Introdução
As partes concordam que o presente Acordo de Protecção de Dados ("DPA") estabelece os direitos e obrigações de cada parte relativamente ao processamento e segurança dos Dados Pessoais do Cliente em ligação com o Software e Serviços fornecidos pela MetaCompliance Ltd. A DPA é incorporada por referência nos Termos e Condições Gerais (Termos Comerciais). As partes também concordam que, a menos que exista uma DPA separada assinada pelas partes, esta DPA rege o processamento e a segurança dos Dados Pessoais do Cliente.
As disposições dos Termos da DPA substituem quaisquer disposições conflituosas da Declaração de Privacidade da MetaCompliance que de outra forma se poderiam aplicar ao processamento de Dados Pessoais do Cliente. Para maior clareza, em conformidade com as Cláusulas Contratuais Padrão 2021 definidas abaixo, quando as Cláusulas Contratuais Padrão 2021 são aplicáveis, as Cláusulas Contratuais Padrão 2021 prevalecem sobre qualquer outro termo do Contrato de Tratamento de Dados.
ACORDO DE PROCESSAMENTO DE DADOS EFECTIVO A PARTIR DE 29 DE JUNHO DE 2022
-
Festas
O Cliente, tal como definido nos Termos e Condições Gerais (o "Cliente") e
1.1.1 MetaCompliance Limited constituída e registada na Irlanda do Norte com o número de empresa NI049166 cuja sede social se encontra na Third Floor Old City Factory 100 Patrick Street, Londonderry BT48 7EL (o "Fornecedor").
-
Antecedentes
O Cliente e o Fornecedor celebraram um Contrato que pode exigir que o Fornecedor processe Dados Pessoais em nome do Cliente.
Este Acordo de Processamento de Dados ("DPA") estabelece os termos, requisitos e condições adicionais sobre os quais o Fornecedor processará os Dados Pessoais ao prestar Serviços ao abrigo do Contrato. Esta DPA contém as cláusulas obrigatórias exigidas pelo Artigo 28(3) do Regulamento Geral de Protecção de Dados ((UE) 2016/679 e legislação GDPR do Reino Unido) para contratos entre responsáveis pelo tratamento e processadores.
Esta DPA está sujeita aos termos do Contrato e está incorporada no Contrato. Os termos utilizados nesta DPA terão os significados estabelecidos nesta DPA. Os termos capitalizados não definidos de outra forma neste documento terão o significado que lhes é dado nos Termos e Condições do Contrato.
Os anexos fazem parte da presente DPA e terão efeito como se estivessem estabelecidos na íntegra na presente DPA. Qualquer referência a esta DPA inclui anexos.
Em caso de conflito entre qualquer disposição desta APD e qualquer termo(s) do Contrato, no que respeita ao objecto do presente Contrato, prevalecerão as disposições da presente APD.
-
Definições
Os seguintes termos na presente DPA terão o seguinte significado:
"Leis de Protecção de Dados"
"Dados Pessoais do Cliente"
"Cláusulas Contratuais Padrão"
"Sub-processador"
"Controlador", "Assunto dos dados", "Processador", "Processo ou Processamento", "Dados Pessoais", "Violação de Dados Pessoais".
4. Tratamento de dados pessoais
4.1 As partes reconhecem e concordam que, para efeitos das Leis de Protecção de Dados e no que respeita ao Tratamento de Dados Pessoais do Cliente, o Fornecedor é o Processador e o Cliente é o Controlador.
4.2 O Cliente garante e representa: (i) a transferência dos Dados Pessoais do Cliente para o Fornecedor cumpre em todos os aspectos as Leis de Protecção de Dados (incluindo sem limitação em termos da sua recolha e utilização); e (ii) o processamento justo e todos os outros avisos apropriados foram fornecidos aos Sujeitos dos Dados Pessoais do Cliente (e todos os consentimentos necessários de tais Sujeitos obtidos e sempre mantidos) na medida exigida pelas Leis de Protecção de Dados em relação a todas as actividades de processamento que possam ser realizadas pelo Fornecedor e seus Sub-processadores em conformidade com o presente Acordo;
4.3 O Fornecedor compromete-se a processar apenas os Dados Pessoais do Cliente: (i) conforme necessário para a prestação dos Serviços; (ii) de acordo com as instruções escritas do Cliente; e (iii) de acordo com os requisitos das Leis de Protecção de Dados.
4.4 O Cliente deverá, na sua utilização dos Serviços, processar os Dados Pessoais de acordo com os requisitos das Leis de Protecção de Dados. O Cliente deverá garantir que quaisquer instruções dadas ao Fornecedor em relação ao Processamento de Dados Pessoais do Cliente cumprem com as Leis de Protecção de Dados.
4.5 As instruções do Cliente ao Fornecedor relativamente ao assunto e duração do Processamento, a natureza e finalidade do Processamento, os tipos de Dados Pessoais e as categorias de Sujeitos de Dados são descritas no Anexo A. Para evitar dúvidas, as partes reconhecem e concordam que as instruções de Processamento estabelecidas na presente DPA e no Anexo A constituem o conjunto completo de instruções do Cliente ao Fornecedor, tal como se aplicam.
4.6 O Fornecedor deverá notificar imediatamente o Cliente se, na opinião razoável do Fornecedor, qualquer instrução dada pelo Cliente for susceptível de infringir as Leis de Protecção de Dados.
4.7 O Fornecedor não processará, transferirá, modificará, emendará ou alterará os Dados Pessoais do Cliente ou divulgará ou permitirá a divulgação dos Dados Pessoais do Cliente a terceiros fora das instruções detalhadas nesta DPA, a menos que tal seja especificamente autorizado por escrito pelo Cliente.
4.8 O pessoal do Fornecedor envolvido no Processamento de Dados Pessoais do Cliente será informado da natureza confidencial dos Dados Pessoais do Cliente e receberá formação adequada sobre as suas responsabilidades. Esse pessoal será sujeito aos devidos compromissos de confidencialidade.
4.9 Tendo em conta a natureza do Tratamento de Dados Pessoais nos Serviços prestados, o Fornecedor deverá, conforme exigido pelo artigo 32º do RU e da UE GDPR, manter medidas técnicas e organizacionais adequadas, para garantir a segurança do Tratamento, incluindo protecção contra Tratamento não autorizado ou ilegal, e contra destruição acidental ou ilegal, perda ou alteração ou dano, divulgação não autorizada de, ou acesso a, Dados Pessoais do Cliente. As partes reconhecem e concordam que as medidas de segurança especificadas na presente DPA e mais especificamente no Anexo B constituem medidas de segurança técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco.
4.10 O Fornecedor deverá assistir o Cliente através de medidas técnicas e organizacionais adequadas, na medida do possível e tendo em conta a natureza do Tratamento dos Dados Pessoais do Cliente, no cumprimento das obrigações do Cliente no âmbito das Leis de Protecção de Dados, incluindo em relação aos direitos do Sujeito dos Dados, avaliações do impacto da protecção de dados (relacionadas com a utilização dos Serviços MetaCompliance pelo Cliente) e relatórios e consultas às autoridades de supervisão (relacionadas com uma avaliação do impacto da protecção de dados relacionada com os Serviços MetaCompliance).
4.11 Se os Sujeitos dos Dados, autoridades competentes ou quaisquer outros terceiros solicitarem informações ao Fornecedor relativamente ao Processamento de Dados Pessoais do Cliente, o Fornecedor deverá encaminhar tal pedido para o Cliente, a menos que seja exigido o cumprimento das Leis de Protecção de Dados, caso em que o Fornecedor deverá notificar previamente o Cliente de tal exigência legal, a menos que essa lei proíba tal divulgação por motivos importantes de interesse público.
5. Sub-processadores
5.1 O Cliente reconhece e concorda que o Fornecedor pode, em relação à prestação de Serviços, contratar Sub-Processadores que possam ser afiliados do Fornecedor e/ou terceiros, tal como descrito mais especificamente no Anexo C.
5.2 O Fornecedor não deverá contratar um novo Sub-processador para processar os Dados Pessoais do Cliente sem um contrato escrito com esse Sub-processador que lhe imponha obrigações de protecção de dados equivalentes às estabelecidas na presente DPA no que respeita à protecção dos Dados Pessoais do Cliente, na medida aplicável à natureza dos serviços prestados por esse Sub-processador.
5.3 Se o Fornecedor se propuser acrescentar ao número de Sub-processadores por ele contratados ou substituir algum deles, deverá informar o Cliente de acordo com a cláusula 5.5 abaixo e o Cliente deverá ter a oportunidade de se opor a qualquer alteração por motivos razoáveis.
5.4 No caso do Cliente se opor a um novo Sub-processador, o Fornecedor envidará esforços razoáveis para disponibilizar ao Cliente uma alteração nos Serviços ou recomendar uma alteração comercialmente razoável nos Serviços para evitar o Processamento dos Dados Pessoais do Cliente pelo novo Sub-processador relevante. Se nenhuma alternativa for possível, as partes têm o direito de rescindir o Contrato entre elas.
5.5 O Fornecedor informará por escrito o Cliente de alterações na utilização dos Sub-processadores com pelo menos 30 dias de antecedência e fornecerá ao Cliente um Anexo C actualizado.
5.6 O Fornecedor permanece responsável perante o Cliente pelo cumprimento das obrigações dos Sub-processadores.
6. Transferências de dados
6.1 Em conformidade com o artigo 28(3)(a) do RBDP do Reino Unido e da UE, o Fornecedor não deverá, nem permitirá a qualquer Sub-processador transferir quaisquer Dados Pessoais do Cliente para fora do EEE ou do Reino Unido (conforme aplicável) sem o consentimento prévio do Cliente. Para evitar dúvidas, o Cliente consente pela presente a transferência e o processamento dos Dados Pessoais, tal como especificado no Anexo A, conforme aplicável.
6.2 O Fornecedor reconhece que, em conformidade com a GDPR do Reino Unido e da UE, deve existir uma protecção adequada dos Dados Pessoais após qualquer transferência fora do Reino Unido ou do EEE (directamente ou através de transferência posterior) e deve celebrar um acordo apropriado com o Cliente e/ou qualquer sub-processador para reger tal transferência. Isto incluirá as Cláusulas Contratuais Padrão aplicáveis, a menos que exista outro mecanismo adequado para a transferência.
7. Quebra de dados pessoais
Em caso de qualquer violação de dados pessoais que envolva os dados pessoais do Cliente, o Fornecedor deverá:
7.1.1 Notificar o Cliente sem atrasos indevidos para permitir ao Cliente cumprir com as obrigações de comunicação do Reino Unido e da UE GDPR e prestar assistência razoável ao Cliente quando este for obrigado a comunicar uma Violação de Dados Pessoais a um Sujeito de Dados.
7.1.2 Envidar esforços razoáveis para identificar a causa de tal Violação de Dados Pessoais e tomar as medidas que o Fornecedor considerar razoavelmente praticáveis, a fim de remediar a causa de tal Violação de Dados Pessoais.
7.1.3 Sujeito aos termos da presente DPA, prestar assistência e cooperação razoáveis, conforme solicitado pelo Cliente, na prossecução de qualquer correcção ou reparação de qualquer violação de dados pessoais.
8. Registos de Processamento
8.1 Na medida aplicável ao Processamento do Fornecedor para o Cliente, o Fornecedor deverá manter todos os registos exigidos pelo Artigo 30(2) do GDPR do Reino Unido e da UE e colocá-los à disposição do Cliente mediante pedido.
9. Direitos de auditoria
9.1 O Fornecedor deverá, e deverá providenciar para que os seus Sub-Processadores disponibilizem ao Cliente, mediante pedido, informações razoáveis necessárias para demonstrar o cumprimento das suas obrigações de protecção de dados ao abrigo da presente DPA e deverão permitir e contribuir para auditorias, incluindo inspecções nas suas instalações, por parte do Cliente ou de um auditor mandatado pelo Cliente em relação ao Processamento de Dados Pessoais do Cliente, desde que tal auditor não seja concorrente do Fornecedor
10. Termo
10.1 Esta DPA permanecerá em pleno vigor e efeito durante o tempo necessário:
10.1.1 O Contrato permanece em vigor; ou
10.1.2 O Fornecedor retém quaisquer Dados Pessoais do Cliente na sua posse ou controlo.
10.2 Qualquer disposição desta DPA que expressamente ou por implicação deverá entrar ou continuar em vigor no ou após a rescisão do Contrato, a fim de proteger os Dados Pessoais do Cliente, permanecerá em pleno vigor e efeito.
11. Devolução e destruição de dados
11.1 O Fornecedor deverá, ao critério do Cliente e com qualquer pedido deste tipo apresentado por escrito pelo Cliente, apagar ou devolver todos os Dados Pessoais do Cliente ao Cliente após o fim da prestação dos Serviços relacionados com o Processamento, e apagar as cópias existentes, a menos que a legislação aplicável do EEE ou dos Estados-Membros exija o armazenamento dos Dados Pessoais do Cliente. Se não for recebido qualquer pedido escrito do Cliente, o Fornecedor deverá apagar os Dados Pessoais do Cliente 90 dias após a cessação do Contrato.
11.2 A pedido do Cliente, o Fornecedor deverá fornecer uma notificação escrita das medidas tomadas relativamente aos Dados Pessoais do Cliente.
12. Indemnização
12.1 O Fornecedor concorda em indemnizar o Cliente contra todos os custos directos, reclamações, danos ou despesas incorridas pelo Cliente devido a qualquer falha do Fornecedor ou dos seus empregados, sub-processadores, subcontratantes ou agentes no cumprimento de qualquer uma das suas obrigações ao abrigo da presente DPA ou das Leis de Protecção de Dados de acordo com o Artigo 82 da GDPR do Reino Unido e da UE.
12.2 Não obstante qualquer disposição em contrário nesta APD ou no Contrato (incluindo, sem limitação, as obrigações de indemnização de qualquer das partes), nenhuma das partes será responsável por quaisquer multas da GDPR emitidas ou cobradas ao abrigo do Artigo 83 da GDPR contra a outra parte por uma autoridade reguladora ou organismo governamental em relação à violação da GDPR por essa outra parte.
12.3 Sujeito às obrigações legais descritas na cláusula 12.1 e as limitações detalhadas na cláusula 12.2, a responsabilidade de cada parte ao abrigo desta APD estará sujeita às exclusões e limitações de responsabilidade estabelecidas no Contrato. Qualquer referência a qualquer "limitação de responsabilidade" de uma parte no Contrato será interpretada como significando a responsabilidade agregada de uma parte e de todas as suas Subsidiárias e Afiliadas nos termos do Contrato e da presente DPA.
Anexo A
Fins e detalhes do processamento de dados pessoais
Assunto do processamento
Detalhes
Aplica-se a:
Finalidade
Políticas, Avaliações de Conhecimento
Pesquisas de Privacidade
Revisões de Incidentes
Tipos de dados pessoais
Categorias de Assuntos de Dados
Clientes Empregados, Empreiteiros, Fornecedores, Parceiros e/ou Afiliados.
Operações de processamento
Para comunicar com o LMS do Cliente e avaliar a contagem de licenças.
Localização das operações de processamento
Reino Unido (MetaCompliance Group), Dinamarca (MetaCompliance Group), Irlanda (MetaCompliance Group, Microsoft Azure, AWS Europe). AWS Europe é um fornecedor de correio electrónico transaccional que será utilizado dependendo da localização do Cliente - ver Anexo C.
Holland (Microsoft Azure)
E.U.A. (Twilio for Sendgrid Services - opção de fornecedor de correio electrónico transaccional baseada na localização do Cliente - ver Anexo C)
Requisitos de retenção
| Assunto do processamento | Detalhes | Aplica-se a. |
|---|---|---|
|
Finalidade |
Acesso ao sistema Administração do sistema Entrega do conteúdo do sistema de acordo com os módulos subscritos. Ver abaixo:
|
Todos os Clientes |
|
|
Políticas, Avaliações de Conhecimento |
Clientes que subscrevam os módulos Policy (PolicyLite, MetaEngage e MetaPolicy)
|
|
|
eLearning, outros meios de comunicação social |
Clientes que subscrevam módulos Elearning (MetaLearning Fusion) |
|
|
Pesquisas de Privacidade |
Clientes que subscrevam o módulo MetaPrivacy |
|
|
Revisões de Incidentes |
Clientes que subscrevam o módulo MetaIncident |
|
|
Campanhas simuladas de Phishing |
Clientes que subscrevam a MetaPhish |
|
|
Transferência SCORM para o LMS do cliente |
Clientes que subscrevem a transferência SCORM |
| Assunto do processamento | Detalhes | Aplica-se a. |
|---|---|---|
|
Tipos de Dados Pessoais |
Nome, Sobrenome, Endereço de e-mail, Departamento, Registo de Formação |
Todos os Clientes |
|
|
Unidade de Organização do Active Directory (OU) |
Clientes que utilizam o Azure AD ou na premissa AD |
|
|
LMS ID |
Clientes com subscrições de transferência SCORM |
|
Categorias de Temas de Dados |
Clientes Empregados, Empreiteiros, Fornecedores, Parceiros e/ou Afiliados. |
Todos os Clientes de acordo com os dados do Sujeito de Dados fornecidos ao Fornecedor. O Cliente pode limitá-los em função da sua utilização prevista dos Serviços. |
| Assunto do processamento | Detalhes | Aplica-se a. |
|---|---|---|
|
Operações de processamento |
Processamento e armazenamento de Dados Pessoais do Cliente a fim de criar e manter contas de Utilizadores Autorizados na plataforma MyCompliance. Distribuição de vários e-mails de notificação iniciados pelo sistema MyCompliance da MetaCompliance.
|
Todos os Clientes |
|
|
Distribuição de e-mails simulados de phishing especificados pelo Cliente através da plataforma MetaCompliance MyCompliance. |
Clientes que subscrevam o módulo MetaPhish
|
|
|
Armazenamento de Dados Pessoais onde são introduzidos pelo cliente através do módulo MetaCompliance MetaPrivacy. |
Clientes que subscrevam o módulo MetaPrivacy |
|
Categorias de Temas de Dados |
Armazenamento de Dados Pessoais onde são introduzidos pelo cliente através do módulo MetaCompliance MetaPrivacy. |
Clientes que subscrevem a transferência SCORM |
| Assunto do processamento | Detalhes | Aplica-se a. |
|---|---|---|
|
Localização das operações de processamento |
Reino Unido (MetaCompliance) Irlanda (MetaCompliance, Microsoft Azure, AWS Europe). AWS Europe é um fornecedor de correio electrónico transaccional que será utilizado dependendo da localização do Cliente - ver Anexo C. Holland (Microsoft Azure) E.U.A. (Twilio for Sendgrid Services - opção de fornecedor de correio electrónico transaccional baseada na localização do Cliente - ver Anexo C) |
Todos os Clientes, conforme aplicável. Consultar o Anexo C para mais detalhes. |
|
Requisitos de retenção |
Quando uma subscrição do Cliente expira ou é terminada, todos os Dados Pessoais do Cliente associado são mantidos durante 90 dias antes de serem efectivamente apagados, a fim de recuperar do cancelamento acidental da subscrição. |
Todos os Clientes
|
Anexo B
Disposições de segurança
O Fornecedor, a fim de ajudar o Cliente a cumprir as suas obrigações legais, incluindo mas não se limitando a; medidas de segurança e avaliações de risco de privacidade, será obrigado a tomar medidas técnicas e organizacionais adequadas para proteger os Dados Pessoais do Cliente que são processados. As medidas devem, pelo menos, resultar num nível de segurança que seja adequado, tendo em consideração:
(a) As possibilidades técnicas existentes;
(b) Os custos de execução das medidas;
(c) os riscos particulares associados ao Processamento de Dados Pessoais do Cliente; e
(d) A sensibilidade dos Dados Pessoais do Cliente que são processados.
O Fornecedor deve manter uma segurança adequada para os Dados Pessoais do Cliente. O Fornecedor deverá proteger os Dados Pessoais do Cliente contra destruição, modificação, divulgação ilegal ou acesso ilegal. Os Dados Pessoais do Cliente serão igualmente protegidos contra todas as outras formas de processamento ilícito. Tendo em conta o estado da técnica e os custos de implementação e tendo em conta a natureza, âmbito, contexto e objectivos do Processamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades dos indivíduos, as medidas técnicas e organizacionais a serem implementadas pelo Fornecedor incluirão, conforme apropriado:
(a) a pseudonimização e encriptação dos Dados Pessoais do Cliente;
(b) a capacidade de assegurar a permanente confidencialidade, integridade, disponibilidade e resiliência dos sistemas e serviços que processam os dados pessoais dos clientes;
(c) a capacidade de restabelecer a disponibilidade e o acesso aos Dados Pessoais do Cliente de forma atempada no caso de um incidente físico ou técnico; e
(d) Um processo para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do Processamento.
Para além das medidas técnicas e organizacionais acima mencionadas, o Fornecedor deverá implementar as seguintes medidas:
(a) protecção de acesso físico, em que o equipamento informático e os dados amovíveis contendo dados pessoais do Cliente nas instalações do Fornecedor serão bloqueados quando não estiverem sob supervisão, a fim de proteger contra utilização não autorizada, impacto e roubo.
(b) um processo de teste lido de novo depois de os Dados Pessoais do Cliente terem sido restaurados a partir de cópias de segurança.
(c) controlo de autorização através do qual o acesso do Fornecedor aos Dados Pessoais do Cliente é gerido através de um sistema técnico de controlo de autorização. A autorização é restrita a quem necessita dos Dados Pessoais do Cliente para o seu trabalho. Os IDs e senhas de utilizador serão pessoais e não poderão ser transferidos para mais ninguém. Deverão existir procedimentos para atribuição e remoção de autorizações.
(d) manter registos de quem tem acesso aos Dados Pessoais do Cliente.
(e) Comunicação segura através da qual as ligações externas de comunicação de dados devem ser protegidas utilizando funções técnicas que garantam que a ligação é autorizada, bem como a codificação do conteúdo dos dados em trânsito nos canais de comunicação fora dos sistemas controlados pelo Fornecedor.
(f) Um processo para assegurar a destruição segura dos dados quando suportes de armazenamento fixos ou amovíveis deixarão de ser utilizados para os seus fins.
(g) rotinas para a celebração de acordos de confidencialidade com fornecedores que fornecem reparação e serviço de equipamento utilizado para armazenar os Dados Pessoais do Cliente.
(h) rotinas de supervisão do serviço realizado pelos fornecedores nas instalações do Fornecedor. Os suportes de armazenamento contendo os Dados Pessoais do Cliente devem ser removidos se a supervisão não for possível.
Anexo C
Sub-Processadores aprovados
Sub-Processador
Localização
Aplica-se a:
Holanda
Dublin
| Sub-Processador | Localização | Aplica-se a. |
|---|---|---|
|
Microsoft Azure (Acolhe os Serviços na Nuvem) |
Holanda |
Todos os Clientes |
|
AWS Europe (fornecedor de correio electrónico transaccional) |
Dublin |
Todos os Clientes sediados no Reino Unido ou nos países do EEE. |
|
Twilio para Sendgrid Services (fornecedor de correio electrónico transaccional) |
EUA |
Todos os Clientes sediados fora do Reino Unido ou países do EEE |
O cliente só utilizará um fornecedor de correio electrónico transaccional conforme ditado pelo endereço fornecido no momento da contratação, a menos que apresentem um pedido escrito para mudar de fornecedor.
Todos os Clientes que contrataram com a MetaCompliance antes de 1st Maio de 2022 quem não tiver uma DPA assinada estará a utilizar os serviços transaccionais de correio electrónico de Twilio para Sendgrid Services. Por favor contacte o seu Gestor de Sucesso de Clientes caso deseje utilizar os serviços da AWS Europe.
Acordo de Processamento de Dados Arquivados, disponível aqui.