Adenda

relativa ao processamento de encomendas O presente regulamento relativo ao processamento de encomendas complementa os Termos e Condições Gerais da Jungherz GmbH, na qualidade de operadora da marca AppConfector (doravante designada por «Contratante»). Ao estabelecer uma ligação permanente a este regulamento, o cliente (doravante designado por «Contratante») aceita automaticamente a presente adenda no âmbito de uma relação comercial. Em caso de contradição entre estes regulamentos e os termos e condições gerais, estes regulamentos prevalecem no que diz respeito ao processamento de encomendas.

O Contratante e o Cliente são doravante referidos pelo termo comum «As Partes».

As Partes acordam que, no momento em que o presente Acordo de Tratamento por Conta de Terceiros entrar em vigor, o Acordo de Tratamento de Dados por Conta de Terceiros existente entre as Partes, nos termos do Artigo 11.º da Lei Federal Alemã de Proteção de Dados, bem como quaisquer outros acordos relativos ao tratamento de dados por conta de terceiros, serão rescindidos de comum acordo e substituídos pelo presente novo Acordo de Tratamento por Conta de Terceiros.

1. Generalidades

(1) O subcontratante trata dados pessoais em nome do Cliente na aceção do artigo 4.º, n.º 8, e do artigo 28.º do Regulamento (UE) 2016/679 — Regulamento Geral sobre a Proteção de Dados (RGPD). O presente contrato regula os direitos e obrigações das partes no que diz respeito ao tratamento de dados pessoais.

(2) Na medida em que o termo «tratamento de dados» ou «tratamento» (de dados) seja utilizado no presente contrato, aplica-se a definição de «tratamento» na aceção do Art. 4.º, n.º 2, do RGPD.

(3) Todas as referências no presente Acordo ao RGPD (Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados)) aplicam-se ao RGPD na sua versão atual.

2. Objeto do contrato

O objeto do tratamento, a natureza e a finalidade do tratamento, o tipo de dados pessoais e as categorias de pessoas em causa estão definidos no Anexo 1 do presente contrato.

3. Direitos e deveres do cliente

(1) O cliente é o responsável, na aceção do Art. 4.º, n.º 7, do RGPD, pelo tratamento de dados em nome dos subcontratantes. Nos termos do Art. 4.º, n.º 5, do presente contrato, estes últimos têm o direito de informar o cliente caso o tratamento de dados que, na sua opinião, seja juridicamente inaceitável, seja objeto da encomenda e/ou de uma instrução.

(2) O cliente é responsável pela proteção dos direitos das pessoas em causa. O subcontratante informará o cliente sem demora caso os titulares dos dados façam valer os seus direitos perante o subcontratante.

(3) O cliente tem o direito de emitir instruções adicionais ao subcontratante a qualquer momento relativamente ao tipo, âmbito e procedimento do tratamento de dados. As instruções podem ser dadas por escrito (por exemplo, por e-mail).

(4) As disposições relativas a uma eventual remuneração de despesas adicionais incorridas pelo subcontratante em resultado de instruções suplementares dadas pelo cliente permanecem inalteradas.

5. A entidade contratante deve informar o subcontratante sem demora caso detete erros ou irregularidades relacionados com o tratamento de dados pessoais pelo subcontratante.

(6) Caso exista uma obrigação de informar terceiros nos termos dos artigos 33.º e 34.º do RGPD ou qualquer outra obrigação legal de notificação aplicável ao cliente, este é responsável pelo cumprimento dessa obrigação.

4. Obrigações gerais do subcontratante

(1) O subcontratante trata dados pessoais exclusivamente no âmbito dos acordos celebrados e/ou em conformidade com quaisquer instruções suplementares emitidas pelo cliente. Ficam excluídas desta disposição as disposições legais que possam obrigar o subcontratante a tratar os dados de outra forma. Nesse caso, o subcontratante deve notificar o responsável pelo tratamento sobre esses requisitos legais antes do tratamento, a menos que a lei em questão proíba tal notificação por um interesse público importante. A finalidade, natureza e âmbito do tratamento de dados regem-se, de resto, exclusivamente pelo presente Acordo e/ou pelas instruções do responsável pelo tratamento. É proibido ao subcontratante qualquer tratamento de dados que se desvie do disposto no presente Acordo, a menos que o subcontratante tenha dado o seu consentimento por escrito.

(2) O subcontratante compromete-se a realizar o tratamento de dados em nome do cliente apenas no Espaço Económico Europeu, salvo se tecnicamente necessário.

(3) No âmbito do tratamento de dados pessoais de acordo com a encomenda, o subcontratante garante a execução contratual de todas as medidas acordadas

. (4) O subcontratante é obrigado a organizar a sua empresa e os seus procedimentos operacionais de forma a que os dados tratados pelo subcontratante em nome do cliente sejam protegidos na medida do necessário em cada caso e protegidos contra o acesso não autorizado por terceiros. Este último deverá acordar previamente com o cliente quaisquer alterações na organização do tratamento de dados em nome do cliente que sejam significativas para a segurança dos dados.

(5) O subcontratante informará o cliente sem demora se, na sua opinião, uma instrução emitida pelo cliente violar as disposições legais. O subcontratante tem o direito de suspender a execução da instrução em questão até que esta seja confirmada ou alterada pelo cliente. Se o subcontratante for capaz de demonstrar que o tratamento de acordo com as instruções do cliente pode conduzir à responsabilização do subcontratante nos termos do Art. 82.º do RGPD, o subcontratante tem o direito de suspender o tratamento a este respeito até ao esclarecimento da responsabilidade entre as partes.

(6) O tratamento de dados por

conta do

Cliente fora das instalações comerciais do subcontratante ou do subcontratado só é permitido com o consentimento do Cliente por escrito ou por meio de mensagem de texto. O tratamento de dados para o cliente em residências particulares só é permitido com o consentimento do cliente por escrito ou por meio de mensagem de texto em casos individuais

. (7) O subcontratante tratará os dados que processa por conta do cliente separadamente de outros dados. Não é obrigatória uma separação física.

5.

Responsável pela proteção

de dados do subcontratante

(1) O subcontratante confirma que nomeou um responsável pela proteção de dados em conformidade com o Art. 37.º do RGPD. O subcontratante deve assegurar que o responsável pela proteção de dados possui as qualificações e os conhecimentos especializados necessários. O subcontratante deve informar o cliente separadamente, por escrito, do nome e dos dados de contacto do seu responsável pela proteção de dados.

(2) A obrigação de nomear um responsável pela proteção de dados nos termos do n.º 1 pode ser dispensada, a critério do responsável pelo tratamento, se o subcontratante puder provar que não está legalmente obrigado a nomear um responsável pela proteção de dados e que existem disposições operacionais que garantem que os dados pessoais são tratados em conformidade com as disposições legais, as disposições do presente contrato e quaisquer outras instruções do responsável

pelo tratamento

.

6. Obrigações de comunicação do subcontratante

(1) O subcontratante é obrigado a notificar o cliente sem demora de qualquer violação das normas de proteção de dados ou dos acordos contratuais celebrados e/ou das instruções dadas pelo cliente que tenha ocorrido no decurso do tratamento de dados por si ou por outras pessoas envolvidas no tratamento. O mesmo se aplica a qualquer violação da proteção dos dados pessoais tratados pelo subcontratante em nome do cliente.

(2) Além disso, o subcontratante deve informar o cliente sem demora se uma autoridade de controlo, nos termos do Art. 58.º do RGPD, tomar medidas contra o subcontratante e tal também possa dizer respeito a um controlo do tratamento que o subcontratante realiza em nome do cliente.

(3) O Subcontratante está ciente de que o Cliente pode estar sujeito a uma obrigação de notificação nos termos dos artigos 33.º e 34.º do RGPD, que prevêem a notificação à autoridade de controlo no prazo de 74 horas após a sua deteção. O subcontratante deve apoiar o cliente no cumprimento das obrigações de notificação. Em particular, o subcontratante deve notificar o cliente de qualquer acesso não autorizado aos dados pessoais tratados em nome do cliente sem demora, mas o mais tardar no prazo de 48 horas após ter tomado conhecimento de tal acesso. A notificação dos subcontratantes ao cliente deve conter, em particular, as seguintes informações:

  • uma descrição da natureza da violação da proteção de dados pessoais, se possível com indicação das categorias e do número aproximado de pessoas afetadas, das categorias em causa e do número aproximado de registos de dados pessoais afetados;
  • uma descrição das medidas tomadas ou propostas pelo subcontratante para remediar a violação da proteção de dados pessoais e, se for caso disso, medidas para mitigar os seus possíveis efeitos adversos.

7. Obrigações de cooperação do subcontratante

(1) O subcontratante deve apoiar o Cliente no cumprimento da sua obrigação de responder aos pedidos de exercício dos direitos dos titulares de dados, em conformidade com os artigos 12.º a 23.º do RGPD. Aplicam-se as disposições da secção 11 do presente Acordo.

(2) O subcontratante deve participar na elaboração das listas de atividades de tratamento pela entidade contratante. O subcontratante deve fornecer ao cliente as informações necessárias de forma adequada.

(3) Tendo em conta o tipo de tratamento e as informações de que dispõe, o subcontratante deve assistir o cliente no cumprimento das obrigações previstas nos artigos 32.º a 36.º da DPA.

(4) O subcontratante tem o direito de exigir ao cliente uma remuneração adequada, relacionada com as despesas, por estes serviços.

8. Poderes de controlo

(1) O cliente tem o direito de verificar, a qualquer momento e na medida do necessário, se o subcontratante cumpre as disposições legais em matéria de proteção de dados e/ou as disposições contratuais acordadas entre as partes e/ou se o subcontratante cumpre as instruções do cliente.

A prova do cumprimento das obrigações que incumbem a um subcontratante nos termos do RGPD deve ser prestada, em primeiro lugar, através de relatórios de testes independentes e certificações.

Se o cliente, com base em provas factuais, tiver dúvidas razoáveis de que os relatórios de teste ou certificações são insuficientes ou incorretos, ou se incidentes especiais na aceção do Art. 33.º, n.º 1, do RGPD, relacionados com a execução do tratamento de dados por encomenda do cliente, o justificarem, o cliente pode realizar inspeções de acordo com a secção 8. (2).

(2) A fim de permitir que o Cliente realize uma inspeção do pedido e, em particular, verifique as medidas técnicas e organizacionais tomadas pelo subcontratante antes do início e regularmente durante o tratamento de dados, o subcontratante deve permitir a inspeção por um terceiro neutro (auditor juramentado) designado pelo Cliente. O subcontratante tem o direito de fixar datas para a inspeção de acordo com as possibilidades operacionais. A inspeção deve ser possibilitada num prazo razoável após o pedido. Em alternativa, o subcontratante pode também cumprir o direito de inspeção do cliente, fornecendo um relatório de inspeção elaborado por um auditor independente e juramentado em nome do subcontratante. O exercício do direito de inspeção não deve perturbar indevidamente as operações comerciais do subcontratante nem ser abusivo.

(3) O subcontratante tem o direito de exigir ao cliente uma remuneração razoável pelas inspeções na aceção do ponto 8. (2).

9. Proporções de subcontratação

(1) A contratação de subcontratantes pelo processador só é permitida com o consentimento do cliente por escrito. O processador de encomendas deve especificar todas as relações de subcontratação já existentes no momento da celebração do contrato no Anexo 2 do presente contrato.

(2) O responsável pelo tratamento deve selecionar cuidadosamente o subcontratado e verificar, antes da adjudicação do contrato, se este está em condições de cumprir os acordos celebrados entre o cliente e o responsável pelo tratamento. Em particular, o subcontratado deve verificar antecipadamente e regularmente durante a vigência do contrato se tomou as medidas técnicas e organizacionais exigidas pelo Art. 32.º do RGPD para a proteção de dados pessoais. O resultado da verificação deve ser documentado pelo subcontratante e disponibilizado ao cliente, mediante pedido.

(3) O responsável pelo tratamento é obrigado a obter do subcontratante a confirmação de que este nomeou um responsável pela proteção de dados da empresa, em conformidade com o artigo 37.º do RGPD. Caso o subcontratante não tenha nomeado um responsável pela proteção de dados, o responsável pelo tratamento deve informar o cliente deste facto e fornecer informações que demonstrem que o subcontratante não está legalmente obrigado a nomear um responsável pela proteção de dados.

(4) O

subcontratante deve

assegurar que as disposições acordadas no presente contrato e quaisquer instruções suplementares do cliente, se existirem, se apliquem igualmente ao subcontratante.

(5) O subcontratante deve celebrar um contrato com o subcontratante que cumpra os requisitos do Art. 28.º do RGPD. Além disso, o subcontratante deve impor ao subcontratante as mesmas obrigações em matéria de proteção de dados pessoais que as estabelecidas entre o cliente e o subcontratante.

(6) Em particular, a parte que processa a encomenda está obrigada a garantir, através de disposições contratuais, que os poderes de controlo (Cláusula 8 do presente contrato) do cliente e das autoridades de supervisão se apliquem igualmente ao subcontratante e que os direitos de controlo correspondentes sejam acordados pelo cliente e pelas autoridades de supervisão. Além disso, deve ser acordado contratualmente que o subcontratante tolerará estas medidas de controlo e quaisquer inspeções no local.

(7) As relações de subcontratação na aceção dos n.os 1 a 6 não serão consideradas serviços que o subcontratante obtenha de terceiros como um serviço puramente acessório para o exercício da atividade empresarial. Tais serviços incluem, por exemplo, serviços de limpeza, serviços de telecomunicações puros sem qualquer referência específica a serviços que o subcontratante preste ao contratante, serviços postais e de correio expresso, serviços de transporte e serviços de segurança. O subcontratante é, no entanto, obrigado a assegurar, também no caso de serviços acessórios prestados por terceiros, que foram tomadas precauções adequadas e medidas técnicas e organizacionais para garantir a proteção dos dados pessoais. A manutenção e assistência técnica de sistemas ou aplicações de TI constituem uma relação de subcontratação e tratamento por encomenda na aceção do art. 28 do RGPD, que requer aprovação se a manutenção e os testes disserem respeito a sistemas informáticos que também sejam utilizados no âmbito da prestação de serviços ao cliente e se for possível aceder a dados pessoais tratados em

nome do

cliente durante a manutenção.

10. Obrigação de confidencialidade

(1) Ao tratar dados em nome do Cliente, o subcontratante está obrigado a manter a confidencialidade dos dados que receba ou de que tenha conhecimento no âmbito da encomenda. O

subcontratante

compromete-se a observar as mesmas regras de

proteção

do sigilo que incumbem ao contratante. O contratante é obrigado a informar o subcontratante sobre quaisquer regras especiais de proteção do sigilo.

(2) O subcontratante garante que tem conhecimento dos regulamentos de proteção de dados aplicáveis e que está familiarizado com a sua aplicação. O contratante garante ainda que familiarizou os seus colaboradores com as disposições de proteção de dados que lhes são aplicáveis e que os obrigou a manter a confidencialidade. O contratante garante ainda que obrigou, em particular, os seus colaboradores envolvidos na execução do trabalho a manter a confidencialidade e que os informou das instruções do cliente.

(3) A obrigação dos colaboradores nos termos do n.º 2 deve ser comprovada ao cliente, mediante pedido.

11. Proteção dos direitos dos titulares dos dados

(1) O cliente é o único responsável pela salvaguarda dos direitos das pessoas em causa. O subcontratante é obrigado a apoiar o cliente no cumprimento da sua obrigação de tratar os pedidos dos titulares dos dados, em conformidade com os artigos 12.º a 23.º do RGPD. Em particular, o subcontratante deve assegurar que as informações necessárias a este respeito sejam fornecidas ao cliente sem demora, para que este possa cumprir as suas obrigações nos termos do artigo 12.º, n.º 3, do RGPD.

(2) Na medida em que a cooperação do subcontratado seja necessária para a proteção dos direitos dos titulares de dados — em particular, o direito à informação, retificação, bloqueio ou apagamento — por parte do cliente, o subcontratado tomará as medidas necessárias de acordo com as instruções do cliente. Se possível, o subcontratado apoiará o cliente com medidas técnicas e organizacionais adequadas, a fim de cumprir a sua obrigação de responder aos pedidos de exercício dos direitos dos titulares de dados. O subcontratado terá o direito de exigir ao cliente uma remuneração razoável por estes serviços.

(3) O disposto no presente parágrafo não prejudica quaisquer disposições relativas à eventual remuneração de despesas adicionais incorridas pelo subcontratado em resultado de serviços de cooperação relacionados com a reivindicação de direitos das pessoas em causa perante o cliente.

12. Obrigações de sigilo

(1) Ambas as partes comprometem-se a tratar todas as informações recebidas no âmbito da execução do presente contrato como confidenciais por um período de tempo ilimitado e a utilizá-las apenas para a execução do contrato. Nenhuma das partes terá o direito de utilizar estas informações, no todo ou em parte, para fins diferentes dos acima mencionados, nem de as disponibilizar a terceiros.

(2) A obrigação acima referida não se aplica a informações que uma das partes tenha comprovadamente recebido de terceiros sem estar obrigada a manter sigilo ou que sejam do conhecimento público.

13. Remuneração

O subcontratante não receberá remuneração separada pelo presente contrato.

14. Medidas técnicas e organizacionais para a segurança dos dados

(1) O subcontratante compromete-se perante o cliente a cumprir as medidas técnicas e organizacionais necessárias para dar cumprimento aos regulamentos de proteção de dados aplicáveis. Isto inclui, em particular, os requisitos do Art. 32.º do RGPD.

(2) O estado das medidas técnicas e organizacionais existentes no momento da celebração do contrato encontra-se anexado ao presente contrato como Anexo 3. As partes concordam que podem ser necessárias alterações às medidas técnicas e organizacionais para se adaptarem às condições técnicas e legais. Alterações significativas que possam afetar a integridade, a confidencialidade ou a disponibilidade dos dados pessoais serão acordadas previamente pelo subcontratante com o cliente. As medidas que envolvam apenas pequenas alterações técnicas ou organizacionais e que não afetem negativamente a integridade, a confidencialidade e a disponibilidade dos dados pessoais podem ser implementadas pelo subcontratante sem consultar o cliente. O cliente pode solicitar, a qualquer momento, uma versão atualizada das medidas técnicas e organizacionais

tomadas

pelo subcontratante.

(3) O subcontratante deve verificar regularmente, e sempre que necessário, a eficácia das medidas técnicas e organizacionais por si tomadas. Caso haja necessidade de otimização e/ou modificação, o subcontratante deve informar o cliente.

15. Duração do contrato

(1) O contrato tem início com a atribuição da tarefa e é celebrado por tempo indeterminado.

(2) O contrato termina com a rescisão do contrato principal (um pacote de aplicações ou qualquer serviço), sem necessidade de rescisão separada.

Quaisquer obrigações de eliminação e devolução após a rescisão do presente Acordo regem-se pela Secção 16.

(3) O responsável pelo tratamento pode rescindir o contrato a qualquer momento, sem aviso prévio, caso se verifique uma violação grave das disposições de proteção de dados aplicáveis ao subcontratante ou das obrigações decorrentes do presente contrato, caso o subcontratante não possa ou não queira cumprir uma instrução dada pelo responsável pelo tratamento ou caso o subcontratante recuse o acesso ao responsável pelo tratamento ou à autoridade de controlo competente, em violação do contrato.

16. Rescisão

(1) Após a rescisão do contrato, o subcontratante deve devolver ao cliente ou eliminar todos os documentos, dados e resultados de tratamento ou utilização criados que tenham entrado na sua posse no âmbito da relação contratual, à escolha do cliente. A eliminação deve ser documentada de forma adequada. Quaisquer obrigações legais de conservação ou outras obrigações de armazenamento dos dados permanecem inalteradas. No caso de suportes de dados, estes devem ser destruídos em caso de eliminação solicitada pelo cliente, devendo ser cumprido, no mínimo, o nível de segurança 3 da norma DIN 66399; o cliente deve apresentar provas da destruição com referência ao nível de segurança de acordo com a norma DIN 66399.

(2) O cliente tem o direito de verificar a devolução e eliminação completas e contratuais dos dados junto do subcontratante. Isto também pode ser feito através da inspeção do equipamento de processamento de dados nas instalações do responsável pelo tratamento. A inspeção no local deve ser anunciada pelo cliente com um prazo de pré-aviso razoável.

17. Direito de retenção

As partes concordam que fica excluída a invocação do direito de retenção pelo responsável pelo tratamento nos termos do § 273 do BGB (Código Civil Alemão) no que diz respeito aos dados tratados e aos suportes de dados associados.

18. Disposições finais

(1) Se a propriedade do cliente estiver em risco nas instalações do responsável pelo tratamento devido a medidas de terceiros (tais como apreensão ou confiscação), a processos de insolvência ou a outros eventos, o responsável pelo tratamento deve informar o cliente sem demora. O responsável pelo tratamento deve informar os credores sem demora de que os dados estão a ser tratados no âmbito da encomenda.

(2) É exigida a forma escrita para acordos acessórios.

(3) Caso partes individuais do presente contrato sejam inválidas, tal não afetará a validade das restantes disposições do contrato.

Anexo 1 - Objeto da encomenda

1. Objeto e finalidade do tratamento

A encomenda do cliente ao responsável pelo tratamento compreende os seguintes trabalhos e/ou serviços: Fornecimento de aplicações móveis (descritas mais detalhadamente na respetiva descrição de serviço válida), bem como páginas web com conteúdo semelhante. Isto inclui a recolha, o tratamento e o encaminhamento de dados registados.

2. Tipo(s) de dados pessoais

Os seguintes tipos de dados são regularmente tratados: Dados de tráfego, dados de conteúdo, dados de contacto, dados pessoais de base e dados de comunicação (nome, endereço, número de telefone, número de fax, endereço de e-mail).

3. Círculo de pessoas afetadas

Círculo das pessoas afetadas pelo tratamento de dados: Utilizadores da sua conta, participantes que ligam e que são contactados ou remetentes/destinatários de SMS/fax, colaboradores, clientes, parceiros comerciais, partes interessadas e prestadores de serviços do cliente.

Se o cliente for um parceiro do subcontratante: Dados de contacto, dados pessoais de base e dados de comunicação (nome, morada, número de telefone, número de fax, endereço de e-mail) dos contratantes/empresas indicados pelo Parceiro que efetuou a encomenda.

O cliente é obrigado a informar os utilizadores da conta e — se necessário — o conselho de empresa ou representantes equivalentes sobre o tratamento dos dados mencionados no ponto 2.

4. Local de tratamento dos dados:

Todos os dados são tratados em servidores situados no Espaço Económico Europeu.

Anexo 2 — Subcontratante

Para o tratamento de dados em nome do Responsável pelo tratamento, o subcontratante recorre aos serviços de terceiros que tratam dados em seu nome («subcontratantes»).

O subcontratante recorre a vários subcontratantes para prestar os seus serviços.

Estes subcontratantes são, inicialmente, as seguintes empresas do subcontratante e realizam trabalhos preliminares para a prestação dos serviços do subcontratante. Estão em vigor os acordos contratuais necessários entre as empresas para o tratamento destes dados.

Trata-se das seguintes empresas:

Jungherz LLC, 1621 Central Ave, Cheyenne, WY 82001

Mailjet GmbH, c/o Mindspace, Friedrichstraße 68, 10117 Berlim,

netcup GmbH, Daimlerstraße 25, D-76185 Karlsruhe

OVH Groupe SAS, 2 Rue Kellermann Roubaix, 59100 França

Digistore24 GmbH, St.-Godehard-Str. 32, 31139 Hildesheim

CopeCart GmbH, Ufnaustrasse 10, 10553 Berlim

Stripe Payments Europe, Limited (SPEL), 1 Grand Canal Street Lower, Dublin, D02 H210, Irlanda

Anexo 3 - Medidas técnicas e organizacionais do subcontratante

O subcontratante deve tomar as seguintes medidas técnicas e organizacionais para a segurança dos dados, na aceção do Art. 32.º do RGPD.

1. Confidencialidade

Controlo de acesso

A fim de impedir o acesso não autorizado aos sistemas de tratamento de dados com os quais os dados são tratados ou utilizados, o subcontratante e os seus subcontratados, tais como a Netcup e a Divisão Google Cloud, implementaram processos formais abrangentes de controlo de acesso.

As instalações utilizadas albergam salas de servidores e uma sala de tecnologia de servidores. Para o acesso, são emitidas chaves eletrónicas a funcionários selecionados do subcontratado. As chaves apenas autorizam o respetivo funcionário do subcontratado a abrir/fechar portas individuais que tenham sido aprovadas para esse efeito. Todas as operações de abertura e fecho de uma chave são registadas eletronicamente juntamente com o ID único da chave. Apenas os funcionários do subcontratado diretamente autorizados pela direção são responsáveis pela gestão das chaves.

A sala de servidores está sempre trancada e só pode ser acedida por funcionários selecionados do subcontratado.

Dentro do edifício do respetivo local, os direitos de acesso dos funcionários do subcontratado — mesmo aqueles que possuem uma chave — estão limitados ao necessário para a tarefa específica a ser realizada.

Durante o horário de funcionamento, é realizada uma verificação das pessoas que entram no edifício na receção permanentemente tripulada. Fora do horário de funcionamento, todas as entradas do edifício estão trancadas e protegidas por alarme. O edifício é adicionalmente protegido por um serviço de segurança. Todos os alarmes do sistema de alarme são comunicados diretamente a um serviço de segurança.

São aplicadas medidas de segurança padrão em todos os centros de dados. Estas correspondem ao estado da arte e às (melhores práticas) da indústria de TI. Estas incluem sistemas de controlo de acesso eletrónico com registo, através dos quais apenas pessoas autorizadas podem entrar no edifício, sistemas de alarme, videovigilância interior/exterior, pessoal de segurança 24 horas por dia, 7 dias por semana, sistemas de alarme, proteção do edifício com arame farpado, proteção por serviços de segurança externos que são automaticamente informados através de uma linha de alarme dedicada em caso de alarme.

As chaves das salas individuais e das jaulas no centro de dados devem ser sempre recolhidas junto do pessoal de segurança.

Controlo de acesso

A fim de garantir que as pessoas autorizadas a utilizar um sistema de tratamento de dados só possam aceder aos dados abrangidos pela sua autorização de acesso e que os dados armazenados ou em tratamento não possam ser lidos, copiados, alterados ou removidos por pessoas não autorizadas, o responsável pelo tratamento utiliza um sistema central para a gestão das autorizações de acesso. Todos os acessos são armazenados localmente e no servidor de registo central. Os direitos administrativos só podem ser exercidos através de um programa de administração central.

O acesso a todos os dados é restrito na medida do necessário para que todas as pessoas autorizadas possam cumprir as suas tarefas específicas. São respeitados os requisitos legais de proteção de dados, em particular os do Regulamento Geral sobre a Proteção de Dados (RGPD) e da TKG.

Separação

O processador trata os dados em sistemas de servidores que estão logicamente separados por um sistema de controlos de acesso lógicos e físicos na rede.

2. Integridade

Controlo de entrada

Para garantir que o processador de encomendas possa verificar e determinar posteriormente se e por quem os dados foram introduzidos, alterados ou removidos nos sistemas de tratamento de dados, todos os acessos aos dados armazenados do cliente são registados localmente e no servidor de registos central.

Controlo de encaminhamento

A fim de garantir que os dados não possam ser lidos, copiados, alterados ou removidos por pessoas não autorizadas durante a transmissão eletrónica, o transporte ou o armazenamento, e que seja possível verificar para onde os dados se destinam a ser transferidos pelos sistemas de transferência de dados, o acesso a todos os sistemas que processam dados de clientes está sujeito a controlos de acesso eficazes. Estes mecanismos de controlo de acesso já foram descritos em mais pormenor acima, no ponto 3.

3. Disponibilidade e resiliência

O Subcontratado utiliza uma combinação de sistemas redundantes e soluções de backup em todos os sistemas, a fim de proteger os dados armazenados e poder restaurá-los, se necessário. Estes sistemas são operados exclusivamente em instalações seguras e equipadas de acordo com o estado da arte atual, que dispõem dos necessários sistemas de ar condicionado, alarme de incêndio e de fumo e para as quais existem planos de emergência detalhados.

4. Procedimentos para revisão, avaliação e análise regulares

Todos os nossos próprios colaboradores e os do subcontratado recebem formação regular sobre questões de proteção de dados. Estas formações são realizadas inteiramente a nível interno, de modo a permitir um ajuste exato às questões relevantes para o subcontratado. Questões individuais são também abordadas em pormenor durante estas sessões de formação.

Todos os colaboradores do responsável pelo tratamento que, no âmbito do seu trabalho, entrem em contacto com o tratamento de dados pessoais são obrigados a tratar os dados pessoais de forma confidencial. Isto é feito regularmente quando são contratados novos colaboradores, através de uma declaração contratual de compromisso que cada colaborador deve assinar.

O responsável pelo tratamento nomeou um responsável pela proteção de dados. Juntamente com os seus adjuntos, o responsável pela proteção de dados deve assegurar que as questões dos titulares dos dados sejam respondidas em tempo útil.

O responsável pelo tratamento deve manter um registo das atividades de tratamento na aceção do Art. 30.º, n.ºs 1 e 2, do RGPD. Esta lista de atividades de tratamento não é pública.

(a partir de 16 de fevereiro de 2022)