Adendo para

o processamento de pedidos As normas para o processamento de pedidos complementam os Termos e Condições Gerais da Jungherz GmbH, na qualidade de operadora da marca AppConfector (doravante denominada “Contratante”). Ao estabelecer uma ligação permanente com estas normas, o cliente (doravante denominado “Contratante”) aceita automaticamente o adendo no âmbito de uma relação comercial. Em caso de contradição entre estes regulamentos e os termos e condições gerais, estes regulamentos prevalecem para o processamento de pedidos.

O Contratante e o Cliente são doravante referidos pelo termo comum “As Partes”.

As Partes concordam que, ao mesmo tempo em que este Contrato de Processamento por Conta de Terceiros entrar em vigor, o Contrato de Processamento de Dados por Conta de Terceiros existente entre as Partes, nos termos do Artigo 11 da Lei Federal Alemã de Proteção de Dados, bem como quaisquer outros acordos relativos ao processamento de dados por conta de terceiros, serão rescindidos de comum acordo e substituídos por este novo Contrato de Processamento por Conta de Terceiros.

1. Disposições Gerais

(1) O subcontratado trata dados pessoais em nome do Cliente, na acepção do Artigo 4.º, n.º 8, e do Artigo 28.º do Regulamento (UE) 2016/679 — Regulamento Geral sobre a Proteção de Dados (RGPD). O presente contrato regula os direitos e obrigações das partes no que diz respeito ao tratamento de dados pessoais.

(2) Na medida em que o termo “tratamento de dados” ou “tratamento” (de dados) seja utilizado neste contrato, aplica-se a definição de “tratamento” na acepção do Art. 4.º, n.º 2, do RGPD.

(3) Todas as referências no presente contrato ao RGPD (Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais, à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados)) aplicam-se ao RGPD na sua versão atual.

2. Objeto do contrato

O objeto do tratamento, a natureza e a finalidade do tratamento, o tipo de dados pessoais e as categorias de pessoas em causa estão definidos no Anexo 1 do presente contrato.

3. Direitos e deveres do cliente

(1) O cliente é o responsável, na acepção do Art. 4, n.º 7 do RGPD, pelo tratamento de dados em nome dos subcontratantes. De acordo com o Art. 4, n.º 5 do presente contrato, este último tem o direito de informar o cliente caso o tratamento de dados que, na sua opinião, seja juridicamente inaceitável, seja objeto da encomenda e/ou de uma instrução.

(2) O cliente é responsável pela proteção dos direitos das pessoas em causa. O subcontratante informará o cliente sem demora caso os titulares dos dados façam valer os seus direitos perante o subcontratante.

(3) O cliente tem o direito de emitir instruções adicionais ao subcontratante a qualquer momento relativamente ao tipo, âmbito e procedimento do tratamento de dados. As instruções podem ser dadas por escrito (por exemplo, por e-mail).

(4) As disposições relativas a uma eventual remuneração por despesas adicionais incorridas pelo subcontratado em decorrência de instruções suplementares dadas pelo cliente permanecem inalteradas.

5. A entidade contratante deve informar o subcontratado sem demora caso detecte erros ou irregularidades relacionados ao tratamento de dados pessoais pelo subcontratado.

(6) Caso exista a obrigação de informar terceiros de acordo com os Art. 33 e 34 do RGPD ou qualquer outra obrigação legal de notificação aplicável ao cliente, este é responsável pelo cumprimento dessa obrigação.

4. Obrigações gerais do subcontratado

(1) O subcontratado trata dados pessoais exclusivamente no âmbito dos acordos celebrados e/ou em conformidade com quaisquer instruções complementares emitidas pelo cliente. Estão excluídas desta regra as disposições legais que possam obrigar o subcontratado a tratar os dados de outra forma. Nesse caso, o subcontratado deverá notificar o responsável pelo tratamento sobre esses requisitos legais antes do tratamento, a menos que a lei em questão proíba tal notificação por um importante interesse público. A finalidade, a natureza e o âmbito do tratamento de dados serão, de resto, regidos exclusivamente pelo presente Contrato e/ou pelas instruções do responsável pelo tratamento. É proibido ao subcontratante qualquer tratamento de dados que se desvie do disposto no presente Contrato, a menos que o subcontratante tenha dado o seu consentimento por escrito.

(2) O subcontratante compromete-se a realizar o tratamento de dados em nome do cliente apenas no Espaço Económico Europeu, salvo se tecnicamente necessário.

(3) No âmbito do tratamento de dados pessoais de acordo com a encomenda, o subcontratante garante a execução contratual de todas as medidas acordadas

. (4) O subcontratante é obrigado a organizar a sua empresa e os seus procedimentos operacionais de forma a que os dados tratados pelo subcontratante em nome do cliente sejam protegidos na medida do necessário em cada caso e protegidos contra o acesso não autorizado por terceiros. Este último deverá acordar previamente com o cliente quaisquer alterações na organização do tratamento de dados em nome do cliente que sejam significativas para a segurança dos dados.

(5) O subcontratante deverá informar o cliente sem demora se, na sua opinião, uma instrução emitida pelo cliente violar as disposições legais. O subcontratado terá o direito de suspender a execução da instrução em questão até que esta seja confirmada ou alterada pelo cliente. Se o subcontratado puder demonstrar que o tratamento de acordo com as instruções do cliente pode implicar a responsabilidade do subcontratado nos termos do Art. 82.º do RGPD, o subcontratado terá o direito de suspender o tratamento adicional a este respeito até ao esclarecimento da responsabilidade entre as partes.

(6) O tratamento de dados em

nome do

Cliente fora das instalações comerciais do subcontratado ou do subcontratante só é permitido com o consentimento do Cliente por escrito ou por meio de mensagem de texto. O tratamento de dados para o cliente em residências particulares só é permitido com o consentimento do cliente por escrito ou por meio de mensagem de texto em casos individuais

. (7) O subcontratado tratará os dados que processa em nome do cliente separadamente de outros dados. A separação física não é obrigatória.

5. Encar

regado da proteção

de dados do

subcontratado (1) O subcontratado confirma que nomeou um encarregado da proteção de dados em conformidade com o Art. 37 do RGPD. O subcontratado deve assegurar que o encarregado da proteção de dados possua as qualificações e os conhecimentos necessários. O subcontratado deve informar o cliente separadamente, por escrito, do nome e dos dados de contato do seu encarregado da proteção de dados.

(2) A obrigação de nomear um responsável pela proteção de dados nos termos do parágrafo 1 pode ser dispensada, a critério do comitente, se o subcontratado puder comprovar que não é legalmente obrigado a nomear um responsável pela proteção de dados e que existem disposições operacionais que garantam que os dados pessoais sejam tratados em conformidade com as disposições legais, as disposições do presente contrato e quaisquer outras instruções do comitente.

6. Obrigações de notificação do subcontratado

(1) O subcontratado é obrigado a notificar o cliente sem demora sobre qualquer violação das normas de proteção de dados ou dos acordos contratuais celebrados e/ou das instruções dadas pelo cliente que tenha ocorrido no decorrer do tratamento de dados por ele ou por outras pessoas envolvidas no tratamento. O mesmo se aplica a qualquer violação da proteção dos dados pessoais tratados pelo subcontratado em nome do cliente.

(2) Além disso, o subcontratado deverá informar o cliente sem demora caso uma autoridade de controlo, nos termos do Art. 58.º do RGPD, tome medidas contra o subcontratado, podendo tal medida dizer respeito também a um controlo do tratamento que o subcontratado realiza em nome do cliente.

(3) O Subcontratado está ciente de que o Cliente pode estar sujeito a uma obrigação de notificação nos termos dos Art. 33 e 34 do RGPD, que prevêem uma notificação à autoridade de controlo no prazo de 72 horas após a sua detecção. O subcontratado deve apoiar o cliente no cumprimento das obrigações de notificação. Em particular, o subcontratado deve notificar o cliente sobre qualquer acesso não autorizado aos dados pessoais tratados em nome do cliente sem demora, mas, o mais tardar, no prazo de 48 horas após tomar conhecimento de tal acesso. A notificação dos subcontratados ao cliente deve conter, em particular, as seguintes informações:

  • uma descrição da natureza da violação da proteção de dados pessoais, se possível com indicação das categorias e do número aproximado de pessoas afetadas, das categorias afetadas e do número aproximado de registros de dados pessoais afetados;
  • uma descrição das medidas tomadas ou propostas pelo subcontratado para remediar a violação da proteção de dados pessoais e, quando apropriado, medidas para mitigar seus possíveis efeitos adversos.

7. Obrigações de cooperação do subcontratante

(1) O subcontratante deve apoiar o Cliente no cumprimento de sua obrigação de responder aos pedidos de exercício dos direitos dos titulares de dados, em conformidade com os artigos 12 a 23 do RGPD. Aplicam-se as disposições da Seção 11 do presente Contrato.

(2) O subcontratante deve participar da elaboração das listas de atividades de tratamento pela entidade contratante. O subcontratado deve fornecer ao cliente as informações necessárias de forma adequada.

(3) Tendo em conta o tipo de tratamento e as informações de que dispõe, o subcontratado deve assistir o cliente no cumprimento das obrigações previstas nos artigos 32.º a 36.º da DPA.

(4) O subcontratado tem o direito de exigir ao cliente uma remuneração adequada, relacionada com as despesas, por estes serviços.

8. Poderes de controle

(1) O cliente tem o direito de verificar, a qualquer momento e na medida do necessário, se o subcontratante cumpre as disposições legais em matéria de proteção de dados e/ou as disposições contratuais acordadas entre as partes e/ou se o subcontratante cumpre as instruções do cliente.

A prova do cumprimento das obrigações que incumbem a um subcontratante nos termos do RGPD deve ser fornecida, em primeiro lugar, por meio de relatórios de testes independentes e certificações.

Se o cliente, com base em evidências factuais, tiver dúvidas razoáveis de que os relatórios de teste ou certificações sejam insuficientes ou incorretos, ou se incidentes especiais na acepção do Art. 33, parágrafo 1, do RGPD, relacionados à execução do processamento de dados encomendado pelo cliente, justificarem tal medida, o cliente poderá realizar inspeções de acordo com a seção 8. (2).

(2) A fim de permitir que o Cliente realize uma inspeção do pedido e, em particular, verifique as medidas técnicas e organizacionais adotadas pelo subcontratado antes do início e regularmente durante o tratamento de dados, o subcontratado deverá permitir a inspeção por um terceiro neutro (auditor juramentado) designado pelo Cliente. O subcontratado terá o direito de definir datas para a inspeção de acordo com as possibilidades operacionais. A inspeção deverá ser possibilitada dentro de um prazo razoável após a solicitação. Alternativamente, o processador também poderá cumprir o direito de inspeção do cliente fornecendo um relatório de inspeção elaborado por um auditor juramentado independente em nome do processador. O exercício do direito de inspeção não deverá perturbar indevidamente as operações comerciais do processador nem ser abusivo.

(3) O processador da encomenda tem o direito de exigir do cliente uma remuneração razoável pelas inspeções na acepção do item 8. (2).

9. Proporções de subcontratação

(1) A contratação de subcontratados pelo processador só é permitida com o consentimento do cliente por escrito. O processador de encomendas deverá especificar todas as relações de subcontratação já existentes no momento da celebração do contrato no Anexo 2 deste contrato.

(2) O processador de encomendas deverá selecionar cuidadosamente o subcontratado e verificar, antes da realização da encomenda, se o subcontratado está apto a cumprir os acordos celebrados entre o cliente e o processador de encomendas. Em particular, o subcontratado deverá verificar antecipadamente e regularmente durante a vigência do contrato se tomou as medidas técnicas e organizacionais exigidas pelo Art. 32 do RGPD para a proteção de dados pessoais. O resultado da verificação deve ser documentado pelo subcontratado e disponibilizado ao cliente mediante solicitação.

(3) O responsável pelo tratamento é obrigado a obter do subcontratado a confirmação de que este nomeou um encarregado da proteção de dados da empresa, em conformidade com o Art. 37 do RGPD. Caso o subcontratado não tenha nomeado um encarregado da proteção de dados, o responsável pelo tratamento deve informar o cliente sobre esse fato e fornecer informações que comprovem que o subcontratado não está legalmente obrigado a nomear um encarregado da proteção de dados.

(4) O

subcontratante deve

assegurar que as disposições acordadas no presente contrato e quaisquer instruções complementares do cliente, se houver, também se apliquem ao subcontratante.

(5) O subcontratante deve celebrar um contrato com o subcontratante que cumpra os requisitos do Art. 28.º do RGPD. Além disso, o subcontratante deve impor ao subcontratante as mesmas obrigações em matéria de proteção de dados pessoais que as estabelecidas entre o contratante e o subcontratante.

(6) Em particular, a parte responsável pelo tratamento dos dados está obrigada a garantir, por meio de disposições contratuais, que os poderes de controle (Cláusula 8 do presente contrato) do cliente e das autoridades de supervisão também se apliquem ao subcontratado e que os direitos de controle correspondentes sejam acordados pelo cliente e pelas autoridades de supervisão. Além disso, deve ser acordado contratualmente que o subcontratado tolerará essas medidas de controle e quaisquer inspeções no local.

(7) As relações de subcontratação na acepção dos parágrafos 1 a 6 não serão consideradas serviços que o subcontratado obtenha de terceiros como um serviço puramente acessório para o exercício da atividade comercial. Tais serviços incluem, por exemplo, serviços de limpeza, serviços de telecomunicações puros sem qualquer referência específica a serviços que o subcontratado preste ao contratante, serviços postais e de courier, serviços de transporte, serviços de segurança. O subcontratado é, no entanto, obrigado a garantir, também no caso de serviços auxiliares prestados por terceiros, que tenham sido tomadas precauções adequadas e medidas técnicas e organizacionais para assegurar a proteção dos dados pessoais. A manutenção e assistência técnica de sistemas ou aplicações de TI constituem uma relação de subcontratação e tratamento por encomenda na acepção do Art. 28 do RGPD, que requer aprovação se a manutenção e os testes dizem respeito a tais sistemas de TI que também são utilizados em conexão com a prestação de serviços para o cliente e se os dados pessoais tratados em

nome do

cliente puderem ser acessados durante a manutenção.

10. Obrigação de confidencialidade

(1) Ao tratar dados em nome do Cliente, o subcontratado é obrigado a manter a confidencialidade dos dados que receber ou de que tomar conhecimento em conexão com a encomenda. O

subcontratante

compromete-se a observar as mesmas regras de

proteção

de sigilo que incumbem ao contratante. O contratante é obrigado a informar o subcontratante sobre quaisquer regras especiais de proteção de sigilo.

(2) O subcontratante garante que tem conhecimento dos regulamentos de proteção de dados aplicáveis e que está familiarizado com a sua aplicação. O contratante garante ainda que familiarizou os seus funcionários com as disposições de proteção de dados que lhes são aplicáveis e os obrigou a manter a confidencialidade. O contratante garante ainda que, em particular, obrigou seus funcionários envolvidos na execução do trabalho a manter a confidencialidade e os informou sobre as instruções do cliente.

(3) A obrigação dos funcionários de acordo com o parágrafo 2 deve ser comprovada ao cliente, mediante solicitação.

11. Proteção dos direitos dos titulares dos dados

(1) O cliente é o único responsável pela salvaguarda dos direitos das pessoas em causa. O subcontratado é obrigado a apoiar o cliente no cumprimento de sua obrigação de processar os pedidos dos titulares dos dados, em conformidade com os artigos 12 a 23 do RGPD. Em particular, o subcontratado deve assegurar que as informações necessárias a esse respeito sejam fornecidas ao cliente sem demora, para que este possa cumprir suas obrigações nos termos do artigo 12, parágrafo 3, do RGPD.

(2) Na medida em que a cooperação do subcontratado for necessária para a proteção dos direitos dos titulares de dados — em particular, o direito à informação, retificação, bloqueio ou apagamento — por parte do cliente, o subcontratado tomará as medidas necessárias de acordo com as instruções do cliente. Se possível, o subcontratado apoiará o cliente com medidas técnicas e organizacionais adequadas, a fim de cumprir sua obrigação de responder aos pedidos de exercício dos direitos dos titulares de dados. O subcontratado terá o direito de exigir do cliente uma remuneração razoável por esses serviços.

(3) Isso não prejudica quaisquer disposições relativas à possível remuneração de despesas adicionais incorridas pelo subcontratado em decorrência de serviços de cooperação relacionados à reivindicação de direitos das pessoas afetadas perante o cliente.

12. Obrigações de sigilo

(1) Ambas as partes comprometem-se a tratar todas as informações recebidas no âmbito da execução do presente contrato como confidenciais por um período ilimitado e a utilizá-las exclusivamente para a execução do contrato. Nenhuma das partes terá o direito de utilizar essas informações, no todo ou em parte, para fins diferentes dos acima mencionados, nem de disponibilizá-las a terceiros.

(2) A obrigação acima não se aplica a informações que uma das partes tenha comprovadamente recebido de terceiros sem estar obrigada a manter sigilo ou que sejam de conhecimento público.

13. Remuneração

O subcontratado não receberá remuneração separada por este contrato.

14. Medidas técnicas e organizacionais para a segurança dos dados

(1) O subcontratado compromete-se perante o cliente a cumprir as medidas técnicas e organizacionais necessárias para o cumprimento das normas de proteção de dados aplicáveis. Isso inclui, em particular, os requisitos do Art. 32 do RGPD.

(2) O estado das medidas técnicas e organizacionais existentes no momento da celebração do contrato está anexado ao presente contrato como Anexo 3. As partes concordam que alterações nas medidas técnicas e organizacionais podem ser necessárias para adaptação às condições técnicas e legais. Alterações significativas que possam afetar a integridade, a confidencialidade ou a disponibilidade dos dados pessoais serão acordadas previamente pelo subcontratado com o cliente. Medidas que envolvam apenas pequenas alterações técnicas ou organizacionais e que não afetem negativamente a integridade, a confidencialidade e a disponibilidade dos dados pessoais podem ser implementadas pelo

subcontratado

sem consultar o cliente. O cliente pode solicitar, a qualquer momento, uma versão atualizada das

medidas

técnicas e organizacionais

adotadas

pelo subcontratado.

(3) O subcontratado deverá verificar regularmente, e também sempre que necessário, a eficácia das medidas técnicas e organizacionais por ele adotadas. Caso haja necessidade de otimização e/ou modificação, o processador contratado deverá informar o cliente.

15. Duração do contrato

(1) O contrato terá início com a atribuição da tarefa e será celebrado por tempo indeterminado.

(2) O contrato termina com a rescisão do contrato principal (um pacote de aplicativos ou qualquer serviço), sem a necessidade de uma rescisão separada.

Quaisquer obrigações de exclusão e devolução após a rescisão do presente Contrato são regidas pela Seção 16.

(3) O contratante poderá rescindir o contrato a qualquer momento, sem aviso prévio, caso haja uma violação grave das disposições de proteção de dados aplicáveis ao subcontratado ou das obrigações decorrentes do presente contrato, caso o subcontratado não possa ou não queira cumprir uma instrução dada pelo contratante ou caso o subcontratado recuse o acesso ao contratante ou à autoridade de supervisão competente, em violação do contrato.

16. Rescisão

(1) Após a rescisão do contrato, o subcontratado deverá devolver ao cliente ou excluir todos os documentos, dados e resultados de processamento ou utilização criados que tenham entrado em sua posse em conexão com a relação contratual, a critério do cliente. A exclusão deverá ser documentada de forma adequada. Quaisquer obrigações legais de retenção ou outras obrigações de armazenamento dos dados permanecerão inalteradas. No caso de suportes de dados, estes devem ser destruídos em caso de solicitação de exclusão pelo cliente, devendo ser cumprido, no mínimo, o nível de segurança 3 da norma DIN 66399; o cliente deve comprovar a destruição com referência ao nível de segurança de acordo com a norma DIN 66399.

(2) O cliente tem o direito de verificar a devolução e exclusão completas e contratuais dos dados junto ao processador contratado. Isso também pode ser feito por meio da inspeção do equipamento de processamento de dados nas instalações do processador. A inspeção no local deve ser anunciada pelo cliente com um prazo de aviso prévio razoável.

17. Direito de retenção

As partes concordam que fica excluída a invocação do direito de retenção pelo processador nos termos do § 273 do BGB (Código Civil Alemão) no que diz respeito aos dados processados e aos suportes de dados associados.

18. Disposições finais

(1) Caso a propriedade do cliente seja ameaçada nas instalações do processador por medidas de terceiros (tais como apreensão ou confisco), por processos de insolvência ou por outros eventos, o processador deverá informar o cliente sem demora. O processador deverá informar os credores sem demora sobre o fato de que os dados estão sendo processados no âmbito do contrato.

(2) A forma escrita é exigida para acordos colaterais.

(3) Caso partes individuais deste contrato sejam inválidas, isso não afetará a validade das demais disposições do contrato.

Anexo 1 - Objeto da encomenda

1. Objeto e finalidade do tratamento

A encomenda do cliente ao responsável pelo tratamento compreende os seguintes trabalhos e/ou serviços: Fornecimento de aplicações móveis (descritas em mais pormenor na respetiva descrição de serviço válida), bem como páginas web com conteúdo semelhante. Isso inclui a coleta, o tratamento e o encaminhamento de dados registrados.

2. Tipo(s) de dados pessoais

Os seguintes tipos de dados são regularmente tratados: Dados de tráfego, dados de conteúdo, dados de contato, dados pessoais de referência e dados de comunicação (nome, endereço, número de telefone, número de fax, endereço de e-mail).

3. Círculo de pessoas afetadas

Círculo das pessoas afetadas pelo tratamento de dados: Usuários da sua conta, participantes que ligam e que recebem chamadas ou remetentes/destinatários de SMS/fax, funcionários, clientes, parceiros de negócios, partes interessadas e prestadores de serviços do cliente.

Se o cliente for um parceiro do responsável pelo tratamento: Dados de contato, dados pessoais básicos e dados de comunicação (nome, endereço, número de telefone, número de fax, endereço de e-mail) dos contratados/empresas indicados pelo Parceiro que efetuou o pedido.

O cliente é obrigado a informar os usuários da conta e — se necessário — o comitê de empresa ou representantes equivalentes sobre o tratamento dos dados mencionados no ponto 2.

4. Local do tratamento de dados:

Todos os dados são tratados em servidores localizados no Espaço Econômico Europeu.

Anexo 2 — Subcontratados

Para o tratamento de dados em nome do Titular, o responsável pelo tratamento recorre aos serviços de terceiros que tratam dados em seu nome (“subcontratados”).

O responsável pelo tratamento recorre a vários subcontratados para prestar os seus serviços.

Estes subcontratados são, inicialmente, as seguintes empresas do responsável pelo tratamento e realizam trabalhos preliminares para a prestação dos serviços do responsável pelo tratamento. Estão em vigor os acordos contratuais necessários entre as empresas para o tratamento destes dados.

Trata-se das seguintes empresas:

Jungherz LLC, 1621 Central Ave, Cheyenne, WY 82001

Mailjet GmbH, c/o Mindspace, Friedrichstraße 68, 10117 Berlim,

netcup GmbH, Daimlerstraße 25, D-76185 Karlsruhe

OVH Groupe SAS, 2 Rue Kellermann Roubaix, 59100 França

Digistore24 GmbH, St.-Godehard-Str. 32, 31139 Hildesheim

CopeCart GmbH, Ufnaustrasse 10, 10553 Berlim

Stripe Payments Europe, Limited (SPEL), 1 Grand Canal Street Lower, Dublin, D02 H210, Irlanda

Anexo 3 - Medidas técnicas e organizacionais do subcontratado

O subcontratado deverá adotar as seguintes medidas técnicas e organizacionais para a segurança dos dados, nos termos do Art. 32 do RGPD.

1. Confidencialidade

Controle de acesso

A fim de impedir o acesso não autorizado aos sistemas de processamento de dados com os quais os dados são processados ou utilizados, o subcontratado e seus subcontratados, tais como a Netcup e a Divisão Google Cloud, implementaram processos formais abrangentes de controle de acesso.

Os locais utilizados abrigam salas de servidores e uma sala de tecnologia de servidores. Para o acesso, são emitidas chaves eletrônicas para funcionários selecionados do subcontratado. As chaves autorizam apenas o funcionário do respectivo subcontratado a abrir/fechar portas individuais que tenham sido aprovadas para esse fim. Todas as operações de abertura e fechamento de uma chave são registradas eletronicamente juntamente com o ID exclusivo da chave. Apenas os funcionários do subcontratado diretamente autorizados pela gerência são responsáveis pela administração das chaves.

A sala de servidores permanece trancada o tempo todo e só pode ser acessada por funcionários selecionados da empresa subcontratada.

Dentro do prédio do respectivo local, os direitos de acesso dos funcionários da empresa subcontratada — mesmo aqueles que possuem uma chave — são limitados à medida necessária para a tarefa específica a ser realizada.

Durante o horário comercial, é realizada uma verificação das pessoas que entram no prédio na recepção, que conta com atendimento permanente. Fora do horário comercial, todas as entradas do prédio ficam trancadas e protegidas por alarme. O prédio é adicionalmente protegido por um serviço de segurança. Todos os alarmes do sistema de alarme são reportados diretamente a um serviço de segurança.

Medidas de segurança padrão são aplicadas em todos os data centers. Estas correspondem ao estado da arte e às (melhores práticas) do setor de TI. Entre elas estão sistemas eletrônicos de controle de acesso com registro, nos quais apenas pessoas autorizadas têm permissão para entrar no prédio, sistemas de alarme, vigilância por vídeo interna/externa, equipe de segurança 24 horas por dia, 7 dias por semana, sistemas de alarme, proteção do prédio com arame farpado e proteção por serviços de segurança externos, que são automaticamente informados por meio de uma linha de alarme dedicada em caso de alarme.

As chaves das salas individuais e das gaiolas no centro de dados devem ser sempre retiradas junto ao pessoal de segurança.

Controle de acesso

A fim de garantir que as pessoas autorizadas a utilizar um sistema para o tratamento de dados só possam aceder aos dados sujeitos à sua autorização de acesso e que os dados armazenados ou em tratamento não possam ser lidos, copiados, alterados ou removidos por pessoas não autorizadas, o responsável pelo tratamento utiliza um sistema central para a gestão das autorizações de acesso. Todos os acessos são armazenados localmente e no servidor de log central. Os direitos administrativos só podem ser exercidos por meio de um programa de administração central.

O acesso a todos os dados é restrito na medida necessária para que todas as pessoas autorizadas cumpram suas tarefas específicas. Os requisitos legais de proteção de dados, em particular os do Regulamento Geral de Proteção de Dados (RGPD) e da TKG, são observados.

Separação

O processador processa os dados em sistemas de servidor que são logicamente separados por um sistema de controles de acesso lógicos e físicos na rede.

2. Integridade

Controle de entrada

Para garantir que o processador de pedidos possa verificar posteriormente e determinar se e por quem os dados foram inseridos, alterados ou removidos nos sistemas de processamento de dados, todos os acessos aos dados armazenados do cliente são registrados localmente e no servidor de log central.

Controle de encaminhamento

A fim de garantir que os dados não possam ser lidos, copiados, alterados ou removidos por pessoas não autorizadas durante a transmissão eletrônica, o transporte ou o armazenamento, e que seja possível verificar para onde os dados devem ser transferidos pelos sistemas de transferência de dados, o acesso a todos os sistemas que processam dados de clientes está sujeito a controles de acesso eficazes. Esses mecanismos de controle de acesso já foram descritos em mais detalhes acima, no ponto 3.

3. Disponibilidade e resiliência

O Processador utiliza uma combinação de sistemas redundantes e soluções de backup em todos os sistemas, a fim de proteger os dados armazenados e poder restaurá-los, se necessário. Esses sistemas são operados exclusivamente em instalações protegidas e equipadas de acordo com o estado da arte atual, que possuem os sistemas necessários de ar condicionado, alarme de incêndio e fumaça e para as quais existem planos de emergência detalhados.

4. Procedimentos para revisão, avaliação e análise regulares

Todos os nossos próprios funcionários e os do subcontratado recebem treinamento regular sobre questões de proteção de dados. Esses treinamentos são realizados inteiramente internamente, de modo que seja possível um ajuste exato às questões relevantes para o processador de dados. Questões individuais também são tratadas em detalhes durante essas sessões de treinamento.

Todos os funcionários do responsável pelo

tratamento

que entram em contato com o tratamento de dados pessoais no âmbito de suas funções são obrigados a tratar os dados pessoais de forma confidencial. Isso é feito regularmente quando novos funcionários são contratados por meio de uma declaração contratual de compromisso, que cada funcionário deve assinar.

O responsável pelo tratamento nomeou um encarregado da proteção de dados. Juntamente com seus adjuntos, o encarregado da proteção de dados deve garantir que as consultas dos titulares dos dados sejam respondidas em tempo hábil.

O responsável pelo tratamento manterá um registo das atividades de tratamento na aceção do Art. 30.º, n.ºs 1 e 2, do RGPD. Esta lista de atividades de tratamento não é pública.

(a partir de 16 de fevereiro de 2022)