora ​​declarar legal a Instrução contestada, o Importador de Dados deverá implementar a Instrução contestada. Parte 1 Cláusula 3.1 (ii) permanecerá aplicável.

 

3.2 Obrigações do Importador de Dados

  1. (i) O Importador de Dados deve garantir que as pessoas autorizadas pelo Importador de Dados a processar dados pessoais em nome do Exportador de Dados, em particular funcionários do Importador de Dados e funcionários de qualquer Subcontratado, se comprometeram a observar a confidencialidade ou estão sujeitos a um dever legal de confidencialidade apropriado e que as pessoas que têm acesso aos dados pessoais os processam de acordo com as instruções do Exportador de Dados.
  2. (ii) O Importador de Dados deve implementar as medidas de segurança técnicas e organizacionais estabelecidas no Apêndice 2 da Parte 2 antes de processar os dados pessoais em nome do Exportador de Dados. O Importador de Dados pode alterar as medidas de segurança técnicas e organizacionais de tempos em tempos, se elas não fornecerem menos proteção do que as estabelecidas no Apêndice 2 da Parte 2.
  3. (iii) O Importador de Dados deverá disponibilizar ao Exportador de Dados, mediante solicitação do Exportador de Dados, informações para demonstrar o cumprimento das obrigações do Importador de Dados sob este Apêndice. As Partes concordam que esta obrigação de informação é cumprida fornecendo ao Exportador de Dados um relatório de auditoria (abrangendo segurança de princípios, disponibilidade do sistema e confidencialidade) ("Relatório de Auditoria"). Se atividades de auditoria adicionais forem legalmente exigidas, o Exportador de Dados poderá solicitar que as inspeções sejam realizadas pelo Exportador de Dados ou outro auditor indicado pelo Exportador de Dados, sujeito à assinatura por tal auditor de um acordo de confidencialidade com o Importador de Dados ao satisfação razoável ("Auditoria"). Esta Auditoria está sujeita às seguintes condições:(i) a aceitação formal prévia por escrito do Importador de Dados; e (ii) o Exportador de Dados arcará com todos os custos relacionados à Auditoria no Local para o Exportador de Dados e o Importador de Dados. O Exportador de Dados deve criar um relatório de auditoria resumindo os resultados e observações da Auditoria no Local ("Relatório de Auditoria no Local"). Os relatórios de auditoria no local e os relatórios de auditoria são informações confidenciais do importador de dados e não devem ser divulgados a terceiros, a menos que exigido pela lei de proteção de dados aplicável ou de acordo com o consentimento do importador de dados.Os relatórios de auditoria no local e os relatórios de auditoria são informações confidenciais do importador de dados e não devem ser divulgados a terceiros, a menos que exigido pela lei de proteção de dados aplicável ou de acordo com o consentimento do importador de dados.Os relatórios de auditoria no local e os relatórios de auditoria são informações confidenciais do importador de dados e não devem ser divulgados a terceiros, a menos que exigido pela lei de proteção de dados aplicável ou de acordo com o consentimento do importador de dados.
  4. (iv) O Importador de Dados tem a obrigação de notificar o Exportador de Dados sem demora injustificada:
    1. uma. em relação a qualquer solicitação juridicamente vinculativa de divulgação de dados pessoais por uma autoridade de aplicação da lei, a menos que proibido de outra forma, como uma proibição de acordo com a lei criminal para proteger a confidencialidade de uma investigação de aplicação da lei
    2. b. em relação a qualquer reclamação e solicitação recebida diretamente de um titular de dados (por exemplo, acesso, retificação, exclusão, restrição de processamento, portabilidade de dados, objeção ao processamento de dados, tomada de decisão automatizada) sem responder a essa solicitação, a menos que o importador de dados tenha sido autorizado a faça isso
    3. c. se o Importador de Dados ou Processador de Dados estiver obrigado, sob a lei da União Europeia ou do Estado Membro ao qual o Importador de Dados ou Processador de Dados estiver sujeito, a processar os dados pessoais além das instruções do Exportador de Dados, antes de realizar tal processamento além as instruções, a menos que as leis da União Europeia ou do Estado Membro proíbam tal processamento por motivos vitais de interesse público, caso em que a notificação ao Exportador de Dados deve especificar o requisito legal sob essa lei da União Europeia ou do Estado Membro; ou
    4. d. se o Importador de Dados perceber uma violação de dados pessoais, exclusivamente por causa dele ou de seu subcontratado, que afetaria os dados pessoais do Exportador de Dados cobertos pelo presente contrato, caso em que o Importador de Dados auxiliará o Exportador de Dados em sua obrigação, face à lei de proteção de dados aplicável, informar os titulares dos dados e, se for o caso, as autoridades de controlo, prestando a informação de que dispõe, nos termos do n.º 3 do artigo 33.º do RGPD.
    5. (v) A pedido do Exportador de Dados, o Importador de Dados será obrigado a auxiliar o Exportador de Dados em sua obrigação de realizar uma avaliação de impacto de proteção de dados que possa ser exigida pelo Artigo 35 do GDPR e uma consulta prévia que possa ser exigido pelo Artigo 36 do GDPR sobre os serviços prestados pelo Importador de Dados ao Exportador de Dados sob este Apêndice, fornecendo as informações necessárias ao Exportador de Dados. O Importador de Dados só será obrigado a fornecer tal assistência se o Exportador de Dados não puder cumprir sua obrigação por outros meios. O Importador de Dados informará o Exportador de Dados sobre o custo de tal assistência. Assim que o Exportador de Dados confirmar que pode arcar com esse custo, o Importador de Dados fornecerá essa ajuda ao Exportador de Dados.
    6. (vi) Ao final da prestação dos serviços, o Exportador de Dados poderá solicitar a devolução dos dados pessoais processados ​​pelo Importador de Dados nos termos deste Apêndice no prazo de um mês após os serviços. A menos que a legislação do Estado-Membro ou da União Europeia exija que o importador de dados armazene ou retenha esses dados pessoais, o importador de dados excluirá todos esses dados pessoais ou não pessoais após o período de um mês, independentemente de terem sido devolvidos ao o Exportador de Dados a seu pedido ou não.

 

3.3 Direitos das pessoas envolvidas

  1.  
    1. (i) O Exportador de Dados gerencia e responde às solicitações feitas pelos titulares dos dados. O Data Importer não é obrigado a responder diretamente aos titulares dos dados.
    2. (ii) Se o Exportador de Dados exigir a assistência do Importador de Dados no processamento e resposta às solicitações do Titular dos Dados, o Exportador de Dados deverá emitir uma instrução adicional de acordo com a Cláusula 3.1 (ii) da Parte 1. O Importador de Dados ajudará o Exportador de Dados com as seguintes medidas organizativas adequadas e técnicas para responder aos pedidos de exercício dos direitos dos titulares dos dados estabelecidos no Capítulo III do RGPD da seguinte forma:
    3. uma. Relativamente aos pedidos de informação, o Importador de Dados apenas fornecerá ao Exportador de Dados as informações exigidas pelos artigos 13.º e 14.º do PGRD que possa ter à sua disposição caso o Exportador de Dados não possa encontrá-los por conta própria.
    4. b. Relativamente aos pedidos de acesso (artigo 15.º do RGPD), o Importador de Dados apenas fornecerá ao Exportador de Dados a informação que deve ser fornecida a um titular de dados para o referido pedido de acesso, que poderá ter à sua disposição se o último não pode encontrá-lo sozinho.
    5. c. Em relação aos pedidos de retificação (artigo 16.º do RGPD), pedidos de eliminação (artigo 17.º do RGPD), restrição de pedidos de processamento (artigo 18.º do RGPD) ou pedidos de portabilidade (artigo 20.º do RGPD), e apenas se o Exportador de Dados não puder retificar ou apagar, limitar ou transmitir os dados pessoais a outro terceiro, o Importador de Dados oferecerá ao Exportador de Dados a possibilidade de retificar ou apagar, limitar ou transmitir os dados pessoais em questão ao outro terceiro, ou se isso não for possível, fornecerá assistência para retificar ou apagar, limitar ou transmitir ao outro terceiro os dados pessoais em questão.
    6. d. Em relação à notificação relativa à retificação, apagamento ou restrição de processamento (Artigo 19 do GDPR), o Importador de Dados ajudará o Exportador de Dados notificando todos os destinatários de dados pessoais contratados pelo Importador de Dados como processadores se o Exportador de Dados assim o solicitar e se o Exportador de Dados não puder remediar a situação por conta própria.
    7. e. Relativamente ao direito de oposição exercido por um titular de dados (artigos 21.º e 22.º do RGPD), o Exportador de Dados determinará se a oposição é legítima e como lidar com ela.
    8. (iii) As obrigações de assistência do Importador de Dados estão limitadas aos dados pessoais processados ​​em sua infraestrutura (por exemplo, bancos de dados, sistemas, aplicativos de propriedade ou fornecidos pelo Importador de Dados).
    9. (iv) O Exportador de Dados determinará se um Titular de Dados pode exercer os direitos dos Titulares de Dados estabelecidos na Cláusula 3.1 desta Parte 1 e informará o Importador de Dados sobre a extensão da assistência especificada nas Cláusulas 3.3 (ii), ( iii) da Parte 1 é necessário.
    10. (v) Se o Exportador de Dados solicitar medidas técnicas e organizacionais adicionais ou modificadas para atender aos direitos dos titulares de dados que vão além da assistência prestada pelo Importador de Dados nos termos da Subcláusula 3.3 (ii), (iii) da Parte 1, os Dados O Importador deve informar o Exportador de Dados dos custos de implementação de tais medidas técnicas e organizacionais adicionais ou modificadas. Assim que o Exportador de Dados confirmar que pode arcar com esses custos, o Importador de Dados deverá implementar tais medidas técnicas e organizacionais adicionais ou modificadas para auxiliar o Exportador de Dados a responder às solicitações dos Titulares de Dados.
    11. (vi) Sem limitar o escopo da Cláusula 3.3 (v) da Parte 1, o Exportador de Dados será obrigado a reembolsar o Importador de Dados por suas despesas razoáveis ​​incorridas para responder às solicitações dos Titulares de Dados.

 

3.4 Subprocessamento

  1.  
    1. (i) O Exportador de Dados autoriza o uso de subcontratados pelo Importador de Dados para a prestação de serviços nos termos deste Apêndice. O Importador de Dados deve selecionar esse(s) processador(es) de Dados cuidadosamente. O Exportador de Dados aprova o(s) processador(es) de Dados listados no Apêndice 1.1 no final da Parte 2.
    2. (ii) O Importador de Dados transferirá suas obrigações sob este Apêndice para o(s) processador(es) de Dados na medida aplicável aos serviços subcontratados.
    3. (iii) O Importador de Dados pode dispensar, substituir ou nomear outro(s) processador(es) de Dados apropriados e confiáveis ​​a seu critério. Se solicitado por escrito pelo Exportador de Dados, o Importador de Dados deve seguir o procedimento abaixo:
  1.  
    1. uma. O Importador de Dados deverá informar o Exportador de Dados antes de quaisquer alterações na lista de processadores de Dados mencionados na Cláusula 3.4 (i) da Parte 1. Se o Exportador de Dados não se opuser nos termos da Cláusula 3.4. (b) da Parte 1 trinta dias após o recebimento da notificação do Importador de Dados, os processadores de Dados adicionais serão considerados aceitos.
    2. b. Se o Exportador de Dados tiver um motivo legítimo para se opor a um processador de Dados adicional, ele notificará previamente o Importador de Dados por escrito no prazo de trinta dias após o recebimento da notificação do Importador de Dados e antes que o serviço do Importador de Dados seja colocado em operação. Se o Exportador de Dados se opuser ao uso de um processador de Dados adicional, o Importador de Dados poderá eliminar a objeção por uma das seguintes opções (escolhidas a seu critério): (A) o Importador de Dados cancelará seus planos de usar um processador adicional em relação os dados pessoais do Exportador de Dados; (B) o Importador de Dados tomará as medidas corretivas solicitadas pelo Exportador de Dados em sua objeção (cancelamento da objeção) e usará o processador adicional em relação aos dados pessoais do Exportador de Dados;(C) o Importador de Dados pode deixar de fornecer ou o Exportador de Dados pode concordar em não usar (temporária ou permanentemente) um aspecto específico do serviço que envolveria o uso do processador adicional do Exportador de Dados dos dados pessoais do Exportador de Dados.
  1.  
    1. (iv) se o processador de dados estiver sediado fora da UE-EEE em um país que não seja reconhecido como oferecendo um nível adequado de proteção de dados após uma decisão da Comissão Europeia, o importador de dados tomará as medidas para cumprir um nível adequado de proteção de dados de acordo com o GDPR (tais medidas podem incluir - entre outras e - o uso de contratos de processamento de dados com base nas cláusulas do Modelo da UE, transferência para processadores de dados autocertificados no âmbito do Escudo de Proteção UE-EUA , ou um programa similar).

 

3.5 Expiração

A expiração deste Anexo é idêntica à data de expiração do Contrato correspondente. Salvo disposição em contrário neste Apêndice, os direitos e deveres relativos à rescisão serão os mesmos contidos no Contrato.

 

4. Limitação de Responsabilidade

4.1 Cada parte lida com suas obrigações sob este Apêndice e a legislação de proteção de dados aplicável.

4.2 Qualquer responsabilidade relacionada a uma violação das obrigações deste Apêndice ou da legislação de proteção de dados aplicável estará sujeita e regida pelas disposições de responsabilidade estabelecidas ou aplicáveis ​​ao Contrato, salvo disposição em contrário neste Apêndice. Se a responsabilidade for regida pelas disposições de responsabilidade estabelecidas ou aplicáveis ​​ao Contrato, para calcular os limites de responsabilidade ou determinar a aplicação de outras limitações de responsabilidade, qualquer responsabilidade decorrente deste Apêndice será considerada decorrente do Contrato.

 

5. Disposições gerais

5.1 Se houver inconsistências ou discrepâncias entre as Partes 1 e 2 deste Apêndice, a Parte 2 prevalecerá. Especificamente, mesmo nesse caso, a Parte 1, que simplesmente vai além da Parte 2 (ou seja, os termos das cláusulas padrão) sem contradizê-la, permanecerá válida.

5.2 Caso surja alguma discrepância entre as disposições deste Apêndice e as de outros contratos que vinculam as partes, este Apêndice prevalecerá em relação às obrigações de proteção de dados das partes. Em caso de dúvida sobre se as cláusulas de outros contratos dizem respeito às obrigações de proteção de dados das partes, este Apêndice prevalecerá.

5.3 Se qualquer disposição deste Apêndice for inválida ou inexequível, o restante deste Apêndice permanecerá em pleno vigor e efeito. A disposição inválida ou inexequível será (i) alterada para assegurar sua validade e exequibilidade, preservando, na medida do possível, a intenção das partes, ou - se isso não for possível - (ii) interpretada como se a parte inválida ou inexequível tivesse nunca fez parte do contrato. O precedente também se aplicará se houver uma omissão neste Apêndice.

5.5 Na medida do necessário, as Partes poderão solicitar alterações à Parte 1, Cláusula 3 (Cumprimento da legislação local) ou outras partes do Apêndice, a fim de cumprir interpretações, diretivas ou ordens emitidas pelas autoridades competentes da União ou do Estados-Membros, disposições nacionais de aplicação ou quaisquer outros desenvolvimentos legais relativos ao RGPD ou outras condições de delegação a quaisquer entidades envolvidas no processamento de dados e especificamente no que diz respeito ao uso das Cláusulas Contratuais Padrão no RGPD. Os termos das Cláusulas Contratuais Padrão não podem ser modificados ou substituídos a menos que a Comissão Europeia o aprove expressamente (por exemplo, por novas cláusulas adequadas e padrões de proteção de dados).

5.6 Qualquer referência neste Apêndice às "Cláusulas" deve ser entendida como se referindo a todas as disposições deste Apêndice, salvo indicação em contrário.

5.7 A escolha da lei na Parte 2, Cláusula 9 aplica-se a todo o Contrato.

 

6.  Dados pessoais transmitidos e processados ​​pelas partes para fins pessoais (transferência do controlador de dados para o controlador de dados)

6.1 As Partes sabem plenamente que determinados dados pessoais serão transferidos do Exportador de Dados para o Importador de Dados e vice-versa, e que tais dados são processados ​​por cada Parte para seus próprios fins. Em relação a esses dados pessoais, isso não afeta as outras disposições deste Apêndice (exceto esta cláusula 6).

6.2 O Exportador de Dados pode transferir dados pessoais relativos à equipe do Importador de Dados para o Importador de Dados, incluindo informações sobre incidentes de segurança, ou quaisquer outros documentos ou arquivos criados ou estabelecidos pelo Exportador de Dados em conexão com os Serviços prestados pela equipe de o Importador de Dados. O importador de dados pode processar esses dados pessoais para seus próprios fins, em particular em suas relações profissionais com o pessoal do importador de dados, para controle de qualidade e treinamento ou para fins comerciais.

6.3. O Importador de Dados pode transferir dados pessoais para o Exportador de Dados, incluindo o nome e detalhes de contato do pessoal do Importador de Dados. O Exportador de Dados pode processar esses dados pessoais para seus próprios fins.

6.4 Ambas as partes devem cumprir todas as leis de proteção de dados aplicáveis, incluindo o GDPR, na coleta, processamento e uso de dados pessoais recebidos da outra parte sob a cláusula 1 da Parte 1. Em particular, ambas as Partes devem tomar medidas de segurança adequadas, fornecendo um nível de proteção semelhante às medidas de segurança estabelecidas no Apêndice 2 da Parte 2. Qualquer acesso a esses dados pessoais será limitado à necessidade de conhecê-los.

6.5 Ambas as Partes devem excluir esses dados pessoais o mais rápido possível após os objetivos terem sido alcançados.

Parte 2

 

DECISÃO DA COMISSÃO

em 5 de fevereiro de 2010

sobre cláusulas contratuais padrão para a transferência de dados pessoais para processadores de dados estabelecidos em países terceiros sob a Diretiva 95/46/EC do Parlamento Europeu e do Conselho

 

 

 

Cláusula 1

Definições

No sentido das cláusulas:

a) 'dados pessoais', 'categorias especiais de dados', 'tratamento/tratamento', 'controlador', 'processador', 'titular dos dados' e 'autoridade de supervisão' terão o mesmo significado que na 95/46/CE Directiva do Parlamento Europeu e do Conselho de 24 de Outubro de 1995 relativa à protecção das pessoas singulares no que respeita ao tratamento de dados pessoais e à livre circulação desses dados (1);

b) o 'Exportador de Dados' é o controlador de dados que transfere os dados pessoais;

c) o 'Importador de Dados' é o processador de dados que concorda em receber do Exportador de Dados dados pessoais destinados a serem processados ​​em nome do Exportador de Dados após a transferência de acordo com suas instruções e nos termos destas cláusulas e que não é sujeito ao mecanismo de um país terceiro que assegure uma proteção adequada na aceção do artigo 25.º, n.º 1, da Diretiva 95/46/CE; (d) "Processador de dados" significa o processador de dados contratado pelo importador de dados ou por qualquer outro processador de dados do importador de dados que concorde em receber do importador de dados ou qualquer outro processador de dados do importador de dados dados pessoais exclusivamente para atividades de processamento para ser realizado em nome do Exportador de Dados após a transferência de acordo com as instruções do Exportador de Dados,nas condições estabelecidas nestas Cláusulas e nos termos da subcontratação escrita do contrato de tratamento de dados;

e) "Lei de proteção de dados aplicável" significa a legislação que protege os direitos e liberdades fundamentais das pessoas, incluindo o direito à privacidade no que diz respeito ao tratamento de dados pessoais, e aplicável a um responsável pelo tratamento no Estado-Membro onde o Exportador de Dados está estabelecido;

f) "medidas técnicas e organizacionais de segurança†? significa medidas destinadas a proteger os dados pessoais contra destruição acidental ou ilícita ou perda acidental, alteração, divulgação ou acesso não autorizado, em particular quando o processamento envolve a transmissão de dados através de redes, e contra todas as outras formas ilegais de processamento.

Cláusula 2

Detalhes da transferência

Os detalhes da transferência, incluindo, quando apropriado, categorias especiais de dados pessoais, são especificados no Anexo 1, que faz parte integrante destas cláusulas.

Cláusula 3

Cláusula de terceiro beneficiário

1. O titular dos dados pode fazer valer contra o Exportador de Dados esta Cláusula, Cláusula 4(b) a (i), Cláusula 5(a) a (e) e (g) a (j), Cláusula 6 (1) e (2) ), Cláusula 7, Cláusula 8(2) e Cláusulas 9 a 12 como terceiro beneficiário

2. O titular dos dados pode fazer cumprir esta Cláusula, Cláusula 5 (a) a (e) e (g), Cláusula 6, Cláusula 7, Cláusula 8 (2) e Cláusulas 9 a 12 contra o Importador de Dados onde o Exportador de Dados tenha fisicamente desapareceu ou deixou de existir legalmente, a menos que todas as suas obrigações legais tenham sido transferidas, por contrato ou por força de lei, para a entidade sucessora, à qual revertem os direitos e obrigações do Exportador de Dados, e contra a qual os dados sujeito pode, portanto, fazer cumprir as referidas cláusulas.

O titular dos dados pode fazer cumprir esta Cláusula, Cláusula 5 (a) a (e) e (g), Cláusula 6, Cláusula 7, Cláusula 8 (2) e Cláusulas 9 a 12 contra o Processador de Dados, mas apenas nos casos em que os Dados O Exportador e o Importador de Dados desapareceram fisicamente, deixaram de existir legalmente ou se tornaram insolventes, a menos que todas as obrigações legais do Exportador de Dados tenham sido transferidas, por contrato ou por força de lei, para o sucessor legal, a quem os direitos e obrigações do Exportador de Dados são, portanto, adquiridas e contra quem o titular dos dados pode, portanto, aplicar tais cláusulas. Tal responsabilidade do processador de dados deve ser limitada às suas próprias atividades de processamento sob estas cláusulas.

4. As partes não se opõem a que o titular dos dados seja representado por uma associação ou outro órgão se assim o desejar e se a legislação nacional o permitir.

Cláusula 4

Obrigações do Exportador de Dados

O Exportador de Dados aceita e garante o seguinte:

a) o processamento, incluindo a transferência efetiva de dados pessoais, foi e continuará a ser realizado de acordo com as disposições relevantes da lei de proteção de dados aplicável (e, quando aplicável, foi notificado às autoridades competentes do Estado-Membro em que o Exportador de Dados está sediado) e não infrinja as disposições relevantes desse Estado;

b) instruíram e instruirão durante a duração dos serviços de processamento de dados pessoais o Importador de Dados para processar os dados pessoais transferidos em nome exclusivo do Exportador de Dados e de acordo com a lei de proteção de dados aplicável e estas cláusulas;

c) o Importador de Dados fornecerá garantias suficientes em relação às medidas de segurança técnica e organizacional especificadas no Anexo 2 do presente contrato;

d) após avaliação dos requisitos da lei de proteção de dados aplicável, as medidas de segurança são adequadas para proteger os dados pessoais contra destruição acidental ou ilícita ou perda acidental, alteração, divulgação ou acesso não autorizado, em particular quando o processamento envolve a transmissão de dados em rede, e contra todas as outras formas ilícitas de tratamento e assegurar um nível de segurança adequado aos riscos representados pelo tratamento e à natureza dos dados a proteger, tendo em conta o nível de tecnologia e o custo de implementação;

e) garantirão o cumprimento das medidas de segurança;

f) se a transferência se referir a categorias especiais de dados, o titular dos dados foi informado ou será informado antes da transferência, ou logo que possível após a transferência, que seus dados podem ser transferidos para um país terceiro que não oferece um nível de protecção adequado na acepção da Directiva 95/46/CE;

g) eles encaminharão qualquer notificação recebida do Importador de Dados ou de qualquer processador de Dados nos termos das Cláusulas 5 (b) e 8 (3) à autoridade supervisora ​​de proteção de dados se decidir continuar a transferência ou suspender sua suspensão;

h) disponibilizarão aos titulares dos dados, se assim o solicitarem, uma cópia destas Cláusulas, com exceção do Anexo 2, e uma descrição resumida das medidas de segurança, e uma cópia de qualquer outro contrato de subcontratação, celebrado ao abrigo destas Cláusulas, salvo se o As cláusulas ou o contrato contêm informações comerciais, podendo, nesse caso, retirá-las;

i) no caso de subcontratação do processo de processamento de dados, a atividade de processamento é realizada de acordo com a Cláusula 11 por um processador de dados que forneça pelo menos o mesmo nível de proteção de dados pessoais e direitos do titular de dados que o Importador de Dados sob estas Cláusulas ; e

j) garantirá o cumprimento da Cláusula 4 (a) a (i).

Cláusula 5

Obrigações do importador de dados

O Importador de Dados aceita e garante o seguinte:

a) eles processarão os dados pessoais apenas em nome do Exportador de Dados e sob as instruções do Exportador de Dados e estas cláusulas; se não puder cumprir por qualquer motivo, eles concordam em informar o Exportador de Dados de sua incapacidade o mais rápido possível, caso em que o Exportador de Dados poderá suspender a transferência de dados e/ou rescindir o contrato;

b) não têm motivos para acreditar que a lei que lhes é aplicável o impeça de cumprir as instruções dadas pelo Exportador de Dados e as obrigações que lhe incumbem por força do contrato, e se tal lei estiver sujeita a uma alteração que possa ter um efeito material adverso efeito sobre as garantias e obrigações previstas nas Cláusulas, ele deverá notificar o Exportador de Dados da alteração sem demora após tomar conhecimento dela, caso em que o Exportador de Dados poderá suspender a transferência de dados e/ou rescindir o contrato; (c) implementaram as medidas de segurança técnicas e organizacionais especificadas no Apêndice 2 antes de processar os dados pessoais transferidos;

d) notificarão sem demora o Exportador de Dados:

i) qualquer pedido vinculativo de divulgação de dados pessoais de autoridade policial, salvo disposição em contrário, como proibição criminal destinada a preservar o sigilo de uma investigação policial;

ii) qualquer acesso acidental ou não autorizado; e

iii) qualquer pedido recebido directamente dos interessados ​​sem resposta, salvo se tiver sido autorizado a fazê-lo; administradores

e) atenderão prontamente e adequadamente a todas as consultas do Exportador de Dados sobre o processamento dos dados pessoais transferidos e agirão sob a opinião da autoridade supervisora ​​sobre o processamento dos dados transferidos;

f) a pedido do Exportador de Dados, eles submeterão suas instalações de processamento de dados a uma auditoria das atividades de processamento cobertas por estas cláusulas a serem realizadas pelo Exportador de Dados ou por um órgão de supervisão composto por membros independentes com as qualificações profissionais necessárias, sujeito a uma obrigação de sigilo e escolhido pelo Exportador de Dados, quando apropriado com o acordo da autoridade supervisora;

g) colocarão à disposição do titular dos dados, se assim o solicitar, uma cópia destas Cláusulas, ou de qualquer subcontratação existente do contrato de tratamento de dados, salvo se as Cláusulas ou o contrato contiverem informação comercial, caso em que poderá retirar tais informações, exceto o Anexo 2, que será substituído por uma descrição resumida das medidas de segurança, onde o titular dos dados não pode obter uma cópia do Exportador de Dados;

h) no caso de subcontratação adicional confidencial do processamento de dados, ele garantirá que informe previamente o Exportador de Dados e obtenha o consentimento por escrito do Exportador de Dados;

i) os serviços de processamento fornecidos pelo processador de dados devem cumprir a Cláusula 11;

j) enviarão imediatamente ao Exportador de Dados uma cópia de qualquer subcontratação do contrato de processamento de dados celebrado por ele sob estas Cláusulas.

Cláusula 6

Responsabilidade

1. As partes concordam que qualquer titular de dados que tenha sofrido danos devido a uma violação das obrigações referidas na Cláusula 3 ou Cláusula 11 por uma parte ou por um processador de dados pode obter uma compensação do Exportador de Dados pelos danos sofridos.

2. Se um titular de dados for impedido de intentar uma ação por danos, conforme referido no parágrafo 1, contra o Exportador de Dados por falha do Importador de Dados ou seu processador de Dados em cumprir qualquer uma de suas obrigações nos termos da Cláusula 3 ou Cláusula 11 porque os Dados Exportador desapareceu fisicamente, deixou de existir legalmente ou se tornou insolvente, o Importador de Dados concorda que o titular dos dados pode apresentar uma reclamação contra ele como se fosse o Exportador de Dados, a menos que todas as obrigações legais do Exportador de Dados tenham sido transferidas, por contrato ou de pleno direito, à entidade sucessora, contra a qual o titular dos dados poderá então fazer valer os seus direitos. O importador de dados não pode confiar em uma violação de suas obrigações por um processador de dados para evitar sua própria responsabilidade.

3. Se um titular de dados for impedido de intentar a ação referida nos parágrafos 1 e 2 contra o Exportador de Dados ou o Importador de Dados por violação pelo processador de dados de suas obrigações nos termos da Cláusula 3 ou Cláusula 11 porque o Exportador de Dados e o Importador de Dados desapareceram fisicamente, deixaram de existir legalmente ou se tornaram insolventes, o processador de dados concorda que o titular dos dados pode apresentar uma reclamação contra ele sobre suas próprias atividades de processamento de acordo com estas cláusulas como se fosse o Exportador de Dados ou o Importador de Dados, a menos que todos as obrigações legais do Exportador de Dados ou do Importador de Dados foram transferidas, por contrato ou por força de lei, para o sucessor legal, contra o qual o titular dos dados poderá então fazer valer seus direitos.A responsabilidade do processador de dados deve ser limitada às suas próprias atividades de processamento de acordo com estas cláusulas.

 

Cláusula 7

Mediação e jurisdição

1. O Importador de Dados concorda que, se nos termos das cláusulas, o titular dos dados invocar contra si o direito do terceiro beneficiário e/ou reivindicar uma compensação pelo prejuízo sofrido, aceitará a decisão do titular dos dados:

a) submeter o litígio à mediação de uma pessoa independente ou, se for caso disso, da autoridade de controlo;

b) levar o litígio aos tribunais do Estado-Membro onde o Exportador de Dados está sediado.

2. As partes acordam que a escolha feita pelo titular dos dados não afeta o direito processual ou material do titular dos dados de obter reparação de acordo com outras disposições do direito nacional ou internacional.

Cláusula 8

Cooperação com autoridades de supervisão

1. O Exportador de Dados compromete-se a depositar uma cópia do presente contrato junto da autoridade de controlo se esta o exigir ou se tal depósito estiver previsto na lei de proteção de dados aplicável.

2. As partes concordam que a autoridade supervisora ​​pode realizar verificações no Importador de Dados e em qualquer processador de Dados na mesma medida e nas mesmas condições que as verificações realizadas no Exportador de Dados de acordo com a lei de proteção de dados aplicável.

3. O Importador de Dados deve informar o Exportador de Dados o mais rápido possível sobre a existência de legislação sobre o Importador de Dados ou qualquer processador de Dados que impeça a verificação no Importador de Dados ou em qualquer processador de Dados de acordo com o parágrafo 2. Nesse caso, o O Exportador de Dados pode tomar as medidas previstas na Cláusula 5 (b).

Cláusula 9

Lei aplicável

As cláusulas se aplicam e são regidas pela lei do Estado Membro onde o Exportador de Dados está sediado.

Cláusula 10

Modificação do contrato

As partes comprometem-se a não modificar as presentes cláusulas. As partes ficam livres para incluir outras cláusulas comerciais que julguem necessárias, desde que não contrariem as presentes cláusulas.

Cláusula 11

Subcontratação subsequente

1. O Importador de Dados não subcontratará nenhuma de suas atividades de processamento realizadas em nome do Exportador de Dados sob estas cláusulas sem o consentimento prévio por escrito do Exportador de Dados. O Importador de Dados somente subcontratará suas obrigações sob estas Cláusulas, com o consentimento do Exportador de Dados, por meio de um acordo por escrito com o processador de Dados impondo ao processador de Dados as mesmas obrigações impostas ao Importador de Dados sob estas Cláusulas. Se o processador de dados não puder cumprir suas obrigações de proteção de dados sob esse contrato por escrito, o importador de dados permanecerá totalmente responsável perante o exportador de dados pelo cumprimento dessas obrigações.

2. O acordo prévio por escrito entre o Importador de Dados e o Processador de Dados também incluirá uma cláusula de terceiro beneficiário conforme estabelecido na Cláusula 3 para os casos em que o titular dos dados estiver impedido de apresentar a reclamação por danos referida na Cláusula 6 (1 ), contra o Exportador de Dados ou o Importador de Dados porque o Exportador de Dados ou o Importador de Dados desapareceu fisicamente, deixou de existir legalmente ou se tornou insolvente e todas as obrigações legais do Exportador ou Importador de Dados não foram transferidas, por contrato ou por operação de direito, para outra entidade sucessora. A responsabilidade do processador de dados deve ser limitada às suas próprias atividades de processamento de acordo com estas cláusulas.

3. As disposições relativas aos aspectos de proteção de dados da subcontratação do tratamento de dados do contrato referido no n.º 1 são regidas pela lei do Estado-Membro em que o Exportador de Dados está estabelecido.

4. O Exportador de Dados deve manter uma lista de subcontratação dos acordos de processamento de dados celebrados sob estas Cláusulas e notificados pelo Importador de Dados de acordo com a Cláusula 5 (j), que deve ser atualizado pelo menos uma vez por ano. Esta lista deve ser disponibilizada à autoridade supervisora ​​de proteção de dados do Exportador de Dados.

Cláusula 12

Obrigação após o término dos serviços de processamento de dados pessoais

1. As partes concordam que, após a conclusão dos serviços de processamento de dados, o Importador de Dados e o Processador de Dados, de acordo com a conveniência do Exportador de Dados, devolverão todos os dados pessoais transferidos e suas cópias ao Exportador de Dados, ou destruirão todos esses dados e fornecerão prova a destruição ao Exportador de Dados, a menos que a legislação imposta ao Importador de Dados o impeça de devolver ou destruir a totalidade ou parte dos dados pessoais transferidos. Nesse caso, o Importador de Dados garante que garantirá a confidencialidade dos dados pessoais transferidos e que deixará de processar os dados ativamente.

2. O Importador de Dados e o Processador de Dados devem garantir que, se solicitado pelo Exportador de Dados e/ou pela autoridade supervisora, submeterão seus meios de processamento de dados à verificação das medidas referidas no parágrafo 1.

 

 

 

 

Apêndice 1.1 à Parte 2

Detalhes da transferência

 

 

Exportador de dados

O Exportador de Dados é o Cliente definido no contrato.

 

Importador de dados

O Data Importer é POSTCODEZIP e é designado para processar os dados, prestando serviços ao Data Exporter.

 

Sujeitos dos dados

Os dados pessoais transferidos dizem respeito às seguintes categorias de titulares de dados:

uma?? assinantes de telefone listados no diretório universal

â˜' Outros, incluindo:

 

Categorias de dados

Os dados pessoais transferidos dizem respeito às seguintes categorias de dados:

 

Categorias de dados pessoais dos titulares de dados do Exportador de Dados em particular,

uma?? Nome completo

' Endereço postal

uma?? Dados de contato (e-mail, telefone, endereço IP, etc.)

uma?? Detalhes das atividades de marketing relativas ao assinante de telefone

â˜' Outros, incluindo o tipo de moradia, renda e idades médias da cidade feitas anonimamente

 

Categorias especiais de dados (se aplicável)

Os dados pessoais transferidos dizem respeito às seguintes categorias especiais de dados:

â˜' A transferência de categorias especiais de dados não está prevista

uma?? Raça ou origem étnica

uma?? Crenças religiosas ou filosóficas

uma?? Filiação ao sindicato

uma?? Ideologia política

uma?? Informação genética

uma?? Informações biométricas

uma?? Informações sobre orientação sexual ou vida sexual

uma?? Dados de saúde

 

Atividades de processamento

Os dados pessoais transferidos estarão sujeitos às seguintes atividades básicas de processamento:

 

  •  
    • •  Finalidade do processamento

O processamento realizado em nome do Exportador de Dados é baseado nos seguintes assuntos, em particular:

â˜' Encarregar-se dos produtos ou serviços oferecidos pelo Exportador de Dados

â˜' A oferta de um produto ou serviço que a pessoa chamada pode solicitar

- Pedidos retirados das pessoas chamadas e processamento posterior desses pedidos

â˜' Questionários de estudo e análises

' Telemarketing

uma?? Outros, incluindo:

 

  •  
    • •  Natureza e finalidade do processamento

O Importador de Dados processa os dados pessoais dos titulares de dados em nome do Exportador de Dados, a fim de fornecer os seguintes serviços, e principalmente:

  • 'Preenchimento automático de formulários
  • â˜' Formulário de validação de endereços

' Vendas e Marketing

â˜' Outros, incluindo atualização de bancos de dados de prefeituras e partidos políticos

 

  •  
    • •  Prestação de serviços e contratação de prestadores de serviços

 

POSTCODEZIP principalmente combina, centraliza e fornece serviços ao Exportador de Dados. Os serviços prestados pelo provedor de serviços nomeado podem ser estruturados (entre outros conforme apropriado) em torno dos seguintes serviços auxiliares: (i) fornecimento de aplicativos, ferramentas, sistemas e infraestrutura de TI em relação aos centros de processamento de dados utilizados, a fim de fornecer e apoiar os serviços, incluindo o processamento de dados pessoais dos titulares de dados, conforme descrito acima, por meio de tais aplicativos, ferramentas e sistemas, (ii) o fornecimento de suporte de TI, manutenção e outros serviços relacionados a tais aplicativos, ferramentas, sistemas e infraestrutura de TI, incluindo acesso potencial a dados pessoais armazenados em tais aplicativos, ferramentas e sistemas, e (iii) a prestação de serviços de proteção de dados, monitoramento de proteção e serviços de resposta a incidentes,incluindo o acesso potencial a dados pessoais ao fornecer esses serviços de proteção. POSTCODEZIP pode contratar processadores de dados conforme definido abaixo para fornecer os serviços, incluindo serviços auxiliares.

 

  •  
    • • Prestadores de serviços terceirizados externos como subentidades designadas para o processamento de dados

 

A POSTCODEZIP contrata provedores de serviços externos e terceirizados, que não são subsidiárias da POSTCODEZIP, para apoiar a prestação de serviços ao Exportador de Dados. O Exportador de Dados aprova esses provedores de serviços terceirizados externos como subentidades atribuídas ao processamento de dados.

 

Se uma subentidade envolvida no processamento de dados estiver localizada fora da UE/EEE, em um país que não tenha um nível adequado de proteção de dados por decisão da Comissão Europeia, o Importador de Dados tomará medidas para obter um nível adequado de proteção de dados proteção de dados de acordo com o GDPR e a seção 3.4 (iv) da Parte 1.

 

 

Apêndice 2, Parte 2

Medidas de proteção técnica e organizacional

 

O Importador de Dados tomará as seguintes medidas de proteção técnica e organizacional confirmadas pelo Exportador de Dados, a fim de garantir um nível adequado de segurança dos direitos e liberdades dos indivíduos, dependendo dos riscos. Ao avaliar o nível de proteção em questão, o Exportador de Dados considerou, em particular, os riscos envolvidos no processamento, incluindo destruição acidental ou ilegal, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados ou processados ​​de outra forma. Por esclarecimento: Estas medidas de proteção técnica e organizacional não se aplicam aos aplicativos, ferramentas, sistemas e/ou infraestrutura de TI fornecidos pelo Exportador de Dados.

1 Medidas gerais de proteção técnica e organizacional

1.1 Informações gerais e estratégias de proteção de dados

As seguintes etapas devem ser tomadas para seguir as estratégias gerais de proteção de dados e informações:

  • a) tomar medidas para avaliar as tomadas quanto à proteção técnica e organizacional;
  • b) ministrar treinamentos para conscientização dos colaboradores;
  • c) ter uma descrição dos sistemas em causa e permitir o acesso aos trabalhadores;
  • d) estabelecer um processo formal de documentação sempre que os sistemas forem implementados ou modificados;
  • e) documentar a estrutura organizacional, processos, responsabilidades e respectivas avaliações;

1.2 Organização da proteção da informação

As seguintes medidas devem ser tomadas para coordenar as atividades de proteção de dados e informações:

  • a) responsabilidades definidas para a proteção de informações e dados (por exemplo, através da política de gestão de proteção de dados);
  • b) os conhecimentos necessários para proteger as informações e os dados que permanecem disponíveis;
  • c) todos os colaboradores estão comprometidos em garantir que os dados pessoais sejam mantidos em sigilo e tenham sido informados das possíveis consequências do descumprimento deste compromisso.

1.3 Controle de acesso às áreas de processamento

As seguintes medidas devem ser tomadas para evitar que pessoas não autorizadas tenham acesso a sistemas de processamento de dados (em particular software e hardware) quando dados pessoais são processados, armazenados ou transmitidos:

  • a) estabelecer áreas seguras;
  • b) proteger e restringir o acesso aos sistemas de processamento de dados;
  • c) estabelecer autorizações de acesso a colaboradores e terceiros, incluindo os respetivos documentos;
  • d) qualquer acesso aos centros de processamento de dados nos quais os dados pessoais são armazenados deve ser registrado.

1.4 Controle de acesso a sistemas de processamento de dados

As seguintes medidas devem ser tomadas para impedir o acesso não autorizado aos sistemas de processamento de dados:

  • a) políticas e procedimentos de autenticação de usuários;
  • b) a utilização de senhas em todos os sistemas informáticos;
  • c) o acesso remoto à rede requer autenticação multifator e é concedido ao interessado de acordo com suas responsabilidades e mediante autorização;
  • d) o acesso a funções específicas é baseado em funções de trabalho e/ou atributos atribuídos individualmente a uma conta de usuário;
  • e) os direitos de acesso relacionados aos dados pessoais são revisados ​​regularmente;
  • f) os registros das alterações dos direitos de acesso são mantidos atualizados.

1.5 Controlar o acesso a áreas particulares de uso de sistemas de processamento de dados

As seguintes medidas devem ser tomadas para garantir que as pessoas autorizadas com o direito de usar o sistema de processamento de dados só possam acessar os dados dentro de suas respectivas responsabilidades e autorizações de acesso e que os dados pessoais não possam ser lidos, copiados, modificados ou excluídos sem autorização:

  1. 1. 
    1. a) políticas, instruções e treinamento de funcionários, sobre as obrigações de cada um deles sobre confidencialidade, direitos de acesso a dados pessoais e escopo do processamento de dados pessoais;
  • b) medidas disciplinares contra pessoas que acessem dados pessoais sem autorização;
  • c) o acesso aos dados pessoais será concedido apenas a pessoas autorizadas, mediante necessidade de conhecimento;
  • d) manter uma lista de administradores do sistema e tomar as medidas adequadas para monitorar os administradores do sistema;
  • e) não copiar ou reproduzir dados pessoais em qualquer sistema de armazenamento para permitir que pessoas não autorizadas removam as informações do originador;
  • f) eliminação ou destruição controlada e documentada de dados;
  • g) armazenar com segurança todos os dados pessoais que devem ser retidos por motivos legais ou regulamentares (por exemplo, obrigações de retenção de dados), e apenas pelo tempo exigido por lei.

1.6 Controle de transmissões

As seguintes medidas devem ser tomadas para evitar que os dados pessoais sejam lidos, copiados, modificados ou excluídos por terceiros não autorizados durante a transmissão ou transporte de dispositivos de armazenamento de dados (dependendo do processamento de dados pessoais realizado):

  1. 1. 
    1. a) uso de firewalls;
  • b) evitar o armazenamento de dados pessoais em dispositivos móveis de armazenamento para fins de transporte, ou criptografar os dispositivos;
  • c) usar em laptops e outros dispositivos móveis somente após a ativação da proteção de criptografia;
  • d) registro de transmissões de dados pessoais.

1.7 Controle de entrada de dados

As seguintes medidas devem ser tomadas para garantir que seja possível verificar e determinar se os dados pessoais foram inseridos ou excluídos dos sistemas de processamento de dados e por quem:

  1. 1. 
    1. a) uma política para autorizar a leitura, alteração e exclusão de dados armazenados;
  • b) medidas de proteção quanto à leitura, alteração e exclusão de dados armazenados.

1.8 Controle de trabalho

No caso de tratamento delegado de dados pessoais, devem ser tomadas as seguintes medidas para garantir que esses dados sejam tratados de acordo com as instruções do Supervisor:

  1. 1. 
    1. a) entidades ou subentidades atribuídas ao tratamento de dados, escolhidas com cuidado (prestadores de serviços que tratam dados pessoais por conta do responsável pelo tratamento);
  • b) instruções relativas ao âmbito de qualquer tratamento de dados pessoais aos colaboradores, entidades ou subentidades cedidas ao tratamento de dados;
  • c) direitos de auditoria acordados com as entidades ou subentidades atribuídas ao tratamento de dados;
  • d) acordos em vigor com as entidades ou subentidades designadas para o tratamento dos dados.

1.9 Separação do processamento para outros fins

As seguintes medidas devem ser tomadas para garantir que os dados coletados para outros fins possam ser processados ​​separadamente:

  1. 1. 
    1. a) acesso separado aos dados pessoais de acordo com os direitos existentes dos usuários;
  • b) as interfaces, processamento em lote e relatórios são para outros fins e funções, de modo que os dados coletados para outros fins possam ser processados ​​separadamente.

1.10 Pseudonimização

As seguintes medidas devem ser tomadas em relação à pseudonimização de dados pessoais:

  1. 1. 
    1. a) Se o Exportador de Dados solicitar uma operação de processamento específica ou se isso for considerado apropriado pelo Importador de Dados de acordo com as leis de proteção de dados em vigor relativas a determinadas atividades de processamento, o processamento de dados pessoais será realizado de forma que o os dados não podem mais ser atribuídos a uma pessoa específica sem o uso de informações adicionais. Essas informações adicionais serão mantidas separadamente;
  • b) uso de técnicas de pseudonimização, incluindo randomização de listas de alocação; criação de valores na forma de perfurocortantes.

1.11 Criptografia

As etapas a seguir devem ser seguidas para criptografar dados pessoais em aplicativos e transmissões que suportam criptografia:

  1.  
    1. a) uso de técnicas de criptografia;
  • b) estabelecimento de gerenciamento de criptografia para suportar as técnicas de criptografia autorizadas a serem utilizadas;
  • c) apoiar o uso de criptografia por meio de procedimentos e protocolos para geração, modificação, revogação, destruição, distribuição, certificação, armazenamento, captura, uso e arquivamento de chaves criptográficas para proteção contra modificação e divulgação não autorizadas.

1.12 Integralidade dos sistemas e serviços de processamento de dados

As seguintes medidas devem ser tomadas para garantir a integridade dos sistemas e serviços de processamento de dados:

  1. 1. a) proteção de sistemas de processamento de dados contra manipulação ou destruição por meios apropriados (por exemplo, software antivírus, software de prevenção de perda de dados e software contra malware, patches de software, firewalls e proteção de desktop gerenciado);
  • b) proibir a instalação de qualquer serviço ou software prejudicial aos sistemas de processamento de dados, serviços ou manipulação de dados pessoais;
  • c) utilização de um sistema de detecção e prevenção de intrusão de rede na própria estrutura da rede.

1.13 Disponibilidade de sistemas e serviços de processamento de dados e possibilidade de restabelecer o acesso e uso de dados pessoais em caso de incidente material ou técnico

As seguintes medidas devem ser tomadas para garantir a disponibilidade dos sistemas de processamento de dados, bem como para poder restabelecer rapidamente a disponibilidade e o acesso aos dados pessoais, em caso de incidente material ou técnico (em particular garantindo que dados pessoais estão protegidos contra destruição ou perda acidental):

  • a) ter meios de controle para manter cópias de segurança e restaurar dados perdidos ou apagados;
  • b) redundância de infraestrutura e testes de desempenho;
  • c) proteção física dos recursos informáticos;
  • d) utilização de ferramentas para monitoramento do status e disponibilidade da rede interna;
  • e) relatórios de incidentes e políticas de resposta que regem o procedimento de gerenciamento de incidentes e reiteração da adesão a essas políticas como parte do treinamento regular;
  • f) backups (às vezes fora do local) para restaurar o sistema para permitir que ele execute suas funções novamente;
  • g) planos de continuidade de negócios/recuperação de desastres

1.14 Resiliência de sistemas e serviços de processamento de dados

As seguintes medidas devem ser tomadas para garantir a resiliência dos sistemas e serviços de processamento de dados:

  • a) sistemas e configurados de forma harmoniosa, utilizando parâmetros de segurança aprovados;
  • b) redundância de rede;
  • c) proteção de contenção de sistemas críticos.

1.15 Procedimento para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento de dados

Procedimento para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para proteger o processamento de dados.

  • a) tomar as medidas necessárias para avaliar os riscos e estratégias de mitigação;
  • b) reuniões de análise de serviços do departamento de TI para tratar de questões atuais;
  • c) os planos de continuidade de negócios/recuperação de desastres são atualizados regularmente.

 

Parte 3

Assinaturas das partes e lista de importadores de dados

 

Ao preencher o formulário de encomenda online e validá-lo assinalando a caixa de aceitação das condições gerais de utilização, é estabelecido o contrato que rege a relação entre o Cliente e a POSTCODEZIP.

O envio do pagamento para POSTCODEZIP considerará o contrato acordado e estabelecido.

Tome nota: Este texto foi traduzido do francês. A versão original em francês, válida e legalmente restritiva, está disponível  aqui .