Descarregar PDF

Adenda ao tratamento de dados 21.03.24

A presente Adenda sobre o Tratamento de Dados ("APD") faz parte do Acordo de Venda Mútua celebrado entre as partes identificadas na Encomenda como "Fornecedor" e "Cliente". Os termos em maiúsculas utilizados no presente documento terão o significado atribuído no MSA, exceto se definido de outra forma no presente APD.

1.       Definições

a.      "Contrato" significa o contrato principal de subscrição ou de serviços celebrado entre as partes.

b.      "Leis de Privacidade Aplicáveis" significa todas as leis que regulam a recolha, utilização, divulgação e/ou livre circulação de Dados Pessoais que se aplicam a uma parte, como e quando em vigor, incluindo, sem limitação: (i) CCPA (conforme definido abaixo), bem como a Lei dos Direitos de Privacidade da Califórnia e os regulamentos promulgados nos termos da mesma ("CPRA") (ii) Lei de Proteção de Informações Pessoais e Documentos Electrónicos do Canadá, e leis provinciais semelhantes

("PIPEDA") e quaisquer disposições provinciais aplicáveis e substancialmente semelhantes

(iii) o Regulamento Geral sobre a Proteção de Dados (UE) 2016/679 da União Europeia ("UE") e a legislação de execução de qualquer Estado-Membro ("RGPD"); (iv) a Diretiva 2002/58/CE relativa à privacidade e às comunicações electrónicas (alterada pela Diretiva 2009/136/CE) no Estado-Membro da UE aplicável; (v) os quadros intrarregionais da Ásia- Pacífico ("APAC"), em especial as regras de privacidade transfronteiriças da Cooperação Económica Ásia-Pacífico; (vi) o RGPD do Reino Unido (conforme definido abaixo); (vii) a SFDPA (conforme definido abaixo); (viii) a LGPD do Brasil; (ix) a Lei de Proteção de Informações Pessoais da China ("PIPL"); (x) a Lei de Proteção de Dados do Consumidor da Virgínia; (xi) a Lei de Privacidade do Colorado; (xii) a Lei de Connecticut relativa à Privacidade de Dados Pessoais e Monitorização Online; (xiii) a Lei de Privacidade do Consumidor do Utah e (xiv) leis de privacidade ou proteção de dados substancialmente semelhantes aplicáveis a uma parte, cada uma delas conforme possa ser alterada ou substituída periodicamente.

c.      "C2C SCCs" significa o módulo 1 das SCCs.

d.      "C2P SCCs" significa o módulo 2 das SCCs.

e.      "CCPA" significa a Lei de Privacidade do Consumidor da Califórnia de 2018, Cal. Civ. Code §1798.100 et. seq., e os seus regulamentos de implementação.

f.       "Contratante" tem o significado que lhe é atribuído no CPRA.

g.      "Dados do Cliente" significa os dados que o Cliente disponibiliza ao Fornecedor com o objetivo de o Fornecedor processar esses dados em nome do Cliente.

h.      "Dados Pessoais do Cliente" significa quaisquer Dados Pessoais incluídos nos Dados do Cliente.

i.        "EEE" significa o Espaço Económico Europeu.

j.       "RGPD" significa Regulamento Geral sobre a Proteção de Dados ((UE) 2016/679).

k.      "Encomenda" significa um documento de encomenda que estabelece os produtos ou serviços que o Fornecedor está a encomendar.

para fornecer ao Cliente.

l.        "Transferência Restrita" significa uma transferência de Dados Pessoais do EEE, Reino Unido, Suíça ou qualquer outro país onde essa transferência seria, na ausência de SCCs, proibida pelas Leis de Privacidade Aplicáveis.

m.    Controlos de segurança": as medidas técnicas e organizacionais especificadas no Acordo ou, se não forem especificadas, as medidas descritas em https://gdpr.cision.com/technicalorgmeasures.

n.      “SCCs" significa as Cláusulas Contratuais Padrão que fazem parte deste DPA de acordo com a Decisão de Implementação da Comissão Europeia (UE) 2021/914 de 04 de junho de 2021 para a transferência de Dados Pessoais para Controladores e/ou processadores estabelecidos em países terceiros ao abrigo do GDPR, encontrado em https://ec.europa.eu/info/law/law-topic/data- protection/international-dimension-data- protection/standard-contractual-clauses-scc_en e, quando aplicável, conforme modificado pela adenda do Reino Unido, e as cláusulas actualizadas ou de substituição que a Comissão Europeia possa aprovar periodicamente ou a versão mais recente de quaisquer cláusulas contratuais que regem as transferências internacionais de Dados Pessoais emitidas por qualquer país para quaisquer transferências relevantes ao abrigo do Acordo.

o.      "SFDPA" significa a Lei Federal Suíça de Proteção de Dados.

p.      "Sub-processador" significa um terceiro que o Fornecedor contrata para Processar quaisquer Dados Pessoais que o Fornecedor Processe ao abrigo do presente APD, como Processador em nome do Fornecedor.

q.      "Dados do Fornecedor" significa quaisquer dados nas bases de dados do Fornecedor que o Fornecedor utilize na prestação de Serviços, excluindo os Dados do Cliente. Esta definição de Dados do Fornecedor destina-se a incluir termos definidos de forma semelhante no Contrato, tais como "Dados da Empresa", "Dados da Cision" ou "Dados Brandwatch".

r.       "Dados Pessoais do Fornecedor" significa quaisquer Dados Pessoais incluídos nos Dados do Fornecedor.

s.       "Adenda do Reino Unido" significa a adenda às SCC que abrange a transferência de dados pessoais do Reino Unido para países terceiros, aprovada pelo Comissário para a Informação do Reino Unido, que pode ser consultada em https://ico.org.uk/media/for- organisations/documents/4019539/international-data- transfer-addendum.pdf

t.       "RGPD do Reino Unido" significa o RGPD tal como faz parte da legislação do Reino Unido nos termos da Secção 3

da Lei da União Europeia (Retirada) de 2018.

u.      Os termos "Responsável pelo tratamento", "Subcontratante", "Dados pessoais", "Tratamento", "Categorias especiais de dados" e "Titular dos dados" têm os significados que lhes são atribuídos no RGPD ou no RGPD do Reino Unido.

v.      Para maior clareza, este DPA abrange qualquer Processamento que ocorra de acordo com a CCPA e a CPRA. Por conseguinte, as seguintes referências na CCPA e na CPRA têm os seguintes significados no presente DPA:

i.        "Empresa" significa "Controlador"

ii.      "Prestador de serviços" significa "Subcontratante"

iii.     "Terceiro" significa "Subcontratante"

iv.     "Informações Pessoais" significa "Dados Pessoais"

v.      "Consumidor" significa "titular dos dados"

2.       Geral

a.      Dados do Responsável pelo Tratamento: O Fornecedor e o Cliente são Controladores independentes dos Dados Pessoais do Fornecedor e cada um processa estes dados como um Controlador. Quando o Cliente recebe, ou tem acesso a, Dados Pessoais do Fornecedor de ou pelo Fornecedor, aplica-se a Secção 3.

b.      Dados do Processador: O Cliente é o Controlador e o Fornecedor é o Processador dos dados Pessoais do Cliente. Quando o Fornecedor processa os Dados Pessoais do Cliente em nome do Cliente, aplica-se a Secção 4.

c.       Cada parte cumprirá as Leis de Privacidade Aplicáveis quando processar Dados Pessoais ao abrigo do Acordo.

d.      Em caso de conflito entre o presente APD e o Acordo, prevalece o presente ADP.

e.      Ambas as partes aplicarão e manterão medidas técnicas e organizativas adequadas para garantir a segurança dos dados pessoais, incluindo a proteção contra a perda, destruição, alteração, divulgação ou acesso não autorizados ou ilegais aos dados pessoais.

f.       Ambas as partes tomarão medidas razoáveis para garantir que o pessoal que autoriza a tratar os dados pessoais se compromete a respeitar as obrigações de confidencialidade adequadas e que o acesso aos dados pessoais se limita às pessoas que necessitam de ter acesso para efeitos do acordo.

g.      Alterações: O Fornecedor pode, a qualquer momento, com um pré-aviso não inferior a 30 dias, rever o presente APD de modo a incorporar quaisquer CCS obrigatórias ou outros termos exigidos por qualquer autoridade competente em matéria de proteção de dados na UE, na Suíça ou no Reino Unido. As partes concordam em adotar quaisquer SCCs de substituição ou suplementares necessárias que a CE e/ou o ICO do Reino Unido ou outros países aplicáveis possam adotar ocasionalmente. Se o Cliente não executar essas cláusulas a pedido do Fornecedor, este terá o direito de rescindir o Contrato com um aviso prévio por escrito não inferior a 30 dias.

3.       Dados do fornecedor (relação entre controlador e controlador)

a.      Tratamento para efeitos do Acordo: Cada parte processará os Dados Pessoais do Fornecedor para efeitos do exercício dos seus direitos e obrigações ao abrigo do Acordo. Os pormenores das categorias de Dados Pessoais do Fornecedor, a finalidade do Tratamento pelo Fornecedor e a duração do Tratamento estão definidos no Anexo 1,

Parte 1

b.      Transferências internacionais de dados:

i.        Se houver uma Transferência Restrita a partir do EEE, as partes ficarão vinculadas pelas CEC da C2C, que são incorporadas na presente Adenda, sujeitas à Cláusula 5.

ii.      Se houver uma Transferência Restrita a partir do Reino Unido, as partes ficarão vinculadas pela Adenda do Reino Unido, para além das CCA da C2C, e as CCA da C2C (sujeitas à Cláusula 5) e a Adenda do Reino Unido (sujeita à Cláusula 6) são ambas incorporadas no presente DPA nessas circunstâncias.

iii.     Se houver uma Transferência Restrita da Suíça, as partes ficarão vinculadas pelas CCA da C2C, sujeitas à Cláusula 5 e com as alterações introduzidas pela Cláusula 7, e as CCA da C2C são incorporadas no presente DPA nessas circunstâncias e nessa base.

iv.     Se houver uma Transferência Restrita de qualquer outro país, as partes ficarão vinculadas pelas C2C SCC, que estão incorporadas neste DPA, sujeitas à Cláusula 5 nessas circunstâncias.

c.       Violação de dados: cada parte notificará a outra, sem demora injustificada, ao tomar conhecimento de uma violação de dados pessoais que envolva dados pessoais do fornecedor ou ao receber um pedido ou reclamação de um titular de dados que envolva dados pessoais do fornecedor.

4.     Dados de clientes: Relação entre o responsável pelo tratamento e o subcontratante

a.      Instruções escritas: O Fornecedor processará os Dados Pessoais do Cliente apenas de acordo com as instruções escritas do Cliente, conforme estabelecido neste DPA. O Fornecedor não irá vender ou partilhar os Dados Pessoais do Cliente, nem combiná-los com Dados Pessoais de outras fontes, nem reter, utilizar ou divulgar os Dados Pessoais do Cliente fora da relação comercial direta com o Cliente. No entanto, o Fornecedor reservse o direito de utilizar versões agregadas ou anónimas dos Dados do Cliente apenas com o objetivo de melhorar a qualidade dos seus Serviços. Nos casos em que as Leis de Privacidade Aplicáveis determinem o contrário, o Fornecedor informará o Cliente sobre os requisitos legais para a utilização dos Dados do Cliente, antes do Processamento, exceto se essa lei proibir essa informação por motivos importantes de interesse público. Os detalhes das categorias de Dados Pessoais do Cliente, a finalidade do Processamento pelo Fornecedor e a duração do Processamento estão definidos no Anexo 1, Parte II.

b.      Utilização e instruções legais: O Cliente assegurará que a sua utilização dos Serviços e as suas instruções relativamente ao Processamento de quaisquer Dados Pessoais de acordo com este APD cumprirão todas as Leis de Privacidade Aplicáveis, e que o Processamento do Fornecedor de acordo com as instruções do Cliente não fará com que o Fornecedor viole quaisquer Leis de Privacidade Aplicáveis. O Fornecedor informará o Cliente se, na opinião do Fornecedor, as instruções do Cliente infringirem as Leis Aplicáveis ou se não puder cumprir as suas obrigações ao abrigo de quaisquer Leis de Privacidade Aplicáveis.

c.       Categorias especiais de dados: O Cliente notificará o Fornecedor se quaisquer categorias especiais de dados forem incluídas nos Dados Pessoais do Cliente. O Fornecedor pode recusar-se a processar esses dados ou impor quaisquer restrições necessárias, a expensas do Cliente, para permitir que o Fornecedor cumpra as suas obrigações legais e contratuais.

d.      Transferências internacionais de dados:

i.        Se houver uma transferência do Cliente (como Controlador) no EEE para o Fornecedor (como processador) em qualquer país terceiro, as partes concordam em ficar vinculadas pelas C2P SCCs, que são incorporadas neste DPA, sujeitas à Cláusula 5.

ii.      Se houver uma Transferência Restrita a partir do Reino Unido, as partes ficarão vinculadas pela Adenda do Reino Unido, para além das CEC C2P, e as CEC C2P (sujeitas à Cláusula 5) e a Adenda do Reino Unido (sujeita à Cláusula 6) são ambas incorporadas no presente DPA nessas circunstâncias

iii.     Se houver uma Transferência Restrita da Suíça, as partes ficarão vinculadas pelas C2P SCCs, sujeitas à Cláusula 5 e com a redação dada pela Cláusula 7, e as C2P SCCs são incorporadas neste DPA nessas circunstâncias e nessa base.

iv.     Se houver uma Transferência Restrita de qualquer outro país, as partes ficarão vinculadas pelas C2P SCCs, que são incorporadas neste DPA, sujeitas à Cláusula 5.

v.     Quando o Fornecedor nomeia qualquer Subcontratante em conformidade com a Cláusula 4.g e essa nomeação envolve uma Transferência Restrita, o Fornecedor pode basear-se nas SCC para legitimar a transferência dos Dados Pessoais do Cliente.

e.      Registos de conformidade: O Fornecedor manterá registos e informações completos e precisos para demonstrar a sua conformidade com a presente Adenda.

f.       Auditoria: O Fornecedor apoiará auditorias para monitorizar a conformidade que o Cliente realiza (por si próprio ou através de um auditor externo), a custo e despesa do Cliente. Qualquer auditoria efectuada nos termos do presente DPA está sujeita às seguintes condições:

i.        O cliente notificará por escrito, com pelo menos 60 dias de antecedência, a realização de qualquer auditoria.

ii.      qualquer auditoria só pode ser efectuada durante o horário normal de expediente do Fornecedor.

iii.     O Cliente efectuará a auditoria de modo a causar o mínimo de perturbações nas operações comerciais normais do Fornecedor.

iv.     qualquer auditor terceiro assumirá obrigações de confidencialidade directas com o Fornecedor que sejam razoavelmente aceitáveis para o Fornecedor.

v.      qualquer auditoria será limitada apenas às actividades de Processamento do Fornecedor como Processador e às informações que sejam razoavelmente necessárias para que o Cliente avalie a conformidade do Fornecedor com os termos do presente DPA.

vi.     como parte de qualquer auditoria, o Cliente (ou o seu auditor externo) não terá acesso a Informações confidenciais do fornecedor.

vii.   O Cliente reembolsará os custos e despesas razoáveis e demonstráveis do Fornecedor associados a qualquer auditoria.

viii.  O Cliente concorda em aceitar um relatório de auditoria fornecido pelo Fornecedor em vez de efetuar a sua própria auditoria:

1.      se o âmbito da auditoria solicitada tiver sido abordado numa auditoria realizada por um auditor independente reconhecido no prazo de doze (12) meses após o pedido do Cliente e o Fornecedor fornecer uma confirmação escrita de que não houve alterações materiais nos controlos e sistemas a auditar ou

2.      se se pretender que essa auditoria seja efectuada no prazo de seis meses a contar do pedido e se o Fornecedor fornecer o respetivo relatório ao Cliente após a sua conclusão.

g.      Subprocessadores: O Cliente autoriza o Fornecedor a nomear Subprocessadores no âmbito da prestação dos Serviços. Uma lista dos actuais Sub-processadores do Fornecedor está disponível em https://gdpr.cision.com/Sub-Processors.

i.        O Fornecedor informará o Cliente de quaisquer alterações pretendidas relativamente à adição ou substituição de qualquer Subcontratante autorizado por um novo Subcontratante ou com pelo menos 30 dias de antecedência e dará ao Cliente a oportunidade de se opor a essas alterações. Qualquer Subcontratante que o Fornecedor contrate estará sujeito a termos materialmente equivalentes no que respeita à proteção de dados, tal como são impostos ao Fornecedor nos termos do presente DPA.

ii.      Se um Subcontratante não cumprir as suas obrigações em matéria de proteção de dados, o Fornecedor continuará a ser responsável pelo cumprimento das obrigações do Subcontratante, sujeito às exclusões e limitações de responsabilidade previstas no Contrato.

iii.     Sempre que um Contratante tenha acesso aos Dados Pessoais do Cliente, só o fará ao abrigo de um contrato escrito e certifica que compreende e está em conformidade com as Leis de Privacidade Aplicáveis.

h.      Violação de dados: Se houver uma violação de Dados Pessoais em relação aos Dados Pessoais do Cliente:

i.        O Fornecedor cooperará de boa fé com o Cliente para permitir que este cumpra as suas obrigações ao abrigo das Leis de Privacidade Aplicáveis.

ii.      O Fornecedor notificará o Cliente no prazo de 36 horas após tomar conhecimento de uma violação de Dados Pessoais (conforme definido nas Leis de Privacidade Aplicáveis).

iii.     O Fornecedor assistirá o Cliente no cumprimento de qualquer obrigação de notificar uma autoridade de controlo de qualquer violação de dados.

i.        Assistência: Tendo em conta a natureza do Processamento e as informações disponíveis, o Fornecedor prestará assistência razoável e adequada ao Cliente (sujeito ao pagamento dos custos e despesas razoáveis e demonstráveis do Fornecedor), sempre que possível, em relação (i) ao cumprimento pelo Cliente das obrigações do Cliente de responder a pedidos relacionados com o exercício dos direitos dos indivíduos ao abrigo das Leis de Privacidade Aplicáveis, quando o Fornecedor Processa os Dados Pessoais desses indivíduos ao abrigo deste APD; e (ii) às obrigações do Cliente ao abrigo dos Artigos 32 a 36 do RGPD e/ou do RGPD do Reino Unido (conforme aplicável).

j.       Cessação: Se o Fornecedor estiver a violar qualquer uma das suas obrigações ao abrigo do presente APD, o Cliente pode dar instruções ao Fornecedor para suspender temporariamente o Processamento dos Dados Pessoais do Cliente até à resolução dessa violação e pode dar instruções ao Fornecedor para terminar o Processamento dos Dados Pessoais do Cliente se essa violação não for resolvida.

k.      após a cessação do presente APD, o Fornecedor eliminará os Dados Pessoais do Cliente, exceto se for obrigado a reter os Dados Pessoais do Cliente pelas Leis de Privacidade Aplicáveis na UE, nos Estados-Membros da UE ou (se aplicável ao Processamento) no Reino Unido ou na Suíça.

5.       SCCs

a.      Se as CCA C2C ou as CCA C2P forem incorporadas no presente DPA ao abrigo das Cláusulas 3.b. ou 4.d:

i.        entrarão em vigor no início da respectiva Transferência Restrita;

ii.      não são incluídas as cláusulas de carácter inteiramente facultativo;

iii.     para efeitos da cláusula 13, a primeira opção está incluída;

iv.     para efeitos das cláusulas 17 e 18, o Estado-Membro para efeitos da legislação aplicável e da jurisdição é o Estado-Membro em que o Cliente está estabelecido. Se o Cliente não estiver estabelecido num Estado-Membro, o Estado-Membro especificado será a Irlanda;

v.      para efeitos do Anexo 1.A das SCC, o "importador de dados" e o "exportador de dados são definidos na Parte 1 ou na Parte 2 (consoante o caso) do Anexo 2 do presente DPA;

vi.     para efeitos do Anexo 1.B das SCC, a descrição da transferência consta da Parte 1 ou da Parte 2 (consoante o caso) do Anexo 2 da presente DPA

vii.   para efeitos do Anexo 1.C das SCC, a autoridade de controlo competente é a autoridade de controlo competente no país em que o cliente está estabelecido; e

viii.  para efeitos do Anexo 2 das CCS, as medidas técnicas e organizativas são os controlos de segurança.

b.      Quando as C2P SCC são incorporadas no presente DPA nos termos da Cláusula 4.d.:

i.        A opção 2 ("Autorização geral por escrito") da cláusula 9 é selecionada;

ii.      o período de tempo para a adição ou substituição de Subcontratantes será o descrito na Cláusula 4.g.1 do presente DPA;

6.       Adenda do Reino Unido

Quando a Adenda do Reino Unido for incorporada no presente DPA ao abrigo das Cláusulas 3.b. ou 4.d:

a.      Entrará em vigor no início da Transferência Restrita relevante;

b.      Para efeitos do quadro 1, a data de início é a data de início do período de

As transferências sujeitas a restrições, os dados das Partes e o contacto principal constam do Anexo 2 do presente APD e da cláusula das Partes do Acordo;

c.      não é necessária qualquer assinatura para efeitos do quadro 1;

d.      a primeira opção for selecionada no Quadro 2, as SCCS da UE aprovadas são definidas na Cláusula 1 da presente DPA e as SCC terão início no começo da Transferência Restrita relevante;

e.      As informações do apêndice do quadro 3 são apresentadas nos anexos 1 e 2 do presente DPA; e

f.       as duas primeiras opções ("Importador" e "Exportador") são seleccionadas no Quadro 4.

7.       Transferências restritas da Suíça

Quando as C2C ou C2P SCC forem incorporadas no presente DPA ao abrigo das Cláusulas 3.b. ou 4.d., e houver uma Transferência Restrita a partir da Suíça, as C2C SCC ou C2P SCC (conforme aplicável) serão alterada para cumprir a legislação suíça em matéria de proteção de dados, incluindo, entre outras, as seguintes alterações:

a)      qualquer referência ao "Regulamento (UE) 2016/679" ou a "esse regulamento" é substituída pela SFDPA e as referências a artigo(s) específico(s) do "Regulamento (UE) 2016/679" são substituídas pelo artigo ou secção equivalente da SFDPA;

b)     todas as definições das CSC devem ser interpretadas em conformidade com a diretiva relativa aos serviços financeiros;

c)      as referências ao Regulamento (UE) 2018/1725 são suprimidas;

d)      as referências à "União", "UE" e "Estado-Membro da UE" são todas substituídas por "Suíça";

e)     A alínea a) da cláusula 13 e a parte C do anexo II não são utilizadas;

f)       a "autoridade de controlo competente" é a Autoridade Federal para a Proteção de Dados e a Informação

Comissário;

g)      A cláusula 17 passa a ter a seguinte redação: "As presentes cláusulas regem-se pela legislação da Suíça"; e

h)      A cláusula 18 é substituída pela seguinte redação: "Qualquer litígio decorrente das presentes cláusulas será resolvido pelos tribunais da Suíça. O titular dos dados pode igualmente intentar uma ação judicial contra o exportador e/ou importador de dados junto dos tribunais da Suíça. As Partes acordam em submeter-se à jurisdição desses tribunais.".

8.       Diversos

a.      Responsabilidade: A responsabilidade de cada parte ao abrigo do presente APD está sujeita às limitações e exclusões de

responsabilidade estabelecida no Acordo.

b.      Lei aplicável: A lei que rege o Acordo aplica-se a este APD, exceto que as CEC são regidas pela lei especificada na Cláusula 5.a.iv).

Anexo 1 - Tratamento de informações, dados pessoais e pessoas em causa

Parte 1: Dados pessoais do fornecedor (fornecedor como responsável pelo tratamento dos dados)

Parte 2: Dados Pessoais do Cliente (Fornecedor como Processador de Dados)

Anexo 2 - Informações sobre a transferência Parte 1 - Dados pessoais do fornecedor

Parte 2 - Dados pessoais do cliente