Introdução
As partes concordam que o presente Acordo de Proteção de Dados ("APD") estabelece os direitos e obrigações de cada uma das partes no que diz respeito ao processamento e segurança dos Dados Pessoais do Cliente em relação ao Software e Serviços fornecidos pela MetaCompliance Ireland Ltd. O DPA é incorporado por referência nas Condições Comerciais (as "Condições Comerciais"). As partes também concordam que, a menos que exista um DPA separado assinado pelas partes, este DPA rege o processamento e a segurança dos Dados Pessoais do Cliente.
As disposições dos Termos da DPA substituem quaisquer disposições conflituosas da Declaração de Privacidade da MetaCompliance que de outra forma se poderiam aplicar ao processamento de Dados Pessoais do Cliente. Para maior clareza, em conformidade com as Cláusulas Contratuais Padrão 2021 definidas abaixo, quando as Cláusulas Contratuais Padrão 2021 são aplicáveis, as Cláusulas Contratuais Padrão 2021 prevalecem sobre qualquer outro termo do Contrato de Tratamento de Dados.
1. Partes
1.1 O Cliente é definido nos Termos Comerciais (o "Cliente") e
1.2 MetaCompliance Ireland Limited incorporada e registada na República da Irlanda com o número de empresa 640228 cuja sede social é na Unidade 21, Bloco 1, Clonshaugh Business and Technology Park, Dublin 17, D17 YY31 (o "Fornecedor").
2. Antecedentes
2.1 O Cliente e o Fornecedor celebraram um Contrato que pode exigir que o Fornecedor processe Dados Pessoais em nome do Cliente.
2.2 O presente Acordo de Processamento de Dados ("APD") estabelece os termos, requisitos e condições adicionais em que o Fornecedor processará os Dados Pessoais aquando da prestação de Serviços ao abrigo do Contrato. Este APD contém as cláusulas obrigatórias exigidas pelo Artigo 28(3) do Regulamento Geral de Proteção de Dados ((UE) 2016/679 (e as Leis de Proteção de Dados de 1988 a 2018, conforme alteradas) para contratos entre controladores e processadores.
2.3 Este APD está sujeito aos termos do Contrato e está incorporado no Contrato. Os termos utilizados no presente APD terão os significados definidos no presente APD. Os termos em maiúsculas não definidos de outra forma no presente documento terão o significado que lhes é atribuído nas Condições Comerciais do Contrato.
2.4 Os Anexos fazem parte do presente APD e terão efeito como se estivessem integralmente definidos no presente APD. Qualquer referência ao presente APD inclui os Anexos.
2.5 Em caso de conflito entre qualquer disposição do presente APD e qualquer outro(s) termo(s) do Contrato, no que diz respeito ao objeto do presente APD, as disposições do presente APD prevalecerão.
3. Definições
Os seguintes termos do presente APD terão o seguinte significado:
| "Leis de Protecção de Dados" | significa todas as leis e regulamentos aplicáveis relacionados com o Processamento de Dados Pessoais em qualquer altura durante a vigência do presente ATD, incluindo (1) o Regulamento Geral de Proteção de Dados (RGPD, UE 2016/679); (2) as Leis de Proteção de Dados de 1988 a 2018, conforme alteradas; (3) a Diretiva 2002/58/CE relativa à privacidade e às comunicações electrónicas, conforme implementada pelos Estados-Membros da UE, e qualquer legislação sucessora e quaisquer outros regulamentos, guias e códigos de prática relacionados com a proteção de dados e a privacidade, em cada caso conforme alterados, actualizados ou substituídos periodicamente. |
| "Dados Pessoais do Cliente" | significa Dados Pessoais Processados pela MetaCompliance exclusivamente para os fins da prestação de Serviços e de acordo com as instruções do Cliente. |
| "Cláusulas Contratuais Padrão" | significa as Cláusulas Contratuais-tipo da Comissão Europeia para a transferência de Dados Pessoais da União Europeia para subcontratantes estabelecidos em países terceiros (transferências de responsável pelo tratamento para subcontratante), conforme estabelecido no anexo da Decisão 2021/914/UE da Comissão a partir de4 de junho de 2021. |
| "Decisão de Adequação" | significa a Decisão de Adequação da Comissão Europeia relativa à transferência de dados pessoais para o Reino Unido, adoptada em 28 de junho de 2021. |
| "Sub-processador" | significa um terceiro subcontratado contratado pelo Fornecedor que, como parte do papel do subcontratado na prestação dos serviços, processará os Dados Pessoais em nome do Cliente. |
| "Controlador", "Assunto dos dados", "Processador", "Processo ou Processamento", "Dados Pessoais", "Violação de Dados Pessoais". | têm o significado que lhes é atribuído no RGPD. |
4. Processamento de Dados Pessoais
4.1 As partes reconhecem e concordam que, para efeitos das Leis de Proteção de Dados e no que diz respeito ao Processamento de Dados Pessoais do Cliente, o Fornecedor é o Processador e o Cliente é o Controlador.
4.2 O Cliente garante e representa: (i) a transferência dos Dados Pessoais do Cliente para o Fornecedor cumpre em todos os aspectos com as Leis de Proteção de Dados (incluindo, sem limitação, em termos da sua recolha e utilização); e (ii) o processamento justo e todos os outros avisos apropriados foram fornecidos aos Titulares dos Dados dos Dados Pessoais do Cliente (e todos os consentimentos necessários de tais Titulares dos Dados obtidos e sempre mantidos) na medida exigida pelas Leis de Proteção de Dados em relação a todas as actividades de processamento que podem ser realizadas pelo Fornecedor e seus Subprocessadores de acordo com este Contrato;
4.3 O Fornecedor compromete-se a processar os Dados Pessoais do Cliente apenas: (i) conforme necessário para prestar os Serviços; (ii) de acordo com as instruções escritas do Cliente; e (iii) de acordo com os requisitos das Leis de Proteção de Dados.
4.4 O Cliente deverá, na sua utilização dos Serviços, processar os Dados Pessoais de acordo com os requisitos das Leis de Proteção de Dados. O Cliente deve garantir que quaisquer instruções ao Fornecedor em relação ao Processamento de Dados Pessoais do Cliente cumprem as Leis de Proteção de Dados.
4.5 As instruções do Cliente ao Fornecedor em relação ao assunto e duração do Processamento, a natureza e finalidade do Processamento, os tipos de Dados Pessoais e categorias de Titulares de Dados estão descritas no Anexo A. Para evitar dúvidas, as partes reconhecem e concordam que, sujeito à cláusula 5, as instruções de Processamento estabelecidas neste DPA e no Anexo A constituem o conjunto completo de instruções do Cliente para o Fornecedor, conforme aplicável.
4.6 O Fornecedor notificará imediatamente o Cliente se, na opinião razoável do Fornecedor, qualquer instrução dada pelo Cliente for suscetível de infringir as Leis de Proteção de Dados.
4.7 O Fornecedor não processará, transferirá, modificará, alterará ou modificará os Dados Pessoais do Cliente ou divulgará ou permitirá a divulgação dos Dados Pessoais do Cliente a terceiros fora das instruções detalhadas neste DPA.
4.8 O pessoal do Fornecedor envolvido no processamento dos Dados Pessoais do Cliente será informado da natureza confidencial dos Dados Pessoais do Cliente e receberá formação adequada sobre as suas responsabilidades. Esse pessoal deve estar sujeito a compromissos de confidencialidade adequados.
4.9 Tendo em conta a natureza do processamento de dados pessoais nos serviços prestados, o Fornecedor deve, conforme exigido pelo artigo 32 do RGPD, manter medidas técnicas e organizacionais adequadas para garantir a segurança do processamento, incluindo a proteção contra o processamento não autorizado ou ilegal e contra a destruição, perda, alteração ou dano acidental ou ilegal, divulgação não autorizada ou acesso aos dados pessoais do cliente. As partes reconhecem e concordam que as medidas de segurança especificadas na presente APD e mais especificamente no Anexo B constituem medidas de segurança técnicas e organizacionais adequadas para garantir um nível de segurança apropriado ao risco.
4.10 O Fornecedor deve ajudar o Cliente através de medidas técnicas e organizacionais adequadas, na medida do possível e tendo em conta a natureza do processamento dos Dados Pessoais do Cliente, no cumprimento das obrigações de conformidade do Cliente ao abrigo das Leis de Proteção de Dados, incluindo em relação aos direitos do Titular dos Dados, avaliações de impacto de proteção de dados (relacionadas com a utilização dos Serviços MetaCompliance pelo Cliente) e relatórios e consultas com as autoridades de supervisão (em conexão com uma avaliação de impacto de proteção de dados relacionada com os Serviços MetaCompliance).
4.11 Se os titulares dos dados, as autoridades competentes ou quaisquer outros terceiros solicitarem informações ao Fornecedor sobre o processamento dos dados pessoais do cliente, o Fornecedor encaminhará tal solicitação ao Cliente, a menos que seja exigido de outra forma para cumprir as leis de proteção de dados, caso em que o Fornecedor fornecerá aviso prévio ao Cliente de tal requisito legal, a menos que a lei proíba essa divulgação por motivos importantes de interesse público.
5. Subcontratantes
5.1 O Cliente reconhece e concorda que o Fornecedor pode, em relação à prestação de Serviços, contratar Subcontratantes que podem ser afiliados do Fornecedor e/ou terceiros, conforme descrito mais especificamente no Anexo A e C. A contratação de tais partes pelo Fornecedor deve estar sujeita a um contrato escrito (incluindo em formato eletrónico) consistente com os termos desta APD, em relação ao processamento necessário de Dados Pessoais.
5.2 O Cliente reconhece que o Fornecedor tem autorização geral para contratar novos Subprocessadores sem obter qualquer outra autorização específica por escrito do Cliente. Isto está sujeito ao facto de o Subcontratante notificar o Cliente por escrito da identidade de qualquer novo Subcontratante, 30 dias antes de processar os Dados Pessoais do Cliente.
5.3 Se o Cliente desejar objetar o Subcontratante relevante, deverá notificá-lo por escrito no prazo de dez (10) dias úteis a contar da receção da notificação do Fornecedor. A ausência de objecções por parte do Cliente será considerada como consentimento para a utilização do Subcontratante relevante.
5.4 No caso de o Cliente se opor a um novo Subcontratante, o Fornecedor envidará esforços razoáveis para disponibilizar ao Cliente uma alteração nos Serviços ou recomendar uma alteração comercialmente razoável nos Serviços para evitar o Processamento dos Dados Pessoais do Cliente pelo novo Subcontratante relevante. Se não for possível qualquer alternativa, as partes têm o direito de rescindir o Contrato entre si.
5.5 A notificação do Fornecedor de um novo Subcontratante ao Cliente incluirá a disponibilização de um Anexo C atualizado. O Fornecedor manterá o Anexo C atualizado.
5.6 O Fornecedor continuará a ser responsável perante o Cliente pelo cumprimento das obrigações dos Subcontratantes.
6. Transferências de dados
6.1 De acordo com o Artigo 28(3)(a) do GDPR, o Fornecedor não deve, e não deve permitir que qualquer Sub-processador transfira quaisquer Dados Pessoais do Cliente para fora do EEE, exceto conforme previsto neste Acordo. Para evitar dúvidas, o Cliente consente a transferência e o processamento dos Dados Pessoais conforme especificado no Anexo A, conforme aplicável.
6.2 O Fornecedor reconhece que, de acordo com o RGPD, deve existir uma proteção adequada para os Dados Pessoais após qualquer transferência para fora do EEE (diretamente ou através de uma transferência subsequente de um Subcontratante) e deve celebrar um acordo adequado com o Cliente e/ou qualquer Subcontratante para reger essa transferência. Este acordo incluirá as Cláusulas Contratuais-tipo aplicáveis ou basear-se-á na Decisão de Adequação, exceto se existir outro mecanismo de adequação para a transferência.
7. Violação de dados pessoais
7.1 No caso de qualquer violação de dados pessoais envolvendo os dados pessoais do cliente, o fornecedor deve:
7.1.1 Notificar o cliente sem atraso indevido (dentro de um máximo de 48 horas) para permitir que o cliente cumpra as obrigações de relatório do GDPR e fornecer assistência razoável ao cliente quando for necessário comunicar uma violação de dados pessoais a um titular de dados.
7.1.2 Envidar esforços razoáveis para identificar a causa de tal Violação de Dados Pessoais e tomar as medidas que o Fornecedor considere razoavelmente praticáveis para remediar a causa de tal Violação de Dados Pessoais.
7.1.3 Sujeito aos termos deste APD, prestar assistência e cooperação razoáveis, conforme solicitado pelo Cliente, na promoção de qualquer correção ou remediação de qualquer Violação de Dados Pessoais.
8. Registos de processamento
8.1 Na medida do aplicável ao processamento do Fornecedor para o Cliente, o Fornecedor manterá todos os registos exigidos pelo Artigo 30(2) do RGPD e disponibilizá-los-á ao Cliente mediante pedido.
9. Direitos de Auditoria
9.1 O Fornecedor deverá, e procurará que os seus Subcontratantes, disponibilizem ao Cliente, a pedido, informações razoáveis necessárias para demonstrar o cumprimento das suas obrigações de proteção de dados ao abrigo do presente DPA e permitirão e contribuirão para auditorias, incluindo inspecções nas suas instalações, pelo Cliente ou por um auditor mandatado pelo Cliente em relação ao Processamento dos Dados Pessoais do Cliente, desde que esse auditor não seja concorrente do Fornecedor.
10. Vigência
10.1 O presente ATD permanecerá em pleno vigor e efeito enquanto:
10.1.1 O Contrato permanecer em vigor; ou
10.1.2 O Fornecedor mantiver quaisquer Dados Pessoais do Cliente na sua posse ou controlo.
10.2 Qualquer disposição do presente ATD que, expressa ou implicitamente, deva entrar ou continuar em vigor na ou após a cessação do Contrato, a fim de proteger os Dados Pessoais do Cliente, permanecerá em pleno vigor e efeito.
11. Devolução e destruição de dados
11.1 O Fornecedor deverá, a critério do Cliente e com qualquer pedido por escrito do Cliente, eliminar ou devolver todos os Dados Pessoais do Cliente ao Cliente após o final da prestação de Serviços relacionados com o Processamento, e eliminar as cópias existentes, a menos que a lei aplicável do EEE ou do Estado-Membro exija o armazenamento dos Dados Pessoais do Cliente. Se não for recebido qualquer pedido por escrito do Cliente, o Fornecedor eliminará os Dados Pessoais do Cliente 90 dias após a cessação do Contrato.
11.2 A pedido do Cliente, o Fornecedor fornecerá uma notificação por escrito das medidas adoptadas relativamente aos Dados Pessoais do Cliente.
12. Indemnização
12.1 Na medida exigida pelo Artigo 82 do RGPD e sujeito à cláusula 12.1 deste APD, o Fornecedor concorda em indemnizar o Cliente contra todos os custos directos, reclamações, danos ou despesas incorridos pelo Cliente devido a qualquer falha do Fornecedor ou dos seus funcionários, subprocessadores, subcontratados ou agentes em cumprir qualquer uma das suas obrigações ao abrigo deste APD ou das Leis de Proteção de Dados.
12.2 Não obstante qualquer disposição em contrário no presente ATD ou no Contrato (incluindo, sem limitação, as obrigações de indemnização de qualquer uma das partes), nenhuma das partes será responsável por quaisquer multas do RGPD emitidas ou cobradas ao abrigo do Artigo 83 do RGPD contra a outra parte por uma autoridade reguladora ou organismo governamental em relação à violação do RGPD por essa outra parte.
12.3 Na medida do permitido pelas Leis de Proteção de Dados e sujeito às exclusões detalhadas na cláusula 12.2 do presente APD, a responsabilidade total de cada parte ao abrigo ou em relação ao presente APD, independentemente da causa, estará sujeita às exclusões e limitações de responsabilidade estabelecidas no Contrato.
Anexo A
Fins e detalhes do processamento de dados pessoais
| Assunto do processamento | Detalhes | Aplica-se a: |
Finalidade Especificar todos os fins para os quais os Dados Pessoais serão processados pelo Fornecedor | Acesso ao sistema Administração do sistema Entrega do conteúdo do sistema de acordo com os módulos subscritos. Ver abaixo: | Todos os Clientes |
| Políticas, Avaliações de Conhecimento | Clientes que subscrevam os módulos Policy (PolicyLite, MetaEngage e MetaPolicy) | |
| eLearning, outros meios de comunicação social | Clientes que subscrevam módulos Elearning (MetaLearning Fusion) | |
| Pesquisas de Privacidade | Clientes que subscrevam o módulo MetaPrivacy | |
| Revisões de Incidentes | Clientes que subscrevam o módulo MetaIncident | |
| Campanhas simuladas de Phishing | Clientes que subscrevam a MetaPhish | |
| Transferência SCORM para o LMS do cliente | Clientes que subscrevem a transferência SCORM | |
Tipos de dados pessoais Especificar os Dados Pessoais que serão processados pelo Fornecedor | Nome, Apelido, Endereço de correio eletrónico, Endereço IP, Departamento, Registo de formação | Todos os Clientes |
| Unidade de Organização do Active Directory (OU) | Clientes que utilizam o Azure AD ou na premissa AD | |
| LMS ID | Clientes com subscrições de transferência SCORM | |
Categorias de Assuntos de Dados Especificar as categorias de Sujeitos cujos dados pessoais serão processados pelo Fornecedor | Clientes Empregados, Empreiteiros, Fornecedores, Parceiros e/ou Afiliados. | Todos os Clientes, de acordo com os dados do Titular dos Dados fornecidos ao Fornecedor. O Cliente pode limitar este facto em função da sua utilização prevista dos Serviços. |
Operações de processamento Especificar todas as actividades de Processamento a serem conduzidas pelo Fornecedor | Processamento e armazenamento dos Dados Pessoais do Cliente para criar e manter contas de Utilizadores Autorizados na plataforma MyCompliance. Distribuição de vários e-mails de notificação iniciados pelo sistema MetaCompliance MyCompliance. | Todos os Clientes |
| Distribuição de e-mails simulados de phishing especificados pelo Cliente através da plataforma MetaCompliance MyCompliance. | Clientes que subscrevam o módulo MetaPhish | |
| Armazenamento de Dados Pessoais onde são introduzidos pelo cliente através do módulo MetaCompliance MetaPrivacy. | Clientes que subscrevam o módulo MetaPrivacy | |
| Comunicar com o LMS do cliente e avaliar o número de licenças | Clientes que subscrevem a transferência SCORM | |
Localização das operações de processamento Especificar todos os locais onde os Dados Pessoais serão processados pelo Fornecedor | Reino Unido (Grupo MetaCompliance) Dinamarca (Grupo MetaCompliance) Portugal (Grupo MetaCompliance) Alemanha (Grupo MetaCompliance) Irlanda (Grupo MetaCompliance, Microsoft Azure, Amazon Web Services) Holanda (Microsoft Azure) | Todos os Clientes, conforme aplicável. Consultar o Anexo C para mais detalhes. |
Requisitos de retenção Quando aplicável, especificar o tempo de retenção dos Dados Pessoais do Cliente armazenados pelo Fornecedor. | Quando uma subscrição do Cliente expira ou é terminada, todos os Dados Pessoais do Cliente associado são mantidos durante 90 dias antes de serem efectivamente apagados, a fim de recuperar do cancelamento acidental da subscrição. | Todos os Clientes |
Anexo B
Disposições de segurança O Fornecedor, a fim de ajudar o Cliente a cumprir as suas obrigações legais, incluindo mas não se limitando a; medidas de segurança e avaliações de risco de privacidade, será obrigado a tomar medidas técnicas e organizacionais adequadas para proteger os Dados Pessoais do Cliente que são processados. As medidas devem, pelo menos, resultar num nível de segurança que seja adequado, tendo em consideração:- possibilidades técnicas existentes;
- os custos de execução das acções;
- os riscos específicos associados ao tratamento dos dados pessoais do cliente; e
- a sensibilidade dos dados pessoais do cliente que são processados.
- a pseudonimização e a cifragem dos dados pessoais dos clientes;
- a capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e serviços que processam os dados pessoais dos clientes;
- a capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais do cliente em tempo útil em caso de incidente físico ou técnico; e
- um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas destinadas a garantir a segurança do tratamento.
- proteção do acesso físico, através da qual o equipamento informático e os dados amovíveis que contenham dados pessoais do cliente nas instalações do fornecedor devem estar fechados à chave quando não estiverem sob supervisão, a fim de proteger contra a utilização não autorizada, o impacto e o roubo.
- um processo para testar a leitura depois de os dados pessoais do cliente terem sido restaurados a partir de cópias de segurança.
- controlo de autorização, através do qual o acesso do Fornecedor aos Dados Pessoais do Cliente é gerido por um sistema técnico de controlo de autorização. A autorização deve ser limitada àqueles que necessitam dos Dados Pessoais do Cliente para o seu trabalho. As identificações de utilizador e as palavras-passe são pessoais e não podem ser transferidas para mais ninguém. Devem existir procedimentos para a atribuição e remoção de autorizações.
- manter registos de quem tem acesso aos Dados Pessoais do Cliente.
- comunicação segura, em que as ligações externas de comunicação de dados devem ser protegidas através de funções técnicas que garantam que a ligação é autorizada, bem como a cifragem de conteúdos para dados em trânsito em canais de comunicação fora dos sistemas controlados pelo fornecedor.
- um processo para garantir a destruição segura dos dados quando os suportes de armazenamento fixos ou amovíveis deixarem de ser utilizados para o fim a que se destinam.
- rotinas para a celebração de acordos de confidencialidade com fornecedores que prestam serviços de reparação e manutenção de equipamento utilizado para armazenar os Dados Pessoais do Cliente.
- rotinas de supervisão do serviço efectuado pelos fornecedores nas instalações do Fornecedor. Os suportes de armazenamento que contenham os Dados Pessoais do Cliente devem ser removidos se não for possível efetuar a supervisão.
Anexo C
Subcontratantes aprovados:| Sub-Processador | Localização | Aplica-se a: |
| Microsoft Azure (contratado através da Microsoft Operations Ireland Ltd, aloja os serviços na nuvem) |
Holanda Dublin Alemanha Canadá |
Localização aplicada de acordo com o seguinte para novos Clientes: 1. Os Clientes sediados no EEE e na Suíça utilizarão por defeito os Centros de Dados da Holanda e de Dublin para o Microsoft Azure 2. Os Clientes alemães serão seleccionados por defeito para o Centro de Dados alemão. 3. Os clientes canadianos irão utilizar por defeito apenas os Centros de Dados do Canadá para o Microsoft Azure. |
| Amazon Web Services (contratado com a "AWS Europe", como fornecedor de correio electrónico transaccional) | Dublin Alemanha Canadá |
Localização aplicada de acordo com o indicado abaixo para novos Clientes após 5 de julho de 2023: 1. os Clientes sediados no EEE e na Suíça serão predefinidos para os Centros de dados sediados na UE para o AWS Europa. 2. os Clientes alemães serão seleccionados por defeito para o Centro de dados alemão. 3. os Clientes canadianos serão predefinidos para os Centros de dados apenas canadianos para a AWS Europe. |
| MetaCompliance Limited, uma entidade do Grupo MetaCompliance (prestação de serviços de contas de clientes e serviços de apoio a clientes) |
Reino Unido | Todos os clientes |
| MetaCompliance GmbH (prestação de serviços de conta de cliente e serviços de apoio) | Alemanha | Todos os clientes |
| MOCH A/S, uma entidade do Grupo MetaCompliance (prestação de serviços de contas de clientes e serviços de apoio a clientes) | Dinamarca | Todos os clientes |
| MetaCompliance Ireland Ltd Sucursal Portugal, uma entidade do Grupo MetaCompliance (prestação de serviços de contas de clientes e serviços de apoio a clientes) |
Portugal | Todos os clientes |