Generix e Open Sky Group unem forças para impulsar a digitalização da supply chain na América do Norte. Leia o comunicado de imprensa

Anexo: Proteção de dados pessoais

Preâmbulo

I. GENERIX como Responsável pelo tratamento de dados

A GENERIX (adiante designada por “Prestador de Serviços”) pode tratar dados pessoais relativos às pessoas singulares designadas pelo Cliente para colaborar com o Prestador de Serviços na gestão do projeto (sendo esta última adiante designada por “Pessoas de Contacto”).

O Prestador de Serviços tratará os dados pessoais das Pessoas de Contacto como Responsável pelo tratamento dos dados para efeitos de gestão da relação comercial e administrativa da conta do Cliente, com base nas finalidades de execução do contrato e/ou na satisfação do seu interesse legítimo. Estes dados serão conservados durante o tempo necessário para a realização dos fins acima mencionados. O Prestador de Serviços poderá partilhar alguns destes dados com os seus prestadores de serviços.

Por seu lado, o Cliente garante ao Prestador de Serviços que forneceu às Pessoas de Contacto as informações exigidas pelo regulamento sobre os dados pessoais e que obteve o seu consentimento para este tratamento, sempre que tal seja necessário em aplicação do referido regulamento.

O Cliente deverá responder prontamente a quaisquer pedidos dos Titulares de Dados em relação aos dados pessoais processados pelo Prestador de Serviços na sua qualidade de Responsável pelo tratamento dos dados.

 

II. GENERIX na qualidade de subcontratante

O Prestador de Serviços também será obrigado a tratar dados pessoais no contexto da execução do contrato. Estes dados serão então tratados pelo Prestador de Serviços como subcontratante dos dados pessoais do Cliente, sob as condições definidas abaixo.

1. Definições

Neste contrato, as palavras ou expressões que começam com uma letra maiúscula têm o seguinte significado:

“Contrato”: diz respeito ao contrato com o Prestador ao abrigo do qual esta política é anexa.

“Dados Pessoais”: informação relativa a uma pessoa singular identificada ou identificável (titular dos dados), direta ou indiretamente, nomeadamente por referência a um número de identificação, dados de localização, identificadores em linha (por exemplo, nome de utilizador e palavra-passe) ou a um ou mais fatores específicos da sua identidade física, fisiológica, mental, económica, cultural ou social;

“Regulamento”: todas as leis e regulamentos aplicáveis na União Europeia em relação aos Dados Pessoais, o Regulamento Geral sobre a Proteção de Dados Pessoais 2016/679 de 27 de Abril de 2016 (“RGPD”), incluindo a lei nº 58/2019, de 8 de Agosto;

“Serviços”: todos os serviços prestados pelo Prestador de Serviços ao Cliente, tal como referido no Contrato;

“Responsável pelo tratamento”: a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento. Para os efeitos do Contrato e deste Anexo, o Responsável pelo tratamento é o Cliente;

“Subcontratante”: uma pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que trate os Dados Pessoais por conta do Responsável pelo tratamento e de acordo com as suas instruções. No contexto do Contrato e deste Anexo, o Subcontratante é o Prestador de Serviços, ou seja, a GENERIX;

“Tratamento”: uma operação ou um conjunto de operações efetuadas ou não efetuadas através de meios automatizados e aplicadas a Dados ou a conjuntos de Dados Pessoais, tais como recolha, registo, organização, estruturação, armazenamento, adaptação ou modificação, recuperação, consulta, utilização, comunicação por transmissão, difusão ou disponibilização, alinhamento ou combinação, limitação, apagamento ou destruição;

Os termos e expressões “Violação de Dados Pessoais”“Tratar”“Titular dos dados”“Estado-Membro”“Autoridade de Controlo”“Cláusulas-tipo”, terão o mesmo significado que lhes é atribuído no Regulamento, e as expressões relacionadas serão interpretadas da mesma forma.

 

2. Obrigações Gerais do Cliente

O Cliente compromete-se a cumprir o Regulamento no âmbito do Contrato.

A GENERIX, na sua qualidade de Subcontratante, só tratará os Dados Pessoais com base em instruções documentadas do Cliente, conforme estabelecido no Anexo A, e exclusivamente para a prestação dos serviços que lhe são confiados ao abrigo do Contrato.

As instruções do Cliente relativas ao Tratamento estão descritas no Apêndice A deste Anexo. O Cliente compromete-se a preencher o Apêndice A deste Anexo aquando da assinatura do Contrato e o mais tardar no prazo de quatro semanas após a assinatura do Contrato.

Se o Cliente utilizar os serviços abrangidos pelo Contrato para tratar outros dados ou categorias de Dados Pessoais ou para Tratamento diferente dos descritos no Anexo A, o Cliente fá-lo por sua conta e risco e a GENERIX não poderá ser responsabilizada em caso de violação do Regulamento.

O Cliente, na sua qualidade de Responsável pelo tratamento de Dados, compromete-se a informar a GENERIX sem demora caso se verifiquem alterações nos serviços prestados, que conduzam ou possam conduzir a uma potencial alteração do estatuto de subcontratante da GENERIX no que diz respeito ao Regulamento.

O Cliente reconhece que os compromissos da GENERIX neste Anexo constituem garantias suficientes do cumprimento do Regulamento por parte da GENERIX.

O Cliente reconhece que a GENERIX se limita a seguir as instruções documentadas pelo Cliente, cabendo à GENERIX informar o Cliente caso as instruções dadas não estejam em conformidade com o Regulamento. Qualquer pedido do Cliente que exceda ou modifique as instruções de tratamento no Apêndice A será objeto de uma citação separada. Qualquer instrução que não esteja documentada por escrito ou que não cumpra o Regulamento não será tida em conta.
O Cliente deve manter um registo de todas as operações de tratamento que realiza na sua qualidade de Responsável pelo tratamento de Dados. Este registo deve conter pelo menos as informações obrigatórias exigidas pelo regulamento.

É da responsabilidade do Cliente fornecer informações às pessoas envolvidas pelas operações de tratamento no momento da recolha dos Dados Pessoais. Por opção do Responsável pelo tratamento de Dados, a GENERIX assistirá o Cliente na implementação desta obrigação de informação. Neste último caso, os métodos de assistência solicitados pelo Cliente serão acordados entre o Cliente e a GENERIX.

3. Obrigações da Generix para com o Cliente

Agir de acordo com instruções documentadas do Responsável pelo tratamento

A GENERIX compromete-se a tratar os Dados Pessoais abrangidos pelo presente Anexo em conformidade com as instruções constantes do Anexo A, salvo se a GENERIX for obrigada a tratar os Dados Pessoais em virtude de uma disposição obrigatória resultante da legislação comunitária ou da legislação do Estado-Membro a que está sujeita. Neste caso, a GENERIX informará o Cliente logo que possível, e de preferência antes do Tratamento.

Se a GENERIX considerar que uma instrução constitui uma violação do Regulamento, a GENERIX compromete-se a informar o Cliente.

Assegurar a confidencialidade dos Dados Pessoais

A GENERIX compromete-se a garantir a confidencialidade dos Dados Pessoais tratados no contexto do presente Anexo.

A GENERIX compromete-se a assegurar que as pessoas autorizadas a tratar os Dados Pessoais aqui indicados:

  • Respeitam o dever de confidencialidade ou estão sujeitos a uma obrigação legal apropriada de confidencialidade
  • Recebem a necessária sensibilização para a proteção de dados pessoais

 

Subcontratação

A GENERIX poderá recorrer a outro subcontratante (“Subcontratante Subsequente”) para levar a cabo atividades de tratamento específicas. Neste caso, deverá informar o Cliente por escrito. O Cliente dispõe de um máximo de 5 (cinco) dias civis a contar da data de receção desta informação para apresentar as suas reservas.

É da responsabilidade da GENERIX assegurar que o Subcontratado Subsequente apresente garantias suficientes quanto à implementação de medidas técnicas e organizacionais adequadas para que o Tratamento cumpra os requisitos do Regulamento.

Direitos dos indivíduos

Na medida do possível, a GENERIX assistirá o Cliente no cumprimento da sua obrigação de cumprir os pedidos para o exercício dos direitos das pessoas em causa ao abrigo do Regulamento, nomeadamente: direito de acesso, retificação, apagamento e oposição, direito à limitação do tratamento, direito de portabilidade dos Dados Pessoais, direito de não estar sujeito a uma decisão individual automatizada (incluindo a definição de perfis, tal como definido no Regulamento).

Quando os titulares dos dados fizerem pedidos à GENERIX para exercer os seus direitos, a GENERIX enviará estes pedidos por correio eletrónico à pessoa designada pelo Responsável de tratamento de Dados no Anexo A ou por qualquer outro meio. A GENERIX só pode responder diretamente a um pedido do titular dos dados mediante instrução documentada do Responsável pelo tratamento de Dados.

O Cliente reconhece que os passos acima mencionados satisfazem a obrigação da GENERIX de cooperar e ajudar o Cliente a assegurar que o Tratamento cumpre com o Regulamento. Em caso de necessidade de implementar diligência adicional, as Partes acordam em reunir-se e discutir de boa-fé as condições desta diligência adicional, que será objeto de uma adenda ao presente acordo.

Notificação de violações de dados pessoais

Uma violação de Dados Pessoais é qualquer violação de segurança que resulte na destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso não autorizado aos Dados Pessoais transmitidos, armazenados ou de outro modo tratados.

A GENERIX notificará o Cliente de qualquer violação de Dados Pessoais logo que possível após tomar conhecimento da mesma e de acordo com o procedimento definido pelo Responsável pelo Tratamento de Dados no Anexo A, a menos que a violação em questão não seja suscetível de dar origem a um risco para os direitos e liberdades das pessoas singulares. Esta notificação deve ser acompanhada de qualquer documentação útil para permitir ao Responsável pelo tratamento, se necessário, notificar a violação à autoridade de controlo competente.

O Cliente reconhece que os passos acima mencionados satisfazem a obrigação da GENERIX de cooperar e ajudar o Cliente a assegurar que o Tratamento cumpre com o Regulamento. Em caso de necessidade de implementar diligência adicional, as Partes acordam em reunir-se e discutir de boa-fé as condições desta diligência adicional, que será objeto de uma adenda ao presente acordo.

Avaliações de impacto

A GENERIX assiste o Responsável pelo tratamento de dados na realização de avaliações de impacto relacionadas com a proteção de dados que o Responsável pode decidir realizar.

O Cliente reconhece que os passos acima mencionados satisfazem a obrigação da GENERIX de cooperar e ajudar o Cliente a assegurar que o Tratamento cumpre com o Regulamento. Em caso de necessidade de implementar diligência adicional, as Partes acordam em reunir-se e discutir de boa-fé as condições desta diligência adicional, que será objeto de uma adenda ao presente acordo.

4. Segurança e Confidencialidade

A GENERIX compromete-se a implementar todas as medidas técnicas e organizacionais adequadas e a tomar todas as precauções necessárias para garantir um nível de segurança adequado ao risco existente.

A GENERIX compromete-se a tomar todas as precauções necessárias tendo em conta a natureza dos Dados e os riscos envolvidos no Tratamento, a preservar a segurança dos Dados e a evitar qualquer distorção, alteração, dano, destruição por acidente ou meios ilícitos, perda, divulgação e/ou qualquer acesso prévio por terceiros não autorizados.

As medidas tomadas pela GENERIX devem ter em conta as mais recentes possibilidades técnicas e o custo da sua implementação, as características do tratamento (natureza, âmbito, finalidade, etc.) bem como os riscos apresentados para os direitos dos Titulares dos Dados. Isto pode incluir, em particular:

  • medidas de encriptação de dados;
  • medidas para assegurar a confidencialidade, integridade, disponibilidade e resiliência dos sistemas e serviços que tratam os dados durante a implementação do tratamento;
  • medidas para restabelecer o acesso e a disponibilidade dos dados o mais rapidamente possível no caso de um incidente de hardware ou técnico;
  • procedimentos para avaliar e testar a eficácia das medidas técnicas e organizacionais.

O Cliente reconhece que os passos acima mencionados satisfazem a obrigação da GENERIX de cooperar e ajudar o Cliente a assegurar que o Tratamento cumpre com o Regulamento. Em caso de necessidade de implementar diligência adicional, as Partes acordam em reunir-se e discutir de boa-fé as condições desta diligência adicional, que será objeto de uma adenda ao presente acordo.

5. Devolução ou eliminação de Dados Pessoais

No final do Contrato, a GENERIX deverá, por opção do Cliente, ou devolver todos os Dados Pessoais tratados, ou apagá-los e comunicar ao Cliente por escrito que o apagamento foi efetuado dentro dos limites das obrigações legais e regulamentares de retenção impostas ao Prestador de Serviços.

6. Auditoria

O Cliente pode, se assim o desejar, no limite de 1 (uma) vez por ano, realizar, a expensas suas, uma auditoria nas instalações da GENERIX, diretamente ou por intermédio de qualquer terceiro independente, não concorrente da GENERIX, a fim de assegurar o cumprimento das medidas de proteção de Dados Pessoais, no âmbito do Contrato.

No caso do Cliente desejar recorrer a um terceiro para realizar a auditoria, este último obriga-se expressamente a que o referido terceiro assine um acordo de confidencialidade e a assegurar que os seus termos sejam respeitados.

O Cliente notificará a GENERIX com um mínimo de 45 (quarenta e cinco) dias de calendário sobre qualquer pedido de operação de auditoria, a data da auditoria e o nome de qualquer terceiro responsável pela auditoria. A GENERIX pode recusar a empresa de auditoria e as pessoas designadas para realizar a auditoria, se a proposta do cliente revelar um conflito de interesses e/ou se a empresa de auditoria for uma concorrente da GENERIX. Em caso de recusa, a GENERIX deve notificá-lo no prazo de 8 (oito) dias de calendário após a notificação da auditoria pelo Cliente ou por uma empresa de auditoria encarregada de realizar a auditoria (o Auditor) nas condições definidas pelo presente Contrato.

A GENERIX cooperará de boa-fé com o Auditor e fornecer-lhe-á quaisquer informações ou documentos ou explicações necessárias para a realização da auditoria. Os procedimentos de acesso serão comunicados pela GENERIX ao Cliente que os deve respeitar. As ligações lógicas para aceder aos dados do Cliente serão feitas pela GENERIX a pedido do Auditor e, quando necessário, na presença do Auditor.

A GENERIX pagará o tempo gasto pelo seu pessoal para as necessidades da auditoria dentro do limite de 1 (um) dia por ano. O relatório de auditoria será enviado gratuitamente à GENERIX pelos auditores ou pelo Cliente, num prazo definido no contrato de auditoria, para que o Cliente possa formular, no prazo de vinte (20) dias úteis após a data da sua comunicação, quaisquer observações ou objeções por carta registada com aviso de receção dirigida ao auditor e ao Cliente.

Este relatório de auditoria é confidencial sob as condições do Artigo “Confidencialidade” do Contrato.

No caso do relatório de auditoria revelar uma violação de uma obrigação essencial em termos de Dados Pessoais, direta e exclusivamente atribuível à GENERIX, esta última compromete-se expressamente a implementar todas as medidas corretivas necessárias às suas próprias custas.