Adenda ao processamento de dados da Skyfii GDPR

Adenda ao Processamento de Dados Skyfii

Última actualização: 27 de Dezembro de 2022

Esta Adenda de Processamento de Dados ("DPA") e as suas Exposições são introduzidas pela Skyfii ("Processador de Dados") e Cliente ("Controlador de Dados"), e complementa o Acordo de Cliente (definido abaixo) quando as Leis de Protecção de Dados se aplicam à sua utilização dos Serviços Skyfii para processar Dados Pessoais .

Esta DPA, incluindo os seus Expositores, está incorporada no(s) Acordo(s) de Cliente sob o(s) qual(is) a Skyfii concordou em fornecer-lhe Serviços, que podem ser especificados no seu Acordo de Cliente. Em caso de qualquer conflito ou inconsistência com os termos do seu Acordo de Cliente, esta DPA prevalecerá sobre os termos do Acordo de Cliente, na medida em que tal conflito ou inconsistência possa surgir. O termo da presente DPA seguirá o termo do Contrato de Cliente.

Esta DPA é um acordo entre o cliente e a entidade que representa ("Cliente", "o cliente" ou "seu") e Skyfii ("nós" ou "nós") ou um revendedor dos Serviços (conforme aplicável), e reflecte o acordo das partes no que diz respeito aos termos que regem o Processamento de Dados Pessoais ao abrigo do Acordo de Cliente. Nesta DPA, uma referência ao Contrato de Cliente é uma referência a um dos seguintes:

  • Skyfii Master Service Agreement (MSA);
  • Acordo de Serviços Skyfii;
  • Acordo de Revenda Skyfii;
  • Termos da Licença de Cliente Skyfii - www.skyfii.io/customer-terms; ou
  •  Qualquer outro acordo entre o Cliente e a Skyfii que regule a utilização dos Serviços Skyfii por parte do Cliente,

cada um "Acordo de Cliente" e referido genericamente nesta DPA como o "Acordo".

ESTE DPA INCLUI:

  1. Lista de Sub-Processadores, aqui anexada como Anexo 1.
  2. Cláusulas Contratuais Padrão, anexadas ao presente como Anexo 2.
    1. Anexo I do Apêndice às Cláusulas Contratuais-tipo, que inclui especificações sobre os Dados Pessoais transferidos pelo exportador de dados para o importador de dados.
    2. Anexo II do apêndice às cláusulas contratuais-tipo, que inclui uma descrição das medidas de segurança técnicas e organizacionais implementadas pelo importador de dados, tal como referido.
  1. A Adenda do Reino Unido, anexa ao presente como Anexo 3.
  1. Definições

Os termos não definidos de outra forma nesta DPA terão o significado estabelecido no Acordo de Cliente. O termo da presente DPA seguirá o termo do seu Acordo de Cliente.

"CCPA" significa a Lei da Privacidade do Consumidor da Califórnia, secções 1798.100 e seguintes do Código Civil da Califórnia, e os seus regulamentos de implementação.

"Controlador" significa a pessoa singular ou colectiva, autoridade pública, agência ou outro organismo que, sozinho ou em conjunto com outros, determina as finalidades e meios do Tratamento de Dados Pessoais e será considerado como incluindo "Empresa", tal como definido no CCPA. Nesta DPA o Cliente (tal como definido no Contrato) é o Controlador.

"Lei de Protecção de Dados" significa toda a legislação aplicável relativa à protecção de dados e à privacidade, incluindo sem limitação o GDPR da UE, juntamente com quaisquer leis nacionais de implementação em qualquer Estado Membro da União Europeia ou, na medida em que seja aplicável, em qualquer outro país, tal como alterada, revogada, consolidada ou substituída de tempos a tempos; o GDPR do Reino Unido; POPIA; LGPD; e CCPA.

"Titular dos Dados" significa o indivíduo natural e vivo a quem os Dados Pessoais se referem e será considerado como incluindo "Consumidor", tal como definido no CCPA.

"Documentação" significa o registo de instruções, incluindo todas as especificações, colocadas por ou em nome do Cliente para os Serviços sujeitos ao Contrato.

"Utilizadores finais" significa visitantes a Locais cujos dispositivos móveis são detectados por WiFi e cujos dispositivos detalhados são registados e monitorizados pela Skyfii; e indivíduos que se registam para utilizar os serviços WiFi fornecidos pelo Cliente nas suas instalações, locais e locais

"EU GDPR" significa o Regulamento Geral de Protecção de Dados (UE) 2016/679 de 27 de Abril de 2016 relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

"Instrução" significa a instrução escrita, documentada, emitida pelo Controlador para o Processador, e que o dirige para realizar uma acção específica no que respeita a Dados Pessoais (incluindo, mas não se limitando à despersonalização, bloqueio, eliminação, disponibilização).

"LGPD" significa a Lei Geral Brasileira de Protecção de Dados Pessoais (tal como alterada pela Lei nº 13.853 de 8 de Julho de 2019).

"Dados Pessoais" significa qualquer informação relativa a uma pessoa identificada ou identificável, sempre que tal informação esteja contida nos Dados do Cliente e seja protegida de forma semelhante aos dados pessoais ou informações pessoalmente identificáveis ao abrigo da Lei de Protecção de Dados aplicável.

"Violação de Dados Pessoais" significa uma quebra de segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação ou acesso não autorizado a Dados Pessoais transmitidos, armazenados ou de outro modo processados.

"Plataforma" significa a plataforma tecnológica desenvolvida e operada pela Skyfii e utilizada pelos clientes para fins de análise de localização de visitantes, para recolher informação dos utilizadores finais e para interagir com os utilizadores finais.

"POPIA" significa a Lei de Protecção de Informações Pessoais da África do Sul de 2013.

"Processamento" significa qualquer operação ou conjunto de operações que se realizem sobre Dados Pessoais, abrangendo a recolha, registo, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, utilização, divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, alinhamento ou combinação, restrição ou apagamento de Dados Pessoais. Os termos "processo", "processos" e "processados" serão interpretados em conformidade.

"Processador" significa uma pessoa singular ou colectiva, autoridade pública, agência ou outro organismo que processe Dados Pessoais em nome do Controlador e será considerado como incluindo "Prestador de Serviços" tal como definido no CCPA. Nesta DPA, Skyfii (tal como definido no Acordo) é o Processador.

"Serviços" significa os serviços a serem prestados pela Skyfii ao Cliente, conforme estabelecido no Contrato.

"Skyfii" significa a entidade Skyfii especificada no respectivo Acordo.

"Cláusulas Contratuais-tipo" significam as cláusulas contratuais-tipo anexas ao presente como Anexo 2 nos termos da Decisão de Execução (UE) 2021/914 da Comissão Europeia, de 4 de Junho de 2021, tal como podem ser alteradas, substituídas ou substituídas.

"Adenda do Reino Unido" significa a Adenda Internacional sobre Transferência de Dados emitida pelo Comissário de Informação do Reino Unido ao abrigo da secção 119A(1) da Lei de Protecção de Dados de 2018, podendo ser alterada, substituída ou substituída.

"UK GDPR" significa o Regulamento Geral de Protecção de Dados (UE) 2016/679 de 27 de Abril de 2016 relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, uma vez que faz parte da lei da Inglaterra e País de Gales, Escócia e Irlanda do Norte em virtude da secção 3 da Lei da União Europeia (Retirada) de 2018.

"Locais" significa instalações do Cliente, locais e locais em que são oferecidos serviços WiFi às pessoas que utilizam a Plataforma.

"Serviço WiFi" significa o acesso sem fios à Internet oferecido pelo Cliente num local, utilizando a sua rede sem fios juntamente com a Plataforma.

  1. Detalhes do Processamento
  1. Categorias de Assuntos de Dados: Categorias de Assuntos de Dados cujos Dados Pessoais serão processados pelas coberturas Skyfii:
  • Utilizadores finais
  • Empregados, empreiteiros e outros trabalhadores do Cliente
  • Empregados, empreiteiros e outros trabalhadores de fornecedores ao Cliente (tais como Processadores de terceiros do Cliente)
  • Outros indivíduos cujos dados pessoais são fornecidos à Skyfii ou adicionados à Plataforma pelo Cliente.
  1. Categorias de dados pessoais: As categorias de Dados Pessoais que podem ser processados pela Skyfii incluem:
  • Nome completo e prefixo
  • Número de telemóvel
  • Endereço de correio electrónico
  • Data de nascimento
  • Género
  • Idade
  • Identidades das redes sociais e detalhes disponíveis ao público
  • Código postal
  • País ou estado de residência
  • Detalhes do dispositivo de navegação, incluindo o endereço do Media Access Control
  • A hora, data e localização do registo por Sujeitos de Dados para o serviço WiFi
  • A duração e frequência de utilização do serviço WiFi e visitas a locais por sujeitos de dados
  • A localização aproximada dos dispositivos de navegação dos Sujeitos de Dados enquanto se encontram num Local
  • Histórico de navegação na Internet dos sujeitos dos dados durante a utilização do serviço WiFi
  • Envolvimento dos sujeitos dos dados com os postos de comunicação social dos clientes e outras actividades sociais
  • Informação demográfica dos sujeitos dos dados
  • Interesses e gostos dos sujeitos dos dados
  1. Natureza e Finalidade do Processamento: A Skyfii processará os Dados Pessoais para efeitos de prestação dos Serviços ao Cliente, as categorias de Dados Pessoais que serão processados dependerão dos Serviços prestados ao Cliente.
  2. Duração do processamento: Skyfii processará os Dados Pessoais até que o Serviço seja terminado pelo Cliente.
  1. Responsabilidade do Cliente
  1. As partes reconhecem e concordam que o Cliente é o Controlador dos Dados Pessoais e a Skyfii é o Processador desses dados. No que respeita à sua utilização dos Serviços, o Controlador será o único responsável pelo cumprimento dos requisitos legais relativos à protecção e privacidade de dados, em particular no que respeita à divulgação e transferência de Dados Pessoais para o Processador e ao Processamento de Dados Pessoais.
  2. Sem prejuízo da generalidade da cláusula 3.1, o Controlador deverá assegurar-se de que dispõe de todos os consentimentos e avisos necessários e adequados para permitir a transferência legal dos Dados Pessoais para o Processador durante a vigência e para os fins do Contrato de Cliente.
  3. Para evitar dúvidas, as instruções do Controlador para o Tratamento de Dados Pessoais devem cumprir a Lei de Protecção de Dados. Esta DPA é a instrução completa e final do Cliente à Skyfii em relação aos Dados Pessoais e que instruções adicionais fora do âmbito da DPA exigiriam um acordo prévio por escrito entre as partes. As instruções devem ser inicialmente especificadas no Contrato e podem, de tempos a tempos, ser alteradas, amplificadas ou substituídas pelo Controlador em instruções escritas separadas (como instruções individuais).
  4. O Controlador deve informar o Processador sem demora indevida e de forma abrangente sobre quaisquer erros ou irregularidades relacionadas com as disposições legais sobre o Tratamento de Dados Pessoais.
  1. Obrigações do Processador
  1. Cumprimento das instruções: O Processador deve recolher, processar e utilizar os Dados Pessoais apenas no âmbito das Instruções do Controlador. Se o Processador acreditar que uma Instrução do Responsável pelo tratamento infringe a Lei de Protecção de Dados, deverá informar imediatamente o Responsável pelo tratamento, sem demora. Se o Processador não puder processar Dados Pessoais de acordo com as Instruções devido a um requisito legal ao abrigo de qualquer lei aplicável da União Europeia ou dos Estados-membros, o Processador (i) notificará prontamente o Processador desse requisito legal antes do Processamento relevante, na medida em que a Lei de Protecção de Dados o permita; e (ii) cessará todo o Processamento (para além do mero armazenamento e manutenção da segurança dos Dados Pessoais afectados) até que o Processador emita novas instruções que o Processador possa cumprir. Se esta disposição for invocada, o Processador não será responsável perante o Responsável pelo Tratamento nos termos do Contrato por qualquer falha na execução dos serviços aplicáveis até que o Responsável pelo Tratamento emita novas instruções em relação ao Tratamento.
  2. Segurança: O processador tomará as medidas técnicas e organizacionais adequadas para proteger adequadamente os Dados Pessoais contra destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos Dados Pessoais, descritos no Anexo II do Apêndice às Cláusulas Contratuais-tipo. Tais medidas incluem, mas não estão limitadas a:
  1. A prevenção do acesso de pessoas não autorizadas aos sistemas de Processamento de Dados Pessoais (controlo de acesso físico);
  2. A prevenção da utilização de sistemas de Tratamento de Dados Pessoais sem autorização (controlo de acesso lógico);
  3. Assegurar que as pessoas autorizadas a utilizar um sistema de Processamento de Dados Pessoais só tenham acesso a esses Dados Pessoais, uma vez que têm direito a aceder de acordo com os seus direitos de acesso, e que, durante o processamento ou utilização e após armazenamento, os Dados Pessoais não possam ser lidos, copiados, modificados ou apagados sem autorização (controlo de acesso aos dados);
  4. Assegurar que os Dados Pessoais não possam ser lidos, copiados, modificados ou apagados sem autorização durante a transmissão electrónica, transporte ou armazenamento em meios de armazenamento, e que as entidades alvo de qualquer transferência de Dados Pessoais através de meios de transmissão de dados possam ser estabelecidas e verificadas (controlo da transferência de dados);
  5. Assegurar o estabelecimento de uma pista de auditoria para documentar se e por quem os Dados Pessoais foram introduzidos, modificados ou removidos dos sistemas de Processamento de Dados Pessoais (controlo de entrada);
  6. Assegurar que os Dados Pessoais são processados unicamente de acordo com as instruções do Controlador (controlo das instruções);
  7. Assegurar que os Dados Pessoais são protegidos contra a destruição ou perda acidental (controlo de disponibilidade).

A pedido do Controlador, o Processador fornecerá um programa actual de protecção e segurança de Dados Pessoais relacionado com o Processamento a seguir descrito.

O Processador facilitará ao Responsável pelo tratamento o cumprimento da sua obrigação de implementar medidas de segurança relativamente aos Dados Pessoais, em conformidade com as Leis de Protecção de Dados, (i) implementando e mantendo as medidas de segurança descritas no Anexo 2, (ii) cumprindo os termos da Secção 4.4 (Quebras de Dados Pessoais); e (iii) fornecendo ao Responsável pelo tratamento informações relacionadas com o Tratamento em conformidade com a Secção 5 (Auditorias).

  1. Confidencialidade: O Processador deve assegurar que qualquer pessoal que o Processador autorize a tratar Dados Pessoais em seu nome esteja sujeito a obrigações de confidencialidade no que diz respeito a esses Dados Pessoais. O compromisso de confidencialidade continuará após o termo das actividades acima referidas.
  2. Quebras de Dados Pessoais: O Processador notificará o Controlador logo que possível após tomar conhecimento de qualquer violação de Dados Pessoais que afecte quaisquer Dados Pessoais. A pedido do Responsável pelo tratamento, o Processador prestará prontamente ao Responsável pelo tratamento toda a assistência razoável necessária para lhe permitir notificar violações de Dados Pessoais relevantes às autoridades competentes e/ou Sujeitos de Dados afectados, se o Responsável pelo tratamento for obrigado a fazê-lo ao abrigo da Lei de Protecção de Dados.
  3. Pedidos de dados: O Processador prestará assistência razoável, inclusive através de medidas técnicas e organizacionais adequadas e tendo em conta a natureza do Processamento, para permitir ao Responsável pelo Tratamento responder a qualquer pedido dos Sujeitos de Dados que pretendam exercer os seus direitos ao abrigo da Lei de Protecção de Dados relativamente a Dados Pessoais (incluindo acesso, rectificação, restrição, eliminação ou portabilidade de Dados Pessoais, conforme o caso), na medida em que a lei o permita. Se tal pedido for feito directamente ao Processador, o Processador informará imediatamente o Responsável pelo tratamento e aconselhará os Sujeitos a submeterem o seu pedido ao Responsável pelo tratamento. O Responsável pelo tratamento será o único responsável pela resposta a quaisquer pedidos dos Sujeitos dos Dados. O Responsável pelo tratamento reembolsará o Processador pelos custos decorrentes desta assistência.
  4. Sub-Processadores: O Processador terá o direito de contratar Sub-Processadores para cumprir as obrigações do Processador definidas no Acordo apenas com o consentimento escrito do Controlador. Para estes fins, o Controlador consente no compromisso como Sub-Processadores das empresas afiliadas do Processador e dos terceiros listados no Anexo 1. Para evitar dúvidas, a autorização acima referida constitui o consentimento prévio por escrito do Controlador ao Sub-Processamento pelo Processador para efeitos da Cláusula 8.8 das Cláusulas Contratuais Padrão.

Se o Processador pretender instruir Sub-Processadores que não as empresas listadas no Anexo 1, o Processador notificará o Controlador por escrito (através de notificação no portal da Skyfii IO) e dará ao Controlador a oportunidade de se opor à contratação dos novos Sub-Processadores no prazo de 30 dias após ter sido notificado. A objecção deve basear-se em fundamentos razoáveis (por exemplo, se o Controlador provar que existem riscos significativos para a protecção dos seus Dados Pessoais no Sub-Processador). Se o Processador e o Controlador não forem capazes de resolver tal objecção, qualquer das partes pode rescindir o Contrato mediante notificação escrita à outra parte. O Controlador receberá um reembolso de quaisquer taxas pré-pagas mas não utilizadas durante o período após a data efectiva da rescisão.

Quando o Processador contrata Sub-Processador, o Processador celebrará um contrato com o Sub-Processador que impõe ao Sub-Processador as mesmas obrigações que se aplicam ao Processador ao abrigo desta DPA e cumpre os requisitos da Lei de Protecção de Dados. Se o Sub-Processador não cumprir as suas obrigações de protecção de dados, o Processador continuará responsável perante o Controlador pelo cumprimento de tais obrigações do Sub-Processador.

Quando um Sub-Processador é contratado, deve ser concedido ao Controlador o direito de controlar e inspeccionar as actividades do Sub-Processador de acordo com a presente DPA e a Lei de Protecção de Dados, incluindo a obtenção de informações do Processador, mediante pedido escrito, sobre o conteúdo do contrato e a implementação das obrigações de protecção de dados ao abrigo do contrato de Sub-Processamento, se necessário, através da inspecção dos documentos contratuais relevantes.

  1. Transferências de dados: O controlador reconhece e concorda que, em relação ao desempenho dos serviços ao abrigo do Acordo, os Dados Pessoais serão transferidos para a Skyfii Group Pty Ltd (ACN 165 152 241) e outras subsidiárias na Austrália.
  1. Transferências do EEE: As Cláusulas Contratuais Padrão (módulo 2) no Anexo 2 aplicar-se-ão em relação aos Dados Pessoais que são transferidos para fora do EEE, directamente ou através de transferência subsequente, para a Austrália e para qualquer país não reconhecido pela Comissão Europeia como fornecendo um nível adequado de protecção de dados pessoais (tal como descrito na Lei de Protecção de Dados).
  2. Transferências para o Reino Unido: A Adenda do Reino Unido no Anexo 3, que é incorporada no presente Acordo, aplicar-se-á em relação aos Dados Pessoais transferidos para fora do Reino Unido, quer directamente, quer através de transferência subsequente, para a Austrália e para qualquer país não reconhecido pelo Governo do Reino Unido como fornecendo um nível adequado de protecção de dados pessoais (tal como descrito na Lei de Protecção de Dados). (ii) Quadro 1 a Adenda do Reino Unido será considerada preenchida com as informações estabelecidas no Anexo 1 das Cláusulas Contratuais Padrão; e (iii) qualquer conflito entre os termos das Cláusulas Contratuais Padrão e a Adenda do Reino Unido será resolvido de acordo com a Secção 10 e a Secção 11 da Adenda do Reino Unido.

Se, na execução desta DPA, a Skyfii transferir quaisquer Dados Pessoais para um Sub-Processador localizado fora do Reino Unido ou do EEE, a Skyfii deverá, antes de qualquer transferência, assegurar-se de que existe um mecanismo legal para alcançar a adequação em relação a esse processamento.

  1. Eliminação ou recuperação de dados pessoais: Excepto na medida necessária para cumprir a Lei de Protecção de Dados, após a rescisão ou expiração do Acordo, o Processador eliminará todos os Dados Pessoais (incluindo as suas cópias) processados nos termos da presente DPA. Se o Processador não puder apagar Dados Pessoais por razões técnicas ou outras, o Processador aplicará medidas para assegurar que os Dados Pessoais sejam bloqueados de qualquer outro Processamento.

O Controlador deve, no termo ou expiração do Acordo e mediante a emissão de uma Instrução, estipular, dentro de um prazo fixado pelo Processador, as medidas razoáveis para devolver os dados ou apagar os dados armazenados. Qualquer custo adicional decorrente da devolução ou eliminação de dados pessoais após a rescisão ou expiração do Contrato será suportado pelo Responsável pelo Tratamento.

  1. Auditorias
  1. O Controlador pode, antes do início do Processamento, e em seguida a intervalos regulares, auditar as medidas técnicas e organizacionais tomadas pelo Processador. Para esse fim, o Controlador pode:
  1. obter informações do Processador;
  2. solicitar ao Processador que submeta ao Controlador um atestado ou certificado existente por um perito profissional independente; ou
  3. mediante acordo prévio razoável e oportuno, durante o horário comercial regular e sem interrupção das operações comerciais do Processador, conduzir uma inspecção in loco das operações comerciais do Processador ou mandar realizar a mesma por um terceiro qualificado que não deverá ser concorrente do Processador.
  1. O Processador deverá, mediante pedido escrito do Controlador e dentro de um prazo razoável, fornecer ao Controlador todas as informações necessárias para tal auditoria, na medida em que tais informações estejam sob o controlo do Processador e este não esteja impedido de as divulgar pela lei aplicável, um dever de confidencialidade, ou qualquer outra obrigação devida a um terceiro.
  1. Disposições específicas POPIA
  1. Esta Secção 6 aplica-se apenas quando o Cliente recolhe e processa Dados Pessoais sobre Sujeitos de Dados na República da África do Sul ("Controlador SA”).
  2. Para efeitos de conformidade com POPIA, as referências aos seguintes termos na presente DPA devem ser consideradas como incluindo as seguintes definições de POPIA:
  1. Considera-se que o "Controlador de Dados" inclui uma referência a uma "parte responsável";
  2. "Processador de dados" será considerado como incluindo uma referência a um "operador"; e
  3. Considera-se que os "dados pessoais" incluem uma referência a "informações pessoais".
  1. Esta DPA deve formar um acordo de operador entre a Skyfii e um Controlador SA.
  2. As partes concordam que o Controlador SA é a "parte responsável" e que a Skyfii é um "operador" para os fins da POPIA e que a Skyfii actua sob o mandato do Controlador SA ao processar Dados Pessoais em seu nome.
  3. O Controlador SA será o único responsável pelo cumprimento das obrigações de notificação estabelecidas na secção 18 da POPIA.
  4. A obrigação da Skyfii de implementar medidas de segurança, conforme estabelecido no Artigo 4.2 da presente DPA, será considerada como uma obrigação de tomar medidas técnicas e organizacionais adequadas e razoáveis para os fins do Artigo 19 da POPIA.
  5. O Controlador SA reconhece e concorda que, em relação ao desempenho dos serviços ao abrigo do Acordo, os Dados Pessoais serão transferidos para a Skyfii Group Pty Ltd (ACN 165 152 241) e outras subsidiárias na Austrália e esta DPA formará um acordo vinculativo para os fins da secção 72 da POPIA e:
  1. as medidas de segurança a aplicar pela Skyfii a esses Dados Pessoais, tal como estabelecido na secção 4.2, devem ser medidas técnicas e organizacionais razoáveis e adequadas; e
  2. as mesmas medidas de segurança serão aplicadas pela Skyfii em relação a qualquer transferência subsequente de dados pessoais para qualquer país terceiro.
  1. Disposições gerais

Em caso de qualquer conflito, a presente DPA prevalecerá sobre os regulamentos do Acordo. Quando disposições individuais da presente DPA forem inválidas ou inaplicáveis, a validade e aplicabilidade das outras disposições da presente DPA não será afectada.

Após a incorporação desta DPA no Contrato, as partes indicadas no Artigo 7 abaixo (Partes desta DPA) estão a concordar com as Cláusulas Contratuais Padrão (onde e conforme aplicável) e todos os apêndices a elas anexos. No caso de qualquer conflito ou inconsistência entre esta DPA e as Cláusulas Contratuais Padrão no Anexo 2, as Cláusulas Contratuais Padrão prevalecerão.

  1. Partes nesta DPA

Esta DPA é uma emenda ao Acordo e faz parte do mesmo. Após a incorporação desta DPA no Acordo, o Controlador e a Skyfii são cada uma das partes desta DPA.

A entidade legal que concorda com esta DPA como Controlador representa que está autorizada a concordar e a entrar nesta DPA e está a concordar com esta DPA apenas em nome do Controlador.

  1. Assinatura

As partes acordam que a execução do Acordo constituirá a execução da presente APD por ambas as partes.

         

EXPOSIÇÃO 1

Sub-Processadores

Os Sub-Processadores da Skyfii estão listados em:

EXPOSIÇÃO 2

Cláusulas Contratuais Padrão

(Módulo 2: Controlador para Processador)

SECÇÃO I

Cláusula 1

Finalidade e alcance

  1. O objectivo destas cláusulas contratuais-tipo é assegurar o cumprimento dos requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de Abril de 2016, relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Protecção de Dados)[1] para a transferência de dados pessoais para um país terceiro.
  1. As Partes:
  1. a(s) pessoa(s) singular(es) ou colectiva(s), autoridade(s) pública(s), agência(s) ou outro(s) organismo(s) (adiante designado por "entidade(s)") que transfere(m) os dados pessoais, tal como enumerados no Anexo I.A. (adiante designado por cada "exportador de dados"), e
  2. a(s) entidade(s) de um país terceiro que receba(m) os dados pessoais do exportador de dados, directa ou indirectamente através de outra entidade igualmente Parte nestas cláusulas, tal como enumeradas no Anexo I.A. (doravante cada "importador de dados")

concordaram com estas cláusulas contratuais-tipo (doravante: "Cláusulas").

  1. Estas cláusulas aplicam-se no que diz respeito à transferência de dados pessoais, tal como especificado no Anexo I.B.
  2. O apêndice a estas cláusulas contendo os anexos aí referidos é parte integrante destas cláusulas.

Cláusula 2

Efeito e invariabilidade das Cláusulas

  1. Estas cláusulas estabelecem salvaguardas adequadas, incluindo direitos executórios das pessoas em causa e vias de recurso eficazes, nos termos do artigo 46(1) e do artigo 46(2)(c) do Regulamento (UE) 2016/679 e, no que respeita às transferências de dados dos responsáveis pelo tratamento para os processadores e/ou processadores para os processadores, cláusulas contratuais-tipo nos termos do artigo 28(7) do Regulamento (UE) 2016/679, desde que não sejam alteradas, excepto para seleccionar o(s) Módulo(s) adequado(s) ou para acrescentar ou actualizar informações no Apêndice. Isto não impede as Partes de incluir as cláusulas contratuais-tipo estabelecidas nestas cláusulas num contrato mais amplo e/ou de acrescentar outras cláusulas ou salvaguardas adicionais, desde que não contradigam, directa ou indirectamente, estas cláusulas ou prejudiquem os direitos ou liberdades fundamentais dos titulares dos dados.
  2. Estas cláusulas não prejudicam as obrigações a que o exportador de dados está sujeito em virtude do Regulamento (UE) 2016/679.

Cláusula 3

Beneficiários de terceiros

  1. Os titulares dos dados podem invocar e aplicar estas cláusulas, como terceiros beneficiários, contra o exportador e/ou importador de dados, com as seguintes excepções:
  1. Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
  2. Cláusula 8 - Módulo Um: Cláusula 8.5 (e) e Cláusula 8.9(b); Módulo Dois: Cláusula 8.1(b), 8.9(a), (c), (d) e (e); Módulo Três: Cláusula 8.1(a), (c) e (d) e Cláusula 8.9(a), (c), (d), (e), (f) e (g); Módulo Quatro: Cláusula 8.1(b) e Cláusula 8.3(b);
  3. Cláusula 9 - Módulo Dois: Cláusula 9(a), (c), (d) e (e); Módulo Três: Cláusula 9(a), (c), (d) e (e);
  4. Cláusula 12 - Módulo Um: Cláusula 12(a) e (d); Módulos Dois e Três: Cláusula 12(a), (d) e (f);
  5. Cláusula 13;
  6. Cláusula 15.1(c), (d) e (e);
  7. Cláusula 16(e);
  8. Cláusula 18 - Módulos Um, Dois e Três: Cláusula 18(a) e (b); Módulo Quatro: Cláusula 18.
  1. A alínea a) não prejudica os direitos das pessoas em causa ao abrigo do Regulamento (UE) 2016/679.

Cláusula 4

Interpretação

  1. Quando estas cláusulas utilizarem termos definidos no Regulamento (UE) 2016/679, esses termos terão o mesmo significado que no referido Regulamento.
  2. Estas cláusulas devem ser lidas e interpretadas à luz das disposições do Regulamento (UE) 2016/679.
  3. Estas cláusulas não devem ser interpretadas de forma a entrar em conflito com os direitos e obrigações previstos no Regulamento (UE) 2016/679.

Cláusula 5

Hierarquia

Em caso de contradição entre estas cláusulas e as disposições de acordos conexos entre as Partes, existentes no momento em que estas cláusulas forem acordadas ou celebradas posteriormente, estas cláusulas prevalecerão.

Cláusula 6

Descrição da(s) transferência(ões)

Os detalhes da(s) transferência(ões), e em particular as categorias de dados pessoais que são transferidos e a(s) finalidade(s) para a(s) qual(is) são transferidos, são especificados no Anexo I.B.

Cláusula 7

Cláusula de ancoragem

  1. Uma entidade que não seja Parte nestas cláusulas pode, com o acordo das Partes, aderir a estas cláusulas em qualquer altura, quer como exportador de dados quer como importador de dados, preenchendo o Apêndice e assinando o Anexo I.A.  
  2. Uma vez concluído o Apêndice e assinado o Anexo I.A, a entidade aderente tornar-se-á Parte nestas cláusulas e terá os direitos e obrigações de um exportador ou importador de dados de acordo com a sua designação no Anexo I.A.
  3. A entidade aderente não terá quaisquer direitos ou obrigações decorrentes destas cláusulas desde o período anterior a tornar-se Parte.

SECÇÃO II - OBRIGAÇÕES DAS PARTES

Cláusula 8

Salvaguardas em matéria de protecção de dados

O exportador de dados garante que envidou esforços razoáveis para determinar que o importador de dados é capaz, através da implementação de medidas técnicas e organizacionais adequadas, de satisfazer as suas obrigações ao abrigo destas cláusulas.

8.1 Instruções

  1. O importador de dados só processará os dados pessoais mediante instruções documentadas do exportador de dados. O exportador de dados pode dar tais instruções durante todo o período de vigência do contrato.
  1. O importador de dados deve informar imediatamente o exportador de dados se não for capaz de seguir essas instruções.

8.2 Limitação da finalidade

O importador de dados processará os dados pessoais apenas para a(s) finalidade(s) específica(s) da transferência, tal como estabelecido no Anexo I.B, a menos que receba instruções adicionais do exportador de dados.

8.3 Transparência

Mediante pedido, o exportador de dados disponibilizará gratuitamente ao interessado uma cópia destas cláusulas, incluindo o apêndice, tal como preenchido pelas Partes. Na medida do necessário para proteger os segredos comerciais ou outras informações confidenciais, incluindo as medidas descritas no Anexo II e os dados pessoais, o exportador de dados poderá redigir parte do texto do Apêndice às presentes cláusulas antes de partilhar uma cópia, mas deverá fornecer um resumo significativo sempre que o titular dos dados não possa, de outro modo, compreender o seu conteúdo ou exercer os seus direitos. Mediante pedido, as Partes fornecerão ao titular dos dados os motivos das redacções, na medida do possível sem revelar a informação redaccionada. Esta cláusula não prejudica as obrigações do exportador de dados nos termos dos artigos 13º e 14º do Regulamento (UE) 2016/679.  

8.4 Exactidão

Se o importador de dados tiver conhecimento de que os dados pessoais que recebeu são inexactos, ou que se tornaram desactualizados, deve informar o exportador de dados sem demora injustificada. Neste caso, o importador de dados deve cooperar com o exportador de dados para apagar ou rectificar os dados.

8.5 Duração do tratamento e apagamento ou devolução dos dados

O tratamento de dados pelo importador de dados só terá lugar durante o período especificado no Anexo I.B. Após o fim da prestação dos serviços de tratamento, o importador de dados, à escolha do exportador de dados, apagará todos os dados pessoais tratados em nome do exportador de dados e certificará ao exportador de dados que o fez, ou devolverá ao exportador de dados todos os dados pessoais tratados em seu nome e apagará as cópias existentes. Até que os dados sejam apagados ou devolvidos, o importador de dados continuará a assegurar o cumprimento destas cláusulas. No caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou eliminação dos dados pessoais, o importador de dados garante que continuará a assegurar o cumprimento destas cláusulas e só as processará na medida e durante o tempo exigido ao abrigo dessa lei local. Isto sem prejuízo da Cláusula 14, em particular a exigência de o importador de dados, nos termos da Cláusula 14(e), notificar o exportador de dados durante a vigência do contrato se tiver razões para crer que está ou se tornou sujeito a leis ou práticas não conformes com os requisitos da Cláusula 14(a).

8.6 Segurança do processamento

  1. O importador de dados e, durante a transmissão, também o exportador de dados devem aplicar medidas técnicas e organizacionais adequadas para garantir a segurança dos dados, incluindo protecção contra uma quebra de segurança que conduza à destruição acidental ou ilegal, perda, alteração, divulgação ou acesso não autorizado a esses dados (doravante "violação de dados pessoais"). Ao avaliar o nível adequado de segurança, as Partes terão na devida conta o estado da técnica, os custos de implementação, a natureza, o âmbito, o contexto e a(s) finalidade(s) do tratamento e os riscos envolvidos no tratamento dos dados para as pessoas em causa. As Partes considerarão, nomeadamente, o recurso à codificação ou à pseudonímia, inclusive durante a transmissão, sempre que a finalidade do tratamento possa ser cumprida dessa forma. Em caso de pseudonimização, as informações adicionais para a atribuição dos dados pessoais a uma determinada pessoa em causa permanecerão, sempre que possível, sob o controlo exclusivo do exportador de dados. No cumprimento das suas obrigações nos termos do presente número, o importador de dados aplicará pelo menos as medidas técnicas e organizacionais especificadas no Anexo II. O importador de dados deve efectuar controlos regulares para garantir que essas medidas continuam a proporcionar um nível de segurança adequado.
  2. O importador de dados só dará acesso aos dados pessoais aos membros do seu pessoal na medida estritamente necessária para a execução, gestão e controlo do contrato. Deve assegurar que as pessoas autorizadas a tratar os dados pessoais se comprometeram à confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade adequada.
  3. Em caso de violação de dados pessoais relativos a dados pessoais tratados pelo importador de dados ao abrigo das presentes cláusulas, o importador de dados tomará as medidas adequadas para resolver a violação, incluindo medidas para mitigar os seus efeitos adversos. O importador de dados notificará igualmente o exportador de dados sem demora injustificada após ter tomado conhecimento da violação. Tal notificação deve conter os pormenores de um ponto de contacto onde possam ser obtidas mais informações, uma descrição da natureza da violação (incluindo, sempre que possível, as categorias e o número aproximado de titulares dos dados e registos de dados pessoais em causa), as suas prováveis consequências e as medidas tomadas ou propostas para resolver a violação, incluindo, sempre que apropriado, medidas para atenuar os seus possíveis efeitos adversos. Quando, e na medida em que, não seja possível fornecer todas as informações ao mesmo tempo, a notificação inicial deve conter as informações então disponíveis e, à medida que estas se tornem disponíveis, as informações adicionais devem ser fornecidas posteriormente sem demora injustificada.
  4. O importador de dados deve cooperar e ajudar o exportador de dados a permitir-lhe cumprir as suas obrigações nos termos do Regulamento (UE) 2016/679, em particular para notificar a autoridade de controlo competente e as pessoas em causa, tendo em conta a natureza do tratamento e as informações disponíveis para o importador de dados.

8.7 Dados sensíveis

Se a transferência envolver dados pessoais que revelem a origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, ou filiação sindical, dados genéticos, ou dados biométricos para efeitos de identificação única de uma pessoa singular, dados relativos à saúde ou à vida sexual ou orientação sexual de uma pessoa, ou dados relativos a condenações penais e infracções (a seguir denominados "dados sensíveis"), o importador de dados aplicará as restrições específicas e/ou salvaguardas adicionais descritas no Anexo I.B.

8.8 Transferências em curso

O importador de dados só deve revelar os dados pessoais a terceiros mediante instruções documentadas do exportador de dados. Além disso, os dados só podem ser revelados a terceiros localizados fora da União Europeia.[2] (no mesmo país que o importador de dados ou noutro país terceiro, doravante "transferência subsequente") se o terceiro estiver ou concordar em estar vinculado por estas cláusulas, ao abrigo do Módulo apropriado, ou se:

  1. a transferência subsequente é para um país que beneficia de uma decisão de adequação nos termos do artigo 45º do Regulamento (UE) 2016/679 que abrange a transferência subsequente;
  2. o terceiro garante de outra forma as salvaguardas adequadas nos termos dos artigos 46º ou 47º do Regulamento (UE) 2016/679 no que diz respeito ao processamento em questão;
  3. a transferência subsequente é necessária para o estabelecimento, exercício ou defesa de acções judiciais no contexto de processos administrativos, regulamentares ou judiciais específicos; ou
  4. a transferência posterior é necessária para proteger os interesses vitais do titular dos dados ou de outra pessoa singular.

Qualquer transferência posterior está sujeita ao cumprimento pelo importador de dados de todas as outras salvaguardas ao abrigo destas cláusulas, em particular a limitação da finalidade.

8.9 Documentação e conformidade

  1. O importador de dados deve tratar prontamente e de forma adequada os pedidos de informação do exportador de dados relacionados com o tratamento ao abrigo destas cláusulas.
  2. As Partes deverão poder demonstrar o cumprimento destas cláusulas. Em particular, o importador de dados conservará a documentação adequada sobre as actividades de tratamento levadas a cabo em nome do exportador de dados.
  3. O importador de dados colocará à disposição do exportador de dados todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas nestas cláusulas e, a pedido do exportador de dados, permitirá e contribuirá para auditorias das actividades de tratamento abrangidas por estas cláusulas, a intervalos razoáveis ou se houver indícios de incumprimento. Ao decidir sobre uma revisão ou auditoria, o exportador de dados pode ter em conta as certificações pertinentes na posse do importador de dados.  
  4. O exportador de dados pode optar por realizar a auditoria por si próprio ou mandatar um auditor independente. As auditorias podem incluir inspecções nas instalações ou instalações físicas do importador de dados e devem, se for caso disso, ser efectuadas com aviso prévio razoável.
  5. As Partes disponibilizarão as informações referidas nas alíneas b) e c), incluindo os resultados de eventuais auditorias, à autoridade de controlo competente, mediante pedido.

Cláusula 9

Utilização de sub-processadores

  1. O importador de dados tem a autorização geral do exportador de dados para a contratação de sub-processador(es) a partir de uma lista acordada. O importador de dados deve informar especificamente por escrito o exportador de dados de quaisquer alterações previstas a essa lista através da adição ou substituição de subcontratantes com pelo menos 30 dias de antecedência, dando assim ao exportador de dados tempo suficiente para poder opor-se a tais alterações antes da contratação do(s) subcontratante(s) ulterior(es). O importador de dados deve fornecer ao exportador de dados as informações necessárias para permitir ao exportador de dados exercer o seu direito de oposição.
  2. Se o importador de dados contratar um subcontratante ulterior para realizar actividades de tratamento específicas (em nome do exportador de dados), fá-lo-á através de um contrato escrito que preveja, em substância, as mesmas obrigações de protecção de dados que vinculam o importador de dados ao abrigo destas cláusulas, incluindo em termos de direitos de terceiros beneficiários para as pessoas em causa.[3] As Partes concordam que, ao cumprir esta cláusula, o importador de dados cumpre as suas obrigações nos termos da cláusula 8.8. O importador de dados garantirá que o subcontratante subcontratado cumpre as obrigações a que o importador de dados está sujeito nos termos destas Cláusulas.
  3. O importador de dados deve fornecer, a pedido do exportador de dados, uma cópia de tal acordo de sub-processador e de quaisquer alterações subsequentes ao exportador de dados. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o importador de dados pode redigir o texto do acordo antes de partilhar uma cópia.
  4. O importador de dados permanece inteiramente responsável perante o exportador de dados pelo cumprimento das obrigações do subcontratante ulterior nos termos do seu contrato com o importador de dados. O importador de dados notificará o exportador de dados de qualquer incumprimento por parte do subcontratante ulterior das suas obrigações nos termos desse contrato.
  5. O importador de dados acordará com o subcontratante subcontratado uma cláusula de terceiro beneficiário segundo a qual - caso o importador de dados tenha desaparecido de facto, deixado de existir por lei ou se tenha tornado insolvente - o exportador de dados terá o direito de rescindir o contrato do subcontratante subcontratante subcontratado e de dar instruções ao subcontratante subcontratante subcontratado para apagar ou devolver os dados pessoais.

Cláusula 10

Direitos do sujeito dos dados

  1. O importador de dados deve notificar imediatamente o exportador de dados de qualquer pedido que tenha recebido de uma pessoa em causa. Só responderá a esse pedido se tiver sido autorizado a fazê-lo pelo exportador de dados.
  2. O importador de dados deve ajudar o exportador de dados a cumprir as suas obrigações de resposta aos pedidos das pessoas em causa para o exercício dos seus direitos ao abrigo do Regulamento (UE) 2016/679. A este respeito, as Partes estabelecerão no Anexo II as medidas técnicas e organizacionais adequadas, tendo em conta a natureza do tratamento, através das quais a assistência será prestada, bem como o âmbito e a extensão da assistência necessária.
  3. No cumprimento das suas obrigações nos termos das alíneas (a) e (b), o importador de dados deve cumprir as instruções do exportador de dados.

Cláusula 11

Reparar

  1. O importador de dados deve informar as pessoas em causa num formato transparente e facilmente acessível, através de aviso individual ou no seu website, de um ponto de contacto autorizado a tratar as queixas. Deve tratar prontamente quaisquer reclamações que receba de um titular dos dados.
  2. Em caso de litígio entre um titular dos dados e uma das Partes no que respeita ao cumprimento destas cláusulas, essa Parte envidará os seus melhores esforços para resolver a questão de forma amigável e atempada. As Partes manter-se-ão mutuamente informadas sobre tais litígios e, quando apropriado, cooperarão na sua resolução.  
  3. Se o titular dos dados invocar um direito de terceiro beneficiário nos termos da cláusula 3, o importador de dados deve aceitar a decisão do titular dos dados:
  1. apresentar uma queixa à autoridade de controlo no Estado-membro da sua residência habitual ou local de trabalho, ou à autoridade de controlo competente nos termos da cláusula 13;
  2. remeter o litígio para os tribunais competentes na acepção da cláusula 18.
  1. As Partes aceitam que a pessoa em causa possa ser representada por um organismo, organização ou associação sem fins lucrativos, nas condições estabelecidas no artigo 80(1) do Regulamento (UE) 2016/679.
  2. O importador de dados deve cumprir uma decisão vinculativa ao abrigo da legislação aplicável da UE ou do Estado-Membro.
  3. O importador de dados concorda que a escolha feita pelo titular dos dados não prejudicará os seus direitos substantivos e processuais de procurar recursos em conformidade com as leis aplicáveis.

Cláusula 12

Responsabilidade civil

  1. Cada Parte será responsável perante a(s) outra(s) Parte(s) por quaisquer danos que cause à(s) outra(s) Parte(s) por qualquer violação das presentes cláusulas.
  2. O importador de dados será responsável perante o titular dos dados, e o titular dos dados terá direito a receber uma indemnização por quaisquer danos materiais ou morais que o importador de dados ou o seu subcontratante causem ao titular dos dados, violando os direitos dos terceiros beneficiários ao abrigo das presentes cláusulas.
  3. Não obstante a alínea b), o exportador de dados será responsável perante o titular dos dados, e este terá direito a receber uma indemnização, por quaisquer danos materiais ou morais que o exportador ou o importador de dados (ou o seu subcontratante) cause ao titular dos dados, violando os direitos dos terceiros beneficiários ao abrigo das presentes cláusulas. Isto não prejudica a responsabilidade do exportador de dados e, se o exportador de dados for um subcontratante agindo por conta de um responsável pelo tratamento, a responsabilidade do responsável pelo tratamento ao abrigo do Regulamento (UE) 2016/679 ou do Regulamento (UE) 2018/1725, conforme aplicável.
  4. As Partes acordam que se o exportador de dados for considerado responsável nos termos da alínea (c) por danos causados pelo importador de dados (ou pelo seu subcontratante), terá direito a reclamar do importador de dados a parte da indemnização correspondente à responsabilidade do importador de dados pelos danos.
  5. Quando mais de uma Parte for responsável por qualquer dano causado à pessoa em causa em resultado de uma violação destas cláusulas, todas as Partes responsáveis serão solidariamente responsáveis e a pessoa em causa tem o direito de intentar uma acção em tribunal contra qualquer uma destas Partes.
  6. As Partes acordam que se uma Parte for considerada responsável nos termos da alínea (e), terá o direito de reclamar da outra Parte a devolução da parte da indemnização correspondente à sua/seu responsabilidade pelos danos.
  7. O importador de dados não pode invocar a conduta de um sub-processador para evitar a sua própria responsabilidade.

Cláusula 13

Supervisão

  1. A autoridade de controlo com a responsabilidade de assegurar o cumprimento pelo exportador de dados do Regulamento (UE) 2016/679 no que respeita à transferência de dados, tal como indicado no Anexo I.C, actuará como autoridade de controlo competente.
  2. O importador de dados concorda em submeter-se à jurisdição da autoridade de controlo competente e cooperar com ela em quaisquer procedimentos destinados a assegurar o cumprimento destas cláusulas. Em particular, o importador de dados concorda em responder a inquéritos, submeter-se a auditorias e cumprir as medidas adoptadas pela autoridade de controlo, incluindo medidas correctivas e compensatórias. Fornecerá à autoridade de controlo uma confirmação escrita de que foram tomadas as medidas necessárias.

SECÇÃO III - LEIS E OBRIGAÇÕES LOCAIS EM CASO DE ACESSO POR PARTE DAS AUTORIDADES PÚBLICAS

Cláusula 14

Leis e práticas locais que afectam o cumprimento das Cláusulas

  1. As Partes garantem que não têm motivos para crer que as leis e práticas do país terceiro de destino aplicáveis ao tratamento dos dados pessoais pelo importador de dados, incluindo quaisquer requisitos de divulgação de dados pessoais ou medidas de autorização de acesso por parte das autoridades públicas, impeçam o importador de dados de cumprir as suas obrigações ao abrigo destas cláusulas. Isto baseia-se no entendimento de que as leis e práticas que respeitam a essência dos direitos e liberdades fundamentais e não excedem o que é necessário e proporcional numa sociedade democrática para salvaguardar um dos objectivos enumerados no artigo 23(1) do Regulamento (UE) 2016/679, não estão em contradição com estas Cláusulas.
  2. As Partes declaram que ao fornecerem a garantia no parágrafo (a), tiveram em devida conta, em particular, os seguintes elementos:
  1. as circunstâncias específicas da transferência, incluindo a duração da cadeia de tratamento, o número de intervenientes envolvidos e os canais de transmissão utilizados; as transferências posteriores previstas; o tipo de destinatário; a finalidade do tratamento; as categorias e o formato dos dados pessoais transferidos; o sector económico em que a transferência ocorre; o local de armazenamento dos dados transferidos;
  2. as leis e práticas do país terceiro de destino - incluindo as que exigem a divulgação de dados às autoridades públicas ou autorizam o acesso por parte dessas autoridades - relevantes à luz das circunstâncias específicas da transferência, bem como as limitações e salvaguardas aplicáveis[4];
  3. quaisquer garantias contratuais, técnicas ou organizativas relevantes, criadas para complementar as salvaguardas previstas nestas cláusulas, incluindo medidas aplicadas durante a transmissão e ao tratamento dos dados pessoais no país de destino.
  1. O importador de dados garante que, ao efectuar a avaliação nos termos da alínea (b), envidou os seus melhores esforços para fornecer ao exportador de dados informações relevantes e concorda que continuará a cooperar com o exportador de dados no sentido de assegurar o cumprimento destas cláusulas.
  2. As Partes acordam em documentar a avaliação nos termos da alínea (b) e colocá-la à disposição da autoridade supervisora competente, mediante pedido.
  3. O importador de dados concorda em notificar imediatamente o exportador de dados se, após ter concordado com estas cláusulas e durante a vigência do contrato, tiver razões para acreditar que está ou se tornou sujeito a leis ou práticas não conformes com os requisitos da alínea (a), incluindo na sequência de uma alteração das leis do país terceiro ou de uma medida (tal como um pedido de divulgação) que indique uma aplicação de tais leis na prática que não esteja em conformidade com os requisitos da alínea (a).
  4. Na sequência de uma notificação nos termos da alínea e), ou se o exportador de dados tiver razões para crer que o importador de dados já não pode cumprir as suas obrigações nos termos destas cláusulas, o exportador de dados deve identificar rapidamente as medidas adequadas (por exemplo, medidas técnicas ou organizacionais para garantir a segurança e confidencialidade) a adoptar pelo exportador e/ou importador de dados para resolver a situação. O exportador de dados suspenderá a transferência de dados se considerar que não podem ser asseguradas salvaguardas adequadas para essa transferência, ou se receber instruções da autoridade de controlo competente para o fazer. Neste caso, o exportador de dados terá o direito de rescindir o contrato, na medida em que este diga respeito ao tratamento de dados pessoais ao abrigo das presentes cláusulas. Se o contrato envolver mais de duas Partes, o exportador de dados poderá exercer este direito de resolução apenas em relação à Parte relevante, a menos que as Partes tenham acordado em contrário. Se o contrato for rescindido nos termos da presente cláusula, aplicam-se as cláusulas 16(d) e (e).

Cláusula 15

Obrigações do importador de dados em caso de acesso por parte das autoridades públicas

15.1 Notificação

  1. O importador de dados concorda em notificar imediatamente o exportador de dados e, se possível, a pessoa em causa (se necessário, com a ajuda do exportador de dados) se tal for possível:
  1. receber um pedido juridicamente vinculativo de uma autoridade pública, incluindo autoridades judiciais, nos termos da legislação do país de destino, para a divulgação dos dados pessoais transferidos nos termos destas cláusulas; essa notificação incluirá informações sobre os dados pessoais solicitados, a autoridade requerente, a base jurídica do pedido e a resposta fornecida; ou
  2. toma conhecimento de qualquer acesso directo das autoridades públicas aos dados pessoais transferidos nos termos destas cláusulas, de acordo com as leis do país de destino; tal notificação deve incluir todas as informações disponíveis para o importador.
  1. Se o importador de dados estiver proibido de notificar o exportador de dados e/ou a pessoa em causa ao abrigo das leis do país de destino, o importador de dados concorda em envidar os seus melhores esforços para obter uma derrogação à proibição, com vista a comunicar o máximo de informação possível, o mais rapidamente possível. O importador de dados concorda em documentar os seus melhores esforços a fim de poder demonstrá-los a pedido do exportador de dados.
  2. Quando permitido pela legislação do país de destino, o importador de dados concorda em fornecer ao exportador de dados, a intervalos regulares durante a vigência do contrato, o maior número possível de informações relevantes sobre os pedidos recebidos (em particular, número de pedidos, tipo de dados solicitados, autoridade/entidades requerentes, se os pedidos foram contestados e o resultado de tais contestações, etc.).
  3. O importador de dados concorda em preservar as informações nos termos das alíneas (a) a (c) durante a vigência do contrato e disponibilizá-las à autoridade de controlo competente, mediante pedido.
  4. Os parágrafos (a) a (c) não prejudicam a obrigação do importador de dados nos termos da cláusula 14(e) e da cláusula 16 de informar prontamente o exportador de dados sempre que este não possa cumprir estas cláusulas.

15.2 Revisão da legalidade e minimização de dados

  1. O importador de dados concorda em rever a legalidade do pedido de divulgação, em particular se permanece dentro dos poderes concedidos à autoridade pública requerente, e em contestar o pedido se, após avaliação cuidadosa, concluir que existem motivos razoáveis para considerar que o pedido é ilegal ao abrigo das leis do país de destino, das obrigações aplicáveis ao abrigo do direito internacional e dos princípios de cortesia internacional. O importador de dados deve, nas mesmas condições, prosseguir com as possibilidades de recurso. Ao contestar um pedido, o importador de dados deve procurar medidas provisórias com vista a suspender os efeitos do pedido até que a autoridade judicial competente tenha decidido sobre o seu mérito. O importador de dados não divulgará os dados pessoais solicitados até que tal lhe seja solicitado ao abrigo das regras processuais aplicáveis. Estes requisitos não prejudicam as obrigações do importador de dados nos termos da cláusula 14(e).
  2. O importador de dados concorda em documentar a sua avaliação legal e qualquer contestação ao pedido de divulgação e, na medida do permitido pela legislação do país de destino, disponibilizar a documentação ao exportador de dados. Colocá-la-á igualmente à disposição da autoridade de controlo competente, mediante pedido.
  3. O importador de dados concorda em fornecer a quantidade mínima de informação permitida ao responder a um pedido de divulgação, com base numa interpretação razoável do pedido.

SECÇÃO IV - DISPOSIÇÕES FINAIS

Cláusula 16

Incumprimento das Cláusulas e rescisão

  1. O importador de dados informará imediatamente o exportador de dados se, por qualquer razão, não puder cumprir estas cláusulas.
  2. No caso de o importador de dados violar estas cláusulas ou não conseguir cumprir estas cláusulas, o exportador de dados suspenderá a transferência de dados pessoais para o importador de dados até que o cumprimento seja novamente assegurado ou até que o contrato seja rescindido. Tal não prejudica o disposto na Cláusula 14(f).
  3. O exportador de dados tem o direito de rescindir o contrato, na medida em que este diga respeito ao tratamento de dados pessoais ao abrigo das presentes cláusulas, sempre que:
  1. o exportador de dados suspendeu a transferência de dados pessoais para o importador de dados nos termos da alínea (b) e o cumprimento destas cláusulas não é restabelecido dentro de um prazo razoável e, em qualquer caso, no prazo de um mês após a suspensão;
  2. o importador de dados estiver em violação substancial ou persistente destas cláusulas; ou
  3. o importador de dados não cumprir uma decisão vinculativa de um tribunal ou autoridade de controlo competente relativamente às suas obrigações ao abrigo destas cláusulas.

Nestes casos, deve informar a autoridade de controlo competente desse incumprimento. Quando o contrato envolver mais de duas Partes, o exportador de dados poderá exercer este direito de resolução apenas em relação à Parte relevante, a menos que as Partes tenham acordado em contrário.

  1. Os dados pessoais que tenham sido transferidos antes da rescisão do contrato nos termos da alínea c) serão imediatamente devolvidos ao exportador de dados, à escolha deste, ou apagados na sua totalidade. O mesmo se aplica a todas as cópias dos dados. O importador de dados deve certificar o apagamento dos dados ao exportador de dados. Até que os dados sejam apagados ou devolvidos, o importador de dados continuará a assegurar o cumprimento destas cláusulas. No caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou eliminação dos dados pessoais transferidos, o importador de dados garante que continuará a assegurar o cumprimento destas cláusulas e só processará os dados na medida e durante o tempo exigido ao abrigo dessa lei local.
  2. Qualquer das Partes pode revogar o seu acordo de ficar vinculada por estas cláusulas quando (i) a Comissão Europeia adoptar uma decisão nos termos do artigo 45(3) do Regulamento (UE) 2016/679 que abranja a transferência de dados pessoais aos quais se aplicam estas cláusulas; ou (ii) o Regulamento (UE) 2016/679 se tornar parte do quadro legal do país para o qual os dados pessoais são transferidos. Isto não prejudica outras obrigações aplicáveis ao tratamento em questão ao abrigo do Regulamento (UE) 2016/679.

Cláusula 17

Direito aplicável

Estas cláusulas são regidas pela lei do Estado-Membro da UE em que o exportador de dados se encontra estabelecido. Se tal lei não permitir direitos de terceiros beneficiários, serão regidas pela lei de outro Estado Membro da UE que não permita direitos de terceiros beneficiários. As Partes acordam que esta será a lei da República da Irlanda(especificar o Estado-Membro) .

Cláusula 18

Escolha do foro e jurisdição

  1. Qualquer litígio decorrente destas cláusulas será resolvido pelos tribunais de um Estado Membro da UE.
  2. As Partes acordam que estes serão os tribunais da República da Irlanda(especificar o Estado-Membro).
  3. A pessoa em causa pode igualmente intentar uma acção judicial contra o exportador e/ou importador de dados perante os tribunais do Estado-membro em que tem a sua residência habitual.
  4. As Partes concordam em submeter-se à jurisdição de tais tribunais.

APÊNDICE

ANEXO I

A. LISTA DAS PARTES

Exportador(es) de dados:

Nome: Cliente

Endereço: Como especificado no Acordo

Nome, cargo e dados de contacto da pessoa de contacto: Os dados de contacto para o exportador de dados estão especificados no Acordo

Actividades relevantes para os dados transferidos ao abrigo destas cláusulas: Os serviços a serem prestados pela Skyfii ao Cliente, tal como descritos no Acordo.

Assinatura e data: As partes acordam que a execução do Acordo constituirá a execução destas cláusulas por ambas as partes.

Papel (controlador/processador): Controlador

Importador(es) de dados:

Nome: Skyfii

Endereço: Como especificado no Acordo

Nome, cargo e dados de contacto da pessoa de contacto:

Michael Walker 5 Ward Avenue POTTS POINT NSW 2011 AUSTRÁLIA privacy@skyfii.com

Dados de contacto do encarregado da protecção de dados:

Evalian Limited Loja do Oeste Colden Common Winchester, Reino Unido, SO21 1TH dpo@evalian.co.uk

Actividades relevantes para os dados transferidos ao abrigo destas cláusulas: Os serviços a serem prestados pela Skyfii ao Cliente, tal como descritos no Acordo.

Assinatura: As partes acordam que a execução do Acordo constituirá a execução destas cláusulas por ambas as partes

Papel (controlador/processador): Processador


B. DESCRIÇÃO DA TRANSFERÊNCIA

Categorias de pessoas cujos dados pessoais são transferidos

  • Categorias de titulares dos dados estabelecidos na Secção 2 do Acordo sobre Processamento de Dados, aos quais estas cláusulas estão incorporadas.

Categorias de dados pessoais transferidos

  • Categorias de dados pessoais estabelecidas na Secção 2 do Acordo sobre Processamento de Dados, às quais estas cláusulas estão incorporadas.

Dados sensíveis transferidos (se aplicável) e restrições ou salvaguardas aplicadas que tenham plenamente em consideração a natureza dos dados e os riscos envolvidos, tais como, por exemplo, limitação estrita da finalidade, restrições de acesso (incluindo acesso apenas para o pessoal que tenha seguido formação especializada), manutenção de um registo de acesso aos dados, restrições para transferências ulteriores ou medidas de segurança adicionais.

  • As partes não antecipam a transferência de categorias especiais de dados.

A frequência da transferência (por exemplo, se os dados são transferidos de uma só vez ou numa base contínua).

  • Contínuo

Natureza do processamento

  • Categorias de dados pessoais estabelecidas na Secção 2 do Contrato de Tratamento de Dados a que estas cláusulas se encontram anexadas.

Finalidade(s) da transferência e tratamento posterior dos dados

  • Prestação dos Serviços a serem prestados pela Skyfii ao exportador de dados, tal como estabelecido nos Acordos de Cliente Skyfii.

O período durante o qual os dados pessoais serão retidos, ou, se tal não for possível, os critérios utilizados para determinar esse período

  • Termo dos Acordos de Cliente Skyfii.

Para transferências para (sub)processadores, especificar também o assunto, natureza e duração do processamento

  • Como acima exposto

C. AUTORIDADE DE SUPERVISÃO COMPETENTE

Identificar a(s) autoridade(s) de supervisão competente(s) em conformidade com a cláusula 13:

  • A autoridade de controlo competente no Estado-Membro da UE em que o exportador de dados está estabelecido.

ANEXO II - MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS

Descrição das medidas técnicas e organizacionais implementadas pelo(s) importador(es) de dados (incluindo quaisquer certificações relevantes) para assegurar um nível de segurança adequado, tendo em conta a natureza, âmbito, contexto e finalidade do tratamento, e os riscos para os direitos e liberdades das pessoas singulares.

  • Políticas e Sensibilização

Políticas de segurança da informação e procedimentos operacionais relacionados e formação em segurança da informação do pessoal.

  • Controlo de Acesso

Mínimo controlo de acesso privilegiado baseado no acesso baseado no papel. Definição do processo de gestão de acesso dos utilizadores com auditoria contínua das permissões de acesso dos utilizadores. Acesso privilegiado e administrativo restrito com base na necessidade de conhecer, com auditoria em curso das permissões de acesso dos utilizadores.

  • Identificação e Autenticação

Controlos de gestão de identidade e de acesso para garantir que apenas utilizadores identificados, autorizados e autenticados de forma única tenham acesso aos sistemas que processam dados pessoais.

  • Segurança de dados

Classificação e rotulagem de dados. Criptografia dos dados em repouso e em trânsito. Gestão centralizada de chaves, incluindo rotação.

  • Segurança dos Recursos Humanos

Verificação dos antecedentes pré-emprego dos potenciais membros do pessoal que terão acesso aos dados pessoais, exigindo que estejam sujeitos a obrigações de confidencialidade e que tenham um processo disciplinar em vigor para gerir violações de confidencialidade ou não cumprimento das políticas de segurança da informação ou de protecção de dados.

  • Segurança Física

Implementar controlos de segurança física para impedir o acesso não autorizado a dados pessoais e sistemas de informação utilizados para o processamento de dados pessoais.

  • Segurança Técnica

Segurança das normas de configuração e construções. Controlos de segurança do perímetro da rede. Software anti-malware implantado em todos os computadores.

  • Gestão de Incidentes

Procedimentos de gestão de incidentes de segurança da informação.

  • Garantia independente

Revisões de garantia por terceiros, incluindo testes de penetração de sistemas de informação apropriados, pelo menos anualmente.  


ANEXO III - LISTA DE SUB-PROCESSADORES

O controlador autorizou a utilização dos seguintes sub-processadores:

Os sub-processadores listados em:

-• https://skyfii.io/sub-processors


EXPOSIÇÃO 3

Adenda IDT

Módulo 2: Controlador para Processador

Cláusulas Padrão de Protecção de Dados a serem emitidas pelo Comissário ao abrigo da S119A(1) Data Protection Act 2018

Adenda à cláusula contratual padrão da Comissão Europeia relativa à transferência internacional de dados

VERSÃO B1.0, em vigor a 21 de Março de 2022

Esta Adenda foi emitida pelo Comissário de Informação para as Partes que efectuam Transferências Restritas. O Comissário da Informação considera que fornece salvaguardas apropriadas para as Transferências Restritas quando é celebrado como um contrato juridicamente vinculativo.

Parte 1: Tabelas

Quadro 1: Partes

Data de início

Data da DPA

As Partes

Exportador (que envia a Transferência Restrita)

Importador (que recebe a Transferência Restrita)

Detalhes das partes

Como estabelecido no Anexo 1.A das Cláusulas Contratuais Padrão

Como estabelecido no Anexo 1.A das Cláusulas Contratuais Padrão

Contacto Principal

Como estabelecido no Anexo 1.A das Cláusulas Contratuais Padrão

Como estabelecido no Anexo 1.A das Cláusulas Contratuais Padrão

Assinatura (se necessário para efeitos da Secção 2)

As partes acordam que a execução do Acordo constituirá a execução da presente adenda por ambas as partes.

As partes acordam que a execução do Acordo constituirá a execução da presente adenda por ambas as partes.

Tabela 2: PCCs, Módulos e Cláusulas Seleccionadas

Adenda UE SCCs

A versão das CEC aprovadas pela UE a que a presente Adenda é anexada, detalhada abaixo, incluindo a Informação do Apêndice:

Data: Data da DPA

Referência (se houver): N/A

Outro identificador (se existir): Conforme previsto no Anexo 2 desta DPA.

Ou

as CEC Aprovadas da UE, incluindo as Informações do Apêndice e apenas com os seguintes módulos, cláusulas ou disposições opcionais das CEC Aprovadas da UE que entraram em vigor para efeitos da presente Adenda:

Quadro 3: Apêndice Informação

Apêndice Informação" significa a informação que deve ser fornecida para os módulos seleccionados, tal como estabelecido no Apêndice das CEC Aprovadas da UE (que não as Partes), e que para a presente Adenda é estabelecida na presente Adenda:

Anexo 1A: Lista de Partes: Como estabelecido no Anexo I.A. das Cláusulas Contratuais-tipo

Anexo 1B: Descrição da Transferência: De acordo com o Anexo I.B. das Cláusulas Contratuais-tipo

Anexo II: Medidas técnicas e organizacionais, incluindo medidas técnicas e organizacionais para garantir a segurança dos dados: Em conformidade com o Anexo II do Cláusulas Contratuais Padrão

Anexo III: Lista de Sub processadores (apenas os módulos 2 e 3): De acordo com o Anexo III das Cláusulas Contratuais Padrão

Tabela 4: Fim desta Adenda quando a Adenda Aprovada é alterada

Terminar esta Adenda quando a Adenda Aprovada mudar

  1. Que Partes podem terminar esta Adenda, tal como estabelecido na Secção 19:
  2. ☐ Importador
  3. ☐ Exportador

☒ nenhuma das partes

Parte 2: Cláusulas Obrigatórias

Entrada na presente Adenda

  1. Cada Parte concorda em ficar vinculada pelos termos e condições estabelecidos na presente Adenda, em troca de a outra Parte também concordar em ficar vinculada pela presente Adenda.
  2. Embora o Anexo 1A e a Cláusula 7 das CEC aprovadas pela UE exijam a assinatura pelas Partes, para efeitos de efectuar Transferências Restritas, as Partes podem introduzir na presente Adenda qualquer forma que as torne juridicamente vinculativas para as Partes e permita aos titulares dos dados fazer valer os seus direitos, tal como estabelecido na presente Adenda. A entrada na presente Adenda terá o mesmo efeito que a assinatura das CEC aprovadas pela UE e de qualquer parte das CEC aprovadas pela UE.

Interpretação da presente adenda

  1. Quando esta Adenda utilizar termos definidos nas CEC Aprovadas da UE, esses termos terão o mesmo significado que nas CEC Aprovadas da UE. Além disso, os seguintes termos têm os seguintes significados:

Adenda

Esta Adenda Internacional de Transferência de Dados que é constituída por esta Adenda incorporando as CEC da UE.

Adenda UE SCCs

A(s) versão(ões) das CEC aprovadas pela UE a que a presente Adenda é anexada, tal como indicado no Quadro 2, incluindo a Informação do Apêndice.

Apêndice Informação

Como indicado no Quadro 3.

Salvaguardas adequadas

O padrão de protecção sobre os dados pessoais e dos direitos das pessoas em causa, que é exigido pelas leis britânicas de protecção de dados quando se faz uma transferência restrita com base em cláusulas padrão de protecção de dados ao abrigo do artigo 46(2)(d) GDPR do Reino Unido.

Adenda aprovada

O modelo de adenda emitido pelo ICO e apresentado ao Parlamento, em conformidade com a s119A da Lei de Protecção de Dados de 2018, em 2 de Fevereiro de 2022, tal como é revisto ao abrigo da Secção 18.

PCCs aprovadas pela UE

As Cláusulas Contratuais-tipo estabelecidas no Anexo da Decisão de Implementação (UE) 2021/914 da Comissão, de 4 de Junho de 2021.

ICO

O Comissário da Informação.

Transferência Restrita

Uma transferência que é abrangida pelo Capítulo V do GDPR do Reino Unido.

REINO UNIDO

O Reino Unido da Grã-Bretanha e Irlanda do Norte.

Leis de Protecção de Dados do Reino Unido

Todas as leis relativas à protecção de dados, ao tratamento de dados pessoais, à privacidade e/ou às comunicações electrónicas em vigor de tempos a tempos no Reino Unido, incluindo o GDPR do Reino Unido e a Lei de Protecção de Dados de 2018.

PIBR DO REINO UNIDO

Tal como definido na secção 3 da Lei de Protecção de Dados de 2018.

  1. Esta Adenda deve ser sempre interpretada de forma coerente com as Leis de Protecção de Dados do Reino Unido e para que cumpra a obrigação das Partes de fornecer as Salvaguardas Apropriadas.
  2. Se as disposições incluídas na Adenda às CEC da UE alterarem as CEC Aprovadas de qualquer forma que não seja permitida ao abrigo das CEC Aprovadas da UE ou da Adenda Aprovada, tal(s) alteração(ões) não será(ão) incorporada(s) na presente Adenda e a disposição equivalente das CEC Aprovadas da UE tomará(ão) o seu lugar.
  3. Se houver alguma inconsistência ou conflito entre as Leis de Protecção de Dados do Reino Unido e esta Adenda, aplicam-se as Leis de Protecção de Dados do Reino Unido.
  4. Se o significado desta Adenda não for claro ou houver mais do que um significado, aplica-se o significado que mais se alinha com as Leis de Protecção de Dados do Reino Unido.
  5. Qualquer referência a legislação (ou a disposições específicas da legislação) significa que a legislação (ou disposição específica) como pode mudar ao longo do tempo. Isto inclui quando essa legislação (ou disposição específica) tenha sido consolidada, recriada e/ou substituída após a presente Adenda ter sido inserida.

Hierarquia

  1. Embora a Cláusula 5 das CEC Aprovadas da UE estabeleça que as CEC Aprovadas da UE prevalecem sobre todos os acordos relacionados entre as partes, as partes concordam que, para as Transferências Restritas, a hierarquia na Secção 10 prevalecerá.
  2. Sempre que haja qualquer inconsistência ou conflito entre a Adenda Aprovada e a Adenda EU SCC (conforme aplicável), a Adenda Aprovada substitui a Adenda EU SCC, excepto quando (e na medida em que) os termos inconsistentes ou contraditórios da Adenda EU SCC proporcionem uma maior protecção para as pessoas em causa, caso em que esses termos substituirão a Adenda Aprovada.
  3. Quando esta Adenda incorpora a Adenda EU SCC que foram introduzidas para proteger as transferências sujeitas ao Regulamento Geral de Protecção de Dados (UE) 2016/679, então as Partes reconhecem que nada nesta Adenda tem impacto nas referidas Adendas EU SCC.

Incorporação das CEC da UE e alterações às CEC da UE

  1. Esta Adenda incorpora a Adenda EU SCCs que são alteradas na medida do necessário para que:
  1. em conjunto operam para transferências de dados feitas pelo exportador de dados ao importador de dados, na medida em que as leis de protecção de dados do Reino Unido se aplicam ao tratamento de dados pelo exportador ao efectuar essa transferência de dados, e fornecem Salvaguardas adequadas para essas transferências de dados;
  2. As secções 9 a 11 substituem a cláusula 5 (Hierarquia) da Adenda às CEC da UE; e
  3. esta Adenda (incluindo a Adenda EU SCCs nela incorporada) é (1) regida pelas leis de Inglaterra e do País de Gales e (2) qualquer disputa dela decorrente é resolvida pelos tribunais de Inglaterra e do País de Gales, em cada caso a menos que as leis e/ou tribunais da Escócia ou da Irlanda do Norte tenham sido expressamente seleccionados pelas Partes.
  1. A menos que as Partes tenham acordado alterações alternativas que satisfaçam os requisitos da Secção 12, serão aplicáveis as disposições da Secção 15.
  2. Não podem ser feitas quaisquer alterações às CEC aprovadas pela UE, a não ser para cumprir os requisitos da Secção 12.
  3. São feitas as seguintes emendas à Adenda às CEC da UE (para efeitos da Secção 12):
  1. As referências às "Cláusulas" significam esta Adenda, incorporando a Adenda EU SCCs;
  2. Na Cláusula 2, eliminar as palavras:

"e, no que respeita às transferências de dados dos responsáveis pelo tratamento para os processadores e/ou processadores para os processadores, cláusulas contratuais-tipo nos termos do artigo 28(7) do Regulamento (UE) 2016/679";

  1. Cláusula 6 (Descrição da(s) transferência(ões)) é substituída por:

"Os pormenores das transferências e, em particular, as categorias de dados pessoais que são transferidos e a(s) finalidade(ões) para a(s) qual(is) são transferidos) são os especificados no Anexo I.B, onde as Leis de Protecção de Dados do Reino Unido se aplicam ao tratamento de dados pelo exportador ao efectuar essa transferência";

  1. Cláusula 8.7(i) do Módulo 1 é substituída por:

"é para um país que beneficia de regulamentos de adequação de acordo com a Secção 17A do GDPR do Reino Unido que cobre a transferência posterior";

  1. A cláusula 8.8(i) dos Módulos 2 e 3 é substituída por:

"a transferência subsequente é para um país que beneficia dos regulamentos de adequação nos termos da Secção 17A do GDPR do Reino Unido que abrange a transferência subsequente;"

  1. As referências ao "Regulamento (UE) 2016/679", "Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016 relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral de Protecção de Dados)" e "esse regulamento" são todos substituídos por "leis de protecção de dados do Reino Unido". As referências a artigos específicos do "Regulamento (UE) 2016/679" são substituídas pelo artigo ou secção equivalente das Leis de Protecção de Dados do Reino Unido;
  2. As referências ao Regulamento (UE) 2018/1725 são removidas;
  3. As referências à "União Europeia", "União", "UE", "Estado-Membro da UE", "Estado Membro" e "UE ou Estado-Membro" são todas substituídas por "UK";
  4. A referência à "Cláusula 12(c)(i)" na Cláusula 10(b)(i) do Módulo um, é substituída por "Cláusula 11(c)(i)";
  5. A cláusula 13(a) e a Parte C do Anexo I não são utilizadas;
  6. A "autoridade de controlo competente" e a "autoridade de controlo" são ambas substituídas pelo "Comissário da Informação";
  7. Na cláusula 16(e), a subsecção (i) é substituída por:

"o Secretário de Estado elabora regulamentos nos termos da Secção 17A da Lei de Protecção de Dados de 2018 que abrangem a transferência de dados pessoais aos quais se aplicam estas cláusulas;";

  1. A cláusula 17 é substituída por:

"Estas cláusulas são regidas pelas leis da Inglaterra e do País de Gales";

  1. A cláusula 18 é substituída por:

"Qualquer disputa resultante destas cláusulas será resolvida pelos tribunais de Inglaterra e do País de Gales. O titular dos dados também pode intentar acções judiciais contra o exportador e/ou importador de dados perante os tribunais de qualquer país do Reino Unido. As partes concordam em submeter-se à jurisdição de tais tribunais"; e

  1. As notas de rodapé às CEC aprovadas pela UE não fazem parte da Adenda, excepto as notas de rodapé 8, 9, 10 e 11.

Alterações a esta Adenda

  1. As Partes podem concordar em alterar as Cláusulas 17 e/ou 18 da Adenda às CEC da UE para se referirem às leis e/ou tribunais da Escócia ou da Irlanda do Norte.
  2. Se as Partes desejarem alterar o formato das informações incluídas na Parte 1: Tabelas da Adenda Aprovada, podem fazê-lo concordando com a alteração por escrito, desde que a alteração não reduza as Protecções Apropriadas.
  3. De tempos a tempos, o ICO pode emitir uma Adenda Aprovada revista que
  1. efectua alterações razoáveis e proporcionais à Adenda Aprovada, incluindo a correcção de erros na Adenda Aprovada; e/ou
  2. reflecte as alterações às leis de protecção de dados do Reino Unido;

A Adenda Aprovada revista especificará a data de início a partir da qual as alterações à Adenda Aprovada são efectivas e se as Partes necessitam de rever esta Adenda incluindo as Informações do Apêndice. Esta Adenda é automaticamente alterada, tal como estabelecido na Adenda Aprovada revista, a partir da data de início especificada.

  1. Se a OIC emitir uma Adenda Aprovada revista ao abrigo da Secção 18, se qualquer Parte seleccionada na Tabela 4 "Terminar a Adenda quando a Adenda Aprovada mudar", terá como resultado directo das mudanças na Adenda Aprovada um aumento substancial, desproporcionado e demonstrável:
  1. os seus custos directos de cumprimento das suas obrigações nos termos da Adenda; e/ou
  2. o seu risco nos termos da Adenda,

e em qualquer dos casos tomou primeiro medidas razoáveis para reduzir esses custos ou riscos de modo a não ser substancial e desproporcionado, então essa Parte pode pôr termo a esta Adenda no final de um período razoável de pré-aviso, mediante notificação escrita para esse período à outra Parte antes da data de início da Adenda Aprovada revista.

  1. As Partes não necessitam do consentimento de terceiros para fazer alterações a esta Adenda, mas quaisquer alterações devem ser feitas em conformidade com os seus termos.