Este ADENDO AO CONTRATO DE PROCESSAMENTO DE DADOS DO USUÁRIO FINAL ("Adendo") está incorporado nos Termos de Partilha de Informação e anexado ao Contrato de Licença e ao Formulário de Perfil e Pedido (juntos "EULSA") entre a InterSystems ("InterSystems") e o Utilizador Final ("Utilizador Final"), tal como referido na EULSA. InterSystems e Usuário Final são partes deste Adendo (cada uma separadamente "uma Parte", no conjunto "Partes"). Levando em consideração os acordos e promessas mútuos contidos no presente documento e outra consideração boa e valiosa, cuja receção e suficiência é aqui reconhecida pelas Partes, as Partes acordam o seguinte:
Todos os termos em maiúsculas utilizados na presente Adenda e não definidos noutro local do presente documento ou do EULSA terão o mesmo significado que esses termos, tal como utilizados ou definidos ao abrigo da Lei de Proteção de Dados, tal como definido abaixo. Os termos da presente Adenda substituem quaisquer termos conflituantes do EULSA e quaisquer outros termos relativos à proteção de dados ou ao processamento de informações.
As Partes reconhecem que os serviços prestados pela InterSystems ao abrigo do EULSA não se destinam a resultar na criação, receção, manutenção, transmissão, utilização, divulgação ou qualquer outro tipo de processamento de dados pessoais relacionados com um titular de dados num contexto operacional que constitua dados do utilizador final, tal como definido abaixo; no entanto, uma vez que o utilizador final, em determinadas circunstâncias, pode ser obrigado a cumprir a lei de proteção de dados, tal como definido abaixo, o utilizador final exige que os seus prestadores de serviços que possam entrar em contacto com os dados do utilizador final celebrem um acordo de processamento de dados com o utilizador final, e a InterSystems está disposta a celebrar esse acordo no caso improvável de a InterSystems processar dados do utilizador final sem admitir que a InterSystems é geralmente um processador para o utilizador final. As Partes concordam, em relação a outros Dados Pessoais Processados pela InterSystems que não sejam Dados de Usuário Final ("Dados InterSystems"), que a InterSystems é o Controlador de Dados e que as Partes não são Controladores Conjuntos de Dados da InterSystems.
Definições.
1.1. Salvo definição em contrário na Lei de Proteção de Dados aplicável (conforme definido abaixo), os termos em maiúsculas enumerados na presente seção têm os seguintes significados:1.2. Controlador de dados. "Controlador de dados" significa, quando utilizado em referência neste Adendo, referir-se ao Usuário Final, mesmo que o Usuário Final seja um Processador para um Controlador no que diz respeito aos Dados Pessoais Processados
.1.3. Proprietário dos dados. "Proprietário dos Dados" significa, em relação a cada item de Dados Pessoais nos Dados do Utilizador Final, o Usuário Final ou, se o Usuário Final for um Processador para um Controlador em relação aos Dados Pessoais, esse Controlador
.1.4. Processador de dados. "Processador de dados" significa uma pessoa física ou jurídica, autoridade pública, agência ou outro órgão que processa Dados Pessoais em nome de um Controlador de Dados e quando (1) a InterSystems e o Usuário Final concordam mutuamente que a InterSystems está agindo na capacidade de Processador do Usuário Final, conforme definido em Regras de Compromisso específicas e individuais e (2) a InterSystems não está agindo na capacidade de provedor de serviços, fornecedor terceirizado para o Usuário Final ou Controlador
.1.5. Legislação de Proteção de Dados. "Legislação de proteção de dados" significa o RGPD e as legislações nacionais de execução; a Lei Federal de Proteção de Dados da Suíça (tal como alterada e substituída periodicamente); a Lei de Proteção de Dados do Reino Unido (tal como alterada e substituída periodicamente); e as Leis de Proteção de Dados dos países do EEE (tal como alteradas e substituídas periodicamente, sempre que aplicável)
.1.6. Dados do Usuário Final. "Dados do Usuário Final" significa quaisquer Dados Pessoais relativamente aos quais o Usuário Final ou, se o Usuário Final for um Subcontratante de um Responsável pelo Tratamento, o Responsável pelo Tratamento determina exclusivamente as finalidades e os meios do Tratamento desses Dados Pessoais e são fornecidos por ou em nome do Usuário Final à InterSystems; desde que os Dados do Usuário Final não incluam quaisquer Dados Pessoais definidos como Dados da InterSystems acima
.1.7. Lei da proteção de dados. "Lei de Proteção de Dados" significa todas as leis ou regulamentos aplicáveis à privacidade e ao processamento, recolha, utilização e proteção de Dados Pessoais em qualquer jurisdição aplicável ao seu contrato ou aos Dados do Cliente, o que pode incluir, entre outros, a Lei de Proteção de Dados de 2018 (Reino Unido), o RGPD, a Lei Gramm-Leach-Bliley (EUA), a Lei da Privacidade (AU), a Lei da Privacidade de 1993 (NZ).
Propriedade dos dados.
2.1. Os Dados do Usuário Final, que o Subcontratante processa em nome do Responsável pelo Tratamento de Dados, continuarão sempre a ser propriedade do Proprietário dos Dados.2.2. Se, por qualquer motivo, qualquer Parte terminar a EULSA, o Utilizador Final decidirá se cada item dos Dados do Usuário Final, na medida em que o Processador de Dados ainda retenha tais itens, será devolvido ao Usuário Final ou eliminado. Todo o processamento pelo Processador de Dados terminará, exceto qualquer processamento exigido por lei ou que seja necessário para pôr fim ao EULSA
.2.3. O Controlador de Dados pode, a qualquer momento, exigir que o Processador de Dados pare de processar os Dados do Usuário Final e que elimine ou devolva os Dados do Usuário Final ao Controlador de Dados
.2.4. No caso de o Processador de Dados determinar que a devolução ou destruição dos Dados do Utilizador Final, conforme exigido nesta secção, é inviável, o Processador de Dados alargará as proteções da presente Adenda a esses Dados do Utilizador Final e limitará o Processamento adicional desses Dados do Utilizador Final às finalidades que tornam a devolução ou destruição inviável, enquanto o Processador de Dados mantiver esses Dados do Utilizador Final
Obrigações e atividades do responsável pelo tratamento de dados.
3.1. O Processador de Dados concorda em processar os Dados do Usuário Final sujeitos a medidas de segurança técnicas e organizacionais de um tipo que, se o Processador de Dados fosse o Controlador em relação a esses dados, satisfaria a Lei de Proteção de Dados, como o Artigo 32 do RGPD, Segurança do Processamento, ou seja, "Tendo em conta o estado da técnica, os custos de implementação e a natureza, âmbito, contexto e finalidades do processamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas singulares, o controlador e o processador devem implementar medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao risco" e tomar medidas razoáveis para garantir o cumprimento dessas medidas.3.2. O Processador de Dados concorda que processará esses Dados do Usuário Final apenas de acordo com as instruções do Usuário Final que o Usuário Final fornecerá por escrito periodicamente
.3.3. O Processador de Dados concorda que cumprirá todas as obrigações impostas pela Lei de Proteção de Dados como se o Processador de Dados fosse o Controlador relativamente a esses Dados do Usuário Final
.3.4. O Processador de Dados concorda que deve assegurar que todos os membros do pessoal, agentes, contratantes e outros que tenham acesso aos Dados do Utilizador Final sejam informados de que os dados são confidenciais e não devem ser revelados a ninguém que não esteja sujeito a um dever obrigatório de confidencialidade em relação aos mesmos. Apenas os membros do pessoal, etc., que tenham uma necessidade operacional de aceder aos dados do usuário final devem ser autorizados e (em termos de medidas de segurança lógicas, físicas ou outras) capazes de o fazer
.3.5. Se o Processador de Dados pretender subcontratar o Processamento de Dados do Usuário Final, deve impor a qualquer subcontratante as mesmas obrigações contratuais em matéria de proteção e segurança de dados que foram estabelecidas nos termos da presente Adenda
.3.6. O Subcontratante concorda em avisar prontamente o Responsável pelo Tratamento de Dados, o que não deve demorar mais do que o permitido pela legislação aplicável, mas o mais tardar setenta e duas (72) horas a partir do momento em que a InterSystems tiver conhecimento, de quaisquer violações de segurança relevantes para os Dados do Usuário Final na sua própria organização ou na de qualquer subcontratante
.3.7. O Processador de Dados concorda em assegurar que todo o pessoal que está envolvido no processamento dos Dados do Usuário Final receba a formação adequada em procedimentos de proteção de dados, identifique e mantenha registos da formação recebida por esse pessoal e dos conteúdos de todos os cursos. O Processador de Dados deve garantir que nenhum outro agente ou funcionário do Processador de Dados tenha acesso aos Dados do Usuário Final
.3.8.
Data Processor agrees that the Controller’s Data shall not be transferred to a country or territory outside the jurisdiction of Data Protection Law applicable to your agreement without written approval of the End User unless (1) that country or territory ensures an adequate level of protection for the rights and freedoms of the data subjects in relation to the processing of personal data as determined by the appropriate data protection authority; (2) without any implied breach of this provision, where the Data Processor has entered into Standard Contractual Clauses, as approved by the European Commission, with regard to such transfer; or (3) the Data Processor has obligated itself to Binding Corporate Rules as approved or accepted by a relevant data protection authority; provided that End User may restrict such transfers under a specific and individual Rules of Engagement so long as the End User agrees that InterSystems shall not be in breach of its obligations under the EULSA, if InterSystems determines suObrigações do usuário final.
4.1. O Usuário Final só fornecerá dados de usuário final à InterSystems quando tal for estritamente necessário para efeitos do EULSA e em plena conformidade com a legislação em matéria de proteção de dados e concorda em fornecer apenas os dados pessoais mínimos necessários e relevantes para o serviço ou apoio fornecido.4.2. O Usuário Final não deve solicitar ou exigir que o Processador de Dados processe os Dados do Usuário Final de uma forma que o Usuário Final não possa fazer como Controlador ou Processador de um Controlador; desde que a InterSystems notifique imediatamente o Usuário Final por escrito, fornecendo informações suficientes para descrever a objeção, se a InterSystems considerar que qualquer uma das instruções do Usuário Final infringe a Legislação de Proteção de Dados. Se o Usuário Final concordar com a determinação da InterSystems de que as instruções do Usuário Final infringem a Legislação de Proteção de Dados, então o Usuário Final deverá notificar a InterSystems como tal e a InterSystems não será obrigada a cumprir essa instrução, nem a InterSystems será considerada como estando a infringir a EULSA por qualquer falha no cumprimento de tal instrução. Se o UUsuário Final contestar a determinação da InterSystems de que as instruções do Utilizador Final infringem a legislação em matéria de proteção de dados, o Usuário Final fornecerá uma explicação escrita da razão pela qual essa instrução está em conformidade com a legislação em matéria de proteção de dados e a InterSystems pode basear-se nessa explicação para executar a instrução do Usuário Final
.4.3. O Usuário Final declara e garante que ele (ou, no caso de o Usuário Final ser um Processador de Dados, o Proprietário dos Dados relevante) pode Processar os Dados do Usuário Final da forma que o Processador de Dados está autorizado a processar os Dados Pessoais ao abrigo desta Adenda
.4.4. O Usuário Final será responsável por utilizar salvaguardas administrativas, físicas e técnicas em todos os momentos para manter e garantir a confidencialidade, privacidade e segurança dos Dados do Usuário Final transmitidos ao Processador de Dados de acordo com os padrões e requisitos da Legislação de Proteção de Dados, até que tais Dados do Usuário Final sejam recebidos pelo Processador de Dados
.4.5. O Usuário Final deverá obter qualquer consentimento ou autorização que possa ser exigida pela lei aplicável para que o Processador de Dados possa prestar os seus serviços no âmbito da EULSA
Diversos.
5.1. Referências. Uma referência na presente Adenda à linguagem do RGPD significa a linguagem em vigor ou alterada, e a partir da data de conformidade aplicável.5.2. Alterações a este Adendo. O Usuário Final concorda que a InterSystems, de boa fé, pode alterar esta Adenda ou o EULSA conforme necessário para cumprir quaisquer alterações na Legislação de Proteção de Dados
.5.3. Sobrevivência das Disposições Contratuais. Os respectivos direitos e obrigações do Processador de Dados e do Controlador de Dados sobreviverão à rescisão enquanto o Processador de Dados ou o Controlador de Dados processarem os Dados do Usuário Final conforme estabelecido neste Adendo ou no EULSA
.5.4. Interpretação. Qualquer ambiguidade neste Adendo deverá ser resolvida para permitir que as Partes cumpram com a Legislação de Proteção de Dados
- Os direitos e obrigações previstos neste Adendo são adicionais, e não, em vez de quaisquer direitos ou obrigações que surjam entre as partes ao abrigo de qualquer outro contrato ou de direito comum
- Em caso de violação ou suspeita de violação por qualquer pessoa de uma obrigação de confidencialidade que essa pessoa deve a qualquer das Partes relativamente aos dados do utilizador final a que essa pessoa tem ou teve acesso em consequência da presente adenda, a Parte a quem a obrigação é devida compromete-se a envidar os seus melhores esforços para fazer cumprir a obrigação em questão.