Introdução
As partes concordam que o presente Acordo de Proteção de Dados ("APD") estabelece os direitos e obrigações de cada uma das partes no que diz respeito ao processamento e segurança dos Dados Pessoais do Cliente em relação ao Software e Serviços fornecidos pela MetaCompliance Ireland Ltd. O DPA é incorporado por referência nas Condições Comerciais (as "Condições Comerciais"). As partes também concordam que, a menos que exista um DPA separado assinado pelas partes, este DPA rege o processamento e a segurança dos Dados Pessoais do Cliente.
As disposições dos Termos da DPA substituem quaisquer disposições conflituosas da Declaração de Privacidade da MetaCompliance que de outra forma se poderiam aplicar ao processamento de Dados Pessoais do Cliente. Para maior clareza, em conformidade com as Cláusulas Contratuais Padrão 2021 definidas abaixo, quando as Cláusulas Contratuais Padrão 2021 são aplicáveis, as Cláusulas Contratuais Padrão 2021 prevalecem sobre qualquer outro termo do Contrato de Tratamento de Dados.
ACORDO DE TRATAMENTO DE DADOS COM EFEITO A PARTIR DE22 de março de 2024
1.1 O Cliente é o definido nas Condições Comerciais (o "Cliente") e
1.2 MetaCompliance Ireland Limited, constituída e registada na República da Irlanda com o número de empresa 640228, com sede social na Unit 21, Block 1, Clonshaugh Business and Technology Park, Dublin 17, D17 YY31 (o "Fornecedor").
2.1 O Cliente e o Fornecedor celebraram um Contrato que pode exigir que o Fornecedor processe Dados Pessoais em nome do Cliente.
2.2 O presente Acordo de Processamento de Dados ("APD") estabelece os termos, requisitos e condições adicionais em que o Fornecedor processará os Dados Pessoais aquando da prestação de Serviços ao abrigo do Contrato. Este APD contém as cláusulas obrigatórias exigidas pelo Artigo 28(3) do Regulamento Geral de Proteção de Dados ((UE) 2016/679 (e as Leis de Proteção de Dados de 1988 a 2018, conforme alteradas) para contratos entre responsáveis pelo tratamento e processadores.
2.3 O presente APD está sujeito aos termos do Contrato e é incorporado no Contrato. Os termos utilizados no presente DPA terão os significados definidos no presente DPA. Os termos em maiúsculas não definidos de outra forma no presente documento terão o significado que lhes é atribuído nas Condições Comerciais do Contrato.
2.4 Os Anexos fazem parte do presente DPA e produzirão efeitos como se nele estivessem integralmente contidos. Qualquer referência ao presente DPA inclui os anexos.
2.5 Em caso de conflito entre qualquer disposição do presente APD e qualquer outro termo do Contrato, no que diz respeito ao objeto do presente APD, as disposições do presente APD prevalecerão.
Os termos seguintes no presente DPA terão o seguinte significado:
| "Leis de Protecção de Dados" | significa todas as leis e regulamentos aplicáveis relacionados com o Processamento de Dados Pessoais em qualquer momento durante a vigência do presente ATD, incluindo (1) o Regulamento Geral de Proteção de Dados (RGPD, UE 2016/679); (2) as Leis de Proteção de Dados de 1988 a 2018, conforme alteradas; (3) a Diretiva 2002/58/CE relativa à privacidade e às comunicações electrónicas, conforme implementada pelos Estados-Membros da UE, e qualquer legislação sucessora e quaisquer outros regulamentos, guias e códigos de prática relacionados com a proteção de dados e a privacidade, em cada caso conforme alterados, actualizados ou substituídos periodicamente. |
| "Dados Pessoais do Cliente" | significa Dados Pessoais Processados pela MetaCompliance exclusivamente para os fins da prestação de Serviços e de acordo com as instruções do Cliente. |
| "Cláusulas Contratuais Padrão" | significa as Cláusulas Contratuais-tipo da Comissão Europeia para a transferência de Dados Pessoais da União Europeia para subcontratantes estabelecidos em países terceiros (transferências de responsável pelo tratamento para subcontratante), conforme estabelecido no anexo da Decisão 2021/914/UE da Comissão a partir de 4 de junho de 2021. |
| "Decisão de Adequação" | significa a Decisão de Adequação da Comissão Europeia relativa à transferência de dados pessoais para o Reino Unido, adoptada em 28 de junho de 2021. |
| "Sub-processador" | significa um terceiro subcontratado contratado pelo Fornecedor que, como parte do papel do subcontratado na prestação dos serviços, processará os Dados Pessoais em nome do Cliente. |
| "Controlador", "Assunto dos dados", "Processador", "Processo ou Processamento", "Dados Pessoais", "Violação de Dados Pessoais". | têm o significado que lhes é atribuído no RGPD. |
4. Tratamento de dados pessoais
4.1 As partes reconhecem e concordam que, para efeitos das Leis de Protecção de Dados e no que respeita ao Tratamento de Dados Pessoais do Cliente, o Fornecedor é o Processador e o Cliente é o Controlador.
4.2 O Cliente garante e representa: (i) a transferência dos Dados Pessoais do Cliente para o Fornecedor cumpre em todos os aspectos as Leis de Protecção de Dados (incluindo sem limitação em termos da sua recolha e utilização); e (ii) o processamento justo e todos os outros avisos apropriados foram fornecidos aos Sujeitos dos Dados Pessoais do Cliente (e todos os consentimentos necessários de tais Sujeitos obtidos e sempre mantidos) na medida exigida pelas Leis de Protecção de Dados em relação a todas as actividades de processamento que possam ser realizadas pelo Fornecedor e seus Sub-processadores em conformidade com o presente Acordo;
4.3 O Fornecedor compromete-se a processar apenas os Dados Pessoais do Cliente: (i) conforme necessário para a prestação dos Serviços; (ii) de acordo com as instruções escritas do Cliente; e (iii) de acordo com os requisitos das Leis de Protecção de Dados.
4.4 O Cliente deverá, na sua utilização dos Serviços, processar os Dados Pessoais de acordo com os requisitos das Leis de Protecção de Dados. O Cliente deverá garantir que quaisquer instruções dadas ao Fornecedor em relação ao Processamento de Dados Pessoais do Cliente cumprem com as Leis de Protecção de Dados.
4.5 As instruções do Cliente ao Fornecedor relativamente ao objeto e duração do Processamento, à natureza e finalidade do Processamento, aos tipos de Dados Pessoais e às categorias de Titulares de Dados estão descritas no Anexo A. Para evitar dúvidas, as partes reconhecem e concordam que, sem prejuízo do disposto na cláusula 5, as instruções de processamento estabelecidas no presente APD e no Anexo A constituem o conjunto completo de instruções do Cliente para o Fornecedor, conforme aplicável.
4.6 O Fornecedor deverá notificar imediatamente o Cliente se, na opinião razoável do Fornecedor, qualquer instrução dada pelo Cliente for susceptível de infringir as Leis de Protecção de Dados.
4.7 O Fornecedor não processará, transferirá, modificará, alterará ou modificará os Dados Pessoais do Cliente, nem divulgará ou permitirá a divulgação dos Dados Pessoais do Cliente a terceiros fora das instruções detalhadas na presente APD.
4.8 O pessoal do Fornecedor envolvido no Processamento de Dados Pessoais do Cliente será informado da natureza confidencial dos Dados Pessoais do Cliente e receberá formação adequada sobre as suas responsabilidades. Esse pessoal será sujeito aos devidos compromissos de confidencialidade.
4.9 Tendo em conta a natureza do processamento de dados pessoais nos serviços prestados, o Fornecedor deve, conforme exigido pelo artigo 32 do RGPD, manter medidas técnicas e organizacionais adequadas para garantir a segurança do processamento, incluindo a proteção contra o processamento não autorizado ou ilegal e contra a destruição, perda, alteração ou dano acidental ou ilegal, divulgação não autorizada ou acesso aos dados pessoais do cliente. As partes reconhecem e concordam que as medidas de segurança especificadas na presente APD e, mais especificamente, no Anexo B, constituem medidas de segurança técnicas e organizacionais adequadas para garantir um nível de segurança apropriado ao risco.
4.10 O Fornecedor deverá assistir o Cliente através de medidas técnicas e organizacionais adequadas, na medida do possível e tendo em conta a natureza do Tratamento dos Dados Pessoais do Cliente, no cumprimento das obrigações do Cliente no âmbito das Leis de Protecção de Dados, incluindo em relação aos direitos do Sujeito dos Dados, avaliações do impacto da protecção de dados (relacionadas com a utilização dos Serviços MetaCompliance pelo Cliente) e relatórios e consultas às autoridades de supervisão (relacionadas com uma avaliação do impacto da protecção de dados relacionada com os Serviços MetaCompliance).
4.11 Se os Sujeitos dos Dados, autoridades competentes ou quaisquer outros terceiros solicitarem informações ao Fornecedor relativamente ao Processamento de Dados Pessoais do Cliente, o Fornecedor deverá encaminhar tal pedido para o Cliente, a menos que seja exigido o cumprimento das Leis de Protecção de Dados, caso em que o Fornecedor deverá notificar previamente o Cliente de tal exigência legal, a menos que essa lei proíba tal divulgação por motivos importantes de interesse público.
5. Sub-processadores
5.1 O Cliente reconhece e concorda que o Fornecedor pode, em relação à prestação de Serviços, contratar Subprocessadores que podem ser afiliados do Fornecedor e/ou terceiros, conforme descrito mais especificamente nos Anexos A e C. A contratação de tais partes pelo Fornecedor deve estar sujeita a um contrato escrito (incluindo em formato eletrónico) consistente com os termos desta APD, em relação ao processamento necessário de Dados Pessoais.
5.2 O Cliente reconhece que o Fornecedor tem autorização geral para contratar novos Subcontratantes sem obter qualquer outra autorização específica por escrito do Cliente. Isto está sujeito ao facto de o Subcontratante notificar o Cliente por escrito da identidade de qualquer novo Subcontratante, 30 dias antes do processamento dos Dados Pessoais do Cliente.
5.3 Se o Cliente desejar objetar o Sub-processador relevante, o Cliente deverá notificá-lo por escrito no prazo de dez (10) dias úteis a contar da receção da notificação do Fornecedor. A ausência de quaisquer objecções por parte do Cliente será considerada como consentimento para a utilização do Sub-processador relevante.
5.4 No caso do Cliente se opor a um novo Sub-processador, o Fornecedor envidará esforços razoáveis para disponibilizar ao Cliente uma alteração nos Serviços ou recomendar uma alteração comercialmente razoável nos Serviços para evitar o Processamento dos Dados Pessoais do Cliente pelo novo Sub-processador relevante. Se nenhuma alternativa for possível, as partes têm o direito de rescindir o Contrato entre elas.
5.5 A notificação do Fornecedor de um novo Subcontratante ao Cliente deverá incluir a apresentação de um Anexo C atualizado.
5.6 O Fornecedor permanece responsável perante o Cliente pelo cumprimento das obrigações dos Sub-processadores.
6. Transferências de dados
6.1 De acordo com o Artigo 28(3)(a) do RGPD, o Fornecedor não deve, e não deve permitir que qualquer Subprocessador transfira quaisquer Dados Pessoais do Cliente para fora do EEE, exceto conforme previsto no presente Acordo. Para evitar dúvidas, o Cliente consente a transferência e o processamento dos Dados Pessoais conforme especificado no Anexo A, conforme aplicável.
6.2 O Fornecedor reconhece que, de acordo com o RGPD, deve existir uma proteção adequada para os Dados Pessoais após qualquer transferência para fora do EEE (diretamente ou através da transferência subsequente de um Subcontratante) e deve celebrar um acordo adequado com o Cliente e/ou qualquer Subcontratante para reger essa transferência. Este acordo incluirá as Cláusulas Contratuais-tipo aplicáveis ou basear-se-á na Decisão de Adequação, exceto se existir outro mecanismo de adequação para a transferência.
7. Quebra de dados pessoais
7.1 No caso de qualquer violação de dados pessoais que envolva os dados pessoais do cliente, o fornecedor deverá:
7.1.1 Notificar o Cliente sem atrasos indevidos (no prazo máximo de 48 horas) para permitir que o Cliente cumpra as obrigações de comunicação do RGPD e para prestar assistência razoável ao Cliente quando for necessário comunicar uma Violação de Dados Pessoais a um Titular de Dados.
7.1.2 Envidar esforços razoáveis para identificar a causa de tal Violação de Dados Pessoais e tomar as medidas que o Fornecedor considerar razoavelmente praticáveis, a fim de remediar a causa de tal Violação de Dados Pessoais.
7.1.3 Sujeito aos termos da presente DPA, prestar assistência e cooperação razoáveis, conforme solicitado pelo Cliente, na prossecução de qualquer correcção ou reparação de qualquer violação de dados pessoais.
8. Registos de processamento
8.1 Na medida do aplicável ao processamento do Fornecedor para o Cliente, o Fornecedor manterá todos os registos exigidos pelo Artigo 30(2) do RGPD e disponibilizá-los-á ao Cliente mediante pedido.
9. Direitos de Auditoria
9.1 O Fornecedor deverá, e procurará que os seus Subcontratantes, disponibilizem ao Cliente, a pedido, informações razoáveis necessárias para demonstrar o cumprimento das suas obrigações de proteção de dados ao abrigo do presente DPA e permitirão e contribuirão para auditorias, incluindo inspecções nas suas instalações, pelo Cliente ou por um auditor mandatado pelo Cliente em relação ao Processamento dos Dados Pessoais do Cliente, desde que esse auditor não seja concorrente do Fornecedor.
10. Prazo
10.1 O presente ATD permanecerá em pleno vigor e efeito enquanto:
10.1.1 O Contrato permanecer em vigor; ou
10.1.2 O Fornecedor mantiver quaisquer Dados Pessoais do Cliente na sua posse ou controlo.
10.2 Qualquer disposição do presente ATD que, expressa ou implicitamente, deva entrar ou continuar em vigor na ou após a cessação do Contrato, a fim de proteger os Dados Pessoais do Cliente, permanecerá em pleno vigor e efeito.
11. Devolução e destruição de dados
11.1 O Fornecedor deverá, a critério do Cliente e com qualquer pedido por escrito do Cliente, eliminar ou devolver todos os Dados Pessoais do Cliente ao Cliente após o fim da prestação de Serviços relacionados com o Processamento, e eliminar as cópias existentes, a menos que a lei aplicável do EEE ou do Estado-Membro exija o armazenamento dos Dados Pessoais do Cliente. Se não for recebido qualquer pedido por escrito do Cliente, o Fornecedor deverá eliminar os Dados Pessoais do Cliente 90 dias após a cessação do Contrato.
11.2 A pedido do Cliente, o Fornecedor fornecerá uma notificação por escrito das medidas adoptadas relativamente aos Dados Pessoais do Cliente.
12. Indemnização
12.1 Na medida exigida pelo Artigo 82 do RGPD e sujeito à cláusula 12.1 deste APD, o Fornecedor concorda em indemnizar o Cliente contra todos os custos diretos, reclamações, danos ou despesas incorridos pelo Cliente devido a qualquer falha do Fornecedor ou dos seus funcionários, subprocessadores, subcontratados ou agentes em cumprir qualquer uma das suas obrigações ao abrigo deste APD ou das Leis de Proteção de Dados.
12.2 Não obstante qualquer disposição em contrário no presente ATD ou no Contrato (incluindo, sem limitação, as obrigações de indemnização de qualquer uma das partes), nenhuma das partes será responsável por quaisquer multas do RGPD emitidas ou cobradas ao abrigo do Artigo 83 do RGPD contra a outra parte por uma autoridade reguladora ou organismo governamental em relação à violação do RGPD por essa outra parte.
12.3 Na medida do permitido pelas Leis de Proteção de Dados e sujeito às exclusões detalhadas na cláusula 12.2 do presente APD, a responsabilidade total de cada parte ao abrigo ou em relação ao presente APD, independentemente da causa, estará sujeita às exclusões e limitações de responsabilidade estabelecidas no Contrato.
Anexo A
Fins e detalhes do processamento de dados pessoais
| Assunto do processamento | Detalhes | Aplica-se a: |
Finalidade Especificar todos os fins para os quais os Dados Pessoais serão processados pelo Fornecedor | Acesso ao sistema Administração do sistema Entrega do conteúdo do sistema de acordo com os módulos subscritos. Ver abaixo: | Todos os Clientes |
| Políticas, Avaliações de Conhecimento | Clientes que subscrevam os módulos Policy (PolicyLite, MetaEngage e MetaPolicy) | |
| eLearning, outros meios de comunicação social | Clientes que subscrevam módulos Elearning (MetaLearning Fusion) | |
| Pesquisas de Privacidade | Clientes que subscrevam o módulo MetaPrivacy | |
| Revisões de Incidentes | Clientes que subscrevam o módulo MetaIncident | |
| Campanhas simuladas de Phishing | Clientes que subscrevam a MetaPhish | |
| Transferência SCORM para o LMS do cliente | Clientes que subscrevem a transferência SCORM | |
Tipos de dados pessoais Especificar os Dados Pessoais que serão processados pelo Fornecedor | Nome, Apelido, Endereço de correio eletrónico, Endereço IP, Departamento, Registo de formação | Todos os Clientes |
| Unidade de Organização do Active Directory (OU) | Clientes que utilizam o Azure AD ou na premissa AD | |
| LMS ID | Clientes com subscrições de transferência SCORM | |
Categorias de Assuntos de Dados Especificar as categorias de Sujeitos cujos dados pessoais serão processados pelo Fornecedor | Clientes Empregados, Empreiteiros, Fornecedores, Parceiros e/ou Afiliados. | Todos os Clientes, de acordo com os dados do Titular dos Dados fornecidos ao Fornecedor. O Cliente pode limitar este facto em função da sua utilização prevista dos Serviços. |
Operações de processamento Especificar todas as actividades de Processamento a serem conduzidas pelo Fornecedor | Processamento e armazenamento dos Dados Pessoais do Cliente para criar e manter contas de Utilizadores Autorizados na plataforma MyCompliance. Distribuição de vários e-mails de notificação iniciados pelo sistema MetaCompliance MyCompliance. | Todos os Clientes |
| Distribuição de e-mails simulados de phishing especificados pelo Cliente através da plataforma MetaCompliance MyCompliance. | Clientes que subscrevam o módulo MetaPhish | |
| Armazenamento de Dados Pessoais onde são introduzidos pelo cliente através do módulo MetaCompliance MetaPrivacy. | Clientes que subscrevam o módulo MetaPrivacy | |
| Comunicar com o LMS do cliente e avaliar o número de licenças | Clientes que subscrevem a transferência SCORM | |
Localização das operações de processamento Especificar todos os locais onde os Dados Pessoais serão processados pelo Fornecedor | Reino Unido (Grupo MetaCompliance) Dinamarca (Grupo MetaCompliance) Portugal (Grupo MetaCompliance) Alemanha (Grupo MetaCompliance) Irlanda (Grupo MetaCompliance, Microsoft Azure, Amazon Web Services) Holanda (Microsoft Azure) | Todos os Clientes, conforme aplicável. Consultar o Anexo C para mais detalhes. |
Requisitos de retenção Quando aplicável, especificar o tempo de retenção dos Dados Pessoais do Cliente armazenados pelo Fornecedor. | Quando uma subscrição do Cliente expira ou é terminada, todos os Dados Pessoais do Cliente associado são mantidos durante 90 dias antes de serem efectivamente apagados, a fim de recuperar do cancelamento acidental da subscrição. | Todos os Clientes |
Anexo B
Disposições de segurança
O Fornecedor deve, para ajudar o Cliente a cumprir as suas obrigações legais, incluindo, mas não se limitando a, medidas de segurança e avaliações de risco de privacidade, ser obrigado a tomar medidas técnicas e organizacionais adequadas para proteger os Dados Pessoais do Cliente que são Processados. As medidas devem, pelo menos, resultar num nível de segurança adequado, tendo em consideração:
(a) as possibilidades técnicas existentes;
(b) os custos de execução das medidas;
(c) os riscos específicos associados ao Processamento dos Dados Pessoais do Cliente; e
(d) a sensibilidade dos Dados Pessoais do Cliente que são Processados.
O Fornecedor deve manter uma segurança adequada para os Dados Pessoais do Cliente. O Fornecedor protegerá os Dados Pessoais do Cliente contra a destruição, modificação, disseminação ilegal ou acesso ilegal. Os dados pessoais do cliente também devem ser protegidos contra todas as outras formas de processamento ilegal. Tendo em conta o estado da técnica e os custos de implementação e tendo em conta a natureza, o âmbito, o contexto e as finalidades do Processamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas, as medidas técnicas e organizacionais a implementar pelo Fornecedor devem incluir, conforme adequado
(a) a pseudonimização e encriptação dos Dados Pessoais do Cliente;
(b) a capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços que processam os Dados Pessoais do Cliente;
(c) a capacidade de restaurar a disponibilidade e o acesso aos Dados Pessoais do Cliente de forma atempada no caso de um incidente físico ou técnico; e
(d) um processo para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do Processamento.
Para além das medidas técnicas e organizacionais acima mencionadas, o Fornecedor deve implementar as seguintes medidas:
(a) proteção do acesso físico através da qual o equipamento informático e os dados amovíveis que contenham Dados Pessoais do Cliente nas instalações do Fornecedor devem ser trancados quando não estiverem sob supervisão, de forma a proteger contra a utilização não autorizada, impacto e roubo.
(b) um processo para testar a leitura após os Dados Pessoais do Cliente terem sido restaurados a partir de cópias de segurança.
(c) controlo de autorização através do qual o acesso do Fornecedor aos Dados Pessoais do Cliente é gerido através de um sistema técnico de controlo de autorização. A autorização deve ser limitada àqueles que necessitam dos dados pessoais do cliente para o seu trabalho. As identificações de utilizador e as palavras-passe são pessoais e não podem ser transferidas para mais ninguém. Devem existir procedimentos para a atribuição e remoção de autorizações.
(d) manter registos de quem tem acesso aos dados pessoais do cliente.
(e) comunicação segura em que as ligações externas de comunicação de dados devem ser protegidas utilizando funções técnicas que garantam que a ligação é autorizada, bem como a encriptação de conteúdos para dados em trânsito em canais de comunicação fora dos sistemas controlados pelo Fornecedor.
(f) Um processo para garantir a destruição segura dos dados quando os suportes de armazenamento fixos ou amovíveis deixarem de ser utilizados para o fim a que se destinam.
(g) rotinas para a celebração de acordos de confidencialidade com os fornecedores que prestam serviços de reparação e manutenção do equipamento utilizado para armazenar os dados pessoais do cliente.
(h) rotinas de supervisão do serviço efectuado pelos fornecedores nas instalações do Fornecedor. Os suportes de armazenamento que contêm os Dados Pessoais do Cliente devem ser removidos se não for possível efetuar a supervisão.
Anexo C
Subcontratantes aprovados:| Sub-Processador | Localização |
| Microsoft Azure (contratado através da Microsoft Operations Ireland Ltd, aloja os serviços na nuvem) | Holanda Dublin Alemanha Canadá |
| Amazon Web Services (contratado com a "AWS Europe", como fornecedor de correio electrónico transaccional) | Dublin Alemanha Canadá |
| MetaCompliance Limited, uma entidade do Grupo MetaCompliance (prestação de serviços de contas de clientes e serviços de apoio a clientes) | Reino Unido |
| MetaCompliance GmbH (prestação de serviços de conta de cliente e serviços de apoio) | Alemanha |
| MOCH A/S, uma entidade do Grupo MetaCompliance (prestação de serviços de contas de clientes e serviços de apoio a clientes) | Dinamarca |
| MetaCompliance Ireland Ltd Sucursal Portugal uma entidade do Grupo MetaCompliance (prestação de serviços de contas de clientes e serviços de apoio a clientes) | Portugal |