Termos e Condições Gerais da Hospitality Digital GmbH – Ferramenta de Reserva Online

A Hospitality Digital GmbH Metro-Straße 1, 40235 Düsseldorf ("H.d") oferece a empresas do setor da hotelaria e restauração ("Cliente") os serviços descritos em maior detalhe abaixo ("Serviços").

1. Âmbito

1.1 A H.d presta Serviços relacionados com a “Ferramenta de Reserva Online” exclusivamente com base nas seguintes condições contratuais (“TC”).

1.2 A H.d presta os Serviços exclusivamente a Clientes não consumidores na aceção da Secção 13 do Código Civil Alemão (BGB).

1.3 Quaisquer termos e condições divergentes do Cliente não serão aplicáveis, mesmo que a H.d não os rejeite especificamente e/ou preste os Serviços e/ou outros benefícios sem reservas, em pleno conhecimento do contrário e/ou de termos e condições do Cliente.

2. Âmbito dos Serviços

2.1 A H.d presta os seguintes Serviços ao Cliente durante o período de vigência do acordo:

(a) A H.d fornecerá ao Cliente espaço de armazenamento alojado para utilização nos sistemas da H.d, a que o Cliente poderá aceder através da Internet ("Espaço de Armazenamento Alojado"). Consulte a secção 4.

(b) A H.d concederá ao Cliente acesso a software que permite ao Cliente gerir, implementar e utilizar a Ferramenta de Reserva Online no seu site ("Software") (consulte a secção 5) e armazenar os dados recolhidos em ligação com a Ferramenta de Reserva Online no Espaço de Armazenamento Alojado.

(c) A H.d pode, ocasionalmente, fornecer Serviços adicionais ao Cliente, especialmente no que respeita à configuração e utilização do Software (“Serviços de Consultoria”). Consulte a secção 6.

2.2 Para aumentar o alcance, a H.d pode também tornar a disponibilidade efetiva das reservas (horas, mesas e número de pessoas) acessíveis a fornecedores terceiros (por exemplo, “Reserva com a Google”). No entanto, tais pedidos de reserva só podem ser efetuados através do software da H.d. Uma vez que os terceiros fornecedores especificam um número mínimo de pessoas no contexto da aceitação de reservas automatizadas, a H.d configurou uma predefinição de quatro pessoas para tal. Esta definição pode ser alterada pelo cliente em qualquer altura. No entanto, os terceiros fornecedores poderão não ser capazes de apresentar reservas efetivamente disponíveis em resultado de tal alteração.

2.3 A H.d pode ajustar os Serviços e outros benefícios ao estado da arte e às necessidades ou desenvolvimentos técnicos, desde que o respetivo ajuste seja razoável para o Cliente. A H.d pode descontinuar os Serviços e outros benefícios mediante aviso prévio razoável. A H.d informará o Cliente acerca da descontinuação dos Serviços de forma oportuna.

3. Obrigações do Cliente

3.1 O Cliente está obrigado a manter os dados comerciais e de contacto especificados durante a celebração do acordo atualizados durante o período contratual e a notificar de imediato, por escrito ou por e-mail, a H.d de qualquer alteração. O Cliente terá também de garantir que o endereço de e-mail comunicado à H.d é regularmente consultado para receber informações relevantes para o contrato.

3.2 Os dados de acesso que o Cliente recebe da H.d não são partilhados com terceiros e a obtenção de acesso por parte de terceiros deve ser impedida. O Cliente informará a H.d imediatamente, caso o Cliente tenha suspeitas razoáveis ou conhecimento de uma possível utilização indevida dos dados de acesso fornecidos. Neste caso, a H.d tem o direito de bloquear temporariamente os dados de acesso do Cliente ao Software até que a suspeita de abuso seja remediada. No caso de existência de um caso real de abuso, a H.d tem o direito de bloquear permanentemente os dados de acesso e de atribuir outros dados de acesso ao Cliente.

3.3 A utilização do Software é apenas autorizada para utilização comercial do Cliente. O Cliente compromete-se, por este meio, a não utilizar o Software de forma ilícita ou para fins ilícitos.

3.4 O Cliente tem conhecimento de que a sua utilização do Software pode ser associada à H.d. Por conseguinte, o Cliente deverá tomar todas as medidas necessárias para manter os serviços oferecidos pelo Cliente e os serviços oferecidos pela H.d ou terceiros separados em termos do respetivo conteúdo.

3.5 Caso o Cliente considere que a sua utilização dos Serviços ou de outros benefícios conduz a uma violação da lei, o Cliente está obrigado a cessar e abster-se, de imediato, da violação da lei e a eliminar qualquer conteúdo ilegal.

4. Disposições Especiais do Espaço de Armazenamento Alojado

4.1 O Espaço de Armazenamento Alojado é fornecido ao Cliente gratuitamente. Consequentemente, a H.d não pode garantir uma disponibilidade específica do Espaço de Armazenamento Alojado. Além disso, o Espaço de Armazenamento Alojado estará indisponível durante trabalhos de manutenção necessários. A H.d envidará esforços no sentido de manter quaisquer deficiências causadas pelos trabalhos de manutenção tão reduzidas quanto possível. A H.d fornecerá ao Cliente as restantes especificações de desempenho do Espaço de Armazenamento Alojado antes da celebração do acordo.

4.2 O Cliente declara e garante que todos os ficheiros, incluindo HTML e outros documentos, textos, imagens, gráficos, tipos de letra, vídeos, etc. ("Conteúdo") serão armazenados, publicados e/ou disponibilizados no Espaço de Armazenamento Alojado e/ou com a ajuda do Software em conformidade com a lei aplicável. Especificamente, o Cliente deverá apenas armazenar Conteúdo no Espaço de Armazenamento Alojado e/ou com a ajuda do Software para o qual o Cliente detém os direitos necessários, incluindo direitos de utilização e exploração ao abrigo da legislação relativa a direitos de autor, e tal Conteúdo não pode infringir quaisquer direitos pessoais de terceiros. Além disso, o Cliente não deverá armazenar, publicar e/ou disponibilizar no Espaço de Armazenamento Alojado e/ou com a ajuda do Software qualquer Conteúdo que seja de natureza imoral, em particular, pornográfica, racista ou discriminatória. A H.d terá o direito de eliminar qualquer Conteúdo armazenado no Espaço de Armazenamento Alojado e/ou com a ajuda do Software que esteja em violação da presente secção 4 e do qual a H.d seja informada por agências governamentais, tribunais, o titular dos direitos ou outros terceiros ou do qual obtenha conhecimento de outra forma.

4.3 O Cliente concederá à H.d os direitos necessários sobre todo o Conteúdo que o Cliente armazenar, publicar e/ou disponibilizar no Espaço de Armazenamento Alojado e/ou com a ajuda do Software, em particular, os direitos necessários para armazenar o Conteúdo, efetuar ajustes técnicos ao mesmo, disponibilizá-lo publicamente e copiá-lo. A H.d poderá apenas ter acesso ao Conteúdo do Cliente no Espaço de Armazenamento Alojado na medida em que tal seja tecnicamente necessário para fornecer e/ou publicar o Conteúdo e na medida em que tal corresponda às autorizações contratualmente concedidas.

4.4 Além disso, o Cliente não poderá executar ou solicitar a execução de quaisquer processos, scripts, software ou outros dados automatizados e/ou Conteúdo no Espaço de Armazenamento Alojado e/ou tomar quaisquer medidas ou solicitar a tomada de medidas (com a ajuda do Software) que possam prejudicar, mais do que insignificativamente, sistemas, redes e/ou outro hardware e software, tais como componentes de rede da H.d e/ou de terceiros. Caso a H.d tenha conhecimento desse prejuízo, a H.d terá o direito de parar o prejuízo e/ou impedi-lo.

4.5 O Cliente deverá criar cópias de segurança de dados diariamente para poder recuperar o Conteúdo do Espaço de Armazenamento Alojado, sem quaisquer custos adicionais.

4.6 Uma vez que o Cliente atua como parte responsável pelo utilizador/utilizador final, o Cliente está obrigado a manter uma marca no seu site, que contenha todas as informações obrigatórias.

5. Disposições Especiais do Software

O Cliente não poderá aceder ou utilizar o Software em nome de terceiros ou para outros fins. Especificamente, o Cliente não está autorizado a copiar o Software, disponibilizá-lo a terceiros, desmontar o Software ou modificá-lo de outro modo.

6. Disposições Especiais para Serviços de Consultoria

6.1 A H.d pode oferecer Serviços de Consultoria ao Cliente, especialmente no que respeita à configuração inicial do Software, à melhor utilização possível a longo prazo (por exemplo, que funcionalidades adicionar) e como essa utilização pode melhorar a situação global do negócio do Cliente. Os Serviços de Consultora podem ainda incluir a recomendação de ferramentas e serviços adicionais ao Cliente que correspondam ao Software.

6.2 Os Serviços de Consultoria podem ser prestados por Afiliadas da H.d. O Anexo a estes TC contém informações sobre que Afiliada presta os Serviços de Consultoria no local de atividade do Cliente. Com a aceitação destes TC, o Cliente aceita que os Serviços de Consultoria podem ser prestados pela Afiliada com base no local de atividade do Cliente.

6.3 Para a prestação de Serviços de Consultoria, a H.d partilha dados pessoais e outros dados com a Afiliada correspondente para permitir que tal Afiliada preste os Serviços de Consultoria.

6.4 A H.d não garante quaisquer níveis de serviço específicos ou a disponibilidade contínua dos Serviços de Consultoria.

7. Celebração do Acordo, Duração, Cessação

7.1 O Cliente disponibiliza-se a celebrar um contrato para a utilização do Software com base nos presentes TC ao registar-se para acesso ao Software no site fornecido pela H.d. A aceitação por parte da H.d é normalmente acionada pelo início da prestação dos serviços pela H.d.

7.2 O contrato é celebrado por um período indefinido e pode ser cessado pelo Cliente em qualquer altura e pela H.d mediante um período de aviso prévio de duas (2) semanas.

7.3 As cessações têm de ser efetuadas por escrito ou por e-mail.

7.4 O direito das partes de resolver o contrato sem aviso, por justa causa, permanece inalterado. A justa causa aplica-se especialmente quando o Cliente viola uma obrigação resultante das Cláusulas 3 e 5.

7.5 Quando a cessação produzir efeitos, todos os dados do Cliente serão eliminados pela H.d, salvo se existir uma obrigação legal de armazenar os dados. Neste caso, os dados são eliminados após o período de retenção correspondente ter expirado.

8. Garantia e Responsabilidade, Indemnização

8.1 A H.d compensará exclusivamente o Cliente por danos que resultem de defeitos ocultados de forma fraudulenta nos Serviços. A H.d não terá qualquer outra responsabilidade por defeitos de denominação e/ou defeitos materiais dos Serviços e benefícios fornecidos gratuitamente.

8.2 A H.d, os seus agentes indiretos ou representantes legais são responsáveis pelos serviços apenas em casos de atos intencionais, negligência grave ou danos culposos à vida, integridade física ou saúde, bem como dolo. A responsabilidade ao abrigo da Lei Alemã de Responsabilidade por Produtos permanece inalterada.

8.3 As limitações à responsabilidade previstas nas secções 8.1 e 8.2 são aplicáveis em conformidade às Afiliadas da H.d.

8.4 O Cliente compromete-se a isentar de responsabilidade a H.d, os seus agentes indiretos e representantes legais e as empresas afiliadas da H.d, em conformidade com o artigo 15.º da Lei Alemã relativa às Sociedades por Ações - AktG (“Afiliadas”), à sua primeira interpelação, de reclamações de terceiros apresentadas contra a H.d, os seus agentes indiretos e representantes legais e/ou as empresas afiliadas da H.d devido a ou em ligação com os Serviços, incluindo reclamações de terceiros devido a utilização ilegal de dados e/ou ausência de consentimento dos titulares dos dados e/ou violações dos direitos de personalidade dos colaboradores do Cliente. Esta indemnização também inclui as custas judiciais e os custos de arbitragem necessários.

8.5 Apenas o Cliente será responsável pelo Conteúdo. Por conseguinte, o Cliente deverá, à primeira interpelação, indemnizar e isentar de responsabilidade a H.d, os seus agentes indiretos e representantes legais, bem como todas as empresas afiliadas da H.d, nos termos da secção 15 da Lei Alemã relativa às Sociedades por Ações (AktG) de reclamações de terceiros apresentadas contra a H.d, os seus agentes indiretos, representantes legais e/ou empresas afiliadas da H.d devido a ou em ligação com os Serviços e outros benefícios. Tal deverá aplicar-se especificamente a todas as violações de marcas comerciais, direitos de autor, proteção de dados e concorrência. Esta indemnização deverá incluir as custas judiciais necessárias, incluindo custos de processos de arbitragem.

9. Proteção de Dados, Privacidade

9.1 O tratamento de dados pessoais em ligação com a prestação de serviços pela H.d está sujeito à política de privacidade, que pode ser acedida em qualquer altura no site indicado na descrição do serviço.

9.2 Na medida em que a H.d. trate dados pessoais em nome do Cliente, é aplicável o Acordo de Tratamento de Dados em anexo aos presentes TC.

9.3 As partes não podem divulgar informações confidenciais a terceiros, mesmo após o término do período de vigência do contrato e não as podem utilizar para outros fins que não os destinados ao contrato. Todas as informações relativas a todas as informações técnicas e de conhecimento disponibilizadas ao Cliente, bem como todas as outras informações identificadas como confidenciais por uma das partes e que tenham valor económico são consideradas confidenciais. Tal inclui expressamente os segredos comerciais e de negócio.

9.4 A obrigação de confidencialidade não se aplica a informações que já sejam do conhecimento da outra parte ou do público sem que nenhuma das partes tenha violado a Cláusula 9.3 ou que tenham de ser acessíveis devido a uma ordem jurídica, judicial ou oficial ou que estejam sujeitas a inspeção rigorosa por terceiros obrigados a manter a confidencialidade no âmbito de uma aquisição pretendida da empresa.

10. Remuneração

10.1 O Cliente não deverá qualquer remuneração pela prestação dos serviços pela H.d. Os Serviços serão prestados gratuitamente.

10.2 Quaisquer serviços de terceiros no contexto de serviços expandidos não serão afetados pela secção 10.1.

11. Outras Disposições

11.1 A H.d pode subcontratar todos ou quaisquer dos atos detidos pela H.d ao abrigo do presente Acordo, em particular, os Serviços. A H.d pode transferir este contrato para uma empresa afiliada em conformidade com a secção 15 da AktG, após notificação prévia, salvo se tal não for razoável para o Cliente.

11.2 A H.d pode alterar estes TC após prévia notificação, incluindo as alterações pretendidas para o Cliente. A H.d pode efetuar alterações aos TC apenas na medida em que tal seja razoável para o Cliente, as alterações não afetem as obrigações contratuais essenciais e o Cliente não fique numa situação pior em resultado da alteração. O Cliente pode opor-se a uma alteração nos TC no prazo de quatro (4) semanas após a receção da notificação ou cessar o contrato sem aviso prévio. Na medida em que o Cliente não se oponha à alteração nos TC ou não o faça no devido tempo, considerar-se-á que o Cliente aceitou a alteração aos TC. A H.d notificará o Cliente das consequências da omissão de uma oposição e do direito de cessar o contrato sem aviso prévio em caso de notificação de alterações aos TC.

11.3 Se uma disposição deste contrato for ou se tornar total ou parcialmente nula, inválida, impraticável ou inexecutória (uma “ Disposição Incorreta”), tal não afetará a validade ou aplicabilidade das restantes disposições. Em vez disso, as partes comprometem-se, por este meio, a substituir a Disposição Incorreta por uma que se aproxime daquela que as partes teriam acordado em termos de sentido e finalidade do contrato, caso tivessem conhecimento de que a disposição era incorreta. Se a incorreção de uma disposição se basear numa medida de desempenho ou tempo especificado na mesma (limite de tempo ou prazo), a disposição deverá ser consistente com o nível legalmente permitido mais próximo do nível original. O mesmo se aplica a quaisquer lacunas no presente contrato. É vontade expressa das partes que esta cláusula de divisibilidade não resulte apenas numa mera revogação do ónus da prova, mas que o artigo a 139.º do BGB seja totalmente renunciado.

11.4 O contrato e todas as reclamações e direitos resultantes ou relacionados com o contrato estão exclusivamente sujeitos à lei alemã, com exclusão de conflitos de leis, e têm de ser interpretados e aplicados em conformidade com a lei alemã. Não é aplicável a Convenção das Nações Unidas sobre os Contratos de Compra e Venda Internacional de Mercadorias (CISG). O local de execução é Düsseldorf.

11.5 O foro exclusivo para todos os litígios resultantes ou relacionados com o presente contrato, a sua celebração ou a sua execução é, na medida do permitido por lei, Düsseldorf.

Status: July 2019 / AG


Acordo de Tratamento de Dados

Ao confirmar os Termos e Condições Gerais acima, o Cliente ("Responsável pelo Tratamento") e a H.d ("Subcontratante"), denominados coletivamente como "Partes", e individualmente como "Parte", celebram ainda o seguinte Acordo de Tratamento de Dados ("DPA").

Preâmbulo

No contexto das suas atividades comerciais e de acordo com os Termos e Condições Gerais acima, o Subcontratante recebe dados pessoais pelos quais o Responsável pelo Tratamento é responsável. As Partes aceitam as disposições do presente DPA, a fim de cumprir com as obrigações de proteção de dados das partes, de acordo com a legislação europeia em matéria de proteção de dados, em particular com o Regulamento Geral de Proteção de Dados (Artigo 28º do RGPD).

1. Definições

1.1 Dados Pessoais refere-se a todas as informações relacionadas com uma pessoa singular identificada ou identificável ("Titular dos Dados"). Uma pessoa singular é considerada identificável quando é possível identificá-la direta ou indiretamente, em particular através da associação com um elemento identificador como, por exemplo, um nome, um número de identificação, dados de localização, um identificador online ou uma ou mais características especiais que expressem a identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular (doravante denominados como "Dados").

1.2 O tratamento de dados em nome de uma determinada pessoa corresponde à recolha, tratamento ou utilização de dados por parte do Subcontratante em nome do Responsável pelo Tratamento.

2. Objeto e Conteúdo do Pedido

2.1 Objeto e Duração do Pedido

Os detalhes e a duração do pedido resultam dos Termos e Condições Gerais acima mencionados.

2.2 Tipo de dados

· Dados pessoais principais (por exemplo, nome, apelido, data de nascimento)

· Dados de comunicação (por exemplo, telefone, e-mail, endereço)

· Local, data e hora de reservas do cliente efetuadas através do Software

  • Endereços IP

2.3 Finalidade da Recolha, Tratamento ou Utilização dos Dados

A finalidade da recolha, tratamento ou utilização dos dados é descrita mais detalhadamente nos Termos e Condições Gerais e na Política de Privacidade.

2.4 Natureza e Âmbito da Recolha, Tratamento ou Utilização dos Dados

A natureza e dimensão da recolha, tratamento ou utilização dos dados é descrita mais detalhadamente nos Termos e Condições Gerais e na Política de Privacidade.

2.5 Categoria do Titular dos Dados

Clientes do Cliente

2.6 Medidas Técnicas e Organizativas

(a) As medidas técnicas e organizativas a implementar pelo Subcontratante serão definidas no Anexo (ver abaixo) ao presente DPA. O Subcontratante irá adaptar regularmente estas medidas às anteriores medidas, a expensas próprias, desde que o nível de proteção acordado não seja reduzido e que o Responsável pelo Tratamento seja imediatamente informado.

(b) É obrigação do Subcontratante permitir ao Responsável pelo Tratamento que verifique, no local, a conformidade com as medidas técnicas e organizativas antes de iniciar as atividades de tratamento ao abrigo do presente contrato. O direito de auditoria do Responsável pelo Tratamento em conformidade com o Número 2.10 permanece inalterado.

(c) O subcontratante deverá assegurar que os sistemas de tratamento de dados utilizados no âmbito do DPA cumprem as normas de "privacidade na conceção" e "privacidade por defeito", em conformidade com os existentes anteriormente.

2.7 Correção, Eliminação e Bloqueio de Dados, Direito à Portabilidade de Dados e Direito de Oposição

(a) Os direitos dos titulares dos dados no tratamento de dados por parte do Subcontratante, em particular, a retificação, eliminação e o bloqueio, a portabilidade de dados e a oposição, serão invocados perante o Responsável pelo Tratamento. Este é o responsável pela proteção dos referidos direitos.

(b) No decorrer do trabalho realizado em nome do Responsável pelo Tratamento, o Subcontratante tem a obrigação de reencaminhar todos os pedidos a ele dirigidos por parte de titulares dos dados para o Responsável pelo Tratamento, para que os mesmos sejam tratados de forma adequada e oportuna. Se o Responsável pelo Tratamento e o Subcontratante agirem conjuntamente enquanto pessoas externas responsáveis, o Subcontratante tem direito a responder a este pedido de forma independente.

(c) O Subcontratante tem também a obrigação de auxiliar o Responsável pelo Tratamento nas medidas técnicas e organizativas apropriadas, a fim de cumprir com a obrigação de resposta aos titulares dos dados.

(d) Em conformidade com as instruções do Responsável pelo Tratamento, o Subcontratante deverá retificar, suspender e/ou eliminar dados de imediato e, o mais tardar, no prazo de cinco (5) dias e informar o Subcontratante até essa data limite.

2.8 Deveres do Subcontratante

(a) O Subcontratante poderá recolher, tratar e utilizar dados apenas no contexto do pedido e das instruções documentadas do Responsável pelo Tratamento.

(b) O Subcontratante tem de cumprir as medidas técnicas e organizativas, conforme definido na Cláusula 2.6 do presente DPA, em intervalos de tempo regulares e submetê-las com o pedido.

(c) O Encarregado da Proteção de Dados é nomeado como pessoa de contacto para a proteção de dados na localização do Subcontratante. O Encarregado da Proteção de Dados pode ser contactado através do endereço privacy@hd.digital. Se necessário, o Subcontratante nomeia também um representante de acordo com os requisitos do Artigo 27º do RGPD.

(d) O Subcontratante é responsável pela manutenção da confidencialidade.. Qualquer pessoa na localização do Subcontratante autorizada a aceder aos dados do Responsável pelo Tratamento estará vinculada ao dever de confidencialidade ou sujeita a sigilo profissional razoável e terá de ser informada relativamente às obrigações de proteção de dados especiais decorrentes do presente DPA, bem como das instruções existentes e da finalidade. O Subcontratante documentará estas obrigações por escrito e disponibilizá-las-á mediante pedido do Responsável pelo Tratamento.

2.9 Justificação das Condições de Subcontratação

(a) A justificação para as relações de subcontratação está autorizada. O Subcontratante deverá informar antecipadamente o Responsável pelo Tratamento relativamente à alteração correspondente. O Responsável pelo Tratamento tem direito de oposição.

(b) No caso de subcontratação por parte de outros subcontratantes, o Subcontratante deverá assegurar contratualmente que as obrigações do Subcontratante atribuídas durante o período de vigência do presente DPA são também aplicáveis ao outro subcontratante.

(c) O Subcontratante controlará as medidas técnicas e organizativas adotadas pelos outros subcontratantes, numa base ad hoc e regular, durante o período de subcontratação, de forma a proteger os dados por si fornecidos. A transferência de dados apenas é permitida se o outro subcontratante tiver implementado as medidas técnicas e organizativas necessárias, no mínimo, de acordo com as especificações do presente DPA.

(d) O Subcontratante será totalmente responsável pelos subcontratados por si empregados.

2.10 Direitos de Auditoria do Responsável pelo Tratamento

O Responsável pelo Tratamento está autorizado a verificar a conformidade com os regulamentos de proteção de dados aplicáveis e com o DPA durante o horário normal de expediente. O Subcontratante aceita disponibilizar ao Responsável pelo Tratamento todas as informações razoavelmente necessárias para a execução da inspeção dentro de um período de tempo razoável. Quando o Responsável pelo Tratamento considerar que é necessária uma auditoria no local ao Subcontratante, o Subcontratante deverá assegurar que a pessoa responsável pela execução da auditoria tem acesso às instalações do Subcontratante, bem como a uma inspeção local dos dados armazenados e dos programas de tratamento de dados. O Responsável pelo Tratamento tem direito a que os testes sejam executados por uma entidade externa (examinador) a nomear em cada caso. O Responsável pelo Tratamento terá de anunciar a execução de uma auditoria por escrito com, pelo menos, vinte (20) dias úteis de antecedência. O custo de execução da auditoria e os custos incorridos pelo Subcontratante às taxas normais de mercado são suportados pelo Responsável pelo Tratamento.

2.11 Notificações de Violação por parte do Subcontratante

(a) O Subcontratante deverá notificar o Responsável pelo Tratamento sem demora e, o mais tardar, no prazo de quarenta e oito (48) horas após a descoberta de uma violação, relativamente a todos os casos nos quais o Subcontratante ou os seus subcontratados tenham violado as regras que regem a proteção de dados do Responsável pelo Tratamento ou as condições estabelecidas no presente DPA.

(b) O Responsável pelo Tratamento deverá ser notificado quanto a qualquer incidente de perda, transmissão ou receção ilícitas de dados por parte de terceiros, independentemente da causa. O Subcontratante deverá, em consulta com o Responsável pelo Tratamento, tomar medidas apropriadas para proteção dos dados e para atenuar as possíveis consequências adversas para os titulares dos dados. Na medida em que as pessoas responsáveis cumpram as obrigações de notificação, o Subcontratante deverá auxiliar o Responsável pelo Tratamento no cumprimento das referidas obrigações.

2.12 Instruções do Responsável pelo Tratamento

(a) O tratamento de dados do Responsável pelo Tratamento por parte do Subcontratante deverá ser executado exclusivamente no contexto do DPA e as instruções específicas comunicadas pelo Subcontratante.

(b) O Subcontratante deverá, sem demora, cumprir as instruções (individuais) relativas à natureza, dimensão e método de tratamento ou, se aplicável, dentro do limite de tempo estabelecido pelo Responsável pelo Tratamento.

(c) O Subcontratante deverá notificar o Responsável pelo Tratamento, sem demora, se, na opinião do Subcontratante, as instruções emitidas pelo Responsável pelo Tratamento violarem os regulamentos de proteção de dados. O Subcontratante terá o direito de suspender a execução das instruções relevantes até que tenham sido confirmadas ou alteradas pelo Responsável pelo Tratamento.

2.13 Eliminação após Conclusão do Pedido

Após a conclusão do trabalho contratado, o Subcontratante terá de entregar todos os dados por si tratados ao Responsável pelo Tratamento ou, mediante o consentimento prévio do Responsável pelo Tratamento, destrui-los de acordo com o regulamento de proteção de dados ou eliminá-los em conformidade com as regras anteriores. Exclui-se um direito de retenção relativamente aos documentos, dados, tratamento e resultados de utilização, bem como aos suportes de dados, exceto se a legislação da União Europeia ou de um Estado-membro da UE obrigar ao armazenamento dos dados.

3. Outras Obrigações do Subcontratante

3.1 O Subcontratante não poderá utilizar os dados fornecidos para o tratamento de dados com qualquer outra finalidade. Não poderão ser feitas cópias ou duplicados sem o consentimento prévio, por escrito, do Responsável pelo Tratamento, exceto se tal for obrigatório devido aos serviços previstos no DPA. O Subcontratante deverá assegurar que os dados por si tratados para o Responsável pelo Tratamento estão separados de outros dados. Uma transmissão de dados do Responsável pelo Tratamento efetuada pelo Subcontratante para terceiros não pode ocorrer sem o consentimento prévio por escrito do Responsável pelo Tratamento.

3.2 O Subcontratante deverá fornecer assistência razoável aos responsáveis pela defesa contra reivindicações baseadas numa violação alegada ou efetiva dos requisitos de proteção de dados. O Responsável pelo Tratamento irá, por seu lado, investigar as reclamações dos titulares dos dados no contexto da responsabilidade pela proteção de dados do Responsável pelo Tratamento de forma apropriada e processar as reclamações dos titulares dos dados.

3.3 O Subcontratante aceita que as informações sejam fornecidas às pessoas afetadas, com base num direito à informação, exclusivamente através do Responsável pelo Tratamento ou de uma pessoa autorizada pelo Responsável pelo Tratamento. O Subcontratante está obrigado a fornecer atempadamente ao Responsável pelo Tratamento as informações solicitadas e a prestar assistência ao Responsável pelo Tratamento. Se o próprio Subcontratante agir como Responsável pelo Tratamento externo, estas consultas podem também ser respondidas em conformidade e o Responsável pelo Tratamento informado convenientemente.

3.4 Quando aplicável, o Subcontratante deverá prestar assistência ao responsável pelo tratamento na preparação dos índices de procedimentos necessários.

3.5 O Subcontratante deverá auxiliar o Responsável pelo Tratamento na execução de avaliações do impacto na proteção de dados sempre que seja provável que um determinado tipo de tratamento represente um risco elevado para os direitos e liberdades das pessoas singulares.

3.6 O Subcontratante aceita informar o Responsável pelo Tratamento, sem demora, relativamente aos resultados das inspeções efetuadas pelas autoridades de supervisão da proteção de dados, na medida em que estejam relacionadas com o presente DPA. O Subcontratante informará as entidades responsáveis relativamente a quaisquer reclamações das autoridades de controlo da proteção de dados relacionadas com a área de responsabilidade do Subcontratante e resolverá todas as reclamações identificadas conforme exigido por lei.

4. Responsabilidade

4.1 O Responsável pelo Tratamento é responsável pela permissibilidade do tratamento de dados, bem como pela proteção dos direitos dos titulares dos dados.

4.2 Em derrogação da secção 4.1, o Subcontratante é responsável por reivindicações de titulares dos dados devido a violações das disposições legais aplicáveis ou das disposições do presente DPA.

4.3 Relativamente ao Responsável pelo Tratamento, o Subcontratante é responsável apenas por dolo e negligência grave no âmbito da exclusão de responsabilidade e das limitações legalmente admissíveis.

5. Disposições Finais

5.1 O Responsável pelo Tratamento deverá informar de imediato e na íntegra o Subcontratante, caso encontre erros ou irregularidades no tratamento de dados efetuado pelo Subcontratante durante a auditoria.

5.2 O presente DPA poderá ser alterado e cessado ao abrigo dos mesmos termos e condições que os Termos e Condições Gerais acima.

5.3 A invalidade de uma ou mais disposições do presente DPA não afeta a eficácia do DPA. No caso de ineficácia de uma ou mais disposições do presente DPA, as Partes deverão acordar disposições de substituição legalmente eficazes, na medida do possível a nível económico. O mesmo é aplicável a uma lacuna.

5.4 O DPA está sujeito ao mesmo direito que os Termos e Condições Gerais acima.

5.5 No caso de existência de contradições entre o DPA e outros acordos entre as partes, prevalecem as disposições do presente DPA.

Status: July 2019 / AG


Medidas Técnicas e Organizativas

Tendo em conta as medidas anteriores, os custos de implementação e a natureza, âmbito, circunstâncias e finalidades do tratamento, bem como as diferenças nos graus de probabilidade e de gravidade do risco para os direitos e liberdades das pessoas singulares, o Subcontratante deverá implementar medidas técnicas e organizativas apropriadas para assegurar um nível de proteção proporcional ao risco; estas medidas incluem, nomeadamente, o seguinte:

• a pseudonimização e encriptação dos dados;

• a capacidade de assegurar, de forma permanente, a confidencialidade, integridade, disponibilidade e resiliência dos sistemas e serviços de tratamento;

• a capacidade de restaurar rapidamente a disponibilidade e acessibilidade de dados no caso de ocorrência de um incidente físico ou técnico;

• um processo de análise, apreciação e avaliação periódicas da eficácia das medidas técnicas e organizativas para assegurar a segurança do tratamento.

Sem prejuízo do acima disposto, serão tomadas as seguintes medidas específicas:

1. Controlo de Acesso

Medidas para evitar o acesso de pessoas não autorizadas ao sistema de tratamento de dados utilizado para tratar os dados:

• Especificação do grupo de pessoas autorizadas e respetiva documentação;

• Controlo de acesso eletrónico;

• Emissão de ID de acesso;

• Introdução de diretrizes direcionadas a pessoas externas;

• Alarme ou segurança fora do horário de expediente;

• Distribuição de propriedade por diferentes zonas de segurança;

• Introdução de diretrizes para controlo de chaves de acesso (cartões);

• Portas de segurança (abertura de portas eletrónica, leitor de ID, CCTV);

• Introdução de medidas para segurança das instalações (p. ex., deteção/notificação de intrusões).

2. Controlo de Acesso

Medidas para evitar que pessoas não autorizadas utilizem o sistema e os procedimentos de tratamento de dados:

• Definição do grupo de pessoas que tem acesso aos sistemas de tratamento de dados;

• Introdução de diretrizes direcionadas a pessoas externas;

• Proteção através de palavra-passe para os computadores pessoais.

3. Controlo de Acesso

Medidas para assegurar que as pessoas autorizadas a utilizar as técnicas de tratamento de dados apenas podem aceder a dados sujeitos à sua autorização:

• Introdução de direitos de acesso limitados com base nos respetivos dados e funções;

• Obrigação de identificação do equipamento de tratamento de dados (p. ex. através de ID e autenticação);

• Introdução de políticas relativas ao acesso e às funções dos utilizadores;

• Avaliação dos protocolos em caso de acontecimento de um evento prejudicial.

4. Controlo de Transferência

Medidas par assegurar que os dados não podem ser lidos, copiados, alterados ou removidos durante a transmissão eletrónica ou durante o respetivo transporte ou armazenamento em suportes de dados e que é possível verificar em que pontos é fornecida uma transmissão de dados por meio de transmissão de dados.

• Encriptação

5. Controlo de Entradas

Medidas para assegurar que é possível verificar e determinar subsequentemente o autor da entrada, alteração ou remoção dos dados dos sistemas de TI.

• Registo de todas as entradas de dados.

6. Controlo de Pedidos

Medidas para assegurar que os dados tratados no pedido apenas podem ser tratados de acordo com as instruções do Responsável pelo Tratamento.

• Documentação das diferentes competências e obrigações entre o Responsável pelo Tratamento e o Subcontratante;

• Delegação formal;

• Controlo dos resultados do trabalho.

7. Controlo da Disponibilidade

Medidas para assegurar que os dados estão protegidos contra destruição ou perda acidental.

• Implementação de um plano para cópias de segurança regulares;

• Assegurar o armazenamento das cópias de segurança em armários de segurança à prova de incêndio e água;

• Introdução e controlo regular de um sistema de alimentação de emergência e de um sistema de proteção contra sobretensão;

• Introdução de um plano de emergência;

• Protocolo relativo à introdução da gestão de emergência e/ou crise.

8. Controlo de Separação

Medidas para assegurar que os dados recolhidos com diferentes finalidades podem ser tratados em separado.

• Separação dos dados dos respetivos clientes do Subcontratante.

Status: July 2019 / AG