Apêndice de processamento de dados

Este Apêndice forma uma parte integral do Contrato e é alcançado por:

(i) O Cliente ("Exportador de Dados")
(ii) IQUALIF ("Importador de Dados")

Cada um sendo uma "Party" e geralmente "Parties".

Preâmbulo

Onde o importador de dados fornece serviços profissionais de software, computador e serviços relacionados (como navegadores com funções de pesquisa avançada);

Onde, de acordo com o Contrato, o Importador de Dados concordou em fornecer ao Exportador de Dados os serviços especificados no Contrato (os "Serviços");

Onde, ao fornecer os serviços, o Importador de Daods recebe ou beneficia do acesso às informações do exportador de dados ou de outras pessoas que tenham um (potencial) relacionamento com o exportador de dados, tais informações podem ser qualificadas como dados pessoais no sentido do regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016 sobre a proteção de indivíduos em relação ao processamento de dados pessoais e sobre a livre circulaçãode tais dados ("GDPR") e outras leis de proteção de dados aplicáveis.

Onde este apêndice contém os termos e condições aplicáveis à colheita, processamento e uso de tais dados pessoais pelo importador de dados na sua capacidade de agente de processamento de dados autorizado pelo exportador de dados, para garantir que ambas as partes cumpram a lei de proteção de dados aplicável.

De forma a permitir que as parties continuem com o seu relacionamento de forma legal, as parties finalizaram este apêndice da seguinte forma:

Parte 1

1. Estrutura do documento e definições

1.1 Estrutura

Este Apêndice compreende diferentes partes como segue:

Parte 1:	contém disposições gerais, por exemplo, em relação às definições usadas neste Apêndice, em conformidade com as leis locais, tempo e rescisão
Parte 2:	contém o corpo do documento de Cláusulas Contratuais Padrão não modificado
Apêndice 1.1 de Parte 2:	contém os detalhes das operações de processamento fornecidads pelo importador de dados ao exportador de dados como o agente de processamento de dados autorizado (inclusive o processamento, natureza e finalidade do processamento, o tipo de dados pessoais e as categorias dos titulares de dados) de acordo com os termos deste Apêndice
Apêndice 2 de Parte 2:	contém uma descrição das medidads de segurança técnicas e organizacionais de dados, que são aplicadas em conexão com todas as atividades de processamento descritas no Apêndice 1.1 da Parte 2
Parte 3:	contém as assinaturas das Parties a serem vinculadas por este Apêndice e identifica cada Importador de Dados

1.2 Terminologia e definições

Para os fins deste Apêndice, a terminologia e as definições utlizadas pelo GDPR são aplicáveis ( no corpo do documento da Cláusula Contratual Padrão na Parte 2, onde os termos definidos não são capitalizados).

"Estado Membro"	significa um país pertencente à União Europeia ou ao Espaço Económico Europeu
"Categorias especiais (dados pessoais"	faz referência a dados pessoais que revelam origem racial ou étnica, opiniõespolíticas, crenças religiosas ou filosóficas ou filiação em sindicatos e dados genéticos, dados biométricos, se processados com o objetico de identificar uma pessoa de forma única, dados relativos à saúde, dados relativos à vida sexual de uma pessoa ou à sua orientação sexual
"Cláusulas Contratuais Padrão"	significa as Cláusulas Contratuais Padrão para a transferência de dados pessoais de agente de processamento estabelecidos em países terceiros, nos termos da Decisão de Comissão 2010/87/UE a 5 de Fevereiro de 2010, que foi alterada pela Decisão de Execução da Comissão (UE) 2016/2297 a 16 de Dezembro 2016
“Processador de Dados”	significa qualquer agente de processamento, localizado dentro ou fora da UE/EEE, que concorda em receber do Importador de Dados ou de qualquer outro processador do Importador de Dados, dados pessoais para o propósito exclusivo de atividades de processamento a serem realizadas pelo Exportador de Dados após o transferir em acordo com as instruções do Exportador de Dados, dos termos deste Apêndice e o contrato com o Importador de Dados

2. Obrigações do Exportador de Dados

2.1 O Exportador de Dados tem a obrigação de garantiro cumprimento de todas as obrigações aplicáveis nos termos do GDPR e de qualquer outra lei de proteção de dados aplicável, que se aplique ao exportador de dados e de forma a demonstrar a conformidade conforme exigido pelo Artigo 5 (2) do GDPR. O Exportador de Dados garante que o importador de dados obteve o consentimento prévio dos titulares dos dadoes de acordo com o Artigo 6 (a) do GDPR e que este cumpriu a sua obrigação de informar os titulares dos dados de acordo com os Artigos 13 e 14 do GDPR.

2.2 O Exportador de Dados deve fornecer ao Importador de Dados os respetivos arquivos das atividades de processamento de acordo com o Artigo 30 (1) do GDPR relacionado aos Serviços sob este Apêndice, na medida necessária para que o Importador de Dados cumpra a obrigação do Artigo 30 (2) do GDPR.

2.3 O Exportador de Dados deve nomear um oficial ou representante de proteção de dados na medida exigida pela lei de proteção de dados aplicável. O Exportador de Dados é obrigado a fornecer os detalhes de contato do agente ou representante de proteção de dados, se algum, ao Importador de Dados.

2.4. O Exportador de Dados confirma, antes da conclusão do processamento, pela aceitação deste Apêndice, que as medidas de segurança técnicas e organizacionais do Importador de Dados, conforme o estabelecido no Apêndice 2 à Parte 2, são adequadas e suficientes para proteger os direitos do titular dos dados e confirma que o Importador de Dados fornece salvaguardas suficientes a este respeito.

3. Comformidade com a legislação local

De forma a atender aos requisitos de implentação dos agentes de processamento de acordo com o Artigo 28 do RGPD, as seguintes alterações são aplicáveis:

3.1 Instruções

(i) O Exportador de Dados instrui o Importador de Dados a processar dados pessoais apenas em nome do Exportador de Dados. As instrulções do Exportador de Dados estão fornecidas neste Apêndice e no Contrato. O Exportador de dados tem a obrigação de garantir que todas as instruções fornecidas ao Importador de Dados estejam em conformidade com as leis de proteção de dados aplicáveis. O Importador de Dados deve processar dados pessoais apenas de acordo com as instruções fornecidas pelo Exportador de Dados, a menos que seja exigido de outra forma pela União Europeia ou pela legislação do Estado-Membro (neste último caso, aplica-se a Parte 1, Cláusula 3.2 (iv) (c)).
(ii) Todas as outras instruções que vão além das instruções neste Apêndive ou no Contrato, devem ser incluídas no seguimento deste Apêndice e Contrato. Se a implementação desta instrução adicional envolver custos para o Importador de Dados, o Importador de Dados deverá informar o Exportador de Dados de tais custos e fornecer uma explicação antes de implementar a instrução. Somente após o exportador de dados ter confirmado a aceitação desses custos para a implentação da instrução, o Importador de Daos deve implemtnar esta instrução adicional. O Exportador de Dados deve fornecer instruções adicionais por escrito, a menos que a urgência ou outras circunstâncias específicas exijam um formulário separado (por exemplo, oral, eletrónico). As instruções numa forma diferente de escrita devem ser confirmadas em escrito e sem demora pelo Exportador de Dados.
1. A menos que o Exportador de Dados não possa realizar a retificação, eliminação ou restrição de dados pessoais por si só, as instruções também podem estar relacionadas à retificação, eliminação e/ou restrição de dados pessoais conforme estabelecido na Parte 1 Cláusula 3.3.
2. O Importador de Dados deve informar imediatamente o Exportador de Dados se, em sua opinião, uma Instrução violar a GDPR ou outras disposições aplicáveis de proteção de dados da União Européia ou de um Estado Membro (“Instrução Disputada”). Se o Importador de Dados acreditar que uma Instrução infringe a GDPR ou outras disposições aplicáveis de proteção de dados da União Européia ou de um Estado Membro, o Importador de Dados não é obrigado a seguir a Instrução Disputada. Se o Exportador de Dados confirmar a Instrução Contestada ao receber informações do Importador de Dados e reconhecer sua responsabilidade pela Instrução Contestada, o Importador de Dados deverá implementar a Instrução Contestada, a menos que a Instrução Contestada diga respeito (i) a implementação de medidas técnicas e organizacionais, (ii) os direitos dos Conteúdo dos Dados ou (iii) o engajamento dos processadores de Dados. Nos casos (i) a (iii), o Importador de Dados poderá contatar uma autoridade de supervisão competente para que a Instrução contestada seja legalmente avaliada por tal autoridade.Se a autoridade de supervisão declarar legal a Instrução contestada, o Importador de Dados deverá implementar a Instrução contestada. Parte 1 Cláusula 3.1 (ii) permanecerá aplicável.

3.2 Obrigações do Importador de Dados

(i) O Importador de Dados deve assegurar que as pessoas autorizadas pelo Importador de Dados para processar dados pessoais em nome do Exportador de Dados, em particular funcionários do Importador de Dados e funcionários de qualquer Sub-Contratado, comprometeram-se a respeitar a confidencialidade ou estão sujeitos a um dever legal de confidencialidade apropriado, e que essas pessoas que têm acesso aos dados pessoais os processem de acordo com as instruções do Exportador de Dados.
(ii) O Importador de Dados deve implementar as medidas de segurança técnica e organizacional conforme estabelecido no Apêndice 2 da Parte 2 antes de processar os dados pessoais em nome do Exportador de Dados. O Importador de Dados pode alterar as medidas de segurança técnica e organizacional de tempos em tempos se não fornecerem menos proteção do que as estabelecidas no Apêndice 2 da Parte 2.
(iii) O Importador de Dados deverá disponibilizar ao Exportador de Dados, mediante solicitação do Exportador de Dados, informações para demonstrar o cumprimento das obrigações do Importador de Dados sob este Apêndice. As Partes concordam que esta obrigação de informação seja cumprida fornecendo ao Exportador de Dados um relatório de auditoria (cobrindo a segurança de princípios, disponibilidade do sistema e confidencialidade) (“Relatório de Auditoria”). Se atividades adicionais de auditoria forem legalmente exigidas, o Exportador de Dados poderá solicitar que as inspeções sejam realizadas pelo Exportador de Dados ou por outro auditor nomeado pelo Exportador de Dados, sujeito à execução por tal auditor de um acordo de confidencialidade com o Importador de Dados à satisfação razoável do Importador de Dados (“Auditoria”). Esta Auditoria está sujeita às seguintes condições: (i) a aceitação formal prévia por escrito do Importador de Dados; e (ii) o exportador de dados arcará com todos os custos relacionados à auditoria no local para o exportador de dados e o importador de dados. O Exportador de Dados deve criar um relatório de auditoria resumindo os resultados e observações da Auditoria no Local (“Relatório de Auditoria no Local”). Os Relatórios de Auditoria no Local e os Relatórios de Auditoria são informações confidenciais do Importador de Dados e não devem ser divulgados a terceiros, a menos que exigido pela lei de proteção de dados aplicável ou de acordo com o consentimento do Importador de Dados.
(iv) O Importador de Dados tem a obrigação de notificar o Exportador de Dados sem atrasos indevidos:
1. a. em relação a qualquer pedido legalmente vinculativo para divulgação de dados pessoais por uma autoridade da lei, a menos que seja proibido, tais como uma proibição sob o direito penal para proteger o sigilo de uma investigação de aplicação da lei
2. b. em relação a qualquer reclamação e solicitação recebida diretamente de um titular de dados (por exemplo, em relação ao acesso, retificação, eliminação, restrição do processamento, portabilidade dos dados, objeção ao processamento de dados, tomada de decisão automatizada) sem responder a essa solicitação, a menos que o Importador de Dados tenha sido autorizado a fazê-lo
3. c. se o Importador de Dados ou o Processador de Dados for obrigado, sob a lei da União Européia ou do Estado Membro ao qual o Importador de Dados ou o Processador de Dados está sujeito, processar os dados pessoais além das instruções do exportador de dados, antes de realizar tal processamento além das instruções, a menos que as leis da União Europeia ou do Estado-Membro proíbam esse processamento por motivos vitais de interesse público, nesse caso, a notificação ao exportador de dados deverá especificar a exigência legal prevista nessa lei da União Européia ou do Estado Membro; ou
4. d. se o Importador de Dados perceber uma violação de dados pessoais, somente por causa de si mesmo ou de seu subcontratado, o que afetaria os dados pessoais do exportador de dados cobertos pelo presente contrato, nesse caso, o Importador de Dados ajudará o Exportador de Dados em sua obrigação, em relação à lei de proteção de dados aplicável, para informar os proprietários dos dados e, quando aplicável, as autoridades de supervisão, fornecendo as informações à sua disposição, de acordo com o Artigo 33 (3) do GDPR.
5. (v) A pedido do Exportador de Dados, o Importador de Dados será obrigado a auxiliar o Exportador de Dados em sua obrigação de executar uma avaliação do impacto da proteção de dados que pode ser exigida pelo artigo 35 do GDPR e uma consulta prévia que pode ser exigida pelo artigo 36 do GDPR em relação aos serviços prestados pelo Importador de Dados para o Exportador de Dados sob este Apêndice, fornecendo as informações necessárias ao Exportador de Dados. O Importador de Dados só será obrigado a fornecer tal assistência se o Exportador de Dados não puder cumprir sua obrigação por outros meios. O Importador de Dados informará o Exportador de Dados sobre o custo de tal assistência. Assim que o Exportador de Dados confirmar que pode arcar com esse custo, o Importador de Dados fornecerá ajuda ao Exportador de Dados.
6. (vi) No final da prestação dos serviços, o Exportador de Dados pode solicitar a devolução dos dados pessoais processados pelo Importador de Dados sob este Apêndice dentro de um mês após os serviços. A menos que a legislação do Estado-Membro ou da União Européia exija que o importador de dados armazene ou retenha tais dados pessoais, o Importador de Dados excluirá todos esses dados pessoais ou não pessoais após o período de um mês, quer tenham sido devolvidos ao Exportador de Dados a seu pedido ou não.

3.3 Direitos de pessoas envolvidas

1. (i) O Exportador de Dados gerencia e responde a solicitações feitas por titulares de dados. O Importador de Dados não é obrigado a responder diretamente aos titulares dos dados.
2. (ii) Se o Exportador de Dados requerer a assistência do Importador de Dados no processamento e resposta às solicitações do Sujeito dos Dados, o exportador de dados deverá emitir uma instrução adicional de acordo com a cláusula 3.1 (ii) da Parte 1. O Importador de Dados ajudará o Exportador de Dados com as seguintes medidas organizacionais técnicas e apropriadas para responder às solicitações de exercício dos direitos dos titulares de dados estabelecidos no Capítulo III do GDPR da seguinte forma:
3. a. Com relação aos pedidos de informação, o Importador de Dados somente fornecerá ao Exportador de Dados as informações exigidas pelos artigos 13 e 14 do GDPR que pode ter à sua disposição se o exportador de dados não puder encontrá-lo por conta própria.
4. b. Com relação aos pedidos de acesso (Artigo 15 do GDPR), o Importador de Dados fornecerá apenas ao Exportador de Dados as informações que devem ser fornecidas a titular dos dados para o referido pedido de acesso, que possa ter à sua disposição se este não puder encontrá-las sozinho.
5. c. Com relação aos pedidos de retificação (Artigo 16 do GDPR), pedidos de apagamento (Artigo 17 do GDPR), restrição de pedidos para processamento (artigo 18 do GDPR), ou pedidos de portabilidade (Artigo 20 do GDPR), e somente se o Exportador de Dados não puder retificar ou apagar por si só, limitar ou transmitir os dados pessoais a terceiros, o Importador de Dados oferecerá ao Exportador de Dados a possibilidade de retificar ou apagar, limitar ou transmitir os dados pessoais em questão a terceiros, ou se não for possível, prestará a assistência para retificar ou apagar, limitar, ou transmitir a terceiros os dados pessoais em questão.
6. d. Em relação à notificação relativa à retificação, apagamento ou restrição de processamento (artigo 19 do GDPR), o Importador de Dados auxiliará o Exportador de Dados, notificando todos os destinatários de dados pessoais contratados pelo Importador de Dados como processadores se o exportador de dados assim solicitar e se o Exportador de Dados não puder resolver a situação sozinho.
7. e. Com relação ao direito de oposição exercido por um titular de dados (artigos 21 e 22 do GDPR) o Exportador de Dados determinará se a oposição é legítima e como lidar com ela.
8. (iii) As obrigações de assistência do Importador de Dados são limitadas aos dados pessoais processados dentro de sua infra-estrutura (por exemplo, bancos de dados, sistemas, aplicações de propriedade ou fornecidas pelo Importador de Dados).
9. (iv) O Exportador de Dados deve determinar se um Titular dos Dados pode exercer os direitos dos Titulares dos Dados estabelecidos em Cláusula 3.1 desta Parte 1 e deverá informar ao Importador de Dados sobre até que ponto a assistência especificada nas Cláusulas 3.3 (ii), (iii) da Parte 1 é necessária.
10. (v) Se o exportador de dados solicitar medidas técnicas e organizacionais adicionais ou modificadas para atender aos direitos dos titulares dos dados que vão além da assistência fornecida pelo Importador de Dados sob a Sub-Cláusula 3.3 (ii), (iii) da Parte 1, o Importador de Dados deve informar o Exportador de Dados dos custos de implementação de tais medidas técnicas e organizacionais adicionais ou modificadas. Assim que o exportador de dados tiver confirmado que pode arcar com esses custos, o Importador de Dados deverá implementar tais medidas técnicas e organizacionais adicionais ou modificadas para ajudar o Exportador de Dados a responder aos pedidos dos Titulares dos Dados.
11. (vi) Sem limitar o alcance da Cláusula 3.3 (v) da Parte 1, o Exportador de Dados será obrigado a reembolsar o Importador de Dados por suas despesas razoáveis incorridas em resposta aos pedidos dos Sujeitos dos Dados.

3.4 Sub-processamento

1. (i) O Exportador de Dados autoriza o uso de subcontratados pelo Importador de Dados para a prestação de serviços sob este Apêndice. O Importador de Dados deve selecionar cuidadosamente o(s) processador(es) de dados em questão. O Exportador de Dados aprova o(s) processador(es) de dados listados no Apêndice 1.1 no final da Parte 2.
2. (ii)O Importador de Dados deve transferir suas obrigações sob este Apêndice para o (s) processador (es) de Dados na medida aplicável aos serviços subcontratados.
3. (iii) O Importador de Dados pode descartar, substituir ou nomear outro processador de dados (s) apropriado e confiável a seu critério. Se assim for solicitado por escrito pelo Exportador de Dados, o Importador de Dados deve seguir o procedimento estabelecido abaixo:
1. a. O Importador de Dados deverá informar o Exportador de Dados antes de qualquer mudança na lista de processadores de Dados mencionados na Cláusula 3.4 (i) da Parte 1. Se o Exportador de Dados não apresentar objeção sob a Cláusula 3.4. (b) da Parte 1 trinta dias após o recebimento da notificação do Importador de Dados, os processadores de Dados adicionais serão considerados como aceitos.
2. b. Se o exportador de dados tiver uma razão legítima para se opor a um processador de dados adicional, enviará notificação prévia por escrito ao importador de dados no prazo de trinta dias após o recebimento da notificação do importador de dados e antes que o serviço do importador de dados seja colocado em operação. Se o Exportador de Dados se opuser ao uso de um processador de Dados adicional, o importador de dados pode eliminar a objeção por uma das seguintes opções (escolhida a seu critério) : (A) o Importador de Dados cancelará seus planos de usar um processador adicional referente aos dados pessoais do Exportador de Dados; (B) o Importador de Dados tomará as medidas corretivas solicitadas pelo Exportador de Dados em sua objeção (cancelando a objeção) e utilizará o processador adicional em relação aos dados pessoais do Exportador de Dados; (C) o Importador de Dados poderá deixar de fornecer ou o Exportador de Dados poderá concordar em não utilizar (temporária ou permanentemente) um aspecto particular do serviço que envolveria o uso dos dados pessoais do Exportador de Dados pelo processador adicional do Exportador de Dados.
1. (iv) se o processador de dados estiver sediado fora da UE-EEE em um país que não é reconhecido como oferecendo um nível adequado de proteção de dados após uma decisão da Comissão Europeia, o Importador de Dados tomará as medidas para cumprir com um nível adequado de proteção de dados de acordo com o GDPR (tais medidas podem incluir – entre outras e – o uso de contratos de processamento de dados baseados nas cláusulas do Modelo da UE, transferência para processadores de dados autocertificados no âmbito do Escudo de Proteção UE-EUA, ou um programa similar).

3.5 Validade

O vencimento deste apêndice é idêntico à data de validade do Contrato correspondente. Exceto conforme previsto neste apêndice, os direitos e deveres relativos à rescisão serão os mesmos contidos no Contrato.

4. Limitação de responsabilidade civil

4.1 Cada uma das parte lida com suas obrigações sob este Anexo e com a legislação de proteção de dados aplicável.

4.2 Qualquer responsabilidade relativa a uma violação das obrigações sob este Anexo ou legislação de proteção de dados aplicável estará sujeita e regida pelas disposições de responsabilidade estabelecidas em, ou aplicável ao Contrato, exceto quando de outra forma previsto neste Anexo. Se a responsabilidade for regida pelas disposições de responsabilidade estabelecidas no ou aplicáveis ao Contrato, para o cálculo dos limites de responsabilidade ou determinação da aplicação de outras limitações de responsabilidade, qualquer responsabilidade decorrente deste apêndice será considerada decorrente do Contrato.

5. Disposições gerais

5.1 Se houver inconsistências ou discrepâncias entre as Partes 1 e 2 deste Apêndice, prevalecerá a Parte 2. Especificamente, mesmo que nesse caso, a Parte 1 que simplesmente vai além da Parte 2 (por exemple, os termos das cláusulas-padrão) sem contradizê-los permanecerão válidos.

5.2 Se surgir qualquer discrepância entre as disposições deste Anexo e as de outros contratos que vinculem as partes, este apêndice prevalecerá em relação às obrigações de proteção de dados das partes. Em caso de dúvida se as cláusulas em outros contratos dizem respeito às obrigações de proteção de dados das partes, este apêndice prevalecerá.

5.3 Se qualquer disposição deste Apêndice for inválida ou inexequível, o restante deste Apêndice permanecerá em pleno vigor e efeito. A disposição inválida ou inexequível será (i) alterada para garantir sua validade e aplicabilidade, preservando, na medida do possível, a intenção das partes, ou - se isso não for possível - (ii) interpretada como se a parte inválida ou inexequível nunca tivesse feito parte do contrato. O anterior também se aplica se houver omissão neste Apêndice.

5.5 Na medida do necessário, as Partes podem solicitar alterações à Parte 1, Cláusula 3 (Cumprimento da lei local) ou outras partes do Apêndice, a fim de cumprir interpretações, diretrizes ou ordens emitidas pelas autoridades competentes da União ou dos Estados-Membros, disposições de execução nacional ou quaisquer outros desenvolvimentos legais relativos ao GDPR ou outras condições de delegação a quaisquer entidades envolvidas no processamento de dados e especificamente no que diz respeito ao uso das Cláusulas Contratuais Padrão no GDPR. Os termos das Cláusulas Contratuais Padrão não podem ser modificados ou substituídos a menos que a Comissão Europeia aprove expressamente (por exemplo, por novas cláusulas adequadas e normas de proteção de dados).

5.6 Qualquer referência neste Apêndice às " Cláusulas " deve ser entendida para se referir a todas as disposições deste Apêndice, a menos que seja declarado o contrário.

5.7 A escolha da lei na Parte 2, Cláusula 9, aplica-se a todo o Contrato.

6. Dados pessoais transmitidos e processados pelas partes para fins pessoais (transferência de controlador de dados para controlador de dados)

6.1 As partes tem plena noção de que certos dados pessoais serão transferidos do Exportador de Dados para o Importador de Dados e vice-versa, e que tais dados são processados por cada parte para seus próprios propósitos. Em relação a tais dados pessoais, não afeta as demais disposições deste apêndice (exceto esta cláusula 6).

6.2 O Exportador de Dados pode transferir dados pessoais relativos a equipe do Importador de Dados para o Importador de Dados, incluindo informações sobre incidentes de segurança, ou quaisquer outros documentos ou arquivos criados ou estabelecidos pelo Exportador de Dados em conexão com os Serviços fornecidos pela equipe do Importador de Dados. O Importador de Dados pode processar tais dados pessoais para fins próprios, em particular em suas relações profissionais com o pessoal do Importador de Dados, para controle e treinamento de qualidade, ou para fins comerciais.

6.3. O Importador de Dados pode transferir dados pessoais para o Exportador de Dados, incluindo o nome e os dados de contato do pessoal do Importador de Dados. O Exportador de Dados pode processar tais dados pessoais para seus próprios propósitos.

6.4 Ambas as partes devem cumprir quaisquer leis aplicáveis de proteção de dados, incluindo o GDPR, na coleta, processamento e utilização desses dados pessoais recebidos da outra parte sob a cláusula 1 da Parte 1. Em particular, ambas as partes tomarão medidas de segurança adequadas, fornecendo um nível semelhante de proteção às medidas de segurança estabelecidas no Apêndice 2 da Parte 2. Qualquer acesso a tais dados pessoais deve limitar-se à necessidade de conhecê-los.

6.5 Ambas as partes devem excluir esses dados pessoais o mais rapido possível depois que os objetivos forem alcançados.

Parte 2

DECISÃO DA COMISSÃO

no dia 5 de Fevereiro de 2010

sobre cláusulas contratuais padrão para a transferência de dados pessoais para processadores de dados estabelecidos em países terceiros sob a Diretiva 95/46/CE do Parlamento Europeu e do Conselho.

Cláusula 1

Definições

Dentro do que diz respeito às cláusulas:

a) 'dados pessoais', 'categorias especiais de dados', 'processamento/processamento', 'controlador', 'processador', 'tutular de dados' e 'autoridade supervisora' devem ter o mesmo significado que na Diretiva 95/46/CE do Parlamento Europeu e do Conselho do 24 de Outubro de 1995 em relação a proteção de indivíduos sobre o processamento de dados pessoais e sobre a livre circulação desses dados (1);

b) o 'Data Exporter' é o controlador de dados que transfere os dados pessoais;

c) o 'Importador de Dados' é o processador de dados que concorda em receber do Exportador de Dados dados pessoais destinados a serem processados em nome do Exportador de Dados após a transferência de acordo com suas instruções e nos termos destas cláusulas e que não está sujeito ao mecanismo de um país terceiro que garanta proteção adequada dentro do significado do artigo 25(1) da Diretiva 95/46/CE; (d) 'Processador de dados', significa que o processador de dados contratado pelo Importador de Dados, ou por qualquer outro processador de dados do Importador de Dados, que concorda em receber do Importador de Dados, ou qualquer outro processador de dados do Importador de Dados, dados pessoais, exclusivamente para atividades de processamento a serem realizadas em nome do Exportador de Dados, após a transferência de acordo com as instruções do Exportador de Dados, nas condições estabelecidas nestas Cláusulas e nos termos da subcontratação por escrito do contrato de processamento de dados;

e) "aplicação de Lei de proteção de dados" significa a legislação que protege os direitos e liberdades fundamentais dos indivíduos, incluindo o direito à privacidade no processamento de dados pessoais e a aplicação a um controlador no Estado-Membro onde o Exportador de Dados é estabelecido;

f) "medidas técnicas e organizacionais relativas à segurança" significa medidas destinadas a proteger os dados pessoais contra destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso não autorizado, em particular quando o processamento envolve a transmissão de dados através de redes e contra todas as outras formas ilegais de processamento.

Cláusula 2

Detalhes de tranferência

Os detalhes da transferência, incluindo, se for o caso, categorias especiais de dados pessoais, são especificados no Apêndice 1, que forma parte integrante dessas cláusulas.

Cláusula 3

Cláusula de desenvolvedora de terceiros

1. O titular de dados pode aplicar-se contra o Exportador de Dados esta Cláusula, Cláusula 4(b) para (i), Cláusula 5(a) para (e) e (g) para (j), Cláusula 6 (1) e (2), Cláusula 7, Cláusula 8(2) e Cláusulas 9 a 12 como desenvolvedora de terceiros

2. O titular de dados pode fazer cumprir esta Cláusula, Cláusula 5 (a) a (e) e (g), Cláusula 6, Cláusula 7, Cláusula 8 (2) e Cláusulas 9 a 12 contra o Importador de Dados onde o Exportador de Dados desaparecer fisicamente ou deixar de existir em lei, a menos que todas as suas obrigações legais tenham sido transferidas, por contrato ou por lei, para a pessoa sucessora, para o qual os direitos e obrigações do Exportador de Dados revertem, portanto, e contra os quais o sujeito de dados pode, portanto, aplicar as referidas cláusulas.

O objeto de dados pode aplicar esta Cláusula, Cláusula 5 (a) a (e) e (g), Cláusula 6, Cláusula 7, Cláusula 8 (2) e Cláusulas 9 a 12 contra o processador de Dados, mas somente nos casos em que o Exportador de Dados e o Importador de Dados tenham desaparecido fisicamente, deixado de existir em lei ou tenham se tornado insolventes, a menos que todas as obrigações legais do Exportador de Dados tenham sido transferidas , por contrato ou por operação de direito, ao sucessor legal, a quem os direitos e obrigações do Exportador de Dados são, portanto, investidos, e contra os quais o sujeito de dados pode, portanto, aplicar tais cláusulas. Tal responsabilidade do processador Data deve ser limitada às suas próprias atividades de processamento sob essas cláusulas.

4. As partes não se opõem ao titular de dados ser representado por uma associação ou outro órgão, se ele ou ela assim desejar, e se a lei nacional assim permitir.

Cláusula 4

Obrigações do Exportador de Dados

O Exportador de Dados aceita e garante o seguinte:

a) o processamento, incluindo a transferência real de dados pessoais, tem sido e continuará a ser realizado de acordo com as disposições pertinentes da lei de proteção de dados aplicável (e, se aplicável, foi notificado às autoridades competentes do Estado-Membro em que o Exportador de Dados se baseia) e não infringe as disposições pertinentes desse Estado;

b) eles instruíram e instruirão durante a duração dos serviços de processamento de dados pessoais, o Importador de Dados para processar os dados pessoais transferidos exclusivamente em nome do Exportador de Dados e de acordo com a lei de proteção de dados aplicável e essas cláusulas;

c) o Importador de Dados fornecerá proteção suficiente quanto às medidas técnicas e organizacionais de segurança especificadas no Apêndice 2 ao presente contrato;

d) após avaliação dos requisitos da lei de proteção de dados aplicável, as medidas de segurança são adequadas para proteger os dados pessoais contra destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso não autorizado, em particular quando o processamento envolve a transmissão de dados através de rede, e contra todas as outras formas ilícitas de processamento e garantir um nível de segurança adequado aos riscos representados pelo processamento e a natureza dos dados a serem protegidos , tendo em conta o nível de tecnologia e o custo de implementação;

e) eles irão garantir o cumprimento das medidas de segurança;

f) se a transferência estiver relacionada a categorias especiais de dados, o titular dos dados é informado ou será informado antes da transferência ou, logo que possível após a transferência, que os seus dados podem ser transferidos para um país terceiro que não oferece um nível de proteção adequado na aceção da Diretiva 95/46/CE;

g) eles encaminharão qualquer notificação recebida do importador de dados ou de qualquer processador de dados de acordo com as Cláusulas 5 (b) e 8 (3) à autoridade supervisora de proteção de dados se ela decidir continuar transferindo ou levantar sua suspensão;

h) eles devem disponibilizar aos titulares dos dados, se assim o solicitarem, uma cópia dessas Cláusulas, exceto o Apêndice 2 e uma descrição resumida das medidas de segurança, e uma cópia de qualquer outro contrato de subcontratação, celebrado sob estas cláusulas, a menos que as cláusulas ou o contrato contenham informações comerciais, caso em que ele poderá retirar tais informações;

i) em caso de subcontratação do processo de processamento de dados, a atividade de processamento é realizada de acordo com a Cláusula 11 por um processador de dados que forneça pelo menos o mesmo nível de proteção de dados pessoais e direitos do envolvido que o Importador de dados sob estas cláusulas; e

j) garantirá o cumprimento da Cláusula 4 (a) a (i).

Cláusula 5

Obrigações do Importador de Dados

O Importador de Dados aceita e garante o seguinte:

a) eles processarão os dados pessoais somente em nome do Exportador de Dados e sob as instruções do Exportador de Dados e estas cláusulas; se não puder cumprir por qualquer motivo, concordam em informar ao Exportador de Dados sobre sua incapacidade o mais rápido possível, neste caso, o Exportador de Dados pode suspender a transferência de dados e/ou rescindir o contrato;

b) eles não têm motivos para acreditar que a lei aplicável a eles os impeça de cumprir as instruções dadas pelo Exportador de Dados e as obrigações que lhes incumbem nos termos do contrato, e se tal lei estiver sujeita a uma mudança que possa ter um efeito material adverso sobre as garantias e obrigações previstas nas cláusulas, ele deve notificar o Exportador de Dados sobre a alteração sem demora após tomar conhecimento dela, caso em que o Exportador de Dados pode suspender a transferência de dados e/ou rescindir o contrato; (c) eles implementaram as medidas técnicas e organizacionais de segurança especificadas no Apêndice 2 antes de processar os dados pessoais transferidos;

d) eles notificarão o Exportador de Dados sem demora:

i)qualquer pedido vinculativo para divulgação de dados pessoais de uma autoridade policial, a menos que especificado de outra forma, como uma proibição criminal destinada a preservar o sigilo de uma investigação policial;

ii) qualquer acesso acidental ou não autorizado; e

iii) qualquer pedido recebido diretamente das pessoas envolvidas sem responder a ele, a menos que ele tenha sido autorizado a fazê-lo; administradores

e) tratarão prontamente e de forma adequada todas as consultas do Exportador de Dados relativas ao seu processamento dos dados pessoais transferidos e agirão sob o parecer da autoridade de supervisão em relação ao processamento dos dados transferidos;

f) a pedido do Exportador de Dados, submeterão suas instalações de processamento de dados a uma auditoria das atividades de processamento cobertas por estas cláusulas a ser realizada pelo Exportador de Dados ou por um órgão supervisor composto por membros independentes com as qualificações profissionais requeridas, sujeito à obrigação de sigilo e escolhido pelo Exportador de Dados, quando apropriado com o acordo da autoridade supervisora;

g) eles disponibilizarão ao titular dos dados, se assim o solicitar, uma cópia dessas Cláusulas ou qualquer subcontratação existente do contrato de processamento de dados a menos que as Cláusulas ou o contrato contenham informações comerciais, caso em que poderá remover tais informações, com exceção do Apêndice 2, que será substituído por uma descrição resumida das medidas de segurança, em que o titular dos dados não poderá obter uma cópia do Exportador de Dados;

h) no caso de posterior subcontratação confidencial do processamento de dados, ele garantirá que informará o exportador de dados com antecedência e obterá o consentimento por escrito do exportador de dados;

i) os serviços de processamento fornecidos pelo processador de dados deverão estar em conformidade com a Cláusula 11;

j) eles enviarão prontamente uma cópia de qualquer subcontratação do acordo de processamento de dados celebrado por ela sob estas Cláusulas para o Exportador de Dados.

Cláusula 6

Responsabilidade

1. As partes concordam que qualquer titular de dados que tenha sofrido danos devido a uma violação das obrigações mencionadas na Cláusula 3 ou Cláusula 11por uma parte ou por um processador de dados pode obter uma compensação do Exportador de dados pelos danos sofridos.

2. Se um titular dos dados for impedido de intentar uma ação por danos, conforme referido no parágrafo 1 contra o Exportador de Dados por falha do Importador de Dados ou de seu processador de Dados em cumprir qualquer uma de suas obrigações nos termos da Cláusula 3 ou Cláusula 11 porque o Exportador de Dados desapareceu fisicamente, deixando de existir na lei ou se tornando insolvente,o importador de dados concorda que o titular dos dados pode apresentar uma reclamação contra ele como se fosse o exportador de dados a menos que todas as obrigações legais do Exportador de Dados tenham sido transferidas, por contrato ou por operação de lei, a sua entidade sucessora, contra o qual o titular dos dados pode então fazer valer seus direitos. O Importador de Dados não pode confiar em uma violação de suas obrigações por parte de um processador de dados para evitar sua própria responsabilidade.

3. Se um titular de dados for impedido de intentar a ação referida nos parágrafos 1 e 2 contra o Exportador de Dados ou o Importador de Dados por violação pelo processador de Dados de suas obrigações nos termos da Cláusula 3 ou da Cláusula 11porque o Exportador e o Importador de Dados desapareceram fisicamente, deixaram de existir na lei ou se tornaram insolventes, o processador de dados concorda que o titular dos dados pode apresentar uma reclamação contra ele em relação às suas próprias atividades de processamento de acordo com estas cláusulas, como se fosse o Exportador de Dados ou Importador de Dados a menos que todas as obrigações legais do Exportador de Dados ou Importador de Dados tenham sido transferidas, por contrato ou por operação de lei, ao sucessor legal, contra quem o titular dos dados possa reivindicar seus direitos. A responsabilidade do processador de dados deve ser limitada às suas próprias atividades de processamento, de acordo com essas cláusulas.

Cláusula 7

Mediação e jurisdição

1. O Importador de Dados concorda que, de acordo com as cláusulas, se o titular dos dados invocar contra ele o direito do beneficiário terceiro e/ou reivindicar uma indenização pelo prejuízo sofrido, ele aceitará a decisão do titular dos dados:

a) submeter a disputa à mediação de uma pessoa independente ou, quando apropriado, da autoridade supervisora;

b) levar a disputa aos tribunais do Estado-Membro onde o Exportador de Dados está sediado.

2. As partes concordam que a escolha feita pelo titular dos dados não afetará o direito processual ou substantivo do titular dos dados de obter a reparação de acordo com outras disposições do direito nacional ou internacional.

Cláusula 8

Cooperação com as autoridades de supervisão

1. O Exportador de Dados concorda em depositar uma cópia do presente contrato junto à autoridade supervisora se esta o exigir ou se tal depósito estiver previsto na lei de proteção de dados aplicável.

2. As partes concordam que a autoridade supervisora pode realizar verificações no Importador de Dados e em qualquer processador de Dados na mesma medida e sob as mesmas condições das verificações realizadas no Exportador de Dados de acordo com a lei de proteção de dados aplicável.

3. O Importador de Dados deve informar o Exportador de Dados o mais rapidamente possível da existência de legislação relativa ao Importador de Dados ou a qualquer processador de Dados que impeça a verificação no Importador de Dados ou em qualquer processador de Dados de acordo com o parágrafo 2. Nesse caso, o Exportador de Dados poderá tomar as medidas previstas na Cláusula 5 (b).

Cláusula 9

Applicable law

As cláusulas se aplicam e são regidas pela lei do Estado-Membro, onde o Exportador de Dados se situa.

Cláusula 10

Modificação do contrato

As partes comprometem-se a não modificar as cláusulas atuais. As partes permanecem livres para incluir outras cláusulas comerciais que julgarem necessárias, desde que não contradigam as cláusulas atuais.

Cláusula 11

Subcontratação subsequente

1. O Importador de Dados não subcontratará nenhuma de suas atividades de processamento realizadas em nome do Exportador de Dados sob estas cláusulas sem o consentimento prévio por escrito do Exportador de Dados. O Importador de Dados só subcontratará suas obrigações sob estas Cláusulas, com o consentimento do Exportador de Dados, por meio de um acordo por escrito com o processador de Dados que impõe ao processador de dados as mesmas obrigações impostas ao Importador de Dados sob estas Cláusulas. Se o processador de dados não puder cumprir suas obrigações de proteção de dados sob esse contrato escrito, o Importador de Dados permanecerá totalmente responsável pelo Exportador de Dados pelo cumprimento dessas obrigações.

2. O acordo prévio por escrito entre o Importador de Dados e o processador de Dados também incluirá uma cláusula de desenvolvedora de terceiros, conforme estabelecido na Cláusula 3 para os casos em que o titular de dados é impedido de apresentar a solicitação de danos referidos na Cláusula 6 (1), contra o Exportador de Dados ou Importador de Dados porque o Exportador de Dados ou Importador de Dados desapareceu fisicamente porque o Exportador de Dados ou Importador de Dados desapareceu fisicamente, deixou de existir em lei ou tornou-se insolvente e todas as obrigações legais do Exportador de Dados ou do Importador de Dados não foram transferidas, por contrato ou por operação de lei, para outra entidade sucessora. A responsabilidade do processador de Dados deve limitar-se às suas próprias atividades de processamento de acordo com essas cláusulas.

3. As disposições relativas aos aspectos de proteção de dados da subcontratação do processamento de dados do contrato referido no parágrafo 1 devem ser regidas pela lei do Estado-Membro em que o Exportador de Dados for estabelecido.

4. O Exportador de Dados manterá uma lista da subcontratante dos contratos de processamento de dados celebrados sob estas Cláusulas e notificados pelo Importador de Dados de acordo com a Cláusula 5 (j), que deverá ser atualizada pelo menos uma vez por ano. Esta lista será disponibilizada à autoridade supervisora de proteção de dados do Exportador de Dados.

Cláusula 12

Obrigação após o término dos serviços de processamento de dados pessoais

1. As partes concordam que, após a conclusão dos serviços de processamento de dados, o Importador de Dados e o processador de Dados devolverão, a conveniência do Exportador de Dados, todos os dados pessoais transferidos e cópias dele ao Exportador de Dados, ou destruirão todos esses dados e fornecerão provas da destruição ao Exportador de Dados, a menos que a legislação imposta ao Importador de Dados o impeça de retornar ou destruir todos ou parte dos dados pessoais transferidos. Nesse caso, o Importador de Dados garante que garantirá a confidencialidade dos dados pessoais transferidos e que não processará mais ativamente os dados.

2. O Importador de Dados e o processador de Dados garantirão que, se assim solicitado pelo Exportador de Dados e/ou pela autoridade fiscalizadora, submetam seus meios de processamento de dados à verificação das medidas referidas no parágrafo 1.

Apêndice 1.1 à Parte 2

Detalhes de tranferência

Exportador de Dados

O Exportador de Dados é o Cliente definido no acordo contratual.

Importador de Dados

O Importador de Dados é a IQUALIF e é designado para processar os dados, prestando serviços ao Exportador de Dados.

Titulares de dados

Os dados pessoais transferidos dizem respeito às seguintes categorias do titular de dados:

☒ assinantes telefônicos listados no diretório universal

☐ Outros, incuindo:

Categorias de dados

Os dados pessoais transferidos dizem respeito às seguintes categorias de dados:

Categorias de dados pessoais dos titulares de dados do Exportador de Dados em particular,

☒ Nome completo

☒ Endereço postal

☒ Contato (e-mail, telefone, endereço de IP, etc.)

☒ Detalhes das atividades de marketing sobre o assinante telefônico

☒ Outros, incluindo o tipo de moradia, renda e médias de idades por cidade feitas anonimamente

Categorias especiais de dados (se aplicável)

Os dados pessoais transferidos dizem respeito às seguintes categorias especiais de dados:

☒ A transferência de categorias especiais de dados não está prevista

☐ Raça ou etnia

☐ Crenças religiosas ou filosóficas

☐ Filiação sindical

☐ Opiniões políticas

☐ Informações genéticas

☐ Informações biométricas

☐ Informações sobre orientação sexual ou vida sexual

☐ Dados de saúde

Atividades de processamento

Os dados pessoais transferidos estarão sujeitos às seguintes atividades básicas de processamento:

- • Propósito do processamento

O processamento realizado em nome do Exportador de Dados baseia-se nos seguintes assuntos, em particular:

☒ Assumindo o controle dos produtos ou serviços oferecidos pelo Exportador de Dados

☒ A oferta de um produto ou serviço que a pessoa chamada pode solicitar

☒ Ordens tomadas das pessoas chamadas e posterior processamento dessas ordens

☒ Questionários e análises de estudo

☒ Telemarketing

☐ Outros, incluindo:

- • Natureza e propósito do processamento

O Importador de Dados processa os dados pessoais dos sujeitos de dados em nome do Exportador de Dados, a fim de fornecer os seguintes serviços e, principalmente,:

☒ Vendas e Marketing

☒ Outros, incluindo a atualização de bancos de dados de prefeituras e partidos políticos

- • Prestação de serviços e emprego de prestadores de serviços

O IQUALIF combina, centraliza e presta serviços ao Exportador de Dados. Os serviços prestados pelo prestador de serviços nomeado podem ser estruturados (entre outros conforme apropriado) em torno dos seguintes serviços auxiliares: (i) fornecimento de aplicativos, ferramentas, sistemas e infraestrutura de TI em relação aos centros de processamento de dados utilizados, a fim de fornecer e apoiar os serviços, incluindo o processamento dos dados pessoais dos titulares de dados conforme descrito acima, através de tais aplicativos, ferramentas e sistemas, (ii) a prestação de suporte de TI, manutenção e outros serviços relacionados a tais aplicativos, ferramentas, sistemas e infraestrutura de TI, incluindo acesso potencial a dados pessoais armazenados em tais aplicativos, ferramentas e sistemas, e (iii) a prestação de serviços de proteção de dados, monitoramento de proteção e serviços de resposta a incidentes, incluindo acesso potencial a dados pessoais ao fornecer tais serviços de proteção. O IQUALIF pode engajar os processadores de dados conforme definido abaixo para fornecer os serviços, incluindo serviços auxiliares.

- • Provedores de serviços externos de terceiros como subentidades atribuídas ao processamento de dados

O IQUALIF envolve prestadores de serviços externos e terceirizados, que não são subsidiárias do IQUALIF, para apoiar a prestação de serviços ao Exportador de Dados. O Exportador de Dados aprova esses provedores de serviços externos de terceiros como subentdades atribuídas ao processamento de dados.

Se uma sub-entidade envolvida no processamento de dados estiver localizada fora da UE/EEE, em um país considerado não ter um nível adequado de proteção de dados sob uma decisão da Comissão Europeia, o Importador de Dados tomará medidas para obter um nível adequado de proteção de dados de acordo com o GDPR e a seção 3.4 (iv) da Parte 1.

Apêndice 2, Parte 2

Medidas de proteção técnica e organizacional

O Importador de Dados tomará as seguintes medidas de proteção técnica e organizacional confirmadas pelo Exportador de Dados, a fim de garantir um nível adequado de segurança para os direitos e liberdades dos indivíduos, dependendo dos riscos. Ao avaliar o nível de proteção, o Exportador de Dados considerou, em particular, os riscos envolvidos no processamento, incluindo destruição acidental ou ilegal, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados ou processados de outra forma. Esclarecimento: Essas medidas de proteção técnica e organizacional não se aplicam às aplicações, ferramentas, sistemas e/ou infraestrutura de TI fornecidas pelo Exportador de Dados.

1 Medidas gerais de proteção técnica e organizacional

1.1 Estratégias gerais de proteção de informações e dados

As seguintes medidas devem ser tomadas para seguir estratégias gerais de proteção de dados e informações:

a) tomar medidas para avaliar aquelas tomadas em relação à proteção técnica e organizacional;

b) oferecer treinamento para conscientizar os colaboradores;

c) ter uma descrição dos sistemas em causa e conceder acesso aos funcionários;

d) estabelecer um processo formal de documentação sempre que os sistemas forem implementados ou modificados;

e) documentar a estrutura organizacional, processos, responsabilidades e respectivas avaliações;

1.2 Organização de proteção de informação

As seguintes medidas devem ser tomadas para coordenar as atividades de proteção de dados e informações:

a) responsabilidades definidas para a proteção de informações e dados (por exemplo, através da política de gerenciamento de proteção de dados);

b) a expertise necessária sobre proteção de informações e dados disponíveis;

c) todos os funcionários estão comprometidos em garantir que os dados pessoais sejam mantidos em sigilo, e foram informados das possíveis consequências de violar esse compromisso.

1.3 Controle de acesso às áreas de processamento

As seguintes medidas devem ser tomadas para evitar que pessoas não autorizadas tenham acesso a sistemas de processamento de dados (em determinado software e hardware) quando os dados pessoais forem processados, armazenados ou transmitidos:

a) estabelecer áreas seguras;

b) proteger e restringir o acesso a sistemas de processamento de dados;

c) estabelecer autorizações de acesso para funcionários e terceiros, incluindo os respectivos documentos;

d) qualquer acesso aos centros de processamento de dados nos quais os dados pessoais são armazenados deve ser registrado.

1.4 Controle de acesso a sistemas de processamento de dados

As seguintes medidas devem ser tomadas para evitar o acesso não autorizado aos sistemas de processamento de dados:

a) políticas e procedimentos de autenticação do usuário;

b) o uso de senhas em todos os sistemas de computador;

c) o acesso remoto à rede requer autenticação multifatorial e é concedido ao interessado de acordo com suas responsabilidades e mediante autorização;

d) o acesso a funções específicas é baseado em funções de trabalho e/ou atributos atribuídos individualmente à conta de um usuário;

e) os direitos de acesso relacionados aos dados pessoais são revisados regularmente;

f) registros de alterações nos direitos de acesso são mantidos atualizados.

1.5 Controle do acesso a determinadas áreas de uso de sistemas de processamento de dados

As seguintes medidas devem ser tomadas para garantir que as pessoas autorizadas com direito a uso do sistema de processamento de dados só possam acessar dados dentro de suas respectivas responsabilidades e autorizações de acesso e que os dados pessoais não possam ser lidos, copiados, modificados ou excluídos sem autorização:

1. a) políticas, instruções e treinamento dos colaboradores, no que diz respeito às obrigações de cada um deles sobre confidencialidade, direitos de acesso a dados pessoais e o escopo do processamento de dados pessoais;

b) medidas disciplinares contra pessoas que acessam dados pessoais sem autorização;

c) o acesso aos dados pessoais será concedido apenas a pessoas autorizadas, com justificativa;

d) manter uma lista de administradores de sistemas e tomar as medidas adequadas para monitorar os administradores do sistema;

e) não copiar ou reproduzir dados pessoais em qualquer sistema de armazenamento para permitir que pessoas não autorizadas removam as informações do originador;

f) exclusão ou destruição controlada e documentada de dados;

g) armazenar com segurança todos os dados pessoais que devem ser retidos por razões legais ou regulamentares (por exemplo, obrigações de reter dados), e apenas pelo tempo exigido por lei.

1.6 Controle de transmissões

As seguintes medidas devem ser tomadas para evitar que os dados pessoais sejam lidos, copiados, modificados ou excluídos por terceiros não autorizados durante a transmissão ou transporte de dispositivos de armazenamento de dados (dependendo do processamento de dados pessoais empreendidos):

1. a) uso de firewalls;

b) evitar o armazenamento de dados pessoais em dispositivos de armazenamento móvel para fins de transporte ou criptografar os dispositivos;
c) uso em laptops e outros dispositivos móveis somente após a ativação da proteção de criptografia;

d) registro de transmissões de dados pessoais.

1.7 Controle de entrada de dados

As seguintes medidas devem ser tomadas para garantir que seja possível verificar e determinar se os dados pessoais foram inseridos ou excluídos dos sistemas de processamento de dados e por quem:

1. a) uma política de autorização da leitura, alteração e exclusão de dados armazenados;

b) medidas de proteção relativas à leitura, alteração e exclusão de dados armazenados.

1.8 Controle de trabalho

No caso do processamento delegado de dados pessoais, devem ser tomadas as seguintes medidas para garantir que esses dados sejam processados de acordo com as instruções do Supervisor:

1. a) entidades ou subentdades atribuídas ao processamento de dados, escolhidas com cuidado (prestadores de serviços que processam dados pessoais em nome do controlador);

b) instruções relativas ao escopo de qualquer processamento de dados pessoais aos funcionários, entidades ou subentdades atribuídas ao processamento de dados;

c) direitos de auditoria acordados com as entidades ou subentdades atribuídas ao processamento de dados;

d) acordos em vigor com as entidades ou subentdades atribuídas ao processamento dos dados.

1.9 Separação do processamento para outros fins

As seguintes medidas devem ser tomadas para garantir que os dados coletados para outros fins possam ser processados separadamente:

1. a) acesso separado aos dados pessoais de acordo com os direitos existentes dos usuários;

b) interfaces, processamento de lotes e relatórios são para outros fins e funções, de modo que os dados coletados para outros fins possam ser processados separadamente.

1.10 Pseudônimo

As seguintes medidas devem ser tomadas em relação à pseudônimo de dados pessoais:

1. a) Se o Exportador de Dados ordenar uma operação de processamento específica ou se isso for considerado apropriado pelo Importador de Dados de acordo com as leis de proteção de dados vigentes em relação a determinadas atividades de processamento, o processamento de dados pessoais será realizado de tal forma que os dados não possam mais ser atribuídos a uma pessoa específica sem o uso de informações adicionais. Essas informações adicionais serão mantidas separadamente;

b) uso de técnicas de pseudônimo, incluindo randomização de listas de alocação; criação de valores na forma de sharpes.

1.11 Criptografia

As seguintes medidas devem ser tomadas para criptografar dados pessoais em aplicativos e transmissões que suportem criptografia:

1. a) uso de técnicas de criptografia;

b) estabelecimento de gerenciamento de criptografia para apoiar as técnicas de criptografia autorizadas a serem utilizadas;

c) apoiar o uso da criptografia através de procedimentos e protocolos para gerar, modificar, revogar, destruir, distribuir, certificar, armazenar, capturar, usar e arquivar chaves criptográficas para proteger contra modificações e divulgações não autorizadas.

1.12 Completude dos sistemas e serviços de processamento de dados

As seguintes medidas devem ser tomadas para garantir a completitude dos sistemas e serviços de processamento de dados:

a) proteção de sistemas de processamento de dados contra manipulação ou destruição por meios apropriados (por exemplo, software antivírus, software de prevenção de perda de dados e software contra malware, patches de software, firewalls e proteção gerenciada de desktop);

b) proibir a instalação de qualquer serviço ou software prejudicial a sistemas de processamento de dados, serviços ou manipulação de dados pessoais;

c) uso de um sistema de detecção e prevenção de intrusões de rede na estrutura da própria rede.

1.13 Disponibilidade de sistemas e serviços de processamento de dados e possibilidade de restaurar o acesso e uso de dados pessoais em caso de incidente material ou técnico

As seguintes medidas devem ser tomadas para garantir a disponibilidade de sistemas de processamento de dados, bem como ser capaz de restaurar rapidamente a disponibilidade e o acesso a dados pessoais, no caso de um incidente material ou técnico (em particular, garantindo que os dados pessoais estejam protegidos contra destruição ou perda acidental):

a) ter meios de controle para manter cópias de backup e restaurar dados perdidos ou excluídos;

b) redundância infra-estrutural e testes de desempenho;

c) proteção física dos recursos computacionais;

d) utilização de ferramentas para monitorar o status e a disponibilidade da rede interna;

e) relatórios de incidentes e políticas de resposta que regem o procedimento de gerenciamento de incidentes e reiteração da adesão a essas políticas como parte do treinamento regular;

f) backups (às vezes fora do local) para restaurar o sistema para permitir que ele execute suas funções novamente;

g) planos de continuidade de negócios/recuperação de desastres

1.14 Resiliência dos sistemas e serviços de processamento de dados

As seguintes medidas devem ser tomadas para garantir a resiliência dos sistemas e serviços de processamento de dados:

a) sistemas e configurados harmoniosamente, utilizando parâmetros de segurança aprovados;

b) redundância de rede;

c) proteção de contenção de sistemas críticos.

1.15 Procedimento para teste regular, avaliação e eficácia de medidas técnicas e organizacionais para garantir a segurança do processamento de dadosxc

Procedimento para teste regular, avaliação e eficácia de medidas técnicas e organizacionais para proteger o processamento de dados.

a) tomar as medidas necessárias para avaliar riscos e estratégias de mitigação;

b) reuniões de análise de serviços do departamento de TI para tratar de questões atuais;

c) os planos de continuidade de negócios/recuperação de desastres são regularmente atualizados.

Parte 3

Assinaturas das partes e lista de Importadores de Dados

Quando você preencher o formulário de pedido on-line e valida-lo, marcando a caixa aceitando os termos e condições gerais de uso, o contrato que rege a relação entre o Cliente e o IQUALIF se torna vigente.

O envio do pagamento ao IQUALIF considerará o contrato acordado vigente.

Tome uma nota: Este texto foi traduzido do inglês. A versão original válida e legalmente restritiva, está disponível aqui.