Acordo sobre tratamento de dados

Versão 2.1.0

As Partes:

  • A organização registada que se inscreveu no PowerDMARC, aqui também referida como o "Controlador".

E

  •  MENAINFOSEC, Inc com sede social e principal local de negócios em Delaware, Estados Unidos da América, aqui referido como o "Processador";

Preâmbulo:

  1. O Controlador celebrou um ou mais acordos com o Processador para que o Processador preste vários serviços ao Controlador ou irá celebrar um tal acordo. Este acordo ou estes acordos em conjunto são aqui referidos como "o Acordo Principal".
  2. Na execução do Acordo Principal o Processador processará os dados pelos quais o Controlador é e continua a ser responsável. Estes dados incluem dados pessoais no sentido do Regulamento Geral de Protecção de Dados (UE 2016/679), e ainda aqui o "GDPR".
  3. Considerando o disposto no n.º 3 do artigo 28º da GDPR asPartes desejam estabelecer no presente Acordo as condições em que estes dados pessoais serão tratados.

Acordo:

  • Âmbito
    1. O presente Acordo é aplicável na medida em que na prestação de serviços ao abrigo do Acordo Principal sejam realizadas uma ou mais operações de processamento que estão incluídas no Anexo 1.
    2. As operações de processamento do Anexo 1, quesão realizadas na prestação dos serviços, são ainda aqui referidas como: as "Operações de Processamento". Os dados pessoais tratados a este respeito são:os "Dados Pessoais".
    3. Todos os conceitos deste Acordo têm o significado que lhes é dado no GDPR.
    4. Se mais e outros dados pessoais forem processados segundo as instruções do Controlador ou se forem processados de outra forma que não a descrita nesta cláusula, o presente Acordo aplica-se tanto quanto possível também a essas Operações de Processamento.
    5. Os anexos fazem parte do presente Acordo. Consistem em:

Anexo 1 as Operações de Processamento, os Dados Pessoais e os períodos de retenção;

  • Assunto
    1. O Controlador tem e mantém o controlo total dos Dados Pessoais. Se o Controlador não processar ele próprio os Dados Pessoais utilizando os sistemas do Processador, o Processador processará exclusivamente com base em instruções escritas do Controlador, por exemplo no que diz respeito a quaisquer Dados Pessoais que sejam transmitidos a terceiros fora da União Europeia. O Acordo Principal é considerado como uma instrução genérica a este respeito.
    2. As Operações de Processamento são realizadas apenas em ligação com o Acordo Principal. O Processador não processará dados pessoais para além do previsto no Acordo Principal. Em particular, o Processador não deverá utilizar os Dados Pessoais para os seus próprios fins.
    3. O Processador realizará as Operações de Processamento de uma forma adequada e com o devido cuidado.
  • Medidas de segurança
    1. O Processador deve tomar todas as medidas de segurança técnicas e organizacionais que lhe sejam exigidas pelo GDPR e, em particular, nos termos do artigo 32 GDPR.
    2. O Processador deve assegurar que as pessoas, não limitadas aos funcionários, que participam nas Operações de Processamento no Processador são obrigadas a observar a confidencialidade no que diz respeito aos Dados Pessoais.
  • Quebras de dados & Avaliação do Impacto na Privacidade
    1. O Processador notificará o Controlador de qualquer "violação de dados pessoais", na acepção do artigo 4.º abaixo de 12 GDPR. Tal violação é doravante referida como: uma "Violação de Dados".
    2. O Processador fornecerá ao Controlador, em tempo útil, todas as informações que tenha na sua posse e que sejam necessárias para cumprir as obrigações do Artigo 33 GDPR. Para esse efeito, o Processador deve fornecer as respectivas informações o mais rapidamente possível, num formato padrão a ser determinado pelo Processador. Isto implica que o Processador informe o Controlador de uma Violação de Dados o mais rapidamente possível, se for evidente que a Violação de Dados é susceptível de resultar num risco para os direitos e liberdades das pessoas singulares. Se for evidente que uma Violação de Dados não é susceptível de pôr em risco os direitos e liberdades das pessoas singulares, o Processador é autorizado a notificar posteriormente o Responsável pelo Tratamento, desde que a notificação ocorra sem demora injustificada. Se houver razões para duvidar que a violação de dados seja susceptível de resultar num risco para os direitos e liberdades de pessoas singulares, o Processador notificará o responsável pelo tratamento da violação de dados o mais rapidamente possível.
    3. Cabe exclusivamente ao Controlador determinar se uma Violação de Dados estabelecida no Processador deve ser comunicada à Autoridade Holandesa de Dados Pessoais e/ou à pessoa em causa.
  • Envolvimento de sub-processadores
    1. Ao realizar as Operações de Processamento, o Processador não tem o direito de contratar terceiros como sub-processador sem o consentimento prévio do Controlador. O consentimento do Controlador pode também referir-se a uma determinada categoria de sub-processadores.
    2. Se o Controlador der o seu consentimento, o Processador deve assegurar que o respectivo terceiro celebre um acordo em que observe pelo menos as mesmas obrigações legais e quaisquer obrigações adicionais que o Processador tenha nos termos deste Acordo.
    3. Caso o consentimento diga respeito a um determinado tipo de terceiros, o Processador deve informar o Controlador sobre os sub-processadores contratados por ele. O Controlador pode então opor-se às adições ou substituições no que diz respeito aos sub-processadores do Processador.
  • Obrigação de confidencialidade
    1. O Processador manterá os Dados Pessoais confidenciais. O Processador garante que os Dados Pessoais não ficarão directa ou indirectamente disponíveis a terceiros. O termo terceiros inclui também o pessoal do Processador, na medida em que não seja necessário que estes tomem conhecimento dos Dados Pessoais. Esta proibição não se aplica se disposições em contrário forem estabelecidas no presente Acordo e/ou na medida em que um regulamento ou julgamento legal exija qualquer divulgação.
    2. O Processador informará o Controlador de qualquer pedido de acesso, fornecimento ou outra forma de pedido e comunicação de Dados Pessoais de uma parte que não a pessoa em causa, contrário à obrigação de confidencialidade incluída na presente cláusula, a menos que o Processador seja proibido por lei de o fazer. No caso de pedidos do titular dos dados O Processador transmitirá esses pedidos ao Responsável pelo tratamento, ou remeterá o titular dos dados ao Responsável pelo tratamento.
  • Períodos de retenção e eliminação
    1. O Controlador é responsável por determinar os períodos de retenção no que diz respeito aos Dados Pessoais. Na medida em que os Dados Pessoais estejam sob o controlo do Responsável pelo Tratamento (por exemplo, no caso de serviços de alojamento), ele próprio os apagará dentro do tempo devido.
    2. Em caso de rescisão do Acordo Principal ou, o Processador deverá apagar os Dados Pessoais após o termo do período de conservação mencionado no Anexo 1, ao critério do Responsável pelo Tratamento, transferi-los para ele, a menos que os Dados Pessoais devam ser conservados por mais tempo, por exemplo, em relação às obrigações (legais) do Processador, ou se o Responsável pelo Tratamento solicitar que os Dados Pessoais sejam conservados por mais tempo e o Processador e o Responsável pelo Tratamento chegarem a acordo relativamente aos custos e às outras condições dessa conservação mais longa, esta última não obstante a responsabilidade do Responsável pelo Tratamento de respeitar os períodos de conservação legais. Qualquer transferência para o Responsável pelo tratamento é feita à custa do Responsável pelo tratamento.
    3. Caso o Controlador solicite uma Conta e remoção de dados através do login protegido, o Processador deverá apagar os Dados Pessoais no prazo de trinta dias após a Conta e o pedido de remoção de dados, à discrição do Controlador, transferi-los para ele, a menos que os Dados Pessoais devam ser retidos por mais tempo, por exemplo, em relação às obrigações (estatutárias) do Processador, ou se o Controlador solicitar que os Dados Pessoais sejam retidos por mais tempo e o Processador e o Controlador chegarem a acordo relativamente aos custos e às outras condições dessa retenção por mais tempo, este último não obstante a responsabilidade do Controlador de observar os períodos de retenção estatutários. Qualquer transferência para o Responsável pelo tratamento é feita à custa do Responsável pelo tratamento.
    4. O Processador declarará, a pedido do Controlador, que a eliminação pretendida no parágrafo anterior teve lugar. O Controlador pode mandar verificar, às suas próprias custas, se isto realmente se verificou. A cláusula 10 dopresente Acordo aplica-se a essa verificação. Na medida em que tal seja necessário, o Processador informará todos os sub-processadores envolvidos no processamento dos Dados Pessoais de qualquer rescisão do Acordo Principal e dar-lhes-á instruções para agirem como previsto no mesmo.
    5. Salvo acordo em contrário entre as partes, o próprio Controlador tratará de uma cópia de segurança dos Dados Pessoais.
  • Direitos da pessoa a quem os dados dizem respeito 
    1. Se o próprio responsável pelo tratamento tiver acesso aos Dados Pessoais, deverá ele próprio satisfazer todos os pedidos do titular dos dados relacionados com os Dados Pessoais. O Processador transmitirá imediatamente ao Responsável pelo tratamento todos os pedidos recebidos pelo Processador.
    2. Só se o que foi pretendido no parágrafo anterior for impossível é que o Processador cooperará plenamente e dentro do tempo devido com o Controlador a fim de o fazer:
    3. facultar ao interessado o acesso aos seus respectivos Dados Pessoais após aprovação do Controlador e sob as instruções do mesmo,
    4. remover ou corrigir dados pessoais,
    5. demonstrar que os Dados Pessoais foram removidos ou corrigidos se estiverem incorrectos (ou, no caso de o Controlador não concordar que os Dados Pessoais estão incorrectos, registar o facto de o titular dos dados considerar que os seus Dados Pessoais estão incorrectos)
    6. fornecer ao Controlador ou ao terceiro designado pelo Controlador os respectivos Dados Pessoais de uma forma estruturada, habitual e legível por máquina e
    7. permitir ao Controlador cumprir as suas obrigações ao abrigo da GDPR ou outra legislação aplicável na área do processamento de Dados Pessoais.
    8. Os custos e os requisitos impostos à cooperação referida no parágrafo anterior sãodeterminados conjuntamente pelas partes. Sem quaisquer acordos a este respeito, os custos serão suportados pelo Controlador.
  • Responsabilidade civil
    1. O Controlador é, por exemplo, responsável e, por esse motivo, é totalmente responsável (pela finalidade estipulada) pelas Operações de Tratamento, pela utilização e conteúdo dos Dados Pessoais, pelo fornecimento a terceiros, pela duração do armazenamento dos Dados Pessoais, pela forma de tratamento e pelos meios aplicados para o efeito.
    2. O Processador é responsável perante o Controlador, tal como previsto no Acordo Principal. Verificação
      1. O Controlador tem o direito de verificar o cumprimento das disposições deste Acordo uma vez por ano às suas próprias custas ou de as mandar verificar por um auditor independente registado ou por um profissional de informática registado.
      2. O Processador deve fornecer ao Controlador todas as informações necessárias para demonstrar que as obrigações do Artigo 28 GDPRforam cumpridas. Se o terceiro contratado pelo Controlador der uma instrução que, na opinião do Processador, constitua uma infracção à GDPR, o Processador informará imediatamente o Controlador desse facto.
      3. A investigação do Controlador será sempre limitada aos sistemas do Processador que estão a ser utilizados para as Operações de Processamento. As informações obtidas durante a verificação serão tratadas confidencialmente pelo Controlador e apenas serão utilizadas para verificar a conformidade do Processador com as obrigações previstas no presente Acordo e as informações ou partes das mesmas serão eliminadas o mais rapidamente possível. O Controlador garante que quaisquer terceiros envolvidos assumirão igualmente estas obrigações.
    3. Outras disposições
      1. Quaisquer alterações a este Acordo só são válidas se tiverem sido acordadas por escrito pelas partes.
      2. As partes ajustarão o presente Acordo a quaisquer regulamentos alterados ou complementados, instruções suplementares das autoridades relevantes e uma percepção crescente da aplicação da GDPR (por exemplo, mas não se limitando à jurisprudência ou relatórios), a introdução de disposições-tipo e/ou outros eventos ou conhecimentos que requeiram tal ajustamento.
      3. Este Acordo é eficaz enquanto o Acordo Principal for eficaz. As disposições deste Acordo permanecem em vigor na medida em que tal seja necessário para a sua resolução e na medida em que se destinem a sobreviver à rescisão do presente Acordo. A última categoria de disposições inclui, mas sem limitação, as disposições em matéria de confidencialidade e litígios.
      4. Este Acordo prevalece sobre todos os outros acordos entre o Controlador e o Processador.
      5. Este acordo é exclusivamente regido pela lei holandesa.
      6. As partes submeterão exclusivamente os seus litígios relacionados com este Acordo ao Tribunal Distrital de Amesterdão.

Anexo 1

Operações de processamento de dados pessoais e períodos de retenção

Este anexo faz parte do Acordo de Processamento e deve ser rubricado pelas partes.

  • Os Dados Pessoais que as partes esperam processar:
    • Nome
    • Endereço de correio electrónico
    • Dados do corpo de dados forenses DMARC (RUF, e-mails não conformes com DMARC)
  • A utilização (= método(s) de processamento) dos Dados Pessoais e as finalidades e recursos para o processamento:
    • PowerDMARC processa os relatórios DMARC recebidos. Dentro da especificação DMARC, existem dois tipos de relatórios:
      • Relatórios agregados
        Estes relatórios contêm dados sobre o número de mensagens enviadas para o(s) seu(s) domínio(s) para um determinado endereço IP diariamente, incluindo os resultados das verificações SPF e DKIM para estas mensagens. Os relatórios agregados não contêm dados pessoais.
      • Relatórios forenses
        Os relatórios forenses são enviados por um número limitado de remetentes de relatórios DMARC. Estas são cópias de mensagens específicas que falharam nas verificações de DMARC. O conteúdo destas mensagens pode conter informação pessoalmente identificável (PII). PowerDMARC oferece vários métodos para o armazenamento destas mensagens:

        • Por omissão: Por defeito, o corpo da mensagem é despojado e apenas os cabeçalhos são armazenados
        • Encriptado: O cliente pode carregar uma chave pública PGP no software PowerDMARC. A totalidade das mensagens recebidas será encriptada utilizando esta chave. O cliente pode decifrar os dados utilizando a sua chave privada e palavra-passe.
        • Não encriptado: Após confirmação específica e aceitação do PowerDMARC como processador de dados, o cliente poderá armazenar o corpo completo de mensagens não encriptadas no software PowerDMARC.

Os termos de utilização e os períodos de conservação dos (vários tipos de) Dados Pessoais:

  • Licença: Todas as licenças excepto a versão gratuita básica
  • Retenção de dados: 365 dias