Adendo à proteção de dados do parceiro
O seguinte Adendo de Proteção de Dados do Parceiro faz parte do Contrato do Programa de Parceiros e estabelece os termos relativos ao processamento de dados pessoais.
1. GERAL
Este Adendo de Proteção de Dados do Parceiro (”DPA”) faz parte do Acordo do Programa de Parceiros (”Acordo”) e estabelece os termos adicionais relativos ao tratamento de dados pessoais. Os termos em maiúsculas têm o significado definido na próxima Secção deste documento ou noutra parte do Contrato. Se houver um conflito entre os termos deste DPA e quaisquer outros termos do Contrato, este DPA prevalecerá. Para os fins deste DPA, “Provedor” significa Parceiro.
2. DEFINIÇÕES
- (a) “Lei de Proteção de Dados Aplicável” significa toda a lei aplicável relativa ao Tratamento de Dados Pessoais nos termos do Contrato, incluindo, mas não se limitando a, (i) para Dados Pessoais originários de uma Entidade Autorizada localizada no EEE, o Regulamento Geral de Proteção de Dados (UE) 2016/679 (”GDPR”) e (ii) para Dados Pessoais originários de uma Entidade Autorizada localizada no Reino Unido, o RGPD do Reino Unido e a Lei de Proteção de Dados do Reino Unido de 2018.
- (b) “Entidade Autorizada” significa qualquer entidade (incluindo a Siemens e as empresas do seu grupo) que actue como Controller e tenha o direito, pelo Contrato, de aceder ou usar os Serviços direta ou indiretamente.
- (c) “Controller” significa a pessoa singular ou colectiva que, isoladamente ou em conjunto com outras pessoas, determina as finalidades e os meios do Tratamento de Dados Pessoais.
- (d) “País com uma Decisão de Adequação” significa qualquer país para o qual a Comissão da UE decidiu que esse país garante um nível adequado de proteção de dados e para dados pessoais originários do Reino Unido, qualquer país para o qual os regulamentos de adequação do Reino Unido tenham sido estabelecidos nos termos das seções 17A ou 74A da Lei de Proteção de Dados de 2018.
- (e) “Violação de Dados” significa qualquer violação de segurança (i) que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais transmitidos, armazenados ou Processados de outra forma, ou (ii) exigiria a notificação de tal evento a terceiros nos termos da lei aplicável.
- (f) “EEE” significa o Espaço Económico Europeu.
- (g) “Cláusulas Contratuais-Tipo da UE” significa as Cláusulas Contratuais-Tipo (UE) 2021/914.
- (h) “Área de Originação” significa o EEE, o Reino Unido, a Suíça e cada país com requisitos de adequação semelhantes aos contidos nos artigos 45 e seguintes. GDPR.
- (i) “Dados Pessoais” significa qualquer informação relativa a uma pessoa singular identificada ou identificável; uma pessoa singular identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador como um nome, um número de identificação, dados de localização, um identificador online ou a um ou mais fatores específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.
- (j) “Processamento” (e as suas outras formas tais como Processo, Processos, Processados) significa qualquer operação ou conjunto de operações que seja realizado em Dados Pessoais ou em conjuntos de Dados Pessoais, seja ou não por meios automatizados, tais como recolha, gravação, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização de outra forma, alinhamento ou combinação, restrição, apagamento ou destruição.
- (k) “Processador” significa uma pessoa singular ou colectiva, autoridade pública, agência ou qualquer outro organismo que processe Dados Pessoais em nome de um Controller.
- (l) “Rules Corporativas Vinculativas do Processador” significa regras corporativas vinculativas para processadores aprovadas pela autoridade supervisora competente.
- (m) “Dados Pessoais Restritos” significa quaisquer Dados Pessoais originários de uma Entidade Autorizada localizada dentro de uma Área de Origem.
- (n) “Transferência (ões) restrita (s)” significa qualquer Processamento (incluindo transferências, acesso internacional e transferências subsequentes) de Dados Pessoais Restritos pelo Fornecedor ou qualquer um dos seus Subprocessadores fora da Área de Originação relevante.
- (o) “Serviços” significa os Serviços ao abrigo do Contrato prestado pelo Fornecedor atuando na sua função de Processador na aceção deste DPA.
- (p) “Cláusulas Contratuais-Tipo” significa as Cláusulas Contratuais-Tipo da UE e as Cláusulas Contratuais-Tipo do Reino Unido.
- (q) “Subprocessador (es)” significará qualquer outro Processador envolvido no desempenho dos Serviços.
- (r) “Transferir salvaguarda (s)” significará salvaguardas apropriadas para Transferências Restritas, conforme exigido pela Lei de Proteção de Dados Aplicável, incluindo, sem limitação, quaisquer salvaguardas apropriadas exigidas pelo Artigo 46 do RGPD.
- (s) “RGPD do Reino Unido” significa o GDPR incorporado na lei do Reino Unido em virtude da Secção 3 da Lei da União Europeia (Retirada) do Reino Unido de 2018.
- (t) “Cláusulas Contratuais-Tipo do Reino Unido” significa as cláusulas padrão de proteção de dados que são adotadas periodicamente pelo Escritório dos Comissários de Informação do Reino Unido (ICO) de acordo com o artigo 46 (2) do GDPR do Reino Unido, incluindo, mas não se limitando a, o acordo internacional de transferência de dados (IDTA do Reino Unido) e as Cláusulas Contratuais-Tipo da UE conforme alterado pelo Adendo Internacional de Transferência de Dados da ICO às Cláusulas Contratuais Padrão da Comissão da UE (”Adendo do Reino Unido”). [1]
3. CONFORMIDADE COM A LEI DE PROTEÇÃO DE DADOS APLICÁVEL
As partes devem observar a Lei de Proteção de Dados Aplicável conforme se aplicam a elas e conforme exigido aqui. Ao prestar Serviços, o Fornecedor deve, em particular, cumprir as disposições da Lei de Proteção de Dados Aplicável no que diz respeito ao Tratamento de Dados Pessoais como Processador.
4. ÂMBITO DO PROCESSAMENTO
O Fornecedor processará Dados Pessoais apenas (a) de acordo com os termos deste DPA e do Contrato; ou (b) com outras instruções documentadas da Siemens. O Fornecedor não deve Processar Dados Pessoais para os seus próprios fins ou transferi-lo para terceiros, a menos que permitido por este DPA. O Fornecedor informará imediatamente a Siemens se, na sua opinião, uma instrução da Siemens infringir a Lei de Proteção de Dados Aplicável.
5. DETALHES DAS OPERAÇÕES DE PROCESSAMENTO FORNECIDAS
Os detalhes das operações de processamento fornecidas pelo Fornecedor - em particular o assunto do Tratamento, a natureza e a finalidade do Tratamento, os tipos de Dados Pessoais Processados e as categorias de titulares de dados afetados - estão especificados em Anexo I a este DPA.
6. MEDIDAS TÉCNICAS E ORGANIZACIONAIS
Tendo em conta o estado da técnica, os custos de implementação e a natureza, âmbito, contexto e finalidades do Tratamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas singulares, o Fornecedor deve implementar medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco, incluindo, mas não limitado a, consoante o caso: (a) a pseudonimização e encriptação dos Dados Pessoais; (b) a capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas de Processamento de sistemas e serviços; (c) a capacidade de restaurar a disponibilidade e o acesso aos Dados Pessoais em tempo hábil no caso de um incidente físico ou técnico; (d) um processo para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do Tratamento. Sem prejuízo da generalidade da frase anterior, o Fornecedor deve implementar a todo o momento pelo menos as medidas técnicas e organizacionais descritas em Anexo IIa este DPA.
7. COMPROMISSO COM A CONFIDENCIALIDADE
O Fornecedor limitará o acesso do seu pessoal aos Dados Pessoais com base na necessidade de saber. O fornecedor fornecerá um aviso detalhado ao seu pessoal sobre as disposições legais e contratuais aplicáveis em relação à proteção de dados. O Fornecedor deve colocar o seu pessoal sob a obrigação de cumprir essas disposições e, em particular, de manter os Dados Pessoais em segredo e não de Processar Dados Pessoais que não sejam de acordo com as instruções da Siemens. A obrigação de sigilo continuará a ser aplicável após o termo deste Contrato e a relação contratual do pessoal com o Fornecedor. O fornecedor fornecerá prova de tal obrigação mediante solicitação.
8. SUBPROCESSADORES
- (a) O fornecedor tem a autorização geral da Siemens para a contratação de Subprocessadores. Uma lista atual de Subprocessadores encomendados pelo Provedor está contida em Anexo III a este DPA.
- (b) O Fornecedor deve informar especificamente a Siemens por escrito de quaisquer alterações pretendidas nessa lista através da adição ou substituição de Subprocessadores com pelo menos 30 dias de antecedência. O Fornecedor fornecerá à Siemens as informações necessárias para permitir que a Siemens exerça o direito de oposição. Se a Siemens não levantar objeções dentro deste período de 30 dias, isso será considerado como uma aprovação do novo Subprocessador. Se a Siemens levantar objeções, o Fornecedor irá - antes de autorizar o Subprocessador a aceder aos Dados Pessoais - envidar esforços razoáveis para resolver as preocupações e reservas expressas pela Siemens e (i) abster-se de usar o Subprocessador; ou (ii) propor à Siemens uma alteração razoável nos Serviços ou na configuração ou utilização dos Serviços pela Siemens para evitar o Processamento de Dados Pessoais pelo novo Subprocessador objeto. Se o Fornecedor não conseguir eliminar os motivos da objeção da Siemens, a Siemens tem o direito de rescindir os Serviços afetados sem quaisquer danos ou penalidades. Em caso de rescisão pela Siemens, o Fornecedor reembolsará quaisquer montantes pré-pagos para o Serviço aplicável numa base proporcional.
- (c) Quando o Fornecedor contratar um Subprocessador para realizar atividades de processamento específicas (em nome da Siemens e/ou Entidades Autorizadas), deve fazê-lo por meio de um contrato escrito que preveja, em substância, as mesmas obrigações de proteção de dados que as que vinculam o Fornecedor ao abrigo deste DPA.
- (d) O Fornecedor fornecerá, a pedido da Siemens, uma cópia do contrato do Subprocessador e quaisquer alterações subsequentes à Siemens. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o Fornecedor pode redigir o texto do contrato antes de partilhar uma cópia.
- (e) O Fornecedor deve auditar adequada e regularmente o Subprocessador no que diz respeito ao cumprimento destes requisitos e documentar os resultados dessas auditorias.
- (f) O Fornecedor permanecerá totalmente responsável perante a Siemens pelo desempenho das obrigações do Subprocessador nos termos do seu contrato com o Fornecedor. O Fornecedor deve informar a Siemens de qualquer falha por parte do Subprocessador em cumprir as suas obrigações nos termos desse contrato.
9. PROCESSAMENTO INTERNACIONAL DE DADOS
No caso de Transferências Restritas para o Provedor, o Fornecedor deve garantir que tal Transferência Restrita seja coberta por salvaguardas de transferência adequadas, conforme estabelecido neste Secção 9 e Anexo III a este DPA.
- (a) Cláusulas Contratuais-Tipo. O seguinte aplica-se se uma salvaguarda de transferência for baseada nas Cláusulas Contratuais-Tipo:
- EEA-Provedores. Se o Fornecedor estiver localizado dentro do EEE, o Fornecedor deverá celebrar as Cláusulas Contratuais-Tipo (Módulo 3) com o seu Subprocessador. Secções 9 (a) (vii) (“Lei aplicável”), 9 (a) (viii) (“Escolha do Fórum e Jurisdição”), 9 (a) (ix) (b) (“Parte 1 do Adendo ao Reino Unido”), e o segunda frase da secção 9 (a) (x) (“Entidades Autorizadas em Outros Países”) deste DPA não se aplicam se o Provedor estiver localizado no EEE.
- Provedores NÃO-EEE. Se o Fornecedor estiver localizado fora do EEE, a Transferência Restrita será regida pelos Módulos 2 e 3 das Cláusulas Contratuais-Tipo. As disposições relevantes contidas nas Cláusulas Contratuais-Tipo são incorporadas por referência e são parte integrante deste DPA. As informações exigidas para efeitos dos Anexos às Cláusulas Contratuais-Tipo estão estabelecidas em Anexos I a IIIa este DPA.
- Cláusula de ancoragem. A opção ao abrigo da Cláusula 7 das Cláusulas Contratuais-Tipo não se aplica.
- Transferências subsequentes. Qualquer transferência posterior deve estar em conformidade com as Cláusulas 8 e 9 do Módulo aplicável das Cláusulas Contratuais-Tipo. Caso a Siemens esteja localizada fora do EEE e atue como importadora de dados ao abrigo das Cláusulas Contratuais-Tipo com Entidades Autorizadas, a cláusula de terceiro beneficiário estipulada pela Cláusula 9 (e) das Cláusulas Contratuais-Tipo será a favor dessa Entidade Autorizada.
- Utilização de Subprocessadores.Aplica-se a opção 2 nos termos da Cláusula 9 das Cláusulas Contratuais-Tipo. Para efeitos da Cláusula 9 (a) das Cláusulas Contratuais-Tipo, o Fornecedor tem a autorização geral da Siemens para contratar Subprocessadores de acordo com Secção 8 deste DPA.
- Reação. Caso o Fornecedor ofereça aos titulares dos dados a opção de apresentar uma reclamação a um organismo independente de resolução de litígios (ver Opção na Cláusula 11 das Cláusulas Contratuais-Tipo), o Fornecedor deve informar a Siemens do órgão de arbitragem responsável por escrito e cumprir os requisitos aplicáveis contidos na Cláusula 11 das Cláusulas Contratuais-Tipo e as regras de arbitragem aplicáveis.
- Legislação Aplicável. A lei aplicável para efeitos da Cláusula 17 das Cláusulas Contratuais-Tipo será a lei designada na secção de lei aplicável do Contrato. Se o Acordo não for regido por uma lei de um Estado-Membro da UE, as Cláusulas Contratuais-Tipo da UE serão regidas pelas leis da Alemanha.
- Escolha do Fórum e Jurisdição. Os tribunais nos termos da Cláusula 18 das Cláusulas Contratuais-Tipo serão os designados na secção de foro do Contrato. Se o Acordo não designar um tribunal de um Estado-Membro da UE como tendo jurisdição exclusiva para resolver qualquer litígio ou processo decorrente ou relacionado com o Acordo, as partes concordam que os tribunais da Alemanha terão jurisdição exclusiva para resolver qualquer litígio decorrente das Cláusulas Contratuais-Tipo da UE.
- Entidades Autorizadas no Reino Unido. Caso as Transferências Restritas tenham origem em Entidades Autorizadas localizadas no Reino Unido, aplicar-se-á o seguinte:
- Adendo do Reino Unido. A Adenda do Reino Unido será utilizada, salvo acordo em contrário por escrito pela Siemens.
- Parte 1 da Adenda do Reino Unido. A parte 1 da adenda do Reino Unido será aplicada da seguinte forma:
- Quadro 1: Os detalhes das partes e as principais informações de contacto estão contidos em Anexo I a este DPA.
- Quadro 2: A versão dos SCCs aprovados da UE (conforme definido pelo Adendo do Reino Unido) à qual o Adendo do Reino Unido é anexado, são as Cláusulas Contratuais-Tipo da UE com os Módulos e Cláusulas selecionados acima em Secção 9 (a) deste DPA. Nenhum dado pessoal recebido do Importador é combinado com os dados pessoais recolhidos pelo Exportador.
- Quadro 3: As informações do apêndice, conforme exigido no Quadro 3 da Adenda do Reino Unido, estão contidas em Anexos I a III a este DPA.
- Quadro 4: Nenhuma das partes pode rescindir o Adendo do Reino Unido quando o Adendo Aprovado (conforme definido no Adendo do Reino Unido) for alterado.
- Entidades Autorizadas em Outros Países. Caso as Cláusulas Contratuais-Tipo protejam as Transferências Restritas de Entidades Autorizadas localizadas fora do EEE e do Reino Unido (por exemplo, Suíça), (1) referências gerais e específicas nas Cláusulas Contratuais-Tipo ao RGPD ou à legislação da UE ou dos Estados-Membros terão o mesmo significado que a referência equivalente nas Leis de Proteção de Dados Aplicáveis do país onde a Entidade Autorizada está localizada, conforme aplicável; e (2) referências à “supervisão competente” autoridade” será interpretada como referências à proteção de dados competente autoridade nesse país. A lei aplicável, a escolha do fórum e a jurisdição serão regidos por Secções 9 (a) (vii) e (viii) deste DPA, salvo exigência em contrário pelas leis aplicáveis à respectiva Entidade Autorizada, caso em que as Cláusulas Contratuais-Tipo serão regidas pelas leis do país em que a Entidade Autorizada está localizada e quaisquer referências aos “tribunais” competentes serão interpretadas como referências a tribunais competentes nesse país.
- Rules corporativas de vinculação de processador. O seguinte será aplicável se uma Proteção de Transferência for baseada nas Rules Corporativas Vinculativas do Processador: O Fornecedor deve vincular contratualmente esse Subprocessador a cumprir as Rules Corporativas Vinculativas do Processador no que diz respeito aos Dados Pessoais Processados ao abrigo deste DPA.
- Salvaguardas de Transferência Adicionais. Caso as Salvaguardas de Transferência não se baseiem em Cláusulas Contratuais-Tipo, as Cláusulas 14 e 15 das Cláusulas Contratuais-Tipo serão aplicadas mutatis-mutandis às Transferências Restritas ao abrigo dessa outra Salvaguarda de Transferência, a menos que a respectiva Proteção de Transferência contenha, em substância, os mesmos direitos e obrigações relativos a (i) leis e práticas locais que afetem o cumprimento das Salvaguardas de Transferência, e (ii) obrigações em caso de acesso por autoridades públicas contidas nas Cláusulas Cláusulas 14 e 15 das Cláusulas Contratuais-Tipo.
- Outro. O Fornecedor concorda e compreende que a Lei de Proteção de Dados Aplicável local, pode conter restrições de transferência semelhantes ou adicionais, conforme contido neste Secção 9. Nesse caso, o Fornecedor concorda em envidar esforços razoáveis e cooperar com a Siemens de boa fé para atender a esses requisitos.
10. ASSISTÊNCIA DO PRESTADOR
O Fornecedor deve razoavelmente ajudar a Siemens a garantir a conformidade com a Lei de Proteção de Dados Aplicável, em particular auxiliando a Siemens da seguinte forma:
- (a) Correção, Eliminação ou Restrição de Processamento. O Fornecedor deverá (i) fornecer a capacidade de retificar, apagar ou restringir o Tratamento de Dados Pessoais através das funcionalidades dos Serviços, ou (ii) retificar, apagar ou restringir o Tratamento de Dados Pessoais conforme instruído pela Siemens.
- (b) Acesso a Dados Pessoais. Na medida em que as informações relativas a um titular de dados não estejam acessíveis através do Serviço, o Fornecedor irá, conforme necessário para permitir que a Siemens e as Entidades Autorizadas cumpram as suas obrigações ao abrigo das Leis de Proteção de Dados aplicáveis, prestar assistência para disponibilizar essas informações à Siemens e/ou Entidades Autorizadas.
- (c) Titular dos dados e pedidos de autoridade. O Fornecedor notificará imediatamente a Siemens sobre: (i) qualquer pedido ou reclamação recebida ou quaisquer avisos de investigação por parte de uma autoridade ou agência de aplicação da lei, governamental ou reguladora; e (ii) qualquer pedido recebido diretamente de qualquer titular de dados sobre os seus Dados Pessoais. No que diz respeito a (i) e (ii) acima, o Fornecedor não responderá sem instruções da Siemens. Se assim for instruído, o Fornecedor apoiará razoavelmente a Siemens na resposta a tais solicitações.
- (d) Portabilidade de dados. Mediante pedido da Siemens e se exigido pela Lei de Proteção de Dados Aplicável, o Fornecedor (i) fornecerá a capacidade de extrair Dados Pessoais por referência a um titular de dados específico de acordo com as funcionalidades do Serviço ou (ii) disponibilizará o conjunto relevante de dados à Siemens e/ou à respetiva Entidade Autorizada, em cada caso num formato estruturado, comumente usado e legível por máquina.
- (e) Avaliações de Impacto da Protecção de Dados. Se solicitado pela Siemens, o Fornecedor fornecerá todas as informações e suporte razoável para realizar avaliações de impacto na proteção de dados ao abrigo das Leis de Proteção de Dados Aplicáveis.
11. TÉRMINO DA RELAÇÃO DE PROCESSAMENTO DE DADOS
Após o término da relação de processamento de dados, a menos que instruído de outra forma pela Siemens ou aqui estabelecido, o Fornecedor devolverá à Siemens todos os Dados Pessoais disponibilizados ao Fornecedor ou obtidos ou gerados pelo Fornecedor em conexão com os Serviços contratualmente acordados e excluirá ou destruirá irrevogavelmente quaisquer dados restantes. A eliminação ou destruição será confirmada pelo Fornecedor por escrito, mediante pedido.
12. OBRIGAÇÕES DE NOTIFICAÇÃO
- (a) O Fornecedor notificará a Siemens imediatamente mas em qualquer caso dentro de 48 horas, caso o Fornecedor descubra ou suspeite razoavelmente de qualquer Violação de Dados.
- (b) Na notificação à Siemens, o Fornecedor deve fornecer à Siemens as seguintes informações: (i) detalhes de um ponto de contacto onde (ou de quem) podem ser obtidas mais informações, (ii) uma descrição da natureza da violação (incluindo, sempre que possível, nomes, categorias e número aproximado de titulares dos dados e registos de dados pessoais em causa), (iii) as consequências prováveis e as medidas tomadas ou propostas para resolver a violação, incluindo, quando apropriado, medidas para mitigar os seus possíveis efeitos adversos. Se e na medida em que não for possível fornecer todas as informações ao mesmo tempo, a notificação inicial deve conter as informações então disponíveis e as informações adicionais serão, assim que disponíveis, subsequentemente fornecidas sem demora injustificada.
- (c) Quaisquer notificações ao abrigo deste Secção 12 será feito (i) para o respetivo ponto de contacto identificado no Contrato e (ii) para dataprotection@siemens.com.
- (d) O Provedor deverá, às custas e custas do Fornecedor, (i) cooperar totalmente com a Siemens na investigação de uma Violação de Dados; (ii) ajudar e cooperar com a Siemens em relação a quaisquer notificações ou divulgações legalmente exigidas às pessoas afetadas (por comunicação individual, comunicação pública através da mídia ou por medidas semelhantes), aplicação da lei, reguladores e/ou outros terceiros; e (iii) tomar qualquer outra ação que a Siemens considere necessária em relação a tal Violação de dados e qualquer litígio, inquérito ou reclamação que diga respeito à Violação de Dados.
- (e) A menos que a lei aplicável ou uma ordem de um regulador competente exija o contrário, a Siemens fará a determinação final, a seu exclusivo critério, (i) se uma Violação de Dados requer notificação e (ii) da forma da notificação. No caso de o Fornecedor fornecer tais notificações relativas a uma Violação de Dados, tais avisos devem ser aprovados, com antecedência, pela Siemens.
- (f) O Fornecedor deve, às suas custas, tomar as medidas apropriadas para resolver a Violação de Dados, incluindo medidas para mitigar os seus efeitos adversos (incluindo medidas para proteger o ambiente operacional). O Fornecedor também deve tomar medidas imediatas destinadas a prevenir a recorrência de qualquer Violação de Dados, incluindo qualquer ação exigida pela Lei de Proteção de Dados Aplicável.
- (g) O Fornecedor reembolsará à Siemens todos os custos e despesas incorridos por tal Violação de Dados causada pelo Fornecedor, incluindo, mas não se limitando aos custos de prestação de monitorização de crédito aos indivíduos cujos Dados Pessoais foram afetados pela Violação de Dados. Limitações de responsabilidade a favor do Fornecedor nos termos do Contrato não se aplicam a este respeito.
13. DOCUMENTAÇÃO E AUDITORIAS
- (a) O Fornecedor deve (i) monitorizar, por meios adequados, a sua própria conformidade com as suas obrigações de proteção de dados nos termos deste DPA e da Lei de Proteção de Dados Aplicável; (ii) criar relatórios periódicos (pelo menos anuais) e baseados em ocasiões (cada um a”Relatório”); e (iii) disponibilizar os Relatórios à Siemens e às Entidades Autorizadas mediante solicitação. Sempre que uma norma de controlo e uma estrutura implementada pelo Provedor prevejam controlos, esses controlos serão realizados de acordo com as normas e regras do organismo regulador ou de acreditação para cada norma ou estrutura de controlo aplicável.
- (b) Se for necessário abordar adequadamente os seus direitos e obrigações de auditoria ao abrigo da Lei de Proteção de Dados Aplicável, as Salvaguardas de Transferência aplicáveis ou se solicitado por uma autoridade competente de proteção de dados ou outra autoridade ou agência governamental competente, o Fornecedor deve disponibilizar à Siemens e Entidades Autorizadas - além dos Relatórios - todas as informações adicionais razoavelmente solicitadas e permitir e contribuir para auditorias, incluindo inspeções, conduzidas pela Siemens ou Entidades Autorizadas ou outro auditor mandatado pela Siemens ou Entidades. Para esse efeito, a Siemens, as Entidades Autorizadas ou outro auditor mandatado pela Siemens ou Entidades Autorizadas também terão o direito de realizar inspeções no local durante o horário comercial normal, sem interromper as operações comerciais do Provedor e após um aviso prévio razoável.
14. USO DE COOKIES
Se o Serviço fizer uso de cookies ou tecnologias semelhantes, aplicar-se-á o seguinte: O Fornecedor deverá, a menos que especificamente acordado de outra forma pela Siemens com referência a este Secção 14, apenas armazene informações (por exemplo, escrevendo um cookie), ou obtenha acesso a informações já armazenadas no equipamento terminal de um utilizador do Serviço (por exemplo, através de um cookie) com o único propósito de realizar a transmissão de uma comunicação através de uma rede de comunicações eletrónicas, ou conforme estritamente necessário para que o Fornecedor forneça as funcionalidades essenciais dos Serviços.
15. DIVERSOS
O Fornecedor compreende e concorda que os requisitos neste DPA são parte integrante do Contrato e, uma violação material de qualquer um destes requisitos será considerada uma violação material pelo Fornecedor do Contrato, dando direito à Siemens a recursos materiais relacionados com a violação contidos no Contrato.
16. REQUISITOS ADICIONAIS RELATIVOS AOS DADOS DA SIEMENS
Se e na medida em que o Fornecedor aceder aos Dados Pessoais recebidos de uma empresa do grupo Siemens estabelecida nos Estados Unidos da América (”Siemens US Company”) ou de um titular de dados residente nos Estados Unidos da América e, além do acima exposto, o Fornecedor: (i) cumprirá as leis federais, estaduais e locais dos EUA em relação aos Dados Pessoais aplicáveis ao Fornecedor, tais Dados Pessoais e proprietários ou controladores desses Dados Pessoais; quando o acima exposto for aplicável, o termo “Lei de Proteção de Dados Aplicável”, conforme aqui utilizado, incluirá as leis anteriores; (exceto ii) conforme especificamente previsto neste documento ou no Contrato, não deve vender, partilhar, alugar, liberar, divulgar, divulgar ou disponibilizar Dados Pessoais a terceiros; e não combinarão os Dados Pessoais com outras informações; (iii) notificará a Siemens se o Fornecedor determinar que o Fornecedor não pode mais cumprir suas obrigações aqui estabelecidas; (iv) garantirá que cada pessoa que processa Dados Pessoais esteja sujeita a um dever de confidencialidade em relação aos Dados Pessoais; (v) será considerado e atuará como um “provedor de serviços” ao abrigo da Lei de Proteção de Dados Aplicável (incluindo o Consumidor da Califórnia Lei da Privacidade, os seus regulamentos de implementação e quaisquer alterações aos mesmos); e (vii) certifica que compreende as restrições aqui contidas e que as cumprirá.
Anexo I ao DPA (e, quando aplicável, as Cláusulas Contratuais-Tipo)
A.LISTA DE PARTIDOS
Destinatário dos serviços/exportador de dados:
Nome: | Entidade Siemens especificada no Formulário de Execução |
Morada: | Conforme previsto no Formulário de Execução |
Nome do contacto, cargo e detalhes de contacto | Gabinete do responsável pela proteção de dados da Siemens Werner-von-Siemens-Straße 1, 80333 Munique, Alemanha E-mail: datapotection@siemens.com |
Atividades relevantes para os dados transferidos/processados | O Parceiro fornecerá serviços de sucesso do cliente e/ou manutenção e suporte aos Clientes conforme indicado no Formulário de Autorização do Parceiro de acordo com o Contrato. Ao executar estes serviços, o Parceiro pode também ter acesso aos sistemas e redes do cliente final da Siemens e o acesso a dados pessoais não pode ser excluído. |
Função (Controlador/Processador) | A Siemens atua como Controller das atividades de processamento fornecidas pelo Fornecedor em relação à Siemens e como Processador sob as instruções de suas Entidades Autorizadas para atividades de processamento fornecidas pelo Fornecedor em relação às Entidades Autorizadas. |
Fornecedor/importador de dados:
Nome: | Entidade fornecedora especificada no Formulário de Execução |
Morada: | Conforme previsto no Formulário de Execução |
Nome do contacto, cargo e detalhes de contacto | Conforme previsto no Formulário de Autorização do Parceiro |
Atividades relevantes para os dados transferidos/processados | Veja acima da tabela |
Função (Controlador/Processador) | O Fornecedor atua como Processador de Dados Pessoais em nome da Siemens e, conforme o caso, Entidades Autorizadas. |
B.DESCRIÇÃO DAS OPERAÇÕES DE TRANSFERÊNCIA/PROCESSAMENTO
Categorias de titulares de dados cujos Dados Pessoais são transferidos/processados: | ☒ Funcionários e pessoal (incluindo candidatos, regulares, temporários, a tempo parcial, estagiários, empreiteiros e agentes) ☒ Pessoas de contacto em parceiros de negócios, fornecedores, fornecedores e outros parceiros de cooperação ☒ Cliente (es) e/ou os seus funcionários e pessoal (incluindo candidatos, regulares, temporários, a tempo parcial, estagiários, empreiteiros e agentes) ☒ Utilizadores de produtos/serviços de software da Siemens ☐ Outro, por favor liste: Afetaram ainda os titulares dos dados cujos dados pessoais estão contidos numa aplicação ou sistema informático que está no âmbito dos Serviços prestados. |
Categorias de Dados Pessoais Transferidos/Processados | ☒ Informações de contacto (como nome, morada, número de telefone ou fax, endereço de e-mail, etc.) ☒ Organização organizacional (como cargo, departamento, etc.) ☒ Dados de localização (como GPS, etc.) ☐ Identificadores governamentais e pessoais (como número de segurança social, número da carta de condução, número do seguro social, etc.) ☐ Dados financeiros (tais como rendimentos, ficheiros de empréstimos, transações, informações de crédito, hábitos de compra e consumo, estado de insolvência, etc.) ☐ Dados de emprego (como dados de recrutamento e qualificação, dados de remuneração e folha de pagamento, dados de identificação do funcionário, status do funcionário, dados de presença, dados de histórico de trabalho, etc.) ☒ Dados da conta do utilizador (como nome de utilizador/ID e palavra-passe, etc.) ☒ Informações relacionadas com a utilização de ativos de TI pelo titular dos dados (como endereço IP, informações de início de sessão, credenciais, etc.) ☐ Informações sobre contas financeiras (tais como dados bancários/de cartão de crédito, números de conta, números de cartão de crédito, etc.) ☐ Outro; liste por favor: Quaisquer outros dados pessoais contidos numa aplicação ou sistema informático que estejam no âmbito dos Serviços prestados. |
Categorias especiais de Dados Pessoais a aceder ou Processar | ☐ Informação sobre origem racial ou étnica ☐ Informação sobre opiniões políticas ☐ Informação sobre crenças religiosas ou filosóficas ☐ Informação sobre filiação sindical ☐ Informações sobre a vida sexual ou orientação sexual ☐ Dados biométricos ☐ Dados genéticos ☐ Dados de saúde (tais como deficiências mentais ou físicas, antecedentes médicos familiares, antecedentes médicos pessoais, registos médicos, prescrições, etc.) ☐ Outro; liste por favor: As restrições ou salvaguardas aplicadas a esses Dados Pessoais sensíveis estão descritas em Anexo II a este DPA |
A frequência da transferência (acesso/processamento) | ☐ O Fornecedor hospeda Dados Pessoais em nome da Siemens e, consoante o caso, Entidades Autorizadas ☒ O fornecedor acede remotamente aos Dados Pessoais ao fornecer os serviços ☒ numa base única ☒ numa base contínua ☐ Caso contrário, o Fornecedor processa Dados Pessoais ao fornecer os serviços ☐ numa base única ☐ numa base contínua |
Natureza do Processamento | ☐ Colecção ☒ Gravação ☒ Organização ☒ Estruturação ☐ Armazenamento ☒ Adaptação ou alteração ☐ Recuperação ☒ Consulta ☒ Utilização ☐ Divulgação por transmissão ☐ Divulgação ☐ Caso contrário, disponibilizar ☐ Alinhamento ou combinação ☐ Restrição ☐ Apagamento ou destruição de dados ☒ Acesso remoto ☐ Outro: |
Finalidade/Atividades relevantes para os dados transferidos/processados | ☒ Fornecedor fornece serviços de manutenção e suporte e pode ter acesso, incluindo acesso remoto a Dados Pessoais. ☐ Fornecedor fornece serviços profissionais através da realização de serviços relacionados com uma aplicação/sistema ou rede tais como: instalação, configuração ou migração de dados ou outros serviços de TI relacionados e pode ter acesso, incluindo acesso remoto aos Dados Pessoais. ☐ Fornecedor fornece serviços geridos, incluindo gestão de centros de dados e infra-estruturas, gestão de backup e recuperação e pode ter acesso, incluindo acesso remoto a Dados Pessoais. ☐ Fornecedor fornece XaaS (Software, Plataforma ou Infraestrutura como Serviço) fornecendo serviços de alojamento, operação, gestão e manutenção e suporte. ☒ Outros: O fornecedor fornece serviços de sucesso ao cliente e pode ter acesso, incluindo acesso remoto, aos Dados Pessoais. |
Duração | ☐ Os Dados Pessoais serão conservados durante o período do Contrato. ☐ Os Dados Pessoais serão conservados por um período de: ☒ Outros: Os dados pessoais serão conservados durante o período da Encomenda, salvo indicação em contrário. |
Para transferências para o (s) Subprocessador (es), especifique também o assunto, a natureza e a duração do Processamento | O assunto, a natureza e a duração do processamento são especificados por Subprocessador em Anexo III a este DPA. |
C.AUTORIDADE SUPERVISORA COMPETENTE
Onde a Siemens estiver estabelecida num Estado-Membro da UE, a autoridade supervisora responsável por garantir a conformidade da Siemens com o RGPD no que diz respeito à transferência de dados deve atuar como autoridade supervisora competente. Para a Siemens Aktiengesellschaft, Alemanha, a autoridade supervisora é:
Bayerisch Landesan Für Data Sight (BayLDA)
Passeio 18
91522 Ansbach
Alemanha
Nos casos em que a Siemens não esteja estabelecida num Estado-Membro da UE, mas se enquadre no âmbito territorial de aplicação do RGPD em conformidade com o seu artigo 3.o, n.o 2, a autoridade de supervisão do Estado-Membro em que o representante, na acepção do artigo 27.o, n.o 1, do RGPD está estabelecido, actuará como autoridade supervisora competente; a saber:
Bayerisch Landesan Für Data Sight (BayLDA)
Passeio 18
91522 Ansbach
Alemanha
Anexo II ao DPA (e, quando aplicável, as Cláusulas Contratuais-Tipo)
Medidas técnicas e organizacionais (incluindo medidas técnicas e organizacionais para garantir a Security dos dados)
As seguintes medidas aplicam-se apenas ao Fornecedor, na medida em que os sistemas informáticos, redes e aplicações subjacentes sejam da responsabilidade e/ou sob a custódia ou controlo do Fornecedor. Descrição das medidas de segurança técnicas e organizacionais implementadas pelo Fornecedor e pelo (s) seu (s) Subprocessador (es):
# | Medidas | SFa ID da regra |
Security Física e Ambiental | ||
O fornecedor implementa medidas adequadas para impedir que pessoas não autorizadas obtenham acesso ao equipamento de processamento de dados (nomeadamente, servidores de bases de dados e aplicações e hardware relacionado). Isto será conseguido por: estabelecer áreas de segurança; proteger e restringir caminhos de acesso; proteger o equipamento descentralizado de processamento de dados e computadores pessoais; estabelecer autorizações de acesso para funcionários e terceiros, incluindo a respetiva documentação; regulamentos sobre cartões de acesso; restrições aos cartões de acesso; todo o acesso ao centro de dados onde os Dados Pessoais estão alojados será registado, monitorizado e rastreado; o centro de dados onde os Dados Pessoais estão alojados é protegido por controlos de acesso restrito e outras medidas de segurança apropriadas; e a manutenção e inspecção de equipamentos de apoio nas áreas informáticas e centros de dados só devem ser efectuadas por pessoal autorizado. | 11.1.1-02 | |
Controlo de Acesso (Sistemas de TI e/ou Aplicação de TI) | ||
O fornecedor implementa um conceito de funções e responsabilidades. | 06.1.1-01 | |
O fornecedor implementa uma estrutura de autorização e autenticação incluindo, mas não se limitando a, os seguintes elementos: controlos de acesso baseados em funções implementados; processo para criar, modificar e eliminar contas implementadas; o acesso a sistemas e aplicações informáticos é protegido por mecanismos de autenticação; são utilizados métodos de autenticação apropriados com base nas características e opções técnicas do sistema informático ou aplicação; o acesso a sistemas e aplicações informáticos exigirá, pelo menos, autenticação de dois fatores para contas privilegiadas; todo o acesso aos Dados Pessoais é registado, monitorizado e rastreado; medidas de autorização e registo para ligações de rede de entrada a sistemas e aplicações de TI (incluindo firewalls para permitir ou negar ligações de rede de entrada) implementadas; direitos de acesso privilegiado a sistemas informáticos, aplicações e serviços de rede só são concedidos a indivíduos que deles necessitem para realizar as suas tarefas (princípio do privilégio mínimo); os direitos de acesso privilegiado aos sistemas e aplicações informáticos são documentados e mantidos atualizados; os direitos de acesso aos sistemas e aplicações informáticos são revistos e atualizados regularmente; política de palavras-passe implementada, incluindo requisitos relativos à complexidade da palavra-passe, duração mínima e expiração após um período de tempo adequado, sem reutilização de palavras-passe recentemente utilizadas; Os sistemas e aplicações de TI reforçam tecnicamente a política de palavras-passe; os direitos de acesso dos funcionários e pessoal externo aos sistemas e aplicações de TI são removidos imediatamente após a rescisão do contrato de trabalho ou contrato; e utilização de certificados de autenticação seguros de última geração assegurados. | 09.1.1-02 09.1.1-03 09.2.3-01 09.4.2-02 | |
Os sistemas e aplicações de TI bloqueiam automaticamente ou encerram a sessão depois de exceder um limite de tempo ocioso definido razoável. | 11.2.9-03 11.2.9-04 | |
O fornecedor limita o acesso privilegiado a ativos na nuvem a intervalos únicos ou específicos de endereços IP. | ST002-0008 | |
O acesso privilegiado aos ativos da nuvem é feito através de um anfitrião bastião. | ST002-0009 | |
O provedor mantém procedimentos de log-on em sistemas de TI com proteções contra atividades suspeitas de login (por exemplo, contra ataques de força bruta e adivinhação de senha). | 09.4.2-02 | |
Controlo de Disponibilidade | ||
O fornecedor protege os sistemas e aplicações contra software malicioso através da implementação de soluções anti-malware apropriadas e de última geração. | 12.2.1-01 | |
O fornecedor define, documenta e implementa um conceito de backup para sistemas de TI, incluindo os seguintes elementos técnicos e organizacionais: os suportes de armazenamento de cópias de segurança estão protegidos contra acessos não autorizados e ameaças ambientais (por exemplo, calor, humidade, incêndio); intervalos de backup definidos; e a restauração de dados de backups é testada regularmente com base na criticidade do sistema ou aplicação de TI. | 12.3.1-01 | |
O fornecedor armazena cópias de segurança num local físico diferente do local onde o sistema produtivo está alojado. | ST002-0013 | |
Os sistemas e aplicações informáticos em ambientes não produtivos são lógica ou fisicamente separados dos sistemas e aplicações informáticas em ambientes de produção. | 12.1.4-01 | |
Os centros de dados nos quais os Dados Pessoais são armazenados ou processados estão protegidos contra catástrofes naturais, ataques físicos ou acidentes. | 11.1.4-02 | |
Equipamentos de apoio em áreas de TI e centros de dados, tais como cabos, eletricidade, instalações de telecomunicações, abastecimento de água ou sistemas de ar condicionado estão protegidos contra interrupções e manipulação não autorizada. | 11.1.4-02 | |
Security de Operações | ||
O Provedor mantém e implementa um Quadro de Security da Informação que reflete as medidas aqui descritas, que é regularmente revisto e atualizado. | 05.1.1-01 | |
O fornecedor registra eventos relevantes para a segurança, tais como atividades de gestão do utilizador (por exemplo, criação, eliminação), falhas de início de sessão, alterações na configuração de segurança do sistema em sistemas e aplicações de TI. | 12.4.1-01 | |
O fornecedor analisa continuamente os respetivos sistemas informáticos e dados de registo de aplicações para anomalias, irregularidades, indicadores de comprometimento e outras atividades suspeitas. | 12.4.1-03 | |
O fornecedor verifica e testa os sistemas e aplicações informáticos em busca de vulnerabilidades de segurança regularmente. | 12.6.1-01 | |
O fornecedor implementa e mantém um processo de gestão de alterações para sistemas e aplicações de TI. | 12.1.2-01 | |
O fornecedor mantém um processo para atualizar e implementar correções e atualizações de segurança do fornecedor nos respetivos sistemas e aplicações de TI. | 12.6.1-03 | |
O fornecedor apaga irremediavelmente os dados ou destrói fisicamente o suporte de armazenamento de dados antes de descartar ou reutilizar um sistema de TI. | 11.2.7-01 | |
Controlos de transmissão | ||
O fornecedor documenta e atualiza as topologias de rede e os seus requisitos de segurança regularmente. | 13.1.1-02 | |
O fornecedor monitoriza contínua e sistematicamente os sistemas de TI, as aplicações e as zonas de rede relevantes para detetar actividades de rede maliciosas e anormais por Firewalls (por exemplo, firewalls com estado, firewalls de aplicação); Servidores proxy; Sistemas de Detecção de Intrusão (IDS) e/ou Sistemas de Prevenção de Intrusão (IPS); Filtragem de URL; e Sistemas de Informação de Security e Gestão de Eventos (SIEM). | 13.1.1-06 | |
O fornecedor administra sistemas e aplicações de TI utilizando ligações encriptadas de última geração. | 13.1.3-09 | |
O fornecedor protege a integridade do conteúdo durante a transmissão por protocolos de rede de última geração, como o TLS. | 13.2.3-05 | |
O Provedor encripta, ou permite que os seus Fornecedores encriptem, os dados do Fornecedor que são transmitidos através de redes públicas. | ST002-0017 | |
O fornecedor utiliza sistemas de gestão de chaves (KMS) seguros para armazenar chaves secretas na nuvem. | ST002-0018 | |
Incidentes de Security | ||
O fornecedor mantém e implementa um processo de tratamento de incidentes, incluindo mas não limitado a: registos de violações de segurança; Processos de notificação do fornecedor; e um esquema de resposta a incidentes para abordar o seguinte no momento do incidente: (i) funções, responsabilidades e estratégias de comunicação e contacto no caso de um compromisso (ii) procedimentos específicos de resposta a incidentes e (iii) cobertura e respostas de todos os componentes críticos do sistema. | 06.1.3-01 | |
Gestão de Ativos, Aquisição de Sistemas, Desenvolvimento e Manutenção | ||
O fornecedor identifica e documenta os requisitos de segurança da informação antes do desenvolvimento e aquisição de novos sistemas e aplicações de TI, bem como antes de fazer melhorias nos sistemas e aplicações de TI existentes. | 14.1.1-01 | |
O fornecedor estabelece um processo formal para controlar e realizar alterações nas aplicações desenvolvidas. | 14.2.2-01 | |
O fornecedor planeia e incorpora testes de segurança no Ciclo de Vida de Desenvolvimento de Sistemas de sistemas e aplicações de TI. | 14.2.8-01 | |
O fornecedor implementa um processo de correcção de segurança adequado que inclui: monitorização de componentes para potenciais fraquezas (CVEs); classificação de prioridade da correção; implementação atempada da correcção; e download de patches de fontes fidedignas. | 08.1.1-01 PR001-0001 | |
Security de Recursos Humanos | ||
O fornecedor implementa as seguintes medidas na área da segurança dos recursos humanos: os funcionários com acesso a Dados Pessoais estão vinculados por obrigações de confidencialidade; e os funcionários com acesso a Dados Pessoais são treinados regularmente sobre as leis e regulamentos de proteção de dados aplicáveis. | 07.1.1-01 | |
O provedor implementa um processo de offboarding para funcionários do Provedor e fornecedores externos. | 07.3.1-02 08.1.4-01 | |
Criptografia (relevante para DP no contexto dos serviços de rede) | ||
O fornecedor utiliza certificados seguros de última geração e implementa o seguinte: os certificados digitais só são aceites e fidedignos se o certificado digital tiver sido emitido por uma autoridade de certificação fidedigna; os certificados são utilizados e atribuídos a sistemas e aplicações de TI dedicados; e a validade dos certificados digitais é verificada. | 07.1.1-01 | |
O fornecedor implementa um processo para a gestão e implementação de chaves criptográficas, incluindo regras e requisitos para gerar, armazenar, fazer backup, distribuir e revogar chaves criptográficas. | 07.3.1-02 08.1.4-01 |
Anexo III do DPA (e, quando aplicável, as Cláusulas Contratuais-Tipo)
LISTA DE SUBPROCESSADORES E LOCALIZAÇÕES DE CENTROS DE DADOS
O 'Formulário de Autorização de Parceiro' estabelece o
Entidades (incluindo Parceiro e subprocessadores) envolvidas no armazenamento/alojamento de dados pessoais,
Localizações aplicáveis do centro de dados,
Subprocessadores envolvidos no tratamento de dados pessoais para fins que não sejam de armazenamento/alojamento,
que estão aqui incorporados por esta referência.
O Fornecedor não transferirá Dados Pessoais da respetiva Localização do Centro de Dados sem o consentimento da Siemens. O mecanismo de notificação e objeção contido em Secção 8 não se aplica a este respeito.