Termos e Condições gerais - Ferramenta de reserva

A Hospitality Digital GmbH, Metrostraße 1, 40235 Düsseldorf ("H.d") oferece serviços gratuitos a empresas do setor de hotelaria e restauração ("Cliente"), que são prestados exclusivamente por internet e que serão descritos detalhadamente (os "Serviços"). Alguns serviços só são acessíveis quando o Cliente se tiver registado.

1. Âmbito de aplicação

1.1 A H.d disponibiliza os Serviços e outras vantagens com base, exclusivamente, nos termos e condições gerais a seguir enunciados ("TCG").

1.2 Também não se aplicam as condições divergentes do Cliente quando a H.d as recuse de forma não expressa e/ou mesmo que tenha conhecimento das condições opostas e/ou divergentes do Cliente e preste Serviços e/ou desempenhos sem reserva.

2. Âmbito dos Serviços

2.1 Os Serviços integram os seguintes desempenhos prestados pela H.d durante o período de vigência

(a) A H.d cede Espaço de Armazenamento Alojado ao Cliente para utilização em sistemas da H.d, ao qual o Cliente pode aceder por internet ("Espaço de Armazenamento Alojado"), consultar cláusula 4.

(b) A H.d concede ao Cliente através da internet o acesso a um software que permite ao Cliente ligar o software de Reservas Online à própria página Web, utilizá-lo e geri-lo ("Software"), consultar cláusula 5, e também guardar e gerir os dados recolhidos no Espaço de Armazenamento Alojado.

2.2 Para aumentar o alcance, o H.d permite que os fornecedores terceiros (por exemplo, “Reservar com o Google”) também tenham acesso às disponibilidades das reservas (horas, mesas e número de pessoas). No entanto, os pedidos de reserva que sejam recebidos por este meio só funcionam com o software H.d. Uma vez que, no âmbito de uma aprovação automatizada de reservas, cada fornecedor terceiro faz uma estimativa do número mínimo de pessoas, o H.d. atribuiu quatro pessoas, como configuração base, para a aceitação automática de reservas. Esta definição pode ser alterada pelo cliente a qualquer momento. Esta alteração, porém, poderá impedir que os fornecedores terceiros mostrem as reservas efetivamente disponíveis.

2.3 A H.d pode adaptar os Serviços e outros desempenhos à tecnologia atual e desenvolvimentos técnicos ou necessidades, na medida em que tal seja razoável para o Cliente. A H.d pode adicionalmente suspender os Serviços e outros benefícios dentro de um prazo razoável. A H.d informa o Cliente sobre a suspensão dos Serviços atempadamente.

3. Obrigações do Cliente

3.1 O Cliente está obrigado a manter sempre atualizados os dados profissionais e os contactos indicados no momento da celebração do contrato durante a vigência do contrato, e a H.d fica obrigada a comunicar de imediato qualquer alteração. Além disso, o Cliente assegura que acede ao endereço de e-mail comunicado à H.d com regularidade, a fim de receber informações relevantes em relação ao contrato.

3.2 O Cliente protege os dados de acesso que recebe da H.d, contra o acesso de terceiros não autorizados. O Cliente informa a H.d de imediato caso suspeite, ou tenha conhecimento fundamentado de um possível abuso relativamente aos dados de acesso fornecidos.

3.3 O Cliente está ciente de que ao utilizar o Software de Reservas Online poderá ficar em ligação com a H.d. Por isso, o Cliente procederá a todas as ações necessárias a fim de separar, em termos de conteúdos, a sua oferta da oferta da H.d ou de terceiros.

3.4 Se o Cliente tomar conhecimento de que através do uso que faz dos Serviços ou outros desempenhos comete uma violação da lei, está obrigado a suspendê-la de imediato, incluindo a eliminação dos conteúdos infratores.

4. Disposições especiais relativas ao Espaço de Armazenamento Alojado

4.1 O Espaço de Armazenamento Alojado é disponibilizado gratuitamente ao Cliente. Por isso, a H.d não pode assegurar uma determinada disponibilidade do Espaço de Armazenamento Alojado. Além disso, o Espaço de Armazenamento Alojado não estará disponível durante trabalhos de manutenção necessários. A H.d esforça-se por reduzir a perturbação devida aos trabalhos de manutenção. A H.d disponibiliza ao Cliente, antes da celebração do contrato, as restantes especificações de funcionamento do Espaço de Armazenamento Alojado.

4.2 O Cliente fica obrigado e assegura que guarda publica e/ou coloca acessíveis todos os ficheiros, incluindo ficheiros HTML- e outros documentos, textos, imagens, gráficos, textos escritos, vídeos, etc. ("Conteúdos") exclusivamente em conformidade com a lei em vigor no Espaço Armazenamento Alojado e/ou através do Software. Sobretudo, o Cliente guarda conteúdos exclusivamente no Espaço de Armazenamento Alojado e/ou através de software para o qual o Cliente possui os direitos necessários, incluindo direitos de autor para utilização e exploração, e que não violam os direitos pessoais de terceiros. Além disso, o Cliente não guarda, publica e/ou coloca acessíveis conteúdos de teor imoral, especialmente pornográfico, racista ou discriminatório no Espaço Armazenamento Alojado e/ou através do Software. A H.d pode eliminar os conteúdos que, em violação desta cláusula 4, são guardados no Espaço Armazenamento Alojado e/ou através do Software e dos quais a H.d foi informada por autoridades, tribunais, detentores de direitos ou outras entidades ou de outra forma obteve conhecimento.

4.3 O Cliente concede à H.d os direitos necessários sobre todos os conteúdos que o Cliente guarda no Espaço de Armazenamento Alojado e/ou através do Software, publica e/ou faz acessíveis sobretudo para guardar os conteúdos, adaptá-los tecnicamente, disponibilizá-los publicamente, assim como para os reproduzir. A H.d só tem acesso aos conteúdos do Cliente existentes no Espaço de Armazenamento Alojado, na medida em que tal seja tecnicamente necessário para a provisão e/ou publicação do conteúdo e para as prerrogativas concedidas por contrato.

4.4 Além disso, o Cliente não deve efetuar ou mandar efetuar processos automatizados, scripts, software ou outros dados e/ou conteúdos e/ou ações de qualquer tipo, no Espaço de Armazenamento Alojado e/ou através do Software, que afetem mais do que apenas o essencial dos sistemas, redes e/ou outro hardware ou software ou componentes de rede da H.d e/ou de terceiros. Se a H.d tomar conhecimento dessa interferência, a H.d tem o direito de terminar essa interferência e/ou de a impedir.

4.5 O Cliente realiza cópias de segurança diárias, para poder recuperar os conteúdos do Espaço de Armazenamento Alojado sem custos extras.

4.6 Uma vez que o Cliente atua como responsável perante o cliente final/utilizador, o Cliente é obrigado a manter a própria nota legal na sua página Web com todas as informações obrigatórias.

5. Disposições especiais relativas ao Software

Não é permitido o acesso ou a utilização do Software pelo Cliente para terceiros ou para outros fins. Em particular, o Cliente não recebe o direito de reproduzir o Software, disponibilizá-lo a terceiros ou torná-lo acessíveis, desmontar o software ou de outra forma alterá-lo.

6. Celebração, duração e rescisão do contrato

6.1 O Contrato é celebrado com a aceitação da oferta pelo Cliente relativamente aos Serviços e outros desempenhos prestados pela H.d. A aceitação ocorre, regra geral, com o início da prestação dos serviços pela H.d.

6.2 O Contrato é celebrado por tempo indeterminado e pode ser rescindido em qualquer momento através do Cliente, pela H.d com um pré-aviso de duas (2) semanas.

6.3 As rescisões pela H.d devem ser efetuadas por carta ou por e-mail. Regra geral, o Cliente rescinde ao selecionar e confirmar no Software a respetiva opção de eliminação dos seus conteúdos.

6.4 O direito das partes de rescindir o Contrato sem aviso prévio do Contrato por justa causa permanece intacto. Existe justa causa em especial se o Cliente infringir uma obrigação prevista nas cláusulas 3, 4, 5, 6, 10.2 e 10.3.

6.5 Após cessação do Contrato, seja qual for a causa, a H.d elimina todos os dados guardados no âmbito do contrato pelo Cliente no Espaço de Armazenamento Alojado no período de trinta (30) dias, caso o próprio Cliente não tenha procedido à eliminação através do Software.

7. Garantia e responsabilidade, isenção

7.1 Pelo Serviços e desempenhos que a H.d disponibiliza gratuitamente ao Cliente, a H.d compensa o Cliente exclusivamente pelo dano surgido que foi fraudulentamente ocultado ao Cliente. Não existe qualquer responsabilidade adicional da H.d por falhas legais e/ou materiais por Serviços e desempenhos prestados gratuitamente.

7.2 A H.d e os seus agentes indiretos ou representantes legais só se responsabilizam pelos Serviços e desempenhos que a H.d disponibiliza gratuitamente ao Cliente nos casos de atos deliberados, negligência grave ou em caso de infração culposa da vida, do corpo ou da saúde, assim como de falhas ocultadas fraudulentamente. No caso de perda de dados, a responsabilidade da H.d fica limitada ao esforço na recuperação de dados que tenha ocorrido durante a cópia de segurança diária. A responsabilidade conforme a lei de Responsabilidade sobre um Produto e a lei de salário mínimo permanece intacta.

7.3 O Cliente é o único responsável pelos conteúdos. Por isso, o Cliente isenta a H.d, seus agentes indiretos e representantes legais, bem como as empresas ligadas à H.d, em conformidade com a § 15 da AktG, ao primeiro pedido, de todas as reivindicações de terceiros, que forem invocadas com base ou relacionadas com os Serviços e/ou outros desempenhos perante a H.d, seus agentes indiretos, representantes legais e/ou empresas ligadas à H.d. Isto aplica-se especialmente a violações de marca, direitos de autor, privacidade e concorrência. Esta isenção engloba também as custas legais necessárias, incluindo as custas para a arbitragem.

8. Privacidade, confidencialidade

8.1 A H.d é responsável pelo tratamento de dados pessoais recolhidos pelo Cliente. A H.d procede, no âmbito do presente Contrato, ao tratamento dos dados exclusivamente para execução do Contrato, por exemplo para estabelecer contacto e fornecer serviços. Não é possível executar o Contrato sem a prestação de dados pessoais. Este tratamento de dados pessoais baseia-se no artigo 6.º, primeiro parágrafo, alínea b) do Regulamento Geral de Proteção de Dados (RGPD). Os dados pessoais do Cliente serão eliminados após cessação do Contrato, a não ser que existam obrigações de caráter jurídico que requerem um período mais longo de armazenamento dos dados. Neste caso, os dados pessoais não poderão ser utilizados para outra finalidade e, em seguida, deverão ser eliminados imediatamente depois de ter expirado o período de retenção regulamentar. Para efeitos da execução do presente Contrato, a H.d utiliza o suporte de fornecedores de serviço, por exemplo no campo do alojamento, para manutenção e outros serviços. Estes fornecedores de serviço poderão ser empresas externas, bem como as empresas associadas à H.d de acordo com o estipulado na secção 15 e seguintes da lei relativa às sociedades por ações (AktG - Aktiengesetz) através de acordos celebrados com os fornecedores de serviço, a H.d assegura que os dados pessoais serão tratados em conformidade com os requisitos do RGPD. O mesmo se aplica igualmente aos dados tratados fora da UE/EEE. Para exercer os direitos previstos do Cliente de acordo com o RGPD,

· Informações sobre o tratamento de dados pessoais do Cliente, bem com uma cópia dos respetivos dados (artigo 15.º do RGPD),

· Retificação dos dados pessoais incompletos (artigo 16.º do RGPD),

· Eliminação de dados pessoais do Cliente e, se tornado público, a H.d compromete-se a informar as outras partes responsáveis sobre o pedido de eliminação (artigo 17.º do RGPD),

· Limitação do tratamento de dados pessoais do Cliente (artigo 18.º do RGPD).

· Portabilidade de dados, de forma a fornecer ao Cliente os dados pessoais num formato estruturado, comum e de leitura automática e o direito de transferir estes dados a outras partes responsáveis sem entraves da H.d (artigo 20.º do RGPD) e o

· direito de se opor ao tratamento de dados pessoais (artigo 21.º do RGPD)

O cliente pode, a qualquer momento, contactar o responsável pela proteção de dados da H.d (privacy@hd.digital). O Cliente também tem o direito de apresentar queixa perante a autoridade fiscalizadora competente, caso considere o tratamento de dados incompatível com o RGPD (artigo 77.º do RGPD).

8.2 O Cliente é, perante terceiros, o único responsável pelo cumprimento dos respetivos requisitos de privacidade, incluindo o cumprimento das obrigações de informação existentes em relação à página Web que o Cliente criou com o Software.

8.3 As partes estão obrigadas a não tornar acessíveis a terceiros as informações confidenciais até decorridos dois anos após o fim da duração do contrato e a não as utilizar para fins não contratuais. São consideradas confidenciais todas as informações sobre todas as informações técnicas e know how tornados acessíveis ao cliente, assim como outras informações que são assinaladas como confidenciais por uma de ambas as partes e que possuem valor económico.

8.4 A obrigação de confidencialidade não tem a ver com informações divulgadas publicamente sem violação da confidencialidade de uma parte perante a outra parte respetiva ou já conhecidas ou que, com base numa ordem legal, judicial ou administrativa têm de ser tornadas acessíveis a terceiros ou ajuizadas no contexto da aquisição prevista de uma empresa por terceiros obrigados a segredo.

9. Remuneração

9.1 o Cliente não recebe compensação pela prestação dos Serviços através da H.d. Os Serviços são prestados gratuitamente.

9.2 Os serviços de terceiros, que são prestados no âmbito dos serviços alargados, ficam intactos pela cláusula 9.1.

10. Outras disposições

10.1 A H.d pode prestar serviços individuais ou todos os serviços que a H.d deve prestar no âmbito do presente Contrato, especialmente os Serviços, através de subcontratante. A H.d planeia prestar estes Serviços futuramente através da sua subsidiária Hospitality. Systems GmbH.

10.2 A H.d pode alterar estes TCG após notificação prévia, incluindo as alterações previstas para com o Cliente. A H.d pode proceder a alterações dos TCG somente a um nível que seja razoável para o Cliente, em que as alterações não afetem as obrigações contratuais essenciais ou em que o Cliente, devido à alteração, não fique em piores condições. A cessão já hoje prevista dos direitos e obrigações aqui descritos pela H.d para a subsidiária Hospitality Systems GmbH é considerada aceitável. O Cliente pode discordar de uma alteração dos TCG no período de quatro (4) semanas após receção da notificação ou rescindir o Contrato sem cumprir um prazo. Desde que o Cliente não discorde, ou não discorde dentro do prazo, da alteração dos TCG, o seu acordo considera-se cedido. A H.d chamará a atenção do Cliente para as consequências de uma discordância omitida e do direito de rescisão do Contrato sem aviso prévio em notificações sobre alterações dos TCG.

10.3 Se uma disposição do presente Contrato for ou vier a ser total ou parcialmente nula, ineficaz, inexequível ou não substituível ("Disposição incorreta"), tal não afetará a eficácia nem a exequibilidade das restantes disposições do presente Contrato. Pelo contrário, as partes obrigam-se desde já, a acordar numa disposição no lugar da disposição incorreta, a qual, dentro das possibilidades legais seja a mais próxima do que as partes teriam acordado de acordo com o sentido e a finalidade do presente Contrato, se tivessem detetado a incorreção da disposição. Se a incorreção de uma disposição assentar numa medida aí determinada do serviço ou do tempo (prazo ou data), será acordada a disposição consistente com um nível legalmente permitido mais próximo do nível original. O mesmo se aplica para quaisquer lacunas neste Contrato. É vontade expressa das partes que esta cláusula de salvaguarda não origine uma mera inversão do ónus da prova, mas que § 139 BGB esteja derrogado na sua totalidade.

10.4 O Contrato e todas as reivindicações e direitos decorrentes ou relacionados com o Contrato estão sujeitos exclusivamente à Lei alemã, excluindo o conflito de legislação e devem ser interpretados e executados de acordo com a legislação alemã. A aplicação da Convenção das Nações Unidas sobre Contratos para Venda Internacional de Mercadorias (CISG) está excluída.

10.5 O foro competente para todos os litígios decorrentes ou relacionados com o presente contrato, a sua celebração ou a sua execução é - na medida do permitido por lei – Düsseldorf.

Stand: Febr. 2019/AG



TRATAMENTO DE PEDIDOS

Ao confirmar os Termos e Condições Gerais supramencionados, o Cliente ("Pessoa Responsável") e a H.d ("Subcontratante"), coletivamente denominados como "Partes", individualmente como "Parte", estabelecem igualmente o Acordo de Tratamento de Dados (Data Processing Agreement, DPA).

Preâmbulo

No contexto das respetivas atividades comerciais e de acordo com os Termos e Condições Gerais supramencionados, o Subcontratante recebe dados pessoais que serão imputáveis à Pessoa Responsável. As Partes aceitam as disposições do presente DPA, com vista ao cumprimentos das obrigações em matéria de proteção de dados e em conformidade com a legislação europeia relativa à proteção de dados, especificamente o Regulamento Geral sobre a Proteção de Dados, RGPD (General Data Protection Regulation, GDPR - Artigo 28).

1. Definições

1.1 Dados Pessoais refere-se a todas as informações relacionadas com uma pessoa singular identificada ou identificável ("Pessoa em Causa"). Uma pessoa singular considera-se identificável quando é possível identificá-la direta ou indiretamente em particular através da associação a um identificador como, por exemplo, um número de identificação, dados de localização, um identificador online ou uma ou mais características especiais que exprimam a identidade física, fisiológica, genética, mental, económica, cultural ou social desta pessoa singular (doravante "Dados").

1.2 Tratamento de dados em nome de alguém refere-se à recolha, tratamento ou utilização de dados por parte do Subcontratante em nome da Pessoa Responsável.

2. Assunto e conteúdo do pedido

2.1 Assunto e duração do pedido

Os detalhes e a duração do pedido resultam dos Termos e Condições Gerais supramencionados.

2.2 Tipo de dados

O tipo de dados é descrito mais detalhadamente nos Termos e Condições Gerais e na Política de Privacidade.

2.3 Finalidade da recolha, tratamento ou utilização dos dados

O objetivo da recolha, do tratamento ou da utilização dos dados é descrito mais detalhadamente nos Termos e Condições Gerais e na Política de Privacidade.

2.4 Natureza e dimensão da recolha, tratamento ou utilização dos dados

A natureza e dimensão da recolha, do tratamento ou da utilização dos dados é descrita mais detalhadamente nos Termos e Condições Gerais e na Política de Privacidade.

2.5 Categoria das Pessoas em Causa

(a) Dados do próprio Cliente

(b) Clientes

2.6 Medidas técnicas e organizativas

(a) As medidas técnicas e organizativas a implementar pelo subcontratante devem estar estabelecidas no Anexo (consultar abaixo) do presente DPA. O Subcontratante irá adaptar com regularidade estas medidas ao artigo anterior, a expensas suas, desde que o nível de proteção acordado não seja reduzido e que as Pessoas Responsáveis sejam imediatamente informadas.

(b) O Subcontratante tem de permitir à Pessoa Responsável verificar a conformidade local com as medidas técnicas e organizativas antes de iniciar as atividades de tratamento ao abrigo do presente contrato. O direito de auditoria da Pessoa Responsável, de acordo com a Alínea 2.10, permanece inalterado.(c) O subcontratante deverá assegurar que os sistemas de tratamento de dados utilizados na estrutura do DPA estão em conformidade com as normas da "privacidade desde a conceção" e os "parâmetros predefinidos de proteção da privacidade" de acordo com o artigo anterior.

2.7 Correção, eliminação e bloqueio de dados, direito à portabilidade dos dados e direito de oposição

(a) Os direitos das pessoas envolvidas no tratamento de dados efetuado pelo subcontratante, em particular a retificação, eliminação, bloqueio e a portabilidade dos dados, bem como a oposição aos mesmos devem ser delegados ao responsável pelo tratamento. Ele é o responsável exclusivo pela proteção destes direitos.

(b) No decurso do respetivo trabalho para a Pessoa Responsável, o Subcontratante tem a obrigação de reencaminhar todos os pedidos a ele dirigidos por parte das pessoas afetadas para a pessoa responsável pelo tratamento adequado dos mesmos, sem qualquer tipo de atraso. Se a Pessoa Responsável e o Subcontratante agirem, em conjunto, enquanto pessoas externas responsáveis, o Subcontratante tem o direito de responder a este pedido de forma independente.

(c) O Subcontratante tem também o dever de auxiliar a Pessoa Responsável mediante a implementação de medidas técnicas e organizativas apropriadas a fim de cumprir a sua obrigação de resposta às pessoas envolvidas.

(d) Em conformidade com as instruções da Pessoa Responsável, o Subcontratante deverá retificar, suspender e/ou eliminar os dados imediatamente e nunca num período superior a cinco (5) dias, bem como informar o Subcontratante no final deste prazo.

2.8 Deveres do Subcontratante

(a) O Subcontratante pode recolher, processar e utilizar dados apenas no contexto do pedido e das instruções documentadas da Pessoa Responsável.

(b) O Subcontratante tem de cumprir as medidas técnicas e organizativas, conforme definido na Cláusula 2.6 do presente DPA com intervalos regulares e enviá-las mediante pedido.

(c) O Responsável pela Proteção de Dados é indicado como pessoa de contacto para assuntos relacionados com a proteção de dados da parte do Subcontratante. Esta pessoa pode ser contactada através do endereço privacy@hd.digital. Se necessário, o Subcontratante agenda também a presença de um representante, de acordo com os requisitos do Art. 27.º do RGPD.

(d) O Subcontratante é responsável pela manutenção da confidencialidade. Todas as pessoas da parte do Subcontratante autorizadas a aceder aos dados da Pessoa Responsável estão abrangidas pelo dever de confidencialidade ou sujeitas ao sigilo profissional razoável e têm de ser informadas relativamente a obrigações de proteção de dados especiais resultantes do presente DPA, bem como, das instruções e finalidade existentes. O Subcontratante documentará estas obrigações por escrito e fornecê-las-á à Pessoa Responsável, mediante pedido.

2.9 Justificação das condições de subcontratação

(a) A justificação para relações de subcontratação está autorizada. O Subcontratante informará com antecedência a Pessoa Responsável relativamente à alteração correspondente. A Pessoa Responsável tem direito à objeção.

(b) Em caso de adjudicação por parte de outros subcontratantes, o Subcontratante assegurará contratualmente que as obrigações do Subcontratante atribuídas ao abrigo do presente DPA são igualmente aplicáveis em conformidade com o outro Subcontratante.

(c) O Subcontratante controlará as medidas técnicas e organizativas tomadas por outros subcontratantes pontual e regularmente no decorrer do período de subcontratação a fim de proteger os dados por ele fornecidos. A transferência de dados é permitida apenas se o outro Subcontratante tiver implementado as medidas técnicas e organizativas, pelo menos, de acordo com as especificações do presente DPA.

(d) O Subcontratante será totalmente responsável pelos subcontratados por si empregados.

2.10 Direitos de auditoria da Pessoa Responsável

A Pessoa Responsável está autorizada a verificar a conformidade com os regulamentos de proteção de dados aplicáveis e o DPA durante o horário normal de expediente. O Subcontratante aceita disponibilizar à Pessoa Responsável todas as informações razoavelmente necessárias para a execução da inspeção dentro de um período de tempo razoável. Sempre que a Pessoa Responsável considerar que é necessária uma auditoria na localização do Subcontratante, o Subcontratante assegurará que a pessoa responsável pela realização da auditoria tem acesso às instalações do Subcontratante, bem como a uma inspeção local dos dados armazenados e dos programas de processamento de dados. A Pessoa Responsável tem direito a que o teste seja realizado por um terceiro (examinador ) a nomear em cada caso. A Pessoa Responsável tem de informar relativamente à execução da referida auditoria, por escrito, com pelo menos vinte (20) dias úteis de antecedência. O custo da realização da auditoria, bem como os custos incorridos pelo Subcontratante, de acordo com as taxas de mercado normais, são da responsabilidade da Pessoa Responsável.

2.11 Notificações de Violações por parte do Subcontratante

(a) O Subcontratante notificará a Pessoa Responsável de imediato e, no máximo, até quarenta e oito (48) horas após a descoberta da violação, em todos os casos nos quais o Subcontratante ou as pessoas ou subcontratados por ele empregados tenham infringido a legislação de proteção de dados em vigor da Pessoa Responsável ou as condições estabelecidas no presente DPA.

(b) A Pessoa Responsável será notificada quanto a quaisquer incidentes de perda, transmissão ou receção ilegal por terceiros, independentemente da causa. O Subcontratante irá, em conjunto com a Pessoa Responsável, tomar medidas apropriadas para salvaguardar os dados ou para mitigar as eventuais consequências adversas para as pessoas envolvidas. Desde que a pessoa responsável cumpra as obrigações de notificação, o Subcontratante auxiliará a Pessoa Responsável no cumprimento destas obrigações.

2.12 Instruções da Pessoa Responsável

(a) O processamento dos dados da Pessoa Responsável por parte do Subcontratante será executado exclusivamente no contexto do DPA e as instruções específicas serão comunicadas pelo Subcontratante.

(b) O Subcontratante cumprirá, de imediato, as instruções (individuais) relativas à natureza, dimensão e método de tratamento ou, se aplicável, dentro do prazo estabelecido pela Pessoa Responsável.

(c) O Subcontratante notificará imediatamente a Pessoa Responsável se, na opinião do Subcontratante, as instruções da Pessoa Responsável violarem os regulamentos da proteção de dados. O Subcontratante terá direito a suspender a execução da instrução relevante até que esta tenha sido confirmada ou alterada por uma Pessoa Responsável.

2.13 Eliminação após a conclusão do pedido

Após a conclusão do trabalho acordado contratualmente, o Subcontratante tem de entregar todos os dados por si tratados à Pessoa Responsável ou, mediante autorização prévia da Pessoa Responsável, destruí-los de acordo com as regras da proteção de dados ou eliminá-los em conformidade com o artigo anterior. Exclui-se o direito de retenção relativo a documentos, dados, tratamento e resultados de utilização, bem como a suportes de dados associados, exceto se a lei da União Europeia ou de um dos estados membros da UE obrigar ao armazenamento dos dados.

3. Outras obrigações do Subcontratante

3.1 O Subcontratante não pode utilizar os dados fornecidos para tratamento de dados para qualquer outro fim. Não podem ser efetuadas cópias ou duplicados sem o conhecimento e autorização prévia por escrito da Pessoa Responsável, exceto se esta situação decorrer de serviços solicitados no DPA. O Subcontratante assegurará que os dados tratados por si para a Pessoa Responsável estão separados de quaisquer outros dados. Uma transmissão de dados da Pessoa Responsável efetuada pelo Subcontratante para terceiros não pode ocorrer sem a autorização prévia por escrito da Pessoa Responsável.

3.2 O Subcontratante disponibilizará assistência razoável aos responsáveis pela defesa contra reclamações baseadas na alegada ou real violação dos requisitos da proteção de dados. A Pessoa Responsável irá, por seu lado, investigar as reclamações dos titulares de dados relativas à responsabilidade de proteção de dados da Pessoa Responsável, de forma apropriada e tratar as reclamações dos titulares de dados.

3.3 O Subcontratante aceita que as informações sejam fornecidas às pessoas visadas com base no direito à informação exclusivamente através da Pessoa Responsável ou de uma pessoa autorizada pela Pessoa Responsável. O Subcontratante é obrigado a fornecer atempadamente à Pessoa Responsável as informações solicitadas e a auxiliar a Pessoa Responsável. Se for o próprio Subcontratante a desempenhar o papel de Pessoa Responsável externa, estas questões podem igualmente ser respondidas e a Pessoa Responsável pode ser informada em conformidade.

3.4 O Subcontratante auxiliará o responsável pelo tratamento na preparação dos índices de procedimentos necessários, sempre que aplicável.

3.5 O Subcontratante auxiliará a Pessoa Responsável na execução de avaliações de impacto na proteção de dados quando existir a probabilidade de um determinado tipo de tratamento representar um risco elevado para os direitos e liberdades das pessoas singulares.

3.6 O Subcontratante aceita informar imediatamente a Pessoa Responsável sobre os resultados das inspeções efetuadas pelas autoridades de supervisão da proteção de dados, na medida em que estas estejam relacionadas com o presente DPA. O Subcontratante informará as entidades responsáveis relativamente a quaisquer reclamações da parte das autoridades de supervisão da proteção de dados que estejam relacionadas com a área de responsabilidade do Subcontratante e corrigirá todas as irregularidades alvo de reclamação, conforme requerido por lei.

4. Responsabilidade

4.1 A Pessoa Responsável está encarregue da permissibilidade do tratamento de dados, bem como da proteção dos titulares de dados.

4.2 Por derrogação da secção 4.1, o Subcontratante é responsável pelas reclamações dos titulares de dados por violação das disposições legais aplicáveis ou das disposições do DPA.

4.3 Relativamente à Pessoa Responsável, o Subcontratante é responsável apenas pela intenção ou negligência grave no âmbito da exclusão de responsabilidade e das limitações legalmente permitidas.

5. Disposições finais

5.1 O Responsável pelo tratamento informará de imediato e totalmente o Subcontratante, se, durante a auditoria, encontrar erros ou irregularidades no tratamento de dados executado pelo Subcontratante.

5.2 O presente DPA poderá ser modificado ou terminado ao abrigo dos mesmos termos e condições supramencionados nos Termos e Condições Gerais.

5.3 A não validade de uma ou mais disposições do presente DPA não afeta a efetividade deste DPA. Caso uma ou mais disposições do presente DPA não sejam efetivas, as Partes optarão por uma disposição de substituição legal e economicamente viável. O mesmo é aplicável em caso de uma falha no sistema.

5.4 O DPA está sujeito aos mesmos direitos que os Termos e Condições Gerais supramencionados.

5.5 No caso de ocorrência de contradições entre o DPA e os outros acordos entre as partes, prevalecem as disposições do presente DPA.

Estado: 2018/ AG


Medidas técnicas e organizativas

Tendo em conta o artigo anterior, os custos e a natureza da implementação, o âmbito, as circunstâncias e a finalidade do tratamento, bem como as diferentes probabilidades e graus de gravidade relativos ao risco para os direitos e liberdades das pessoas singulares, o Subcontratante implementará medidas técnicas e organizativas apropriadas para assegurar o nível de proteção proporcional ao risco. Estas medidas incluem, nomeadamente, o seguinte:

• a pseudonimização e a encriptação dos dados;

• a capacidade de assegurar de forma permanente a confidencialidade, integridade, disponibilidade e resiliência dos sistemas e serviços de tratamento;

• a capacidade de restaurar rapidamente a disponibilidade e a acessibilidade aos dados em caso de ocorrência de incidentes físicos ou técnicos;

• um processo para a revisão, análise e avaliação periódicas da eficácia das medidas técnicas e organizativas de forma a assegurar a segurança do tratamento.

Sem prejuízo do supracitado, serão tomadas as seguintes medidas específicas:

1. Controlo de acesso

Medidas para evitar que pessoas não autorizadas acedam ao sistema de tratamento de dados utilizado para tratar os dados:

• Especificação do grupo de pessoas autorizado bem como da documentação correspondente;

• Controlo de acesso eletrónico;

• Emissão de ID de acesso;

• Introdução de diretrizes para indivíduos externos;

• Alarme ou segurança fora do horário laboral;

• Distribuição de propriedades por diferentes zonas de segurança;

• Introdução de diretrizes para a gestão de chaves (cartões);

• Portas de segurança (Abertura de porta eletrónica, leitor de ID, CCTV);

• Introdução de medidas de segurança local (por ex.: deteção/notificação de intrusão).

2. Controlo de acesso

Medidas para evitar o acesso de pessoas não autorizadas à utilização do sistema e procedimentos de tratamento de dados:

• Definição do grupo de pessoas com acesso aos sistemas de tratamento de dados;

• Introdução de diretrizes para indivíduos externos;

• Proteção por palavra-passe para os computadores pessoais.

3. Controlo de acesso

Medidas para assegurar que as pessoas autorizadas a utilizar as técnicas de tratamento de dados apenas podem aceder aos dados sujeitos à respetiva autorização.

• Introdução de direitos de acesso limitados baseados nos respetivos dados e funções;

• Obrigação de identificação do equipamento de tratamento de dados (por ex., através do ID e da autenticação);

• Introdução de políticas relativas ao acesso e às funções do utilizador;

• Avaliação de protocolos em caso de ocorrência de um evento de risco.

4. Controlo de transferência

Medidas para garantir que os dados não possam ser lidos, copiados, alterados ou removidos durante o seu envio eletrónico ou durante o respetivo transporte ou armazenamento em suportes de dados e para que seja possível verificar e determinar quando é disponibilizado o envio de dados.

• Encriptação

5. Controlo de entrada

Medidas para assegurar que seja possível verificar e determinar subsequentemente se os dados foram introduzidos e por quem foram introduzidos, alterados ou removidos a partir de sistemas de TI.

• Registo de entradas de dados.

6. Controlo de pedidos

Medidas para garantir que os dados processados apenas possam ser processados de acordo com as instruções da Pessoa Responsável.

• Documentação das diferentes competências e obrigações entre a Pessoa Responsável e o Subcontratante;

• Adjudicação formal;

• Controlo dos resultados de trabalho.

7. Controlo da disponibilidade

Medidas para assegurar que os dados estão protegidos contra destruição ou perda acidental.

• Implementação de um plano para execução de cópias de segurança regulares;

• Armazenamento seguro de cópias de segurança dos dados em compartimentos resistentes ao fogo e à água;

• Introdução e controlo regular de um sistema para energia de emergência e de um sistema de proteção contra sobretensão;

• Introdução de um plano de emergência;

• Protocolo relativo à introdução da gestão de crise e/ou emergência.

8. Controlo de separação

Medidas para garantir que os dados recolhidos com diferentes finalidades podem ser processados em separado.

• Separação dos dados de cada cliente do Subcontratante.

Estado: Maio 2018/ AG