As partes concordam que o presente Acordo de Proteção de Dados ("APD") estabelece os direitos e obrigações de cada parte relativamente ao processamento e segurança dos Dados Pessoais do Cliente em relação ao Software e Serviços fornecidos pelo Fornecedor. O APD é incorporado por referência nas Condições Comerciais (as "Condições Comerciais"). As partes também concordam que, a menos que exista um DPA separado assinado pelas partes, este DPA rege o processamento e a segurança dos Dados Pessoais do Cliente.
As disposições descritas nos Termos deste DPA dizem respeito ao Fornecedor que actua como Processador dos Dados Pessoais do Cliente na entrega do Software e dos Serviços ("Assunto"). Os Termos do DPA substituem quaisquer disposições conflitantes da Política de Privacidade do Grupo MetaCompliance, pois se relacionam com o Assunto. Para maior clareza, de acordo com as Cláusulas Contratuais Padrão de 2021 definidas abaixo, quando as Cláusulas Contratuais Padrão de 2021 são aplicáveis, as Cláusulas Contratuais Padrão de 2021 prevalecem sobre qualquer outro termo do Contrato de Processamento de Dados.
ACORDO DE TRATAMENTO DE DADOS COM EFEITO A PARTIR DE23 de junho de 2025
- O Cliente é o definido nas Condições Comerciais (o "Cliente"); e
1.2 O Fornecedor é o definido nas Condições Comerciais (o "Fornecedor").
- O Cliente e o Fornecedor celebraram um Contrato que exigirá que o Fornecedor processe os Dados Pessoais em nome do Cliente.
- Este Acordo de Processamento de Dados ("APD") estabelece os termos, requisitos e condições adicionais em que o Fornecedor processará os Dados Pessoais ao prestar Serviços ao abrigo do Contrato e as obrigações do Cliente relativamente a esses Dados Pessoais, bem como a outros Dados Pessoais que possa receber do Fornecedor ao abrigo do Contrato. Este DPA contém as cláusulas obrigatórias exigidas pelo Artigo 28(3) do Regulamento Geral de Proteção de Dados ((UE) 2016/679 (e as Leis de Proteção de Dados de 1988 a 2018, conforme alteradas) para contratos entre responsáveis pelo tratamento e processadores.
- O presente APD está sujeito aos termos do Contrato e é incorporado no Contrato. Os termos utilizados no presente DPA terão os significados definidos no presente DPA. Os termos em maiúsculas não definidos de outra forma no presente documento terão o significado que lhes é atribuído nas Condições Comerciais do Contrato.
- Os anexos fazem parte da presente DPA e terão efeito como se estivessem estabelecidos na íntegra na presente DPA. Qualquer referência a esta DPA inclui anexos.
- Em caso de conflito entre qualquer disposição do presente APD e qualquer outro termo do Contrato, no que diz respeito ao objeto do presente APD, as disposições do presente APD prevalecerão.
Os termos seguintes no presente DPA terão o seguinte significado:
| "Leis de Protecção de Dados" | significa todas as leis e regulamentos aplicáveis relacionados com o Tratamento de Dados Pessoais em qualquer altura durante a vigência do presente ATD, que podem incluir, conforme aplicável: (1) o Regulamento Geral de Proteção de Dados UE 2016/679 ("RGPD"); (2) as Leis de Proteção de Dados de 1988 a 2018, conforme alteradas; (3) a Lei de Proteção de Dados do Reino Unido de 2018 (DPA2018); (4) o RGPD do Reino Unido, conforme definido na DPA2018; (5) os Regulamentos de Privacidade e Comunicações Eletrónicas (Diretiva CE) de 2003; e/ou (6) a Diretiva 2002/58/CE relativa à privacidade e às comunicações electrónicas, tal como implementada pelos Estados-Membros da UE, e qualquer legislação que lhe suceda, bem como quaisquer outros regulamentos, guias e códigos de conduta relativos à proteção de dados e à privacidade, em cada caso com as alterações, actualizações ou substituições periódicas. |
| "Dados Pessoais do Cliente" | significa os Dados Pessoais processados pelo Fornecedor exclusivamente para efeitos da prestação de Serviços e conforme indicado expressamente pelo Cliente, através da celebração do Contrato e/ou da configuração e interação com qualquer software disponibilizado como parte dos Serviços. |
| "Cláusulas Contratuais Padrão" | significa as Cláusulas Contratuais-tipo da Comissão Europeia para a transferência de Dados Pessoais da União Europeia para subcontratantes estabelecidos em países terceiros (transferências de responsável pelo tratamento para subcontratante), conforme estabelecido no anexo da Decisão 2021/914/UE da Comissão a partir de 4 de junho de 2021. |
| "Decisão de Adequação" | significa a Decisão de Adequação da Comissão Europeia relativa à transferência de dados pessoais para o Reino Unido, adoptada em 28 de junho de 2021. |
| "Sub-processador" | significa um terceiro subcontratante contratado pelo Fornecedor que, como parte da função do subcontratante na prestação dos Serviços, processará os Dados Pessoais em nome do Cliente. |
| "Controlador", "Assunto dos dados", "Processador", "Processo ou Processamento", "Dados Pessoais", "Violação de Dados Pessoais". | têm o significado que lhes é atribuído no RGPD. |
4. Tratamento de dados pessoais
4.1 As partes reconhecem e concordam que, para efeitos das Leis de Proteção de Dados e no que diz respeito ao Processamento de Dados Pessoais do Cliente para a prestação de Serviços, o Fornecedor é o Processador e o Cliente é o Controlador.
4.2 O Cliente garante e declara que: (i) que a transferência dos Dados Pessoais do Cliente para o Fornecedor cumpre, em todos os aspectos, as Leis de Proteção de Dados (incluindo, sem limitação, em termos da sua recolha e utilização); e (ii) que o processamento justo e todos os outros avisos apropriados foram fornecidos aos Titulares dos Dados dos Dados Pessoais do Cliente (e todos os consentimentos necessários de tais Titulares dos Dados foram obtidos e mantidos em todos os momentos e podem ser demonstrados ao Fornecedor a pedido) na medida exigida pelas Leis de Proteção de Dados em relação a todas as actividades de processamento que podem ser realizadas pelo Fornecedor e seus Subprocessadores de acordo com este DPA e o Contrato.
4.3 Ao prestar os Serviços, o Fornecedor processará os Dados Pessoais do Cliente: (i) conforme necessário para prestar os Serviços; (ii) de acordo com as instruções escritas do Cliente; e (iii) de acordo com os requisitos das Leis de Proteção de Dados.
4.4 O Cliente deverá, na sua utilização dos Serviços, processar os Dados Pessoais de acordo com os requisitos das Leis de Protecção de Dados. O Cliente deverá garantir que quaisquer instruções dadas ao Fornecedor em relação ao Processamento de Dados Pessoais do Cliente cumprem com as Leis de Protecção de Dados.
4.5 No que diz respeito aos Dados Pessoais do Cliente, as instruções do Cliente ao Fornecedor relativamente ao Objeto e à duração do Processamento, à natureza e finalidade do Processamento, aos tipos de Dados Pessoais e às categorias de Titulares de Dados estão descritas no Anexo A. Para evitar dúvidas, as partes reconhecem e concordam que, sujeito à cláusula 5 e para além das instruções de Processamento estabelecidas no presente APD e no Anexo A, o Cliente também pode emitir instruções para o Processamento de Dados Pessoais do Cliente através dos Serviços pela sua interação direta e configuração dos Serviços.
4.6 O Fornecedor deverá notificar imediatamente o Cliente se, na opinião razoável do Fornecedor, qualquer instrução dada pelo Cliente for susceptível de infringir as Leis de Protecção de Dados.
4.7 Relativamente ao Objeto, o Fornecedor não processará, transferirá, modificará, alterará ou modificará os Dados Pessoais do Cliente, nem divulgará ou permitirá a divulgação dos Dados Pessoais do Cliente a terceiros fora das instruções detalhadas na presente APD.
4.8 O pessoal do Fornecedor envolvido no Processamento de Dados Pessoais do Cliente será informado da natureza confidencial dos Dados Pessoais do Cliente e receberá formação adequada sobre as suas responsabilidades. Esse pessoal será sujeito aos devidos compromissos de confidencialidade.
4.9 Tendo em conta a natureza do processamento de dados pessoais nos serviços prestados, o Fornecedor deve, conforme exigido pelo artigo 32 do RGPD, manter medidas técnicas e organizacionais adequadas para garantir a segurança do processamento, incluindo a proteção contra o processamento não autorizado ou ilegal e contra a destruição, perda, alteração ou dano acidental ou ilegal, divulgação não autorizada ou acesso aos dados pessoais do cliente. As partes reconhecem e concordam que as medidas de segurança especificadas na presente APD e, mais especificamente, no Anexo B, constituem medidas de segurança técnicas e organizacionais adequadas para garantir um nível de segurança apropriado ao risco.
4.10 O Fornecedor deverá assistir o Cliente através de medidas técnicas e organizacionais adequadas, na medida do possível e tendo em conta a natureza do Tratamento dos Dados Pessoais do Cliente, no cumprimento das obrigações do Cliente no âmbito das Leis de Protecção de Dados, incluindo em relação aos direitos do Sujeito dos Dados, avaliações do impacto da protecção de dados (relacionadas com a utilização dos Serviços MetaCompliance pelo Cliente) e relatórios e consultas às autoridades de supervisão (relacionadas com uma avaliação do impacto da protecção de dados relacionada com os Serviços MetaCompliance).
4.11 Relativamente ao assunto em questão, se os titulares dos dados, as autoridades competentes ou quaisquer outros terceiros solicitarem informações ao Fornecedor relativamente ao processamento dos dados pessoais do cliente, o Fornecedor remeterá esse pedido para o Cliente, exceto se for exigido de outra forma para cumprir as leis de proteção de dados, caso em que o Fornecedor notificará previamente o Cliente desse requisito legal, exceto se essa lei proibir essa divulgação por motivos importantes de interesse público.
4.12 O Cliente reconhece que receberá Dados Pessoais do Fornecedor ao abrigo e em ligação com o Contrato (incluindo, sem limitação, em relação ao pessoal contratado pelo Fornecedor e pelos seus subcontratantes e fornecedores, bem como aos titulares de dados identificáveis por imagens e gravações de voz acessíveis como opções padrão através de alguns dos serviços do Fornecedor). O Cliente confirma que processará esses Dados Pessoais como um Controlador independente e em conformidade com as Leis de Proteção de Dados.
5 Subprocessadores
5.1 O Cliente reconhece e concorda que o Fornecedor pode, em relação à prestação de Serviços, contratar Subprocessadores que podem ser afiliados do Fornecedor e/ou terceiros, conforme descrito mais especificamente no Anexo A e no Anexo C. A contratação dessas partes pelo Fornecedor deve estar sujeita a um contrato escrito (incluindo em formato eletrónico) consistente com os termos desta APD, em relação ao processamento necessário dos Dados Pessoais.
5.2 O Cliente reconhece que o Fornecedor tem autorização geral para contratar os Subcontratantes listados no Anexo C e adicionar (ou remover) novos Subcontratantes sem obter qualquer outra autorização específica por escrito do Cliente. Esta autorização está sujeita ao facto de o Subcontratante notificar o Cliente, por escrito, da identidade de qualquer novo Subcontratante, 30 dias antes do processamento dos Dados Pessoais do Cliente (o "Período de Aviso").
5.3 Se o Cliente pretender objetar ao Subcontratante relevante, deverá notificá-lo por escrito dentro do Período de Aviso. Esta notificação deverá incluir pormenores sobre os alegados riscos de segurança ou riscos associados ao novo Subcontratante. A ausência de objecções por parte do Cliente com base em tais motivos e dentro do Período de Aviso será considerada como consentimento para a utilização do Sub-processador relevante.
5.4 No caso de o Cliente objetar a um novo Subcontratante, o Fornecedor envidará esforços razoáveis para resolver as preocupações, disponibilizar ao Cliente uma alteração nos Serviços ou recomendar uma alteração comercialmente razoável nos Serviços para evitar o Processamento dos Dados Pessoais do Cliente pelo novo Subcontratante relevante. Se não for possível qualquer alternativa, cada uma das partes terá o direito de rescindir o Contrato entre elas com aviso prévio imediato e sem responsabilidade ou exigência de reembolso de quaisquer quantias por parte do Fornecedor.
5.5 A notificação pelo Fornecedor de um novo Subcontratante ao Cliente deverá incluir a disponibilização de um Anexo C atualizado. O Fornecedor deverá manter o Anexo C atualizado na seguinte página Web.
5.6 O Fornecedor permanece responsável perante o Cliente pelo cumprimento das obrigações dos Sub-processadores.
6 Transferências de dados
6.1 De acordo com o Artigo 28(3)(a) do RGPD, o Fornecedor não deve, e não deve permitir que qualquer Subprocessador transfira quaisquer Dados Pessoais do Cliente para fora do EEE, exceto conforme previsto no presente Acordo. Para evitar dúvidas, o Cliente consente a transferência e o processamento dos Dados Pessoais conforme especificado no Anexo A e C, conforme aplicável.
6.2 O Fornecedor reconhece que, de acordo com o RGPD, deve existir uma proteção adequada para os Dados Pessoais antes de qualquer transferência para fora do EEE (diretamente ou através de uma transferência subsequente de um Subcontratante) e deve celebrar um acordo adequado com o Cliente e/ou qualquer Subcontratante para reger essa transferência. Este incluirá as Cláusulas Contratuais-tipo aplicáveis ou basear-se-á na Decisão de Adequação, exceto se existir outro mecanismo de adequação ou válido para a transferência.
7 Violação de dados pessoais
7.1 No caso de qualquer violação de dados pessoais que envolva os dados pessoais do cliente, o fornecedor deverá:
7.1.1 Notificar o Cliente sem atrasos indevidos (no prazo máximo de 48 horas) para permitir que o Cliente cumpra as obrigações de comunicação do RGPD e para prestar assistência razoável ao Cliente quando for necessário comunicar uma Violação de Dados Pessoais a um Titular de Dados.
7.1.2 Envidar esforços razoáveis para identificar a causa de tal Violação de Dados Pessoais e tomar as medidas que o Fornecedor considerar razoavelmente praticáveis, a fim de remediar a causa de tal Violação de Dados Pessoais.
7.1.3 Sujeito aos termos da presente DPA, prestar assistência e cooperação razoáveis, conforme solicitado pelo Cliente, na prossecução de qualquer correcção ou reparação de qualquer violação de dados pessoais.
8 Registos de processamento
8.1 Na medida do aplicável ao processamento do Fornecedor para o Cliente, o Fornecedor manterá todos os registos exigidos pelo Artigo 30(2) do RGPD e disponibilizá-los-á ao Cliente mediante pedido.
9. Direitos de auditoria
9.1 O Fornecedor disponibilizará ao Cliente, e providenciará para que os seus Subcontratantes, disponibilizem ao Cliente, a pedido, as informações razoáveis necessárias para demonstrar o cumprimento das suas obrigações de proteção de dados ao abrigo do presente DPA e permitirá e contribuirá para auditorias, incluindo inspecções nas suas instalações, pelo Cliente ou por um auditor mandatado pelo Cliente em relação ao Processamento dos Dados Pessoais do Cliente, desde que esse auditor não seja um concorrente do Fornecedor.
10 Prazo
10.1 Esta DPA permanecerá em pleno vigor e efeito durante o tempo necessário:
10.1.1 O Contrato permanece em vigor; ou
10.1.2 O Fornecedor retém quaisquer Dados Pessoais do Cliente na sua posse ou controlo.
10.2 Qualquer disposição desta DPA que expressamente ou por implicação deverá entrar ou continuar em vigor no ou após a rescisão do Contrato, a fim de proteger os Dados Pessoais do Cliente, permanecerá em pleno vigor e efeito.
11 Devolução e destruição de dados
11.1 A menos que já tenham sido eliminados de acordo com os termos do Contrato, o Fornecedor deverá, a critério do Cliente e com qualquer pedido por escrito do Cliente, eliminar ou devolver todos os Dados Pessoais do Cliente ao Cliente após o fim da prestação de Serviços relacionados com o Processamento, e eliminar as cópias existentes, exceto se a legislação aplicável do EEE ou do Estado-Membro exigir o armazenamento dos Dados Pessoais do Cliente. Se não for recebido qualquer pedido por escrito do Cliente, o Fornecedor deverá eliminar os Dados Pessoais do Cliente 90 dias após a cessação do Contrato.
11.2 A pedido do Cliente, o Fornecedor deverá fornecer uma notificação escrita das medidas tomadas relativamente aos Dados Pessoais do Cliente.
12 Indemnização
12.1 Na medida do exigido pelo Artigo 82 do RGPD e sujeito à cláusula 12.2 deste APD, o Fornecedor concorda em indemnizar o Cliente por todos os custos diretos, reclamações, danos ou despesas incorridos pelo Cliente devido a qualquer falha do Fornecedor ou dos seus funcionários, subprocessadores, subcontratados ou agentes no cumprimento de qualquer uma das suas obrigações ao abrigo deste APD ou das Leis de Proteção de Dados.
12.2 Não obstante qualquer disposição em contrário no presente APD ou no Contrato (incluindo, sem limitação, as obrigações de indemnização de qualquer das partes), nenhuma das partes será responsável por quaisquer multas emitidas ou cobradas ao abrigo das Leis de Proteção de Dados contra a outra parte por uma autoridade reguladora ou organismo governamental em relação à violação das Leis de Proteção de Dados por essa outra parte.
12.3 O Cliente concorda em indemnizar o Fornecedor por todos os custos diretos, reclamações, danos ou despesas incorridos ou recebidos pelo Fornecedor devido a qualquer falha do Cliente no cumprimento de qualquer uma das suas obrigações ao abrigo das Leis de Proteção de Dados ou deste DPA (incluindo, sem limitação, a sua violação de qualquer requisito ao abrigo da cláusula 4.2 deste DPA).
12.4 Na medida do permitido pelas Leis de Proteção de Dados e sujeito às exclusões detalhadas na cláusula 12.2 do presente APD, a responsabilidade total de cada parte ao abrigo ou em relação ao presente APD, independentemente da causa, estará sujeita às exclusões e limitações de responsabilidade estabelecidas no Contrato.
Anexo A
Fins e detalhes do processamento de dados pessoais
| Assunto do processamento | Detalhes | Aplica-se a: |
| Finalidade | Acesso ao sistema Administração do sistema Entrega de conteúdos do sistema de acordo com os módulos subscritos. Ver abaixo: | Todos os Clientes |
| Políticas, Avaliações de Conhecimento | Clientes que subscrevam os módulos Policy (PolicyLite, MetaEngage e MetaPolicy) | |
| eLearning, outros meios de comunicação social | Clientes que subscrevam módulos Elearning (MetaLearning Fusion) | |
| Pesquisas de Privacidade | Clientes que subscrevam o módulo MetaPrivacy | |
| Revisões de Incidentes | Clientes que subscrevam o módulo MetaIncident | |
| Campanhas simuladas de Phishing | Clientes que subscrevam a MetaPhish | |
| Transferência SCORM para o LMS do cliente | Clientes que subscrevem a transferência SCORM | |
| Transforme documentos PDF estáticos numa experiência de formação eficaz | Clientes que subscrevem o conteúdo do curso | |
| Transformar os guiões dos clientes num pequeno vídeo gerado por IA | Clientes que subscrevem o Virtual Presenter Video | |
| Tipos de dados pessoais | Nome, Apelido, Endereço de correio eletrónico, Endereço IP, Departamento, Registo de formação | Todos os Clientes |
| Unidade de Organização do Active Directory (OU) | Clientes que utilizam o Azure AD ou na premissa AD | |
| LMS ID | Clientes com subscrições de transferência SCORM | |
| Dados pessoais que o Cliente incluiu nos Dados do Cliente. | Todos os Clientes | |
| Utilização da IA | Criação de e-mails de phishing gerados por IA | Clientes com pacotes de Sensibilização para a Segurança Premium Plus (incluindo a oferta multilingue) que utilizam o Gerador de Phish. |
| Criador de cursos de IA | Clientes que subscrevem a extensão Conteúdo para curso. | |
| Vídeos personalizados gerados por IA | Clientes que utilizaram o Virtual Presenter Add-on | |
Categorias de Assuntos de Dados
| Clientes Empregados, Empreiteiros, Fornecedores, Parceiros e/ou Afiliados. | Todos os Clientes, de acordo com os dados do Titular dos Dados fornecidos ao Fornecedor. O Cliente pode limitar este facto em função da sua utilização prevista dos Serviços. |
Operações de processamento
| Processamento e armazenamento dos Dados Pessoais do Cliente para criar e manter contas de Utilizadores Autorizados na plataforma MyCompliance. Distribuição de vários e-mails de notificação iniciados pelo sistema MetaCompliance MyCompliance. | Todos os Clientes |
| Distribuição de e-mails simulados de phishing especificados pelo Cliente através da plataforma MetaCompliance MyCompliance. | Clientes que subscrevam o módulo MetaPhish | |
| Armazenamento de Dados Pessoais onde são introduzidos pelo cliente através do módulo MetaCompliance MetaPrivacy. | Clientes que subscrevam o módulo MetaPrivacy | |
| Comunicar com o LMS do cliente e avaliar o número de licenças | Clientes que subscrevem a transferência SCORM | |
| Utilizar as capacidades de IA | Clientes que subscrevem o Phish Generator, o Content to Course e o Virtual Presenter Software. | |
| Localização das operações de processamento | Locais de processamento no Grupo MetaCompliance: Reino Unido Dinamarca Portugal Alemanha Irlanda | Todos os clientes. |
| Localizações do centro de dados (DC) padrão do Microsoft Azure: Clientes do Reino Unido: DC no Reino Unido. Clientes canadianos: DC no Canadá. Clientes alemães: DC na Alemanha Clientes europeus fora da Alemanha: DC nos Países Baixos e na Irlanda | Todos os clientes. Existem localizações predefinidas aqui, no entanto, o Cliente pode ditar alterações em antes da configuração inicial do inquilino na fase de integração. Caso o Cliente pretenda alterar as localizações dos inquilinos a meio do Contrato, deve contactar a equipa de suporte para obter assistência. | |
Localizações dos centros de dados (DC) da Amazon Web Services: Clientes do Reino Unido: DC no Reino Unido. | Todos os clientes. Existem localizações predefinidas aqui, no entanto, o Cliente pode ditar alterações em antes da configuração inicial do inquilino na fase de integração. Caso o Cliente pretenda alterar as localizações dos inquilinos a meio do Contrato, deve contactar a equipa de suporte para obter assistência. | |
| O local de processamento na utilização da funcionalidade de IA é o descrito no Anexo C. | Aplica-se aos Clientes que subscrevem o Gerador de Phish, Conteúdo para Curso e Vídeo de Apresentador Virtual. | |
Requisitos de retenção
| Os prazos de eliminação específicos são explicados no documento "AI at MetaCompliance", conforme relevante para os serviços solicitados pelo Cliente. | Clientes que tenham solicitado Serviços que contenham ou utilizem IA |
| Quando uma subscrição do Cliente expira ou é terminada, todos os Dados Pessoais do Cliente associados, que não tenham sido previamente eliminados, são mantidos durante 90 dias antes de serem efetivamente eliminados, a fim de recuperar do cancelamento acidental da subscrição. | Todos os Clientes |
Anexo B
Disposições de segurança O Fornecedor, a fim de ajudar o Cliente a cumprir as suas obrigações legais, incluindo mas não se limitando a; medidas de segurança e avaliações de risco de privacidade, será obrigado a tomar medidas técnicas e organizacionais adequadas para proteger os Dados Pessoais do Cliente que são processados. As medidas devem, pelo menos, resultar num nível de segurança que seja adequado, tendo em consideração:- possibilidades técnicas existentes;
- os custos de execução das acções;
- os riscos específicos associados ao tratamento dos dados pessoais do cliente; e
- a sensibilidade dos dados pessoais do cliente que são processados.
- a pseudonimização e a cifragem dos dados pessoais dos clientes;
- a capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e serviços que processam os dados pessoais dos clientes;
- a capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais do cliente em tempo útil em caso de incidente físico ou técnico; e
- um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas destinadas a garantir a segurança do tratamento.
- proteção do acesso físico, através da qual o equipamento informático e os dados amovíveis que contenham dados pessoais do cliente nas instalações do fornecedor devem estar fechados à chave quando não estiverem sob supervisão, a fim de proteger contra a utilização não autorizada, o impacto e o roubo.
- um processo para testar a leitura depois de os dados pessoais do cliente terem sido restaurados a partir de cópias de segurança.
- controlo de autorização, através do qual o acesso do Fornecedor aos Dados Pessoais do Cliente é gerido por um sistema técnico de controlo de autorização. A autorização deve ser limitada àqueles que necessitam dos Dados Pessoais do Cliente para o seu trabalho. As identificações de utilizador e as palavras-passe são pessoais e não podem ser transferidas para mais ninguém. Devem existir procedimentos para a atribuição e remoção de autorizações.
- manter registos de quem tem acesso aos Dados Pessoais do Cliente.
- comunicação segura, em que as ligações externas de comunicação de dados devem ser protegidas através de funções técnicas que garantam que a ligação é autorizada, bem como a cifragem de conteúdos para dados em trânsito em canais de comunicação fora dos sistemas controlados pelo fornecedor.
- um processo para garantir a destruição segura dos dados quando os suportes de armazenamento fixos ou amovíveis deixarem de ser utilizados para o fim a que se destinam.
- rotinas para a celebração de acordos de confidencialidade com fornecedores que prestam serviços de reparação e manutenção de equipamento utilizado para armazenar os Dados Pessoais do Cliente.
- rotinas de supervisão do serviço efectuado pelos fornecedores nas instalações do Fornecedor. Os suportes de armazenamento que contenham os Dados Pessoais do Cliente devem ser removidos se não for possível efetuar a supervisão.
- Subcontratantes necessários para a prestação de todos os serviços:
| Sub-Processador | Finalidade | Localização | Sub-processadores |
| Microsoft Azure (contratado através da Microsoft Operations Ireland Ltd) | Aloja os serviços na nuvem | Localizações do centro de dados (DC) padrão do Microsoft Azure: Reino Unido Clientes: DC no Reino Unido Clientes canadianos: DC no Canadá. Clientes alemães: DC na Alemanha Clientes europeus fora da Alemanha: CD nos Países Baixos e na Irlanda | Outros sub-processadores disponíveis aqui |
| Amazon Web Services (contratado com a "AWS Europe") | Fornecedor de correio eletrónico transacional | Localizações dos centros de dados (DC) da Amazon Web Services: Reino Unido Clientes: DC no Reino Unido Clientes canadianos: DC no Canadá. Clientes alemães: DC na Alemanha Clientes europeus fora da Alemanha: DC na Irlanda | Outros sub-processadores disponíveis aqui |
| Entidades do Grupo MetaCompliance (MetaCompliance Limited, MetaCompliance GmbH, Moch A/S, Metacompliance Ireland Ltd, MetaCompliance Ireland Ltd Sucursal Portugal | Serviços de conta e serviços de apoio ao cliente | Reino Unido Alemanha Dinamarca Irlanda Portugal (conforme aplicável e de acordo com o local de constituição de cada entidade) | Todos os clientes |
- PROCESSAMENTO ADICIONAL E SUBPROCESSADORES PARA UTILIZAÇÃO DE CONTEÚDOS PARA A DISCIPLINA
| Metaconformidade DC / Região | Página inicial / Localização do Azure DC | Implantação | Dados pessoais processados | Retenção |
| IRE | Europa Ocidental (NL) | Zona de dados (UE) | Para além dos dados pessoais introduzidos pelos clientes (por exemplo, em resposta a um pedido ou dados pessoais incluídos no conteúdo fornecido para criar o curso), nenhum dado pessoal do cliente será processado por este subcontratante. | Não são armazenados prompts ou gerações no modelo. Além disso, os prompts e as gerações não são utilizados para treinar, retreinar ou melhorar os modelos de base. |
| DACH | Alemanha Centro-Oeste | Zona de dados (UE) | Como acima referido. | Como acima referido. |
| NL | Europa Ocidental (NL) | Zona de dados (UE) | Como acima referido. | Como acima referido. |
| CAN | Canadá Leste | Padrão (Canadá Leste) | Como acima referido. | Como acima referido. |
| REINO UNIDO | Reino Unido Sul | Standard (UK South) | Como acima referido. | Como acima referido. |
| EUA | Centro-Norte dos EUA | Padrão (Centro-Norte dos EUA) | Como acima referido. | Como acima referido. |
| Metaconformidade DC / Região | Página inicial / Localização do Azure DC | Processamento | Dados pessoais processados | Armazenamento (temperatura 24 horas) |
| IRE | Norte da Europa (Ire) | Norte da Europa (Ire) | Para além dos dados pessoais incluídos no conteúdo fornecido para criar o curso, nenhum dado pessoal do cliente será processado por este subcontratante. | Norte da Europa (Ire) |
| DACH | Alemanha Centro-Oeste | Alemanha Centro-Oeste | Como acima referido. | Alemanha Centro-Oeste |
| NL | Europa Ocidental (NL) | Europa Ocidental (NL) | Como acima referido. | Europa Ocidental (NL) |
| CAN | Canadá Central | Canadá Central | Como acima referido. | Canadá Central |
| REINO UNIDO | Reino Unido Sul | Reino Unido Sul | Como acima referido. | Reino Unido Sul |
| EUA | Centro-Norte dos EUA | Centro-Norte dos EUA | Como acima referido. | Centro-Norte dos EUA |
- PROCESSAMENTO ADICIONAL E SUBPROCESSADORES PARA UTILIZAÇÃO DO GERADOR DE PHISH
| Sub-processadores | Dados pessoais processados | Região | Retenção/Armazenamento |
| Serviço: ChatGPT | Para além dos dados pessoais introduzidos pelos clientes (por exemplo, em resposta a um pedido ou dados pessoais incluídos no conteúdo fornecido para criar o curso), nenhum dado pessoal do cliente será processado por este subcontratante. | Implementado: Europa Ocidental Processamento: Global Standard (qualquer região) | Não são armazenados prompts ou gerações no modelo. Além disso, os prompts e as gerações não são utilizados para treinar, retreinar ou melhorar os modelos de base. |
| Serviço: Incorporação de texto | Como acima referido. | Como acima referido. | Como acima referido. |
- PROCESSAMENTO E SUBPROCESSADORES ADICIONAIS PARA UTILIZAÇÃO DO APRESENTADOR VIRTUAL
| Sub-Processador | Dados pessoais processados | Região | Retenção/Armazenamento |
| Colossyan Inc. | Texto livre contendo dados pessoais (se existirem) fornecidos nos Materiais do Cliente através de scripts ou outros conteúdos. O Cliente confirma que não serão transferidos quaisquer dados sensíveis para o Processador. | Processamento nos Estados Unidos, no Reino Unido e na Hungria (trata-se de locais da Colossyan e de filiais da Colossyan). Ver os subcontratantes da Colossyan abaixo indicados | 24 horas. Eliminação definitiva no prazo de 48 horas. |
- NÃO estão disponíveis para outros clientes.
- NÃO estão disponíveis para o Azure OpenAI.
- NÃO são utilizadas para melhorar os modelos do Azure OpenAI.
- NÃO são utilizadas para treinar, retreinar ou melhorar os modelos de base do Serviço Azure OpenAI.
- NÃO são utilizadas para melhorar quaisquer produtos ou serviços da Microsoft ou de terceiros sem a autorização ou instruções do utilizador.