CLÁUSULAS CONTRATUAIS-TIPO

Apêndice No. 2 - Cláusulas contratuais padrão

CLÁUSULAS CONTRATUAIS-TIPO

SECÇÃO I

Cláusula 1
Objetivo e escopo

(a) O objectivo destas cláusulas contratuais-tipo é assegurar o cumprimento dos requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de Abril de 2016, relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral de Protecção de Dados) para a transferência de dados pessoais para um país terceiro.

(b) As Partes:
i) a(s) pessoa(s) singular(es) ou colectiva(s), autoridade(s) pública(s), agência(s) ou outro(s) organismo(s) (a seguir designado(s) "entidade(s)") que transfere(m) os dados pessoais, tal como enumerados no Anexo I.A (a seguir designado cada "exportador de dados"), e

(ii) a entidade ou entidades de um país terceiro que recebem os dados pessoais do exportador de dados, directa ou indirectamente através de outra entidade também Parte nestas Cláusulas, conforme listado no Anexo I.A (doravante cada "importador de dados") concordaram com estas cláusulas contratuais padrão (doravante: "Cláusulas").

(c) Estas cláusulas aplicam-se no que diz respeito à transferência de dados pessoais, tal como especificado no Anexo I.B.

(d) O Anexo a estas Cláusulas contendo os Anexos aí referidos é parte integrante destas Cláusulas.

Cláusula 2
Efeito e invariabilidade das Cláusulas

(a) Estas cláusulas estabelecem salvaguardas adequadas, incluindo direitos executórios das pessoas em causa e recursos legais eficazes, nos termos do artigo 46(1) e do artigo 46(2)(c) do Regulamento (UE) 2016/679 e, no que respeita às transferências de dados dos responsáveis pelo tratamento para os processadores e/ou processadores para os processadores, cláusulas contratuais-tipo nos termos do artigo 28(7) do Regulamento (UE) 2016/679, desde que não sejam modificadas, excepto para seleccionar o(s) Módulo(s) apropriado(s) ou para adicionar ou actualizar informações no Apêndice. Isso não impede as Partes de incluir as cláusulas contratuais-tipo estabelecidas nestas cláusulas em um contrato mais amplo e/ou de acrescentar outras cláusulas ou salvaguardas adicionais, desde que não contradigam, direta ou indiretamente, estas cláusulas ou prejudiquem os direitos ou liberdades fundamentais dos titulares dos dados.

(b) Estas cláusulas não prejudicam as obrigações a que o exportador de dados está sujeito em virtude do Regulamento (UE) 2016/679.

Cláusula 3
Beneficiários de terceiros

(a) Os titulares dos dados podem invocar e aplicar estas cláusulas, como terceiros beneficiários, contra o exportador e/ou importador de dados, com as seguintes excepções:
(i) Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;

(ii) Cláusula 8 - Módulo Um: Cláusula 8.5 (e) e Cláusula 8.9(b); Módulo Dois: Cláusula 8.1(b), 8.9(a), (c), (d) e (e); Módulo Três: Cláusula 8.1(a), (c) e (d) e Cláusula 8.9(a), (c), (d), (e), (f) e (g); Módulo Quatro: Cláusula 8.1(b) e Cláusula 8.3(b);

(iii) Cláusula 9 - Módulo Dois: Cláusula 9(a), (c), (d) e (e); Módulo Três: Cláusula 9(a), (c), (d) e (e);

(iv) Cláusula 12 - Módulo Um: Cláusula 12(a) e (d); Módulos Dois e Três: Cláusula 12(a), (d) e (f);

(v) Cláusula 13;

(vi) Cláusula 15.1(c), (d) e (e);

(vii) Cláusula 16(e);

(viii) Cláusula 18 - Módulos Um, Dois e Três: Cláusula 18(a) e (b); Módulo Quatro: Cláusula 18.

b) A alínea a) não prejudica os direitos das pessoas em causa ao abrigo do Regulamento (UE) 2016/679.

Cláusula 4
Interpretação

(a) Quando estas cláusulas utilizarem termos definidos no Regulamento (UE) 2016/679, esses termos terão o mesmo significado que no referido Regulamento.

(b) Estas cláusulas devem ser lidas e interpretadas à luz das disposições do Regulamento (UE) 2016/679.

(c) Estas cláusulas não devem ser interpretadas de forma que entre em conflito com os direitos e obrigações previstos no Regulamento (UE) 2016/679.

Cláusula 5
Hierarquia

Em caso de contradição entre estas cláusulas e as disposições de acordos relacionados entre as Partes, existentes no momento em que estas cláusulas forem acordadas ou celebradas posteriormente, estas cláusulas prevalecerão.

Cláusula 6
Descrição da(s) transferência(ões)

Os detalhes da(s) transferência(ões), e em particular as categorias de dados pessoais que são transferidos e a(s) finalidade(s) para a(s) qual(is) eles são transferidos, são especificados no Anexo I.B.

Cláusula 7
Cláusula de ancoragem

(a) Uma entidade que não seja Parte destas Cláusulas pode, com o acordo das Partes, aceder a estas Cláusulas a qualquer momento, quer como exportador de dados quer como importador de dados, preenchendo o Apêndice e assinando o Anexo I.A.

(b) Depois de ter completado o Apêndice e assinado o Anexo I.A, a entidade aderente tornar-se-á Parte nestas cláusulas e terá os direitos e obrigações de um exportador ou importador de dados de acordo com a sua designação no Anexo I.A.

(c) A entidade aderente não terá direitos ou obrigações decorrentes destas cláusulas do período anterior a tornar-se Parte.

SECÇÃO II - OBRIGAÇÕES DAS PARTES

Cláusula 8
Salvaguardas de protecção de dados

O exportador de dados garante que envidou esforços razoáveis para determinar que o importador de dados é capaz, através da implementação de medidas técnicas e organizacionais adequadas, de satisfazer as suas obrigações ao abrigo destas cláusulas.

8.1 Instruções
a) O importador de dados deve processar os dados pessoais apenas com base em instruções documentadas do exportador de dados. O exportador de dados pode dar tais instruções durante todo o período de vigência do contrato.

(b) O importador de dados deve informar imediatamente o exportador de dados se não puder seguir essas instruções.

8.2 Limitação da finalidade
O importador de dados deve processar os dados pessoais apenas para a(s) finalidade(s) específica(s) da transferência, conforme estabelecido no Anexo I.B, a menos que receba instruções adicionais do exportador de dados.

8.3 Transparência
Mediante solicitação, o exportador de dados disponibilizará gratuitamente ao interessado uma cópia destas cláusulas, incluindo o Apêndice tal como preenchido pelas Partes. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo as medidas descritas no Anexo II e dados pessoais, o exportador de dados poderá redigir parte do texto do Apêndice a estas Cláusulas antes de compartilhar uma cópia, mas deverá fornecer um resumo significativo quando o envolvido não seria capaz de compreender o conteúdo ou exercer os seus direitos. Mediante solicitação, as Partes fornecerão ao envolvido as razões para as redações, na medida do possível sem revelar a informação redaturada. Esta cláusula não prejudica as obrigações do exportador de dados nos termos dos artigos 13 e 14 do Regulamento (UE) 2016/679.

8.4 Precisão
Se o importador de dados tomar conhecimento de que os dados pessoais que recebeu são inexactos, ou se tornaram desactualizados, deve informar o exportador de dados sem demora injustificada. Neste caso, o importador de dados deve cooperar com o exportador de dados para apagar ou retificar os dados.

8.5 Duração do processamento e apagamento ou devolução dos dados
O tratamento de dados pelo importador de dados só se realizará durante o período de tempo especificado no Anexo I.B. Após o fim da prestação dos serviços de tratamento, o importador de dados, à escolha do exportador de dados, apagará todos os dados pessoais tratados em nome do exportador de dados e certificará ao exportador de dados que o fez, ou devolverá ao exportador de dados todos os dados pessoais tratados em seu nome e apagará as cópias existentes. Até que os dados sejam apagados ou devolvidos, o importador de dados continuará a garantir o cumprimento destas cláusulas. No caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou eliminação dos dados pessoais, o importador de dados garante que continuará a assegurar o cumprimento destas Cláusulas e que só as processará na medida e pelo tempo exigido por essa lei local. Isto é sem prejuízo da Cláusula 14, em particular a exigência do importador de dados nos termos da Cláusula 14(e) de notificar o exportador de dados durante toda a duração do contrato se tiver razões para acreditar que está ou se tornou sujeito a leis ou práticas não conformes com os requisitos da Cláusula 14(a).

8.6 Segurança do processamento
a)O importador de dados e, durante a transmissão, também o exportador de dados devem aplicar medidas técnicas e organizacionais adequadas para garantir a segurança dos dados, incluindo protecção contra uma quebra de segurança que conduza à destruição acidental ou ilegal, perda, alteração, divulgação ou acesso não autorizado a esses dados (a seguir designada "quebra de dados pessoais"). Na avaliação do nível de segurança adequado, as partes terão em devida conta o estado da técnica, os custos de execução, a natureza, o âmbito, o contexto e a(s) finalidade(ões) do tratamento e os riscos envolvidos no tratamento dos dados para as pessoas em causa. As Partes devem, nomeadamente, considerar o recurso à encriptação ou à pseudonímia, inclusive durante a transmissão, quando a finalidade do tratamento puder ser cumprida dessa forma. Em caso de pseudonimização, as informações adicionais para a atribuição dos dados pessoais a um determinado envolvido permanecerão, sempre que possível, sob o controlo exclusivo do exportador de dados. No cumprimento das suas obrigações nos termos do presente número, o importador de dados deve, pelo menos, aplicar as medidas técnicas e organizacionais especificadas no Anexo II. O importador de dados deve efectuar controlos regulares para garantir que essas medidas continuam a proporcionar um nível de segurança adequado.

b) O importador de dados só concederá acesso aos dados pessoais aos membros do seu pessoal na medida estritamente necessária para a execução, gestão e controlo do contrato. Deve assegurar que as pessoas autorizadas a tratar os dados pessoais se comprometeram a respeitar a confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade adequada.

(c) Em caso de violação de dados pessoais relativos aos dados pessoais tratados pelo importador de dados ao abrigo destas cláusulas, o importador de dados tomará as medidas adequadas para resolver a violação, incluindo medidas para mitigar os seus efeitos adversos. O importador de dados também notificará o exportador de dados sem demora injustificada após ter tomado conhecimento da violação. Tal notificação deve conter os detalhes de um ponto de contacto onde se possam obter mais informações, uma descrição da natureza da violação (incluindo, sempre que possível, as categorias e o número aproximado de titulares dos dados e registos de dados pessoais em causa), as suas prováveis consequências e as medidas tomadas ou propostas para resolver a violação, incluindo, sempre que apropriado, medidas para mitigar os seus possíveis efeitos adversos. Quando, e na medida em que, não seja possível fornecer todas as informações ao mesmo tempo, a notificação inicial deve conter as informações então disponíveis e, à medida que estas se tornem disponíveis, as informações adicionais devem ser fornecidas posteriormente sem demora injustificada.

d) O importador de dados coopera e assiste o exportador de dados para que este cumpra as suas obrigações nos termos do Regulamento (UE) 2016/679, em especial para notificar a autoridade de controlo competente e as pessoas em causa, tendo em conta a natureza do tratamento e a informação disponível para o importador de dados.

8.7 Dados sensíveis
Se a transferência envolver dados pessoais que revelem a origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, ou filiação sindical, dados genéticos ou dados biométricos para efeitos de identificação única de uma pessoa singular, dados relativos à saúde ou à vida sexual ou orientação sexual de uma pessoa, ou dados relativos a condenações e infracções penais (a seguir denominados "dados sensíveis"), o importador de dados aplicará as restrições específicas e/ou salvaguardas adicionais descritas no Anexo I.B.

8.8 Transferências em curso
O importador de dados só deve divulgar os dados pessoais a terceiros mediante instruções documentadas do exportador de dados. Além disso, os dados só podem ser divulgados a terceiros localizados fora da União Europeia (4) (no mesmo país que o importador de dados ou em outro país terceiro, doravante "transferência posterior") se o terceiro estiver ou concordar em estar vinculado por estas cláusulas, sob o Módulo apropriado, ou se:
i) A transferência subsequente é para um país que beneficia de uma decisão de adequação nos termos do artigo 45.º do Regulamento (UE) 2016/679 que abrange a transferência subsequente;

(ii) o terceiro garante as salvaguardas adequadas nos termos dos artigos 46º ou 47º do Regulamento (UE) 2016/679 no que respeita ao processamento em questão;

(iii) a transferência subsequente seja necessária para a constituição, exercício ou defesa de acções judiciais no contexto de processos administrativos, regulamentares ou judiciais específicos; ou

(iv) a transferência posterior é necessária para proteger os interesses vitais da pessoa em causa ou de outra pessoa singular.

Qualquer transferência posterior está sujeita ao cumprimento pelo importador de dados de todas as outras salvaguardas previstas nestas cláusulas, em particular a limitação da finalidade.

8.9 Documentação e conformidade
(a) O importador de dados deve tratar prontamente e de forma adequada as consultas do exportador de dados relacionadas com o processamento ao abrigo destas cláusulas.

(b) As Partes deverão ser capazes de demonstrar o cumprimento destas cláusulas. Em particular, o importador de dados deve manter a documentação apropriada sobre as atividades de processamento realizadas em nome do exportador de dados.

c) O importador de dados deve disponibilizar ao exportador de dados todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas nestas cláusulas e, a pedido do exportador de dados, permitir e contribuir para auditorias das actividades de tratamento abrangidas por estas cláusulas, a intervalos razoáveis ou se houver indícios de incumprimento. Ao decidir sobre uma revisão ou auditoria, o exportador de dados pode levar em conta as certificações relevantes detidas pelo importador de dados.

(d) O exportador de dados pode optar por realizar a auditoria por si mesmo ou mandatar um auditor independente. As auditorias podem incluir inspeções nas instalações ou instalações físicas do importador de dados e devem, quando apropriado, ser realizadas com aviso prévio razoável.

e) As Partes devem disponibilizar as informações referidas nas alíneas b) e c), incluindo os resultados de eventuais auditorias, à autoridade de supervisão competente, mediante pedido.

Cláusula 9
Uso de sub-processadores

(a) O importador de dados tem a autorização geral do exportador de dados para a contratação de sub-processador(es) a partir de uma lista acordada. O importador de dados deve informar especificamente o exportador de dados, por escrito, de quaisquer alterações previstas nessa lista através da adição ou substituição de sub-processadores, pelo menos [Especificar período de tempo] com antecedência, dando assim ao exportador de dados tempo suficiente para se opor a tais alterações antes da contratação do(s) sub-processador(es). O importador de dados deve fornecer ao exportador de dados as informações necessárias para permitir ao exportador de dados exercer o seu direito de objeção.

b) Se o importador de dados contratar um subcontratante ulterior para realizar actividades de tratamento específicas (em nome do exportador de dados), fá-lo-á através de um contrato escrito que preveja, em substância, as mesmas obrigações de protecção de dados que vinculam o importador de dados ao abrigo destas cláusulas, incluindo em termos de direitos de terceiros beneficiários para os titulares dos dados. (8) As Partes concordam que, ao cumprir esta cláusula, o importador de dados cumpre as suas obrigações nos termos da cláusula 8.8. O importador de dados deve assegurar que o sub-processador cumpra as obrigações às quais o importador de dados está sujeito de acordo com estas Cláusulas.

c) O importador de dados deve fornecer, a pedido do exportador de dados, uma cópia de tal acordo de sub-processador e quaisquer alterações subsequentes ao exportador de dados. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o importador de dados pode redigir o texto do acordo antes de compartilhar uma cópia.

d) O importador de dados permanece totalmente responsável perante o exportador de dados pelo cumprimento das obrigações do sub-processador nos termos do seu contrato com o importador de dados. O importador de dados deve notificar o exportador de dados de qualquer incumprimento por parte do subcontratante ulterior das suas obrigações nos termos desse contrato.

e) O importador de dados deve acordar uma cláusula de beneficiário terceiro com o subcontratante subcontratado, pela qual - caso o importador de dados tenha desaparecido de fato, deixado de existir em lei ou se tenha tornado insolvente - o exportador de dados terá o direito de rescindir o contrato do subcontratante subcontratado e de instruir o subcontratante a apagar ou devolver os dados pessoais.

Cláusula 10
Direitos do sujeito dos dados

(a) O importador de dados deve notificar imediatamente o exportador de dados de qualquer pedido que tenha recebido de uma pessoa em causa. O importador de dados não responderá a esse pedido, a menos que tenha sido autorizado pelo exportador de dados.

b) O importador de dados deve ajudar o exportador de dados a cumprir as suas obrigações de resposta aos pedidos das pessoas em causa para o exercício dos seus direitos ao abrigo do Regulamento (UE) 2016/679. A este respeito, as Partes estabelecerão no Anexo II as medidas técnicas e organizacionais adequadas, tendo em conta a natureza do tratamento, através das quais a assistência será prestada, bem como o âmbito e a extensão da assistência necessária.

c) No cumprimento das suas obrigações nos termos das alíneas a) e b), o importador de dados deve cumprir as instruções do exportador de dados.

Cláusula 11
Reduza

a) O importador de dados deve informar as pessoas em causa num formato transparente e facilmente acessível, através de um aviso individual ou no seu website, de um ponto de contacto autorizado a tratar as reclamações. Deve tratar prontamente quaisquer reclamações que receba de um titular dos dados. O importador de dados concorda que os titulares dos dados também podem apresentar uma reclamação a um órgão independente de resolução de litígios, sem custos para o titular dos dados. O importador de dados informará as pessoas em causa, da forma estabelecida na alínea a), sobre esse mecanismo de recurso e que não são obrigadas a utilizá-lo, ou a seguir uma determinada sequência na procura de um recurso.

(b) Em caso de disputa entre um envolvido e uma das Partes no que diz respeito ao cumprimento destas cláusulas, essa Parte deverá envidar os seus melhores esforços para resolver a questão de forma amigável e em tempo hábil. As Partes deverão manter-se mutuamente informadas sobre tais disputas e, quando apropriado, cooperar na resolução das mesmas.

(c) Quando o titular dos dados invocar um direito de terceiro beneficiário nos termos da cláusula 3, o importador de dados aceitará a decisão do titular dos dados:
i) Apresentar uma queixa à autoridade de controlo no Estado-Membro da sua residência habitual ou do seu local de trabalho, ou à autoridade de controlo competente nos termos da cláusula 13;

(ii) remeter a disputa para os tribunais competentes no sentido da Cláusula 18.

d) As Partes aceitam que o interessado possa ser representado por um organismo, organização ou associação sem fins lucrativos, nas condições estabelecidas no n.º 1 do artigo 80.

e) O importador de dados deve obedecer a uma decisão vinculativa nos termos da legislação da UE ou do Estado-Membro aplicável.

(f) O importador de dados concorda que a escolha feita pelo titular dos dados não prejudicará os seus direitos substantivos e processuais de procurar recursos de acordo com as leis aplicáveis.

Cláusula 12
Responsabilidade civil

(a) Cada Parte será responsável perante a(s) outra(s) Parte(s) por quaisquer danos que cause à(s) outra(s) Parte(s) por qualquer violação destas Cláusulas.

(b) O importador de dados será responsável perante o titular dos dados, e o titular dos dados terá direito a receber uma compensação por quaisquer danos materiais ou não materiais que o importador de dados ou o seu subcontratante causem ao titular dos dados, violando os direitos do terceiro beneficiário ao abrigo destas cláusulas.

(c) Não obstante o disposto na alínea (b), o exportador de dados será responsável perante o titular dos dados, e este terá direito a receber uma compensação por quaisquer danos materiais ou não materiais que o exportador ou o importador de dados (ou o seu subcontratante) cause ao titular dos dados, violando os direitos do terceiro beneficiário ao abrigo destas cláusulas. Isto não prejudica a responsabilidade do exportador de dados e, se o exportador de dados for um subcontratante agindo em nome de um responsável pelo tratamento, a responsabilidade do responsável pelo tratamento ao abrigo do Regulamento (UE) 2016/679 ou do Regulamento (UE) 2018/1725, conforme o caso.

(d) As Partes concordam que se o exportador de dados for considerado responsável nos termos da alínea (c) por danos causados pelo importador de dados (ou seu sub-processador), terá o direito de reclamar do importador de dados a parte da compensação correspondente à responsabilidade do importador de dados pelos danos.

(e) Quando mais de uma Parte for responsável por qualquer dano causado ao titular dos dados como resultado de uma violação destas cláusulas, todas as Partes responsáveis serão solidariamente responsáveis e o titular dos dados tem o direito de intentar uma acção em tribunal contra qualquer uma destas Partes.

(f) As Partes concordam que se uma Parte for considerada responsável nos termos da alínea (e), terá o direito de reclamar da outra Parte a parte da indemnização correspondente à mesma/à sua responsabilidade pelos danos.

(g) O importador de dados não pode invocar a conduta de um sub-processador para evitar a sua própria responsabilidade.

Cláusula 13
Supervisão

a) [Quando o exportador de dados estiver estabelecido num Estado-Membro da UE:] A autoridade de controlo responsável por assegurar o cumprimento pelo exportador de dados do Regulamento (UE) 2016/679 no que respeita à transferência de dados, tal como indicado no Anexo I.C, actuará como autoridade de controlo competente.
Quando o exportador de dados não está estabelecido num Estado-Membro da UE, mas é abrangido pelo âmbito territorial de aplicação do Regulamento (UE) 2016/679, nos termos do n.º 2 do artigo 3. do Regulamento (UE) n.º 2016/679:] A autoridade de controlo do Estado-Membro em que o representante, na acepção do n.º 1 do artigo 27.º do Regulamento (UE) n.º 2016/679, está estabelecido, tal como indicado no Anexo I.C, actua como autoridade de controlo competente.
Quando o exportador de dados não está estabelecido num Estado-Membro da UE, mas é abrangido pelo âmbito de aplicação territorial do Regulamento (UE) 2016/679, nos termos do n.º 2 do seu artigo 3. A autoridade de controlo de um dos Estados-Membros em que as pessoas cujos dados pessoais são transferidos ao abrigo destas cláusulas em relação à oferta de bens ou serviços a essas pessoas, ou cujo comportamento é controlado, estão localizadas, tal como indicado no Anexo I.C, actua como autoridade de controlo competente.

(b) O importador de dados concorda em submeter-se à jurisdição e cooperar com a autoridade de supervisão competente em quaisquer procedimentos destinados a assegurar o cumprimento destas cláusulas. Em particular, o importador de dados concorda em responder a inquéritos, submeter-se a auditorias e cumprir com as medidas adoptadas pela autoridade de supervisão, incluindo medidas correctivas e compensatórias. Fornecerá à autoridade de controlo uma confirmação escrita de que foram tomadas as medidas necessárias.

SECÇÃO III - LEIS E OBRIGAÇÕES LOCAIS EM CASO DE ACESSO POR PARTE DAS AUTORIDADES PÚBLICAS

Cláusula 14
Leis e práticas locais que afetam o cumprimento das Cláusulas

a) As Partes garantem que não têm motivos para acreditar que as leis e práticas do país terceiro de destino aplicáveis ao tratamento dos dados pessoais pelo importador de dados, incluindo quaisquer requisitos de divulgação de dados pessoais ou medidas de autorização de acesso por parte das autoridades públicas, impeçam o importador de dados de cumprir as suas obrigações nos termos destas Cláusulas. Isto baseia-se no entendimento de que as leis e práticas que respeitam a essência dos direitos e liberdades fundamentais e não excedem o que é necessário e proporcional numa sociedade democrática para salvaguardar um dos objectivos enumerados no artigo 23.º, n.º 1, do Regulamento (UE) 2016/679, não estão em contradição com estas Cláusulas.

(b) As Partes declaram que ao fornecer a garantia na alínea (a), tiveram em devida conta, em particular, os seguintes elementos:
i) as circunstâncias específicas da transferência, incluindo a extensão da cadeia de tratamento, o número de intervenientes envolvidos e os canais de transmissão utilizados; as transferências posteriores previstas; o tipo de destinatário; a finalidade do tratamento; as categorias e o formato dos dados pessoais transferidos; o sector económico em que a transferência ocorre; o local de armazenamento dos dados transferidos;

(ii) as leis e práticas do país terceiro de destino - incluindo as que exigem a divulgação de dados às autoridades públicas ou autorizam o acesso por parte dessas autoridades - relevantes à luz das circunstâncias específicas da transferência, bem como as limitações e salvaguardas aplicáveis (12);

(iii) quaisquer garantias contratuais, técnicas ou organizativas relevantes, estabelecidas para complementar as garantias previstas nestas cláusulas, incluindo medidas aplicadas durante a transmissão e ao tratamento dos dados pessoais no país de destino.

(c) O importador de dados garante que, ao realizar a avaliação nos termos da alínea (b), fez os seus melhores esforços para fornecer ao exportador de dados as informações relevantes e concorda que continuará a cooperar com o exportador de dados para assegurar o cumprimento destas cláusulas.

d) As Partes acordam em documentar a avaliação nos termos da alínea b) e disponibilizá-la à autoridade supervisora competente, mediante pedido.

(e) O importador de dados concorda em notificar imediatamente o exportador de dados se, após ter concordado com estas cláusulas e pela duração do contrato, tiver razões para acreditar que está ou se tornou sujeito a leis ou práticas não conformes com os requisitos do parágrafo (a), inclusive na sequência de uma alteração nas leis do país terceiro ou de uma medida (como um pedido de divulgação) indicando uma aplicação de tais leis na prática que não esteja em conformidade com os requisitos do parágrafo (a). [Para o Módulo Três: O exportador de dados deve enviar a notificação ao controlador].

f) Na sequência de uma notificação nos termos da alínea e), ou se o exportador de dados tiver razões para crer que o importador de dados já não pode cumprir as suas obrigações nos termos destas cláusulas, o exportador de dados deve identificar rapidamente as medidas adequadas (por exemplo, medidas técnicas ou organizacionais para garantir a segurança e a confidencialidade) a adoptar pelo exportador e/ou importador de dados para resolver a situação [para o Módulo Três: se for caso disso, em consulta com o responsável pelo tratamento dos dados]. O exportador de dados deve suspender a transferência de dados se considerar que não podem ser asseguradas salvaguardas adequadas para essa transferência, ou se receber instruções [para o módulo 3: o responsável pelo tratamento ou] a autoridade de controlo competente para o fazer. Neste caso, o exportador de dados terá o direito de rescindir o contrato, na medida em que este diga respeito ao tratamento de dados pessoais ao abrigo das presentes cláusulas. Se o contrato envolver mais de duas Partes, o exportador de dados poderá exercer este direito de rescisão apenas em relação à Parte relevante, a menos que as Partes tenham acordado em contrário. Se o contrato for rescindido nos termos desta cláusula, aplicam-se as alíneas d) e e) da cláusula 16.

Cláusula 15
Obrigações do importador de dados em caso de acesso por parte das autoridades públicas

15.1 Notificação
(a) O importador de dados concorda em notificar o exportador de dados e, se possível, a pessoa em causa imediatamente (se necessário, com a ajuda do exportador de dados), se for o caso:
(i) receber um pedido legalmente vinculativo de uma autoridade pública, incluindo autoridades judiciais, ao abrigo das leis do país de destino, para a divulgação dos dados pessoais transferidos nos termos destas cláusulas; tal notificação deverá incluir informações sobre os dados pessoais solicitados, a autoridade requerente, a base legal do pedido e a resposta fornecida; ou

(ii) toma conhecimento de qualquer acesso directo pelas autoridades públicas aos dados pessoais transferidos nos termos destas cláusulas, de acordo com as leis do país de destino; tal notificação deve incluir todas as informações disponíveis para o importador.

[Para o Módulo Três: O exportador de dados deve enviar a notificação para o controlador].

b) Se o importador de dados estiver proibido de notificar o exportador de dados e/ou a pessoa em causa ao abrigo das leis do país de destino, o importador de dados concorda em envidar os seus melhores esforços para obter uma renúncia à proibição, com vista a comunicar o máximo de informação possível, o mais rapidamente possível. O importador de dados concorda em documentar seus melhores esforços a fim de poder demonstrá-los a pedido do exportador de dados.

c) Quando permitido pela legislação do país de destino, o importador de dados concorda em fornecer ao exportador de dados, a intervalos regulares durante a vigência do contrato, o máximo de informações relevantes sobre os pedidos recebidos (em particular, número de pedidos, tipo de dados solicitados, autoridade/entidades requerentes, se os pedidos foram contestados e o resultado de tais contestações, etc.). [Para o Módulo Três: O exportador de dados deve encaminhar a informação ao controlador].

d) O importador de dados concorda em preservar as informações nos termos das alíneas a) a c) durante a vigência do contrato e disponibilizá-las à autoridade de supervisão competente, mediante pedido.

(e) Os parágrafos (a) a (c) não prejudicam a obrigação do importador de dados nos termos da cláusula 14(e) e da cláusula 16 de informar prontamente o exportador de dados quando este for incapaz de cumprir estas cláusulas.

15.2 Revisão da legalidade e minimização de dados
(a) O importador de dados concorda em rever a legalidade do pedido de divulgação, em particular se permanece dentro dos poderes concedidos à autoridade pública requerente, e em contestar o pedido se, após avaliação cuidadosa, concluir que existem motivos razoáveis para considerar que o pedido é ilegal à luz das leis do país de destino, das obrigações aplicáveis à luz do direito internacional e dos princípios de cortesia internacional. O importador de dados deve, nas mesmas condições, procurar as possibilidades de recurso. Ao contestar um pedido, o importador de dados deve procurar medidas provisórias com vista a suspender os efeitos do pedido até que a autoridade judicial competente tenha decidido sobre o seu mérito. O importador de dados não divulgará os dados pessoais solicitados até que seja obrigado a fazê-lo de acordo com as regras processuais aplicáveis. Estes requisitos não prejudicam as obrigações do importador de dados nos termos da cláusula 14(e).

b) O importador de dados concorda em documentar sua avaliação legal e qualquer contestação ao pedido de divulgação e, na medida do permitido pela legislação do país de destino, disponibilizar a documentação para o exportador de dados. Deve também colocá-la à disposição da autoridade de controlo competente, a pedido desta. [Para o Módulo Três: O exportador de dados deve colocar a avaliação à disposição do controlador].

(c) O importador de dados concorda em fornecer a quantidade mínima de informação permitida ao responder a um pedido de divulgação, com base em uma interpretação razoável do pedido.

SECÇÃO IV - DISPOSIÇÕES FINAIS

Cláusula 16
Incumprimento das Cláusulas e rescisão

(a) O importador de dados deve informar imediatamente o exportador de dados se, por qualquer motivo, não puder cumprir estas cláusulas.

b) No caso do importador de dados violar estas cláusulas ou não conseguir cumprir com elas, o exportador de dados suspenderá a transferência de dados pessoais para o importador de dados até que o cumprimento seja novamente assegurado ou até que o contrato seja rescindido. Isto é sem prejuízo da Cláusula 14(f).

c) O exportador de dados tem o direito de rescindir o contrato, na medida em que este diga respeito ao tratamento de dados pessoais ao abrigo das presentes cláusulas, quando:
(i) o exportador de dados suspendeu a transferência de dados pessoais para o importador de dados nos termos da alínea (b) e o cumprimento destas cláusulas não é restabelecido dentro de um prazo razoável e, em qualquer caso, no prazo de um mês após a suspensão;

(ii) o importador de dados estiver em violação substancial ou persistente destas cláusulas; ou

(iii) o importador de dados não cumprir uma decisão vinculativa de um tribunal ou autoridade de supervisão competente relativamente às suas obrigações ao abrigo destas cláusulas.

Nestes casos, deve informar a autoridade de supervisão competente [para o Módulo Três: e o controlador] de tal não conformidade. Quando o contrato envolver mais de duas Partes, o exportador de dados poderá exercer este direito de rescisão apenas em relação à Parte relevante, a menos que as Partes tenham acordado em contrário.

(d) [Para os Módulos Um, Dois e Três: Os dados pessoais que tenham sido transferidos antes da rescisão do contrato nos termos da alínea c) serão imediatamente devolvidos ao exportador de dados ou apagados na sua totalidade, à escolha deste. O mesmo se aplica a quaisquer cópias dos dados]. [Para o Módulo Quatro: Os dados pessoais recolhidos pelo exportador de dados na UE que tenham sido transferidos antes da rescisão do contrato nos termos da alínea (c) serão imediatamente apagados na sua totalidade, incluindo qualquer cópia dos mesmos]. O importador de dados deve certificar o apagamento dos dados ao exportador de dados. Até que os dados sejam apagados ou devolvidos, o importador de dados deve continuar a assegurar o cumprimento destas cláusulas. No caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou eliminação dos dados pessoais transferidos, o importador de dados garante que continuará a assegurar o cumprimento destas Cláusulas e só processará os dados na medida e pelo tempo que for exigido por essa lei local.

(e) Qualquer das Partes pode revogar o seu acordo de ficar vinculada por estas cláusulas quando (i) a Comissão Europeia adoptar uma decisão nos termos do n.º 3 do artigo 45.º do Regulamento (UE) 2016/679 que abranja a transferência de dados pessoais aos quais se aplicam estas cláusulas; ou (ii) o Regulamento (UE) 2016/679 se tornar parte do quadro legal do país para o qual os dados pessoais são transferidos. Isto sem prejuízo de outras obrigações aplicáveis ao tratamento em questão ao abrigo do Regulamento (UE) 2016/679.

Cláusula 17
Legislação aplicável

Estas cláusulas são regidas pela lei de um dos Estados-Membros da UE, desde que tal lei permita direitos de terceiros beneficiários. As Partes concordam que esta será a lei da Polónia.

Cláusula 18
Escolha do foro e jurisdição

(a) Qualquer litígio decorrente destas cláusulas será resolvido pelos tribunais de um Estado-Membro da UE.

b) As Partes acordam que estes serão os tribunais da Polónia.

c) A pessoa em causa pode igualmente intentar acções judiciais contra o exportador e/ou importador de dados perante os tribunais do Estado-Membro em que tem a sua residência habitual.

d) As Partes concordam em submeter-se à jurisdição de tais tribunais.

APÊNDICE
NOTA EXPLICATIVA:

Deve ser possível distinguir claramente as informações aplicáveis a cada transferência ou categoria de transferências e, a este respeito, determinar as respectivas funções das Partes como exportador(es) de dados e/ou importador(es) de dados. Isto não requer necessariamente o preenchimento e assinatura de apêndices separados para cada transferência/categoria de transferências e/ou relação contratual, onde esta transparência pode ser alcançada através de um apêndice. Contudo, quando necessário para assegurar clareza suficiente, devem ser utilizados apêndices separados.

ANEXO I

A. LISTA DAS PARTES

  1. Exportador(es) de dados:

Nome: …
Endereço: …
Nome, cargo e dados de contacto da pessoa de contacto: …
Atividades relevantes para os dados transferidos sob essas cláusulas: processamento de dados para a execução do contrato básico
Assinatura e data: ...
Função: controlador

  1. Importador(es) de dados:

Nome: Devskiller sp. z o.o.
Endereço: Al. Lindleya 16, 02-013 Varsóvia
Nome, cargo e dados de contacto da pessoa de contacto: …
Atividades relevantes para os dados transferidos sob essas cláusulas: processamento de dados para a execução do contrato básico
Assinatura e data: ...
Função: processador

B. DESCRIÇÃO DA TRANSFERÊNCIA
Categorias de pessoas cujos dados pessoais são transferidos: Pessoas autorizadas a representar o Controlador, tomadores de teste
Categorias de dados pessoais transferidos: nome próprio, apelido, número de identificação fiscal, e-mail, endereço, número de telefone, nome da empresa, cargo exercido na empresa, número IP, imagem.
Dados sensíveis transferidos (se aplicável) e restrições ou salvaguardas aplicadas que tenham plenamente em consideração a natureza dos dados e os riscos envolvidos, tais como, por exemplo, limitação estrita da finalidade, restrições de acesso (incluindo acesso apenas para o pessoal que tenha seguido formação especializada), manutenção de um registo de acesso aos dados, restrições para transferências subsequentes ou medidas de segurança adicionais: não aplicável
A frequência da transferência (por exemplo, se os dados são transferidos de uma só vez ou de forma contínua): contínua

Natureza do processamento:
Finalidade(s) da transferência de dados e processamento posterior: execução do acordo principal
O período para o qual os dados pessoais serão retidos ou, se isso não for possível, os critérios utilizados para determinar esse período: duração do Acordo Principal, o período de limitação de reclamações
Para transferências para (sub) processadores, especificar também o assunto, natureza e duração do processamento: duração do Contrato Principal, o período de prescrição de créditos.

C. AUTORIDADE FISCALIZADORA COMPETENTE
Identificar a(s) autoridade(s) de supervisão competente(s), em conformidade com a cláusula 13:
O responsável polaco pela protecção de dados pessoais.

ANEXO II
MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS

Medidas de pseudonimização e encriptação de dados pessoais.
Medidas para garantir a confidencialidade, integridade, disponibilidade e resiliência contínua dos sistemas e serviços de processamento.
Medidas para assegurar a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico.
Processos para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizacionais, a fim de garantir a segurança do processamento.
Medidas de identificação e autorização do usuário.
Medidas para a protecção de dados durante a transmissão.
Medidas para a protecção de dados durante o armazenamento.
Medidas para garantir a segurança física dos locais em que os dados pessoais são processados.
Medidas para assegurar o registo de eventos.
Medidas para garantir a configuração do sistema, incluindo a configuração padrão.
Medidas de governança e gestão interna de TI e segurança de TI.
Medidas de certificação/garantia de processos e produtos.
Medidas para garantir a minimização dos dados.
Medidas para garantir a qualidade dos dados.
Medidas para garantir uma retenção de dados limitada.
Medidas para garantir a responsabilização.
Medidas para permitir a portabilidade dos dados e garantir o seu apagamento.

ANEXO III
LISTA DE SUB-PROCESSADORES

De acordo com o Apêndice No. 1 da DPA.

Certificações de segurança e conformidade. Certificamo-nos de que os seus dados estão seguros e protegidos.

Logotipo DevSkiller Logotipo TalentBoost Logotipo TalentScore