Skip to Content
Go back
BAS-IP / ADENDA DE PROCESSAMENTO DE DADOS

Última atualização: [10.12.2025]

Este Aditamento de Processamento de Dados (doravante ‘DPA‘) é assinado entre si (doravante o ‘Cliente‘, ‘você‘, ‘seu‘) e a BAS-IP DISTRIBUTION LTD (doravante a ‘Empresa‘, ‘BAS-IP’, ‘nós‘, ‘nós‘ ou ‘nosso‘), doravante designados individualmente como ‘Parte‘ ou em conjunto como o ‘Festas. Esta DPA complementa os Termos e Condições (doravante o ‘Acordo‘), celebrados entre as Partes.

Este DPA regula o tratamento dos dados pessoais que o Cliente fornece à BAS-IP em ligação com a utilização dos produtos e serviços da BAS-IP (em conjunto, os ‘Serviços‘), bem como quaisquer dados pessoais que a BAS-IP obtenha durante a execução dos Serviços para o Cliente.

Salvo definição em contrário nesta DPA, todos os termos em maiúscula usados nesta DPA terão os significados estabelecidos no Acordo. Este DPA permanecerá em vigor até à cessação do Acordo entre si e nós que regula a sua utilização dos Serviços. Em caso de qualquer conflito entre esta DPA e o Acordo, prevalecerão as disposições desta DPA relativamente ao tratamento de dados pessoais.

1. Definições

Para efeitos desta DPA, aplicam-se as seguintes definições:

“Dados do Cliente” significa quaisquer dados pessoais que o Cliente carregue, transmita ou de outra forma forneça ao BAS-IP em ligação com os Serviços, bem como quaisquer dados pessoais que o BAS-IP processe durante a execução dos Serviços.

Leis de Proteção de Dados” significa todas as leis e regulamentos aplicáveis relativos ao tratamento de Dados de Clientes, incluindo os da União Europeia, do Espaço Económico Europeu e dos seus Estados-membros, o Reino Unido, tais como:

  • o Regulamento Geral de Proteção de Dados da UE (RGPD da UE);
  • o Regulamento Geral de Proteção de Dados do Reino Unido (RGPD do Reino Unido);
  • a Lei de Proteção de Dados de 2018;
  • a Lei dos Dados (Utilização e Acesso) de 2025 (DUAA);
  • quaisquer outras leis e regulamentos de proteção de dados aplicáveis, na medida aplicável às Partes e às atividades de tratamento ao abrigo desta DPAn, quaisquer outras leis e regulamentos aplicáveis.

Mecanismo de Transferência de Dados” significa qualquer mecanismo, instrumento ou quadro legalmente reconhecido que permita a transferência de Dados do Cliente de uma jurisdição para outra, em conformidade com as Leis de Proteção de Dados aplicáveis, incluindo, sem limitação, as Cláusulas Contratuais Padrão da UE e o Adendo do Reino Unido.

SCCs da UE” significa as Cláusulas Contratuais Padrão da UE para a transferência de Dados de Clientes para países terceiros, nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho aprovadas pela Decisão de Implementação da Comissão Europeia (UE) 2021/914 de 4 de junho de 2021, conforme atualmente estabelecido em https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.

Regulamento Geral de Proteção de Dados (RGPD)” significa o Regulamento (UE) 2016/679 do Parlamento Europeu, de 27 de abril de 2016, relativo à proteção das pessoas físicas no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, revogando a Diretiva 95/46/CE.

Transferência Internacional de Dados” significa qualquer transferência de Dados do Cliente de um país onde os dados são recolhidos para um país fora dessa jurisdição, onde as Leis de Proteção de Dados aplicáveis exijam salvaguardas adequadas para tal transferência.

Autoridade Pública” significa uma agência governamental ou autoridade de aplicação da lei, incluindo autoridades judiciais.

Dados Sensíveis de Clientes” significa Dados de Clientes que revelam origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, ou filiação sindical, dados genéticos ou dados biométricos com o objetivo de identificar de forma única uma pessoa física, dados relativos à saúde, ou à vida sexual ou orientação sexual da pessoa, ou dados relativos a condenações e crimes criminais.

Serviços” significa os serviços prestados pela Empresa ao Cliente.

Autoridade Supervisora” significa uma autoridade pública independente responsável por monitorizar a aplicação da legislação de proteção de dados.

Medidas Técnicas e Organizacionais de Segurança” significam as medidas destinadas à proteção de dados pessoais contra destruição não intencional ou perda, alteração, divulgação ou acesso não autorizado, particularmente quando o processamento envolve a transmissão de dados através de uma rede, e contra todas as outras formas ilícitas de tratamento.

RGPD do Reino Unido” significa a versão retida do Regulamento Geral de Proteção de Dados da UE, tal como faz parte da legislação do Reino Unido, juntamente com quaisquer alterações feitas pela Lei de Proteção de Dados de 2018 e por qualquer outra legislação aplicável do Reino Unido que regule o tratamento de dados pessoais.

Adenda do Reino Unido” significa Adenda de Transferência Internacional de Dados às Cláusulas Contratuais Padrão da UE emitida pelo Comissário de Informação para as Partes que Efetuam Transferências Restritas, no sentido das Leis de Proteção de Dados do Reino Unido, conforme atualmente estabelecido em https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.

controlador“, “processador“, “subprocessador“, “titular dos dados“, “dados pessoais” e “tratamento” têm os significados atribuídos nas Leis de Proteção de Dados.

2. Papéis e Responsabilidades

Quando a BAS-IP processa Dados do Cliente em seu nome em conexão com Serviços, reconhece e concorda que, relativamente ao tratamento dos Dados do Cliente, é um controlador ou processador, e nós somos um processador ou subprocessador (conforme definido pelas Leis de Proteção de Dados) a agir em seu nome. Uma descrição desse processamento está apresentada no Anexo 1 deste DPA. Este DPA aplica-se em conformidade a funções estabelecidas e não se aplica a situações em que atuemos como controladores de acordo com a Política de Privacidade da BAS-IP.

Se o Cliente for um processador, o Cliente garante ao BAS-IP que as instruções e ações do Cliente relativamente a dados pessoais, incluindo a nomeação do BAS-IP como subprocessador e, quando aplicável, a conclusão dos SCCs da UE ou quaisquer outros Adendos ao abrigo da Secção 9 deste DPA (incluindo quando possam ser alterados na Secção 9 abaixo), foram (e irão,  durante a vigência desta DPA, continuam a ser) autorizados pelo responsável responsável por terceiros relevantes.

3. Instruções

As Partes concordam que este DPA e o Acordo aplicável constituem as instruções completas e finais documentadas do Cliente relativamente ao processamento dos Dados do Cliente (doravante as ‘Instruções‘), onde o Cliente atua como controlador ou processador e a BAS-IP atua como processador ou subprocessador ao abrigo das Leis de Proteção de Dados.

Quaisquer instruções adicionais ou alternativas devem ser acordadas por escrito pelas Partes e devem ser consistentes com esta DPA e o Acordo.

4. Descrição do processamento

O processamento de Dados do Cliente em nome do Cliente, em ligação com Serviços, está descrito no Anexo 1 deste DPA. Reservamo-nos o direito de atualizar a descrição do processamento periodicamente para refletir novas funcionalidades que fazem parte dos Serviços.

5. Obrigações do cliente

5.1. Obrigações do controlador

No âmbito da DPA, quando o Cliente atua como controlador, o Cliente será responsável por cumprir todos os requisitos que se aplicam ao Cliente enquanto controlador ao abrigo das Leis de Proteção de Dados.

Ao atuar como controlador, deve:

(a) manter a precisão, qualidade, confidencialidade e segurança dos Dados do Cliente;

(b) cumprir e cumprir as suas obrigações ao abrigo das Leis de Proteção de Dados, incluindo no que diz respeito aos direitos dos suspeitos, segurança e confidencialidade, e garantir que tem uma base legal adequada para o tratamento de dados pessoais;

(c) fornecer ao BAS-IP apenas os Dados do Cliente que tenham sido legalmente obtidos e garantir que esses dados são adequados, relevantes e proporcionais aos fins pretendidos;

(d) garantir que as suas Instruções ao BAS-IP relativas ao tratamento dos Dados dos Clientes cumprem as Leis de Proteção de Dados, incluindo os princípios de minimização de dados, limitação de finalidade e limitação de armazenamento.

5.2. Obrigações do processador

No âmbito da DPA, quando o Cliente atua como processador, será responsável por cumprir todos os requisitos que se aplicam ao Cliente enquanto processador ao abrigo das Leis de Proteção de Dados.

Ao atuar como Processador, deve:

(a) fornecer BAS-IP apenas instruções de processamento que reflitam com precisão as instruções documentadas do respetivo controlador;

(b) fornecer BAS-IP apenas os Dados do Cliente que tenham sido legalmente obtidos do respetivo controlador e que sejam adequados, relevantes e limitados ao necessário para os fins permitidos;

(c) manter transparência com o respetivo controlador relativamente ao envolvimento do BAS-IP e de quaisquer subprocessadores;

(d) cumprir todas as obrigações ao abrigo das Leis de Proteção de Dados aplicáveis na sua qualidade de processador;

(e) garantir que o seu pessoal ou qualquer terceiro aceder aos Dados do Cliente cumpre esta DPA e o Acordo.

6. Obrigações BAS-IP

6.1. Obrigações Gerais

Quando o BAS-IP atua como processador/subprocessador, devemos:

(a) processar os Dados do Cliente de acordo com as suas Instruções e exclusivamente para os fins especificados;

(b) informá-lo se, na opinião razoável do BAS-IP:

(i) as suas Instruções violam ou podem violar as Leis de Proteção de Dados aplicáveis; ou

(ii) O BAS-IP não consegue cumprir as suas Instruções;

(c) implementar e manter medidas técnicas e organizacionais adequadas para garantir a confidencialidade dos Dados dos Clientes;

(d) cumprir todas as Leis de Proteção de Dados aplicáveis, incluindo obrigações relativas aos direitos dos titulares, segurança e confidencialidade dos dados;

(e) garantir, através de contratos escritos ou outros meios juridicamente vinculativos, que qualquer subprocessador contratado para processar Dados do Cliente em nome da BAS-IP esteja sujeito a obrigações equivalentes de proteção de dados conforme estabelecido neste DPA e no Acordo;

(f) manter registos precisos de todas as atividades de processamento realizadas em seu nome ao abrigo desta DPA e fornecer-lhe esses registos mediante pedido;

(g) notificá-lo, sem demora excessiva, se o BAS-IP tomar conhecimento de que quaisquer Dados do Cliente fornecidos por si são imprecisos, incompletos ou desatualizados;

(g) aplicar salvaguardas ou restrições apropriadas e necessárias ao tratar Dados Sensíveis de Clientes, conforme exigido pelas Leis de Proteção de Dados ou pelas Instruções;

(h) fornecer-lhe toda a informação razoavelmente necessária para demonstrar a conformidade da BAS-IP com as suas obrigações ao abrigo das Leis de Proteção de Dados aplicáveis.

6.2. Notificações ao Cliente

Assim que tomarmos conhecimento, informaremos de qualquer pedido legalmente vinculativo de divulgação de Dados do Cliente por parte de uma Autoridade Pública, salvo se a lei nos proíbe informar o Cliente, por exemplo, para preservar a confidencialidade de uma investigação realizada por uma Autoridade Pública. Informaremos se a BAS-IP tomar conhecimento de qualquer notificação, inquérito ou investigação por parte de uma Autoridade Supervisora relativamente ao tratamento dos Dados dos Clientes ao abrigo desta DPA realizada entre si e nós.

6.3. Confidencialidade

Não iremos aceder, utilizar ou divulgar a terceiros quaisquer Dados do Cliente, exceto, em cada caso, quando necessário para manter ou prestar os Serviços ou conforme necessário para cumprir obrigações contratuais e legais ou uma ordem vinculativa de um organismo público (como uma intimação ou ordem judicial).

Garantiremos que qualquer funcionário/contratado que autorizemos a aceder aos Dados do Cliente em nosso nome esteja sujeito a obrigações de confidencialidade, contratos ou obrigações legais adequadas relativamente aos Dados do Cliente.

6.4. Medidas de segurança

Implementaremos e manteremos medidas técnicas e organizacionais adequadas para proteger os Dados dos Clientes contra quaisquer violações de dados, tais como destruição, perda, alteração, divulgação não autorizada ou acesso aos Dados dos Clientes transmitidos, armazenados ou de outra forma processados (doravante, os ‘Incidentes de Segurança‘), de acordo com as nossas normas de segurança estabelecidas no Anexo 2 desta DPA.

Reconhece que as medidas de segurança estão sujeitas a progresso técnico, para que possamos modificar ou atualizar o Anexo 2 deste DPA a nosso exclusivo critério, desde que tal modificação ou atualização não resulte numa degradação material das medidas de segurança oferecidas pelo Anexo 2 deste DPA.

6.5. Incidente de Segurança

Ao tomar conhecimento de um Incidente de Segurança, devemos:

  • notificá-lo sem demora desnecessária assim que tomarmos conhecimento do Incidente de Segurança;
  • fornecer informações atempadas relativas ao Incidente de Segurança (o tipo de dados pessoais, as categorias e o número potencial de indivíduos ou registos afetados) à medida que se tornam conhecidos ou razoavelmente solicitados por si; e
  • tome prontamente medidas razoáveis para conter e investigar qualquer Incidente de Segurança, de modo a que possa notificar as autoridades competentes e/ou os Sujeitos de Dados afetados sobre o Incidente de Segurança.

A nossa notificação ou resposta a um Incidente de Segurança não deve ser interpretada como um reconhecimento, por nossa parte, de qualquer culpa ou responsabilidade relativa ao Incidente de Segurança.

6.6. Devolução ou eliminação de Dados do Cliente

Após a rescisão ou expiração do Acordo celebrado entre si e nós, iremos eliminar ou devolver todos os Dados do Cliente em nossa posse ou controlo. Este requisito não se aplicará na medida em que sejamos obrigados pela lei aplicável ou pelas respetivas obrigações contratuais a reter parte ou a totalidade dos Dados do Cliente.

6.7. Assistência Razoável

Concordamos em prestar assistência razoável ao Cliente relativamente a:

(a) qualquer pedido de um utilizador dos dados relativo ao acesso ou à retificação, apagamento, restrição, portabilidade, bloqueio ou eliminação dos Dados do Cliente que processamos em nome do Cliente. No caso de um sujeito enviar tal pedido diretamente para nós, aplicar-se-á a Secção 7 desta DPA;

(b) a investigação do Incidente de Segurança e a comunicação das notificações necessárias relativas a tais Incidentes de Segurança, sujeita à Secção 6.5 deste DPA;

(c) preparação de avaliações de impacto sobre proteção de dados (as ‘DPIAs‘) e, quando necessário, consulta do Cliente à Autoridade Supervisora ao abrigo dos Artigos 35 e 36 do RGPD.

6.8 Auditoria e Certificação

6.8.1 Auditoria da Autoridade Supervisora

Se uma Autoridade Supervisora exigir uma auditoria às nossas instalações de processamento de dados que usamos para processar os Dados do Cliente para determinar ou monitorizar a conformidade do Cliente com as Leis de Proteção de Dados, cooperaremos com a auditoria. O Cliente é responsável por todos os custos e honorários relacionados com essa auditoria, incluindo todos os custos e honorários razoáveis por todo o tempo que gastarmos em qualquer auditoria, além das tarifas pelos serviços prestados por nós.

6.8.2 Auditorias

O Cliente pode, antes do início do processamento e em intervalos regulares, posteriormente, auditar as medidas técnicas e organizacionais por nós tomadas. Se o Cliente for o responsável pelos dados pessoais tratados por nós em seu nome, mediante acordo prévio razoável e atempado, durante o horário comercial regular e sem interrupção das nossas operações comerciais, poderemos fornecer ao Cliente todas as informações necessárias para demonstrar o cumprimento das suas obrigações estabelecidas no Artigo 28 do RGPD e permitir e contribuir para auditorias,  incluindo inspeções, realizadas pelo Cliente ou por outro auditor exigido pelo Cliente relativamente a esse tipo de processamento.

Devemos, mediante pedido escrito do Cliente e dentro de um prazo razoável, fornecer ao Cliente todas as informações necessárias para tal auditoria, na medida em que essas informações estejam sob o nosso controlo e não estejamos impedidos de as divulgar pela lei aplicável, por um dever de confidencialidade ou qualquer outra obrigação devida a terceiros.

7. Pedidos de sujeito de dados

No caso de um suspeito nos contactar relativamente ao exercício dos seus direitos ao abrigo das Leis de Proteção de Dados (em particular, pedidos de acesso, retificação ou eliminação dos Dados do Cliente), faremos todos os esforços razoáveis para lhe encaminhar esses pedidos. Se estivermos legalmente obrigados a responder a tal pedido, notificá-lo imediatamente e fornecer-lhe uma cópia do pedido, salvo se nos for proibido por lei.

8. Subprocessadores

O BAS-IP tem a autorização escrita geral do Cliente para o envolvimento de subprocessadores a partir de uma lista acordada. O BAS-IP compromete-se a informar o Cliente de quaisquer alterações pretendidas a essa lista relativas à adição ou substituição de subprocessadores pelo menos 10 dias antes do envolvimento do subprocessador em questão, dando assim ao Cliente a oportunidade de se opor a tais alterações. O BAS-IP deverá fornecer ao Cliente a informação necessária para permitir que o Cliente exerça o direito de se opor.

Se a Secção 9 desta DPA se aplicar, o procedimento para envolver subprocessadores será regulado pelas disposições relevantes da Secção 9 desta DPA. Nesse caso, prevalecerão as disposições da Secção 9.

A lista acordada de Subprocessadores está estabelecida no Anexo 3 deste DPA.

9. Transferências de Dados do Cliente

9.1. Geral

Reconhece e concorda que a utilização dos Serviços BAS-IP pode implicar a transferência de Dados do Cliente para outras jurisdições, em conformidade com as Leis de Proteção de Dados aplicáveis.

Quando tais transferências requerem salvaguardas adequadas, serão utilizados os Mecanismos de Transferência de Dados aplicáveis, como os SCCs da UE e o Adendo do Reino Unido. Estes Mecanismos de Transferência de Dados estão incorporados e formam parte integrante desta DPA, conforme descrito mais detalhadamente nas Secções 9.2. e 9,3.

Em caso de qualquer conflito entre as disposições desta DPA e os Mecanismos de Transferência de Dados aplicáveis, prevalecerão as disposições do relevante Mecanismo de Transferência de Dados apenas na extensão desse conflito.

9.2. Transferências ao abrigo do RGPD

Quando o tratamento dos Dados do Cliente em seu nome, no âmbito dos Serviços, constituir uma “transferência” ao abrigo do RGPD, aplicam-se as Cláusulas Contratuais Padrão.

Quando é controlador e nós somos processadores, aplica-se o Módulo Dois dos SCCs da UE, e quando for processador, e nós somos subprocessadores, o Módulo Três dos SCCs da UE aplicar-se-á.

Para efeitos dos SCCs da UE, o BAS-IP é um “Importador de Dados” e você é um “Exportador de Dados”.

As disposições relevantes contidas nos CSC da UE são incorporadas por referência e fazem parte integrante deste DPA. As cláusulas e anexos dos CSC da UE são considerados concluídos da seguinte forma:

(i) na Cláusula 7, a cláusula opcional de acoplamento não se aplica;

(ii) na Cláusula 9, aplicar-se-á a Opção 2 (Autorização Geral por Escrito). Para efeitos da Cláusula 9(a), o prazo para informar o Exportador de Dados será de 10 dias;

(iii) na Cláusula 11, a disposição opcional não se aplica;

(iv) na Cláusula 13, aplicar-se-á uma determinada opção dependendo do caso específico;

(v) na Cláusula 17, aplicar-se-á a Opção 1. Os SCC da UE serão regidos pela lei da República Federal da Alemanha;

(vi) na Cláusula 18(b), os litígios serão resolvidos pelos tribunais da República Federal da Alemanha;

(vii) O Anexo I dos SCCs da UE é considerado concluído com as informações apresentadas no Anexo 1 deste DPA;

(viii) O Anexo II dos SCCs da UE é considerado concluído com as informações apresentadas no Anexo 2 deste DPA.

9.3. Transferências ao abrigo do Quadro de Proteção de Dados do Reino Unido

Quando o processamento de Dados de Clientes em seu nome, no âmbito dos Serviços, constituir uma “transferência restrita” ao abrigo das Leis de Proteção de Dados do Reino Unido, aplica-se o Adendo do Reino Unido.

Quando é controlador e o BAS-IP é um processador, aplica-se o Módulo Dois dos SCCs da UE, e quando for processador, e nós somos subprocessadores, o Módulo Três dos SCCs da UE aplicar-se-á, conforme concluído na subseção 9.2. deste DPA.

Para efeitos do Adendo do Reino Unido, a BAS-IP é um “Importador” e você é um “Exportador”.

As disposições relevantes contidas no Adendo do Reino Unido são incorporadas por referência e fazem parte integrante desta DPA. As tabelas no Adendo do Reino Unido são consideradas concluídas da seguinte forma:

(i) A Tabela 1 da Parte 1 é considerada concluída com as informações estabelecidas no Anexo 1 deste DPA, e o número oficial de registo do Importador é 328138502, e o número oficial de registo do Exportador está contido na conta do Cliente, se existir;

(ii) A Tabela 2 da Parte 1 é considerada concluída de acordo com as informações apresentadas no parágrafo 9.2. deste DPA;

(iii) A Tabela 3 da Parte 1 é considerada concluída com as informações apresentadas nos Anexos 1, 2 e 3 deste DPA;

(iv) na Tabela 4 da Parte 1, nenhuma das partes pode terminar este Adendo conforme estabelecido na Secção 19 do Adendo do Reino Unido.

ANEXO 1 – DESCRIÇÃO DO PROCESSAMENTO

LISTA DE PARTIDOS

Cliente (Exportador de Dados)

Nome: Tu, ‘Cliente’

Morada: a informação relevante está contida na conta do Cliente.

Nome, cargo e dados de contacto da pessoa de contacto: a informação relevante está contida na conta do Cliente.

Atividades relevantes para os dados transferidos ao abrigo destas Cláusulas: prestação dos Serviços.

Assinatura e data: as Partes concordam que a execução do Acordo pelo Exportador de Dados constitui a realização deste DPA tanto pelo Importador de Dados como pelo Exportador de Dados. A data de registo da conta na Plataforma será considerada a data de execução deste DPA.

Função: controlador ou processador

BAS-IP DISTRIBUTION LTD (Importador de Dados)

Nome: BAS-IP DISTRIBUTION LTD

Morada: Crown House, 27 Old Gloucester Street, Londres, Inglaterra

Nome, cargo e dados de contacto da pessoa de contacto: [por favor, insira nome, cargo e dados de contacto, por exemplo, email]

Atividades relevantes para os dados transferidos ao abrigo destas Cláusulas: prestação dos Serviços.

Assinatura e data: as Partes concordam que a execução do Acordo pelo Exportador de Dados constitui a realização deste DPA tanto pelo Importador de Dados como pelo Exportador de Dados. A data de registo da conta na Plataforma será considerada a data de execução deste DPA.

Função: processador ou subprocessador

DESCRIÇÃO DA TRANSFERÊNCIA

  1. Categorias de sujeitos de dados cujos dados pessoais são transferidos:
  • Clientes do Cliente;
  • outros titulares cujos dados pessoais são transferidos durante os serviços prestados pela Empresa ao Cliente.
  • Categorias de dados pessoais transferidos:
  • dados pessoais relacionados com os Clientes do Cliente;
  • outros dados pessoais que possam ser transferidos durante os serviços prestados pela Empresa ao Cliente.
  • Dados sensíveis transferidos (se aplicável) e aplicados restrições ou salvaguardas que consideram totalmente a natureza dos dados e os riscos envolvidos:

O Importador de Dados só pode obter acesso a dados sensíveis quando tais dados sensíveis forem fornecidos pelo Cliente e exclusivamente na medida necessária para o desempenho dos Serviços. Nesses casos, o Importador de Dados implementa as medidas técnicas e organizacionais previstas no Anexo 2, juntamente com quaisquer outras salvaguardas ou restrições adequadas e necessárias, tendo em conta a natureza dos dados sensíveis e os riscos associados ao seu tratamento, em conformidade com as leis e regulamentos aplicáveis.

  • A frequência da transferência:

Os dados pessoais são transferidos de forma contínua.

  • Natureza do processamento:

O processamento de dados pessoais consiste no seguinte: recolha, registo, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, alinhamento ou combinação, restrição, apagamento ou destruição.

  • Final(is) da transferência de dados e processamento adicional:

O objetivo do processamento de dados ao abrigo destas Cláusulas é a prestação dos serviços ao Exportador de Dados pelo Importador de Dados ao abrigo do Acordo celebrado entre o Importador de Dados e o Exportador de Dados.

  • O período durante o qual os dados pessoais serão retidos ou, se isso não for possível, os critérios usados para determinar esse período:

Os dados pessoais deverão ser armazenados durante a duração desta DPA celebrada entre o Importador e o Exportador de Dados, salvo acordo em contrário por escrito ou a legislação aplicável exigida pelo Importador de Dados a reter parte ou a totalidade dos dados pessoais transferidos.

  • Para transferências para (sub)processadores, especifique também o assunto, natureza e duração do processamento:

Tema: A Prestação de Serviços

natureza: recolha, registo, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, alinhamento ou combinação, restrição, apagamento ou destruição.

duração: a execução dos serviços para o Importador de Dados pelo (sub)processador ao abrigo do acordo de serviço celebrado entre o Importador de Dados e o (sub)processador.

AUTORIDADE SUPERVISORA COMPETENTE

De acordo com a Cláusula 13, a autoridade supervisora competente ao abrigo destas Cláusulas é determinada consoante a versão da Cláusula 13(a) aplicável ao Exportador de Dados.

ANEXO 2 – MEDIDAS TÉCNICAS E ORGANIZACIONAIS

MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS

Descrição das medidas técnicas e organizacionais implementadas pelo(s) Importador(es) de Dados para garantir um nível adequado de segurança, tendo em conta a natureza, âmbito, contexto e finalidade do processamento e os riscos para os direitos e liberdades das pessoas físicas:

  • A Data Importer compromete-se em preservar a confidencialidade, integridade, disponibilidade e resiliência de todos os dados pessoais em questão ao longo das suas atividades de processamento e em garantir que os dados pessoais estejam protegidos contra perda e destruição, implementando políticas, procedimentos internos adequados de segurança da informação e outras medidas apropriadas.
  • O Data Importer concede acesso a dados pessoais estritamente com base na necessidade de saber, e esses dados são acessíveis apenas a pessoal autorizado.
  • O Data Importer implementou controlo de acesso baseado em funções e listas de controlo de acesso para impor uma separação rigorosa dos direitos de acesso dos utilizadores.
  • Os procedimentos de segurança da informação do Data Importer estão sujeitos a revisões regulares.
  • O Data Importer utiliza fornecedores de serviços fiáveis e monitoriza as medidas técnicas e organizacionais que têm implementadas para garantir que os dados pessoais estão sempre protegidos.
  • A Data Importer implementou medidas destinadas a proteger a confidencialidade e integridade dos dados pessoais durante as transferências de dados.
  • A Data Importer implementou medidas técnicas e organizacionais concebidas para conter incidentes de segurança e prevenir novas perdas e danos de dados.

ANEXO 3 – SUBPROCESSADORES

O controlador autorizou a utilização dos seguintes subprocessadores:

Subprocessador 1

Nome: Hetzner Online GmbH / Hetzner Finlândia Oy

Morada: Industriestr. 25, 91710 Gunzenhausen, Alemanha / Huurrekuja 10, 04360 Tuusula (Helsínquia / Tuusula), Finlândia

Nome, posição e dados de contacto da pessoa de contacto: [email protected] 

Descrição do processamento: alojamento dos dados nos servidores da Hetzner Online GmbH / Hetzner Finlândia Oy

Subprocessador 2

Nome: DigitalOcean, LLC

Morada: 105 Edgeview Drive, Ste. 425, Broomfield, CO 80021, Estados Unidos

Nome, posição e dados de contacto da pessoa de contacto: [email protected] 

Descrição do processamento: alojamento dos dados nos servidores da DigitalOcean, LLC