Termos & Condições

Termos e Condições Gerais da H.d Digital GMBH (Serviços de internet)

A Hospitality Digital GmbH Metro-Strasse 1, 40235 Düsseldorf ("H.d") oferece ao setor da hotelaria e da restauração ("Cliente") serviços gratuitos que são prestados exclusivamente através da Internet e que são a seguir descritos mais pormenorizadamente (os "Serviços"). Alguns Serviços poderão só ser disponibilizados depois de o Cliente se registar.

1. Âmbito de Aplicação


1.1 A H.d disponibiliza os Serviços e outras vantagens com base, exclusivamente, nos termos e condições gerais a seguir enunciados ("TCG").
1.2 Não serão aplicáveis quaisquer termos e condições divergentes do Cliente, mesmo que a H.d não rejeite especificamente esses termos e condições e/ou disponibilize sem reservas os Serviços e/ou outras vantagens com pleno conhecimento dos termos e condições contrários ou divergentes do Cliente.

2. Âmbito dos Serviços


2.1 Os Serviços incluem as seguintes vantagens, oferecidas pela H.d durante o período de vigência do acordo:
(a) A H.d fornece ao Cliente Espaço de armazenamento a utilizar nos sistemas da H.d, a que o Cliente pode aceder através da Internet ("Espaço de armazenamento"), consulte a secção 4.
(b) A H.d concede ao Cliente acesso online a software que lhe permite criar sítios Web simples, com configurações predefinidas, e armazená-los no Espaço de armazenamento, gerir esse espaço e/ou torná-lo acessível a terceiros ("Software"), consulte a secção 5.
(c) H.d oferece ao cliente um subdomínio (eatbu.com, metro.bar, metro.rest, restoru.ru, metro.biz, makro.bar, makro.rest) de acordo com o padrão xyz.NomedoDomínio.ExtensãodoDomínio que o cliente pode selecionar dentro do contexto da disponibilidade e que está associado ao Espaço de armazenamento ("subdomínio"), veja o parágrafo 6.
2.2 A H.d pode oferecer ao Cliente vantagens adicionais, cujo âmbito será coordenado com o Cliente e que serão subordinadas ao respeito dos presentes TCG.
2.3 A H.d pode adaptar os Serviços e as demais vantagens ao progresso e ao desenvolvimento ou às necessidades técnicas, desde que tal adaptação seja razoável para o Cliente. A H.d pode interromper os Serviços e outros serviços mediante um pré-aviso razoável. A H.d informará atempadamente o Cliente da interrupção dos serviços.

3. Obrigações do Cliente


3.1 O Cliente deve manter as informações da empresa e de contacto fornecidas aquando da conclusão do acordo durante todo o período de vigência do acordo e informar de imediato a H.d de eventuais alterações. O Cliente deve ainda assegurar que o endereço de e-mail fornecido à H.d é consultado regularmente, a fim de aceder a informações relevantes para o acordo.
3.2 O Cliente deve proteger as informações de acesso que lhe são fornecidas pela H.d contra o acesso de terceiros não autorizados. Caso tenha uma suspeita razoável ou conhecimento de um potencial uso abusivo das informações fornecidas, o Cliente deve informar imediatamente a H.d desse facto.
3.3 O Cliente está consciente de que o seu sítio Web pode ser associado à H.d. Em consequência, o Cliente tomará as medidas necessárias para manter os serviços oferecidos pelo mesmo e os serviços oferecidos pelo H.d ou por terceiros separados nos seus conteúdos.
3.4 Caso o Cliente descubra que a sua utilização dos Serviços ou de outras vantagens constitui uma violação da lei, solicita-se-lhe que cesse e abandone imediatamente a violação da lei e elimine quaisquer conteúdos ilícitos.

4. Disposições Especiais Aplicáveis ao Espaço de armazenamento


4.1 O Espaço de armazenamento é cedido ao Cliente gratuitamente. Em consequência, a H.d não pode garantir uma disponibilidade específica de Espaço de armazenamento. Além disso, o Espaço de armazenamento estará indisponível durante os trabalhos de manutenção necessários. A H.d procurará limitar ao mínimo os inconvenientes causados pelos trabalhos de manutenção. A H.d fornecerá ao Cliente outras especificações de desempenho do Espaço de armazenamento antes da conclusão do acordo.
4.2 O Cliente garante que todos os ficheiros, incluindo HTML e outros documentos, textos, imagens, gráficos, fontes, vídeos, etc., ("Conteúdos") serão armazenados, publicados e/ou disponibilizados no Espaço de armazenamento e/ou com a ajuda do Software em conformidade com a legislação aplicável. O Cliente apenas armazenará no Espaço de armazenamento, e/ou com o apoio do Software, Conteúdos de que detenha os necessários direitos, incluindo direitos de utilização e exploração ao abrigo da legislação aplicável aos direitos de autor, não devendo os Conteúdos em causa infringir quaisquer direitos pessoais de terceiros. Além disso, o Cliente não armazenará, publicará e/ou disponibilizará no Espaço de armazenamento, e/ou com a ajuda com Software, Conteúdos de caráter imoral, nomeadamente pornográfico, racista ou discriminatório. A H.d tem o direito de eliminar quaisquer Conteúdos armazenados no Espaço de armazenamento, e/ou com a ajuda do Software, que violem as disposições da presente secção 4 e de cuja existência tenha conhecimento através de agências governamentais, tribunais, do titular dos direitos, de outros terceiros ou de qualquer outra forma.
4.3 O Cliente concede à H.d os direitos necessários relativamente aos Conteúdos que o Cliente armazene, publique e/ou disponibilize ao público no Espaço de armazenamento, e/ou com a ajuda do Software, nomeadamente os direitos necessários para armazenar os Conteúdos, para lhes introduzir as adaptações técnicas necessárias, para os disponibilizar ao público e para os copiar. A H.d apenas poderá ter acesso aos Conteúdos do Cliente no Espaço de armazenamento na medida em que tal seja tecnicamente necessário para disponibilizar e/ou publicar os Conteúdos em causa e em conformidade com as autorizações concedidas contratualmente.
4.4 Além disso, o Cliente não pode executar ou mandar executar quaisquer processos automatizados, scripts, software ou outros dados e/ou Conteúdos no Espaço de armazenamento e/ou tomar ou mandar tomar quaisquer medidas (com a ajuda do Software) suscetíveis de afetar, mesmo de forma insignificante, os sistemas, redes e/ou outro hardware e software, como as componentes da rede da H.d e/ou de terceiros. Caso tenha conhecimento de tais ações, a H.d tem o direito de lhes pôr termo e/ou de as impedir.
4.5 O Cliente realizará diariamente cópias de segurança dos dados, a fim de poder recuperar os Conteúdos do Espaço de armazenamento sem custos adicionais.
4.6 O Cliente apenas pode disponibilizar ao público sítios Web alojados Espaço de armazenamento que tenham sido criados com a ajuda do Software.

5. Disposições Especiais Aplicáveis ao Software


5.1 O Cliente terá acesso ao Software exclusivamente para criar um sítio Web para si e para gerir o seu Espaço de armazenamento. A H.d concederá acesso ao ponto de transmissão para a rede pública.
5.2 O Cliente não pode aceder ao ou utilizar o Software em nome de terceiros ou para outros fins. O Cliente não está especificamente autorizado a copiar o Software, a disponibilizá-lo a terceiros, a desmontá-lo ou a alterá-lo de qualquer outra forma.

6. Disposições Especiais Aplicáveis ao Subdomínio


6.1 No momento do registo do subdomínio na H.d, o cliente é obrigado a cumprir as especificações da Corporação da Internet para Atribuição de Nomes e Números ("ICANN") como o emissor dos domínios .com e as especificações da entidade adjudicante responsável por "domínios de nível superior" de acordo com a conformidade. O cliente pode registar um máximo de três subdomínios com a H.d.
6.2 O Cliente garante que o Subdomínio será escolhido em conformidade com a legislação aplicável e que, nomeadamente, o Cliente apenas escolherá nomes para o(s) Subdomínio(s) para os quais detém os direitos, incluindo direitos de marca e/ou de nome. Além disso, o Cliente não registará para o Subdomínio um nome de domínio imoral ou contrário à política pública. O H.d tem o direito de eliminar quaisquer Subdomínios que violem as disposições da presente secção 6.2 e dos quais tenha conhecimento através de agências governamentais, tribunais, do titular dos direitos, de outros terceiros ou de qualquer outra forma.

7. Disposições Especiais Aplicáveis aos Serviços Adicionais


7.1 Sem prejuízo da secção 2.1(c), o Cliente pode registar o seu próprio nome de domínio e/ou utilizar um nome de domínio já registado e ligá-lo ao Espaço de armazenamento. A H.d indicará ao Cliente um prestador de serviços externos para efetuar o registo. O acordo de registo do nome de domínio próprio será concluído entre o Cliente e o prestador de serviços externo. A H.d não será parte contratante nem qualquer outra parte nesse acordo.
7.2 A H.d prestará apoio técnico ao Cliente para este ligar o seu nome de domínio próprio ao Espaço de armazenamento.

8. Conclusão, Duração e Resolução do Acordo


8.1 O acordo é considerado concluído quando o Cliente aceitar a proposta de conclusão de um acordo que reja os Serviços e outras vantagens facultados pela H.d. A aceitação ocorre, em princípio, quando a H.d inicia a prestação dos Serviços.
8.2 O acordo é concluído por um período de tempo indeterminado e pode ser resolvido pelo Cliente, a qualquer momento, e pela H.d, mediante pré-aviso de duas (2) semanas.
8.3 A H.d deve comunicar a sua intenção de resolver o acordo por escrito ou por e-mail. O Cliente resolve o acordo selecionando no Software a opção de eliminar os seus conteúdos e confirmando a sua seleção.
8.4 As disposições anteriores não prejudicam os direitos das partes de resolver o acordo sem pré-aviso por justa causa. Existe justa causa, nomeadamente, se o Cliente não cumprir uma das obrigações previstas nas secções 3, 4, 5, 6, 10.2 e 10.3.
8.5 Após resolução do acordo, e independentemente do motivo da resolução, a H.d elimina todos os dados armazenados pelo Cliente no Espaço de armazenamento no âmbito da relação contratual, bem como o Subdomínio, no prazo de trinta (30) dias, salvo se o próprio Cliente proceder a essa eliminação com recurso ao Software.

9. Garantia e Responsabilidade, Indemnização


9.1 Relativamente aos Serviços e vantagens facultados gratuitamente pela H.d ao Cliente, a H.d reembolsará o Cliente unicamente pelos prejuízos por este sofridos devido a defeitos ocultados fraudulentamente. A H.d não poderá ser responsabilizada por vícios materiais ou jurídicos dos Serviços e vantagens facultados gratuitamente.
9.2 A H.d, os seus agentes ou os seus representantes legais apenas poderão ser responsabilizados pelos Serviços e pelas vantagens facultados gratuitamente pela H.d ao Cliente em caso de intenção dolosa, negligência grave, perda de vida culposa, lesões corporais, danos para a saúde ou defeitos ocultados fraudulentamente. Em caso de perda de dados, a responsabilidade da H.d será limitada aos custos de recuperação que teriam sido incorridos se tivesse sido efetuada diariamente uma cópia de segurança dos dados. A responsabilidade nos termos da Lei portuguesa relativa à Responsabilidade pelos Produtos e da Lei relativa ao Salário Mínimo permanece inalterada.
9.3 O Cliente é o único responsável pelos Conteúdos e pelo nome do Subdomínio. Em consequência, o Cliente deve, logo que a tal seja solicitado, indemnizar a H.d, os seus agentes e os seus representantes legais, bem como as empresas afiliadas à H.d nos termos da lei portuguesa, e isentá-los de quaisquer responsabilidades em pretensões de terceiros contra à H.d, os seus agentes e os seus representantes legais, bem como contra empresas afiliadas à H.d e relacionadas com os Serviços ou outras vantagens. O que precede é aplicável, concretamente, em relação a quaisquer violações de marcas, direitos de autor, proteção de dados e regras da concorrência. A indemnização incluirá igualmente os custos inerentes a eventuais procedimentos de arbitragem.

10. Proteção de Dados, Confidencialidade


10.1 A H.d é responsável pelo tratamento de dados pessoais recolhidos pelo Cliente. A H.d procede, no âmbito do presente Contrato, ao tratamento dos dados exclusivamente para execução do Contrato, por exemplo para estabelecer contacto e fornecer serviços. Não é possível executar o Contrato sem a prestação de dados pessoais. Este tratamento de dados pessoais baseia-se no artigo 6.º, primeiro parágrafo, alínea b) do Regulamento Geral de Proteção de Dados (RGPD). Os dados pessoais do Cliente serão eliminados após cessação do Contrato, a não ser que existam obrigações de caracter jurídico que requerem um período mais longo de armazenamento dos dados. Neste caso, os dados pessoais não poderão ser utilizados para outra finalidade e, em seguida, deverão ser eliminados imediatamente depois de ter expirado o período de retenção regulamentar. Para efeitos da execução do presente Contrato, a H.d utiliza o suporte de fornecedores de serviço, por exemplo no campo do alojamento, para manutenção e outros serviços. Estes fornecedores de serviço poderão ser empresas externas, bem como as empresas associadas à H.d de acordo com o estipulado na secção 15 e seguintes da lei relativa às sociedades por ações (AktG - Aktiengesetz) através de acordos celebrados com os fornecedores de serviço, a H.d assegura que os dados pessoais serão tratados em conformidade com os requisitos do RGPD. O mesmo se aplica igualmente aos dados tratados fora da UE/EEE. Para exercer os direitos previstos do Cliente de acordo com o RGPD,

· Informações sobre o tratamento de dados pessoais do Cliente, bem com uma cópia dos respetivos dados (artigo 15.º do RGPD),

· Retificação dos dados pessoais incompletos (artigo 16.º do RGPD),

· Eliminação de dados pessoais do Cliente e, se tornado público, a H.d compromete-se a informar as outras partes responsáveis sobre o pedido de eliminação (artigo 17.º do RGPD),

· Limitação do tratamento de dados pessoais do Cliente (artigo 18.º do RGPD).

· Portabilidade de dados, de forma a fornecer ao Cliente os dados pessoais num formato estruturado, comum e de leitura automática e o direito de transferir estes dados a outras partes responsáveis sem entraves da H.d (artigo 20.º do RGPD) e o

· direito de se opor ao tratamento de dados pessoais (artigo 21.º do RGPD)

O cliente pode, a qualquer momento, contactar o responsável pela proteção de dados da H.d (privacy@hd.digital ). O Cliente também tem o direito de apresentar queixa perante a autoridade fiscalizadora competente, caso considere o tratamento de dados incompatível com o RGPD (artigo 77.º do RGPD).
10.2 Perante terceiros, o Cliente é o único responsável pelo cumprimento das disposições em matéria de proteção de dados, que incluem o cumprimento da obrigação de fornecer informações relacionadas com o sítio Web criado pelo Cliente com recurso ao Software.
10.3 As partes não disponibilizarão quaisquer informações confidenciais a terceiros durante o período de vigência do contrato, bem como nos dois anos seguintes ao seu termo, e não as utilizarão para qualquer fim não previsto no acordo. Todas as informações relativas às informações técnicas e à proficiência facultadas ao Cliente, bem como as informações identificadas por uma das partes como confidenciais e com valor económico, deverão ser consideradas confidenciais.
10.4 O dever de confidencialidade não é extensivo a informações que cheguem ao conhecimento da outra parte sem quebra do dever de confidencialidade por qualquer das partes, que se tornem – ou já sejam – públicas, que devam ser disponibilizadas a terceiros por força de disposições legais, decisão judicial ou decisão administrativa, ou que sejam analisadas por terceiros que se comprometam a manter o sigilo, com vista à aquisição de uma das empresas.

11. Remuneração


11.1 O Cliente não deve qualquer remuneração pela prestação dos Serviços pela H.d. Os Serviços são prestados a título gratuito.
11.2 O disposto na Secção 11.1 não é aplicável a serviços prestados por terceiros no contexto de serviços alargados.

12. Disposições Diversas


12.1 A H.d pode beneficiar de uma parte ou da totalidade dos Serviços prestados por subcontratantes ao abrigo do disposto no presente acordo. A H.d pretende que tais Serviços sejam prestados pela sua subsidiária Hospitality.systems GmbH.
12.2 A H.d pode alterar os presentes TCG mediante notificação prévia do Cliente, incluindo alterações previstas. A H.d apenas pode alterar os presentes TCG na medida em que as alterações sejam razoáveis para o Cliente, não incidam numa das principais obrigações contratuais e não coloquem o Cliente numa situação globalmente desvantajosa. A prevista transferência de direitos e obrigações da H.d para a sua subsidiária Hospitality.systems GmbH, prevista no presente documento, deve ser considerada razoável. O Cliente tem o direito de contestar qualquer alteração dos TCG num prazo de seis (6) semanas a contar da receção da notificação ou de resolver o acordo sem pré-aviso. A não contestação da alteração dos TCG pelo Cliente no prazo estipulado equivale à sua aceitação da alteração em causa. A H.d deve informar o Cliente das consequências da não contestação das alterações e do seu direito de resolver o acordo sem pré-aviso em todas as notificações relativas a alterações dos TCG.
12.3 No caso de uma disposição do presente acordo ser ou vir a tornar-se, no todo ou em parte, inválida, ineficaz, impraticável ou inaplicável ("Disposição Incorreta"), a eficácia e a aplicabilidade das demais disposições do acordo não serão afetadas. As partes comprometem-se desde já a substituir a Disposição Incorreta por uma disposição que, na medida do legalmente possível, se aproxime daquilo que as partes teriam estipulado, atentos o sentido e a finalidade do acordo, se tivessem detetado o erro na disposição. Se a disposição estiver incorreta devido ao serviço ou ao período de tempo (prazo) nela determinado, da disposição deverá passar a figurar o prazo permitido por lei que mais se aproxime do prazo original. O mesmo se aplica a eventuais lacunas do presente acordo. É intenção expressa das partes que a presente cláusula de divisibilidade não resulte numa mera inversão do ónus da prova.
12.4 O presente acordo e todos os direitos e obrigações dele emergentes ou com ele relacionados são regidos exclusivamente pela legislação portuguesa e devem ser interpretados e aplicados ao abrigo da legislação portuguesa. Não são aplicáveis as disposições relativas ao conflito de legislações. Não é aplicável a Convenção das Nações Unidas sobre os Contratos de Compra e Venda Internacional de Mercadorias.
12.5 O presente acordo foi concluído em língua inglesa e portuguesa. Para evitar quaisquer dúvidas, as partes acordam em que é a versão inglesa que faz fé.
12.6 O tribunal competente para dirimir litígios resultantes do presente acordo ou com este relacionados, da sua conclusão ou da sua execução é o tribunal da Comarca de Lisboa.

Stand: Mai 2018/AG

TRATAMENTO DE PEDIDOS

Ao confirmar os Termos e Condições Gerais supramencionados, o Cliente ("Pessoa Responsável") e a H.d ("Subcontratante"), coletivamente denominados como "Partes", individualmente como "Parte", estabelecem igualmente o Acordo de Tratamento de Dados (Data Processing Agreement, DPA).

Preâmbulo

No contexto das respetivas atividades comerciais e de acordo com os Termos e Condições Gerais supramencionados, o Subcontratante recebe dados pessoais que serão imputáveis à Pessoa Responsável. As Partes aceitam as disposições do presente DPA, com vista ao cumprimentos das obrigações em matéria de proteção de dados e em conformidade com a legislação europeia relativa à proteção de dados, especificamente o Regulamento Geral sobre a Proteção de Dados, RGPD (General Data Protection Regulation, GDPR - Artigo 28).

1. Definições

1.1 Dados Pessoais refere-se a todas as informações relacionadas com uma pessoa singular identificada ou identificável ("Pessoa em Causa"). Uma pessoa singular considera-se identificável quando é possível identificá-la direta ou indiretamente em particular através da associação a um identificador como, por exemplo, um número de identificação, dados de localização, um identificador online ou uma ou mais características especiais que exprimam a identidade física, fisiológica, genética, mental, económica, cultural ou social desta pessoa singular (doravante "Dados").

1.2 Tratamento de dados em nome de alguém refere-se à recolha, tratamento ou utilização de dados por parte do Subcontratante em nome da Pessoa Responsável.

2. Assunto e conteúdo do pedido

2.1 Assunto e duração do pedido

Os detalhes e a duração do pedido resultam dos Termos e Condições Gerais supramencionados.

2.2 Tipo de dados

O tipo de dados é descrito mais detalhadamente nos Termos e Condições Gerais e na Política de Privacidade.

2.3 Finalidade da recolha, tratamento ou utilização dos dados

O objetivo da recolha, do tratamento ou da utilização dos dados é descrito mais detalhadamente nos Termos e Condições Gerais e na Política de Privacidade.

2.4 Natureza e dimensão da recolha, tratamento ou utilização dos dados

A natureza e dimensão da recolha, do tratamento ou da utilização dos dados é descrita mais detalhadamente nos Termos e Condições Gerais e na Política de Privacidade.

2.5 Categoria das Pessoas em Causa

(a) Dados do próprio Cliente

(b) Clientes

2.6 Medidas técnicas e organizativas

(a) As medidas técnicas e organizativas a implementar pelo subcontratante devem estar estabelecidas no Anexo (consultar abaixo) do presente DPA. O Subcontratante irá adaptar com regularidade estas medidas ao artigo anterior, a expensas suas, desde que o nível de proteção acordado não seja reduzido e que as Pessoas Responsáveis sejam imediatamente informadas.

(b) O Subcontratante tem de permitir à Pessoa Responsável verificar a conformidade local com as medidas técnicas e organizativas antes de iniciar as atividades de tratamento ao abrigo do presente contrato. O direito de auditoria da Pessoa Responsável, de acordo com a Alínea 2.10, permanece inalterado.(c) O subcontratante deverá assegurar que os sistemas de tratamento de dados utilizados na estrutura do DPA estão em conformidade com as normas da "privacidade desde a conceção" e os "parâmetros predefinidos de proteção da privacidade" de acordo com o artigo anterior.

2.7 Correção, eliminação e bloqueio de dados, direito à portabilidade dos dados e direito de oposição

(a) Os direitos das pessoas envolvidas no tratamento de dados efetuado pelo subcontratante, em particular a retificação, eliminação, bloqueio e a portabilidade dos dados, bem como a oposição aos mesmos devem ser delegados ao responsável pelo tratamento. Ele é o responsável exclusivo pela proteção destes direitos.

(b) No decurso do respetivo trabalho para a Pessoa Responsável, o Subcontratante tem a obrigação de reencaminhar todos os pedidos a ele dirigidos por parte das pessoas afetadas para a pessoa responsável pelo tratamento adequado dos mesmos, sem qualquer tipo de atraso. Se a Pessoa Responsável e o Subcontratante agirem, em conjunto, enquanto pessoas externas responsáveis, o Subcontratante tem o direito de responder a este pedido de forma independente.

(c) O Subcontratante tem também o dever de auxiliar a Pessoa Responsável mediante a implementação de medidas técnicas e organizativas apropriadas a fim de cumprir a sua obrigação de resposta às pessoas envolvidas.

(d) Em conformidade com as instruções da Pessoa Responsável, o Subcontratante deverá retificar, suspender e/ou eliminar os dados imediatamente e nunca num período superior a cinco (5) dias, bem como informar o Subcontratante no final deste prazo.

2.8 Deveres do Subcontratante

(a) O Subcontratante pode recolher, processar e utilizar dados apenas no contexto do pedido e das instruções documentadas da Pessoa Responsável.

(b) O Subcontratante tem de cumprir as medidas técnicas e organizativas, conforme definido na Cláusula 2.6 do presente DPA com intervalos regulares e enviá-las mediante pedido.

(c) O Responsável pela Proteção de Dados é indicado como pessoa de contacto para assuntos relacionados com a proteção de dados da parte do Subcontratante. Esta pessoa pode ser contactada através do endereço privacy@hd.digital. Se necessário, o Subcontratante agenda também a presença de um representante, de acordo com os requisitos do Art. 27.º do RGPD.

(d) O Subcontratante é responsável pela manutenção da confidencialidade. Todas as pessoas da parte do Subcontratante autorizadas a aceder aos dados da Pessoa Responsável estão abrangidas pelo dever de confidencialidade ou sujeitas ao sigilo profissional razoável e têm de ser informadas relativamente a obrigações de proteção de dados especiais resultantes do presente DPA, bem como, das instruções e finalidade existentes. O Subcontratante documentará estas obrigações por escrito e fornecê-las-á à Pessoa Responsável, mediante pedido.

2.9 Justificação das condições de subcontratação

(a) A justificação para relações de subcontratação está autorizada. O Subcontratante informará com antecedência a Pessoa Responsável relativamente à alteração correspondente. A Pessoa Responsável tem direito à objeção.

(b) Em caso de adjudicação por parte de outros subcontratantes, o Subcontratante assegurará contratualmente que as obrigações do Subcontratante atribuídas ao abrigo do presente DPA são igualmente aplicáveis em conformidade com o outro Subcontratante.

(c) O Subcontratante controlará as medidas técnicas e organizativas tomadas por outros subcontratantes pontual e regularmente no decorrer do período de subcontratação a fim de proteger os dados por ele fornecidos. A transferência de dados é permitida apenas se o outro Subcontratante tiver implementado as medidas técnicas e organizativas, pelo menos, de acordo com as especificações do presente DPA.

(d) O Subcontratante será totalmente responsável pelos subcontratados por si empregados.

2.10 Direitos de auditoria da Pessoa Responsável

A Pessoa Responsável está autorizada a verificar a conformidade com os regulamentos de proteção de dados aplicáveis e o DPA durante o horário normal de expediente. O Subcontratante aceita disponibilizar à Pessoa Responsável todas as informações razoavelmente necessárias para a execução da inspeção dentro de um período de tempo razoável. Sempre que a Pessoa Responsável considerar que é necessária uma auditoria na localização do Subcontratante, o Subcontratante assegurará que a pessoa responsável pela realização da auditoria tem acesso às instalações do Subcontratante, bem como a uma inspeção local dos dados armazenados e dos programas de processamento de dados. A Pessoa Responsável tem direito a que o teste seja realizado por um terceiro (examinador ) a nomear em cada caso. A Pessoa Responsável tem de informar relativamente à execução da referida auditoria, por escrito, com pelo menos vinte (20) dias úteis de antecedência. O custo da realização da auditoria, bem como os custos incorridos pelo Subcontratante, de acordo com as taxas de mercado normais, são da responsabilidade da Pessoa Responsável.

2.11 Notificações de Violações por parte do Subcontratante

(a) O Subcontratante notificará a Pessoa Responsável de imediato e, no máximo, até quarenta e oito (48) horas após a descoberta da violação, em todos os casos nos quais o Subcontratante ou as pessoas ou subcontratados por ele empregados tenham infringido a legislação de proteção de dados em vigor da Pessoa Responsável ou as condições estabelecidas no presente DPA.

(b) A Pessoa Responsável será notificada quanto a quaisquer incidentes de perda, transmissão ou receção ilegal por terceiros, independentemente da causa. O Subcontratante irá, em conjunto com a Pessoa Responsável, tomar medidas apropriadas para salvaguardar os dados ou para mitigar as eventuais consequências adversas para as pessoas envolvidas. Desde que a pessoa responsável cumpra as obrigações de notificação, o Subcontratante auxiliará a Pessoa Responsável no cumprimento destas obrigações.

2.12 Instruções da Pessoa Responsável

(a) O processamento dos dados da Pessoa Responsável por parte do Subcontratante será executado exclusivamente no contexto do DPA e as instruções específicas serão comunicadas pelo Subcontratante.

(b) O Subcontratante cumprirá, de imediato, as instruções (individuais) relativas à natureza, dimensão e método de tratamento ou, se aplicável, dentro do prazo estabelecido pela Pessoa Responsável.

(c) O Subcontratante notificará imediatamente a Pessoa Responsável se, na opinião do Subcontratante, as instruções da Pessoa Responsável violarem os regulamentos da proteção de dados. O Subcontratante terá direito a suspender a execução da instrução relevante até que esta tenha sido confirmada ou alterada por uma Pessoa Responsável.

2.13 Eliminação após a conclusão do pedido

Após a conclusão do trabalho acordado contratualmente, o Subcontratante tem de entregar todos os dados por si tratados à Pessoa Responsável ou, mediante autorização prévia da Pessoa Responsável, destruí-los de acordo com as regras da proteção de dados ou eliminá-los em conformidade com o artigo anterior. Exclui-se o direito de retenção relativo a documentos, dados, tratamento e resultados de utilização, bem como a suportes de dados associados, exceto se a lei da União Europeia ou de um dos estados membros da UE obrigar ao armazenamento dos dados.

3. Outras obrigações do Subcontratante

3.1 O Subcontratante não pode utilizar os dados fornecidos para tratamento de dados para qualquer outro fim. Não podem ser efetuadas cópias ou duplicados sem o conhecimento e autorização prévia por escrito da Pessoa Responsável, exceto se esta situação decorrer de serviços solicitados no DPA. O Subcontratante assegurará que os dados tratados por si para a Pessoa Responsável estão separados de quaisquer outros dados. Uma transmissão de dados da Pessoa Responsável efetuada pelo Subcontratante para terceiros não pode ocorrer sem a autorização prévia por escrito da Pessoa Responsável.

3.2 O Subcontratante disponibilizará assistência razoável aos responsáveis pela defesa contra reclamações baseadas na alegada ou real violação dos requisitos da proteção de dados. A Pessoa Responsável irá, por seu lado, investigar as reclamações dos titulares de dados relativas à responsabilidade de proteção de dados da Pessoa Responsável, de forma apropriada e tratar as reclamações dos titulares de dados.

3.3 O Subcontratante aceita que as informações sejam fornecidas às pessoas visadas com base no direito à informação exclusivamente através da Pessoa Responsável ou de uma pessoa autorizada pela Pessoa Responsável. O Subcontratante é obrigado a fornecer atempadamente à Pessoa Responsável as informações solicitadas e a auxiliar a Pessoa Responsável. Se for o próprio Subcontratante a desempenhar o papel de Pessoa Responsável externa, estas questões podem igualmente ser respondidas e a Pessoa Responsável pode ser informada em conformidade.

3.4 O Subcontratante auxiliará o responsável pelo tratamento na preparação dos índices de procedimentos necessários, sempre que aplicável.

3.5 O Subcontratante auxiliará a Pessoa Responsável na execução de avaliações de impacto na proteção de dados quando existir a probabilidade de um determinado tipo de tratamento representar um risco elevado para os direitos e liberdades das pessoas singulares.

3.6 O Subcontratante aceita informar imediatamente a Pessoa Responsável sobre os resultados das inspeções efetuadas pelas autoridades de supervisão da proteção de dados, na medida em que estas estejam relacionadas com o presente DPA. O Subcontratante informará as entidades responsáveis relativamente a quaisquer reclamações da parte das autoridades de supervisão da proteção de dados que estejam relacionadas com a área de responsabilidade do Subcontratante e corrigirá todas as irregularidades alvo de reclamação, conforme requerido por lei.

4. Responsabilidade

4.1 A Pessoa Responsável está encarregue da permissibilidade do tratamento de dados, bem como da proteção dos titulares de dados.

4.2 Por derrogação da secção 4.1, o Subcontratante é responsável pelas reclamações dos titulares de dados por violação das disposições legais aplicáveis ou das disposições do DPA.

4.3 Relativamente à Pessoa Responsável, o Subcontratante é responsável apenas pela intenção ou negligência grave no âmbito da exclusão de responsabilidade e das limitações legalmente permitidas.

5. Disposições finais

5.1 O Responsável pelo tratamento informará de imediato e totalmente o Subcontratante, se, durante a auditoria, encontrar erros ou irregularidades no tratamento de dados executado pelo Subcontratante.

5.2 O presente DPA poderá ser modificado ou terminado ao abrigo dos mesmos termos e condições supramencionados nos Termos e Condições Gerais.

5.3 A não validade de uma ou mais disposições do presente DPA não afeta a efetividade deste DPA. Caso uma ou mais disposições do presente DPA não sejam efetivas, as Partes optarão por uma disposição de substituição legal e economicamente viável. O mesmo é aplicável em caso de uma falha no sistema.

5.4 O DPA está sujeito aos mesmos direitos que os Termos e Condições Gerais supramencionados.

5.5 No caso de ocorrência de contradições entre o DPA e os outros acordos entre as partes, prevalecem as disposições do presente DPA.

Estado: 2018/ AG


Medidas técnicas e organizativas

Tendo em conta o artigo anterior, os custos e a natureza da implementação, o âmbito, as circunstâncias e a finalidade do tratamento, bem como as diferentes probabilidades e graus de gravidade relativos ao risco para os direitos e liberdades das pessoas singulares, o Subcontratante implementará medidas técnicas e organizativas apropriadas para assegurar o nível de proteção proporcional ao risco. Estas medidas incluem, nomeadamente, o seguinte:

• a pseudonimização e a encriptação dos dados;

• a capacidade de assegurar de forma permanente a confidencialidade, integridade, disponibilidade e resiliência dos sistemas e serviços de tratamento;

• a capacidade de restaurar rapidamente a disponibilidade e a acessibilidade aos dados em caso de ocorrência de incidentes físicos ou técnicos;

• um processo para a revisão, análise e avaliação periódicas da eficácia das medidas técnicas e organizativas de forma a assegurar a segurança do tratamento.

Sem prejuízo do supracitado, serão tomadas as seguintes medidas específicas:

1. Controlo de acesso

Medidas para evitar que pessoas não autorizadas acedam ao sistema de tratamento de dados utilizado para tratar os dados:

• Especificação do grupo de pessoas autorizado bem como da documentação correspondente;

• Controlo de acesso eletrónico;

• Emissão de ID de acesso;

• Introdução de diretrizes para indivíduos externos;

• Alarme ou segurança fora do horário laboral;

• Distribuição de propriedades por diferentes zonas de segurança;

• Introdução de diretrizes para a gestão de chaves (cartões);

• Portas de segurança (Abertura de porta eletrónica, leitor de ID, CCTV);

• Introdução de medidas de segurança local (por ex.: deteção/notificação de intrusão).

2. Controlo de acesso

Medidas para evitar o acesso de pessoas não autorizadas à utilização do sistema e procedimentos de tratamento de dados:

• Definição do grupo de pessoas com acesso aos sistemas de tratamento de dados;

• Introdução de diretrizes para indivíduos externos;

• Proteção por palavra-passe para os computadores pessoais.

3. Controlo de acesso

Medidas para assegurar que as pessoas autorizadas a utilizar as técnicas de tratamento de dados apenas podem aceder aos dados sujeitos à respetiva autorização.

• Introdução de direitos de acesso limitados baseados nos respetivos dados e funções;

• Obrigação de identificação do equipamento de tratamento de dados (por ex., através do ID e da autenticação);

• Introdução de políticas relativas ao acesso e às funções do utilizador;

• Avaliação de protocolos em caso de ocorrência de um evento de risco.

4. Controlo de transferência

Medidas para garantir que os dados não possam ser lidos, copiados, alterados ou removidos durante o seu envio eletrónico ou durante o respetivo transporte ou armazenamento em suportes de dados e para que seja possível verificar e determinar quando é disponibilizado o envio de dados.

• Encriptação

5. Controlo de entrada

Medidas para assegurar que seja possível verificar e determinar subsequentemente se os dados foram introduzidos e por quem foram introduzidos, alterados ou removidos a partir de sistemas de TI.

• Registo de entradas de dados.

6. Controlo de pedidos

Medidas para garantir que os dados processados apenas possam ser processados de acordo com as instruções da Pessoa Responsável.

• Documentação das diferentes competências e obrigações entre a Pessoa Responsável e o Subcontratante;

• Adjudicação formal;

• Controlo dos resultados de trabalho.

7. Controlo da disponibilidade

Medidas para assegurar que os dados estão protegidos contra destruição ou perda acidental.

• Implementação de um plano para execução de cópias de segurança regulares;

• Armazenamento seguro de cópias de segurança dos dados em compartimentos resistentes ao fogo e à água;

• Introdução e controlo regular de um sistema para energia de emergência e de um sistema de proteção contra sobretensão;

• Introdução de um plano de emergência;

• Protocolo relativo à introdução da gestão de crise e/ou emergência.

8. Controlo de separação

Medidas para garantir que os dados recolhidos com diferentes finalidades podem ser processados em separado.

• Separação dos dados de cada cliente do Subcontratante.

Estado: Maio 2018/ AG