Este ADENDO AO CONTRATO DE PROCESSAMENTO DE DADOS DO USUÁRIO FINAL ("Adendo") está incorporado nos Termos de Partilha de Informação e anexado ao Contrato de Licença e ao Formulário de Perfil e Pedido (juntos "EULSA") entre a InterSystems ("InterSystems") e o Utilizador Final ("Utilizador Final"), tal como referido na EULSA. InterSystems e Usuário Final são partes deste Adendo (cada uma separadamente "uma Parte", no conjunto "Partes"). Em consideração aos pactos e promessas aqui contidos e outras boas e valiosas contrapartidas, cujo recebimento e suficiência é aqui reconhecido pelas Partes, as Partes concordam o seguinte:
Todos os termos em maiúsculas utilizados neste Adendo e não definidos em outro lugar aqui ou na EULSA terão o mesmo significado que aqueles termos utilizados ou definidos na GDPR, conforme definido abaixo. Os termos deste Adendo substituem quaisquer termos conflituosos da EULSA e quaisquer outros termos relativos à proteção de dados ou ao processamento de informação.
As Partes reconhecem que os serviços prestados pela InterSystems no âmbito da EULSA não se destinam a resultar na criação, recepção, manutenção, transmissão, utilização, divulgação ou outro tipo de processamento de Dados Pessoais relacionados com um Sujeito de Dados num contexto operacional que constitua Dados de Utilizador Final, tal como definido abaixo; no entanto, como o Utilizador Final, em determinadas circunstâncias, pode ser obrigado a cumprir com a GDPR, tal como definido abaixo, o Utilizador Final exige que os seus prestadores de serviços que possam entrar em contacto com Dados de Utilizador Final celebrem um acordo de processamento de dados com o Utilizador Final, e a InterSystems está disposta a celebrar tal acordo no caso improvável de a InterSystems processar Dados de Utilizador Final sem reconhecer que a InterSystems é geralmente um Processador para o Utilizador Final. As Partes concordam, em relação a outros Dados Pessoais Processados pela InterSystems que não sejam Dados de Usuário Final ("Dados InterSystems"), que a InterSystems é o Controlador de Dados e que as Partes não são Controladores Conjuntos de Dados da InterSystems.
- Definições.
1.1. Neste Adendo, as expressões "Dados Pessoais", "Controlador", "Processador", "Processamento" e "Processo" terão os significados que lhes são atribuídos pelo Regulamento Geral de Protecção de Dados, Regulamento (UE) 2016/679.
1.2. Controlador de dados. "Controlador de Dados" significa, quando usado em referência neste Adendo, referir-se ao Usuário Final, mesmo que o Usuário Final seja um Processador de um Controlador em relação aos Dados Pessoais Processados.
1.3. Proprietário dos dados. "Titular dos Dados" significa, em relação a cada item de Dados Pessoais nos Dados do Utilizador Final, o Utilizador Final ou, se o Utilizador Final for um Processador para um Controlador em relação aos Dados Pessoais, tal Controlador.
1.4. Processador de dados. "Processador de Dados" terá geralmente o mesmo significado que Processador sob o GDPR e quando (1) a InterSystems e o Usuário Final concordarem mutuamente que a InterSystems está agindo na qualidade de Processador do Usuário Final, conforme definido em Regras de Engajamento específicas e individuais e (2) a InterSystems não está agindo de outra forma na qualidade de provedor de serviços, fornecedor de terceiros para o Usuário Final ou Controlador.
1.5. Legislação de Proteção de Dados. "Legislação de Proteção de Dados" significa a GDPR e as legislações nacionais de implementação; a Lei Federal Suíça de Protecção de Dados (conforme alterada e substituída de tempos a tempos); a Lei do Reino Unido de Protecção de Dados (conforme alterada e substituída de tempos a tempos); e as Leis de Protecção de Dados dos países do EEE (conforme alterada e substituída de tempos a tempos, sempre que aplicável).
1.6. Dados do Usuário Final. "Dados do Usuário Final" significa quaisquer Dados Pessoais para os quais o Usuário Final ou, se o Usuário Final for um Processador para um Controlador, o Controlador determina apenas os fins e meios do Processamento de tais Dados Pessoais e é fornecido pelo Usuário Final ou em seu nome à InterSystems; desde que os Dados do Usuário Final não incluam quaisquer Dados Pessoais definidos como Dados da InterSystems acima.
1.7. GDPR. o "GDPR" significa o Regulamento Geral de Proteção de Dados (Regulamento (UE) 2016/679)
GD - Propriedade de Dados.
2.1. Dados do Usuário Final, que o Processador de Dados processa em nome do Controlador de Dados permanecerá sempre propriedade do Proprietário de Dados.
2.2. Se, por qualquer motivo, qualquer Parte terminar a EULSA, o Utilizador Final decidirá se cada item dos Dados do Usuário Final, na medida em que o Processador de Dados ainda retenha tais itens, será devolvido ao Usuário Final ou eliminado. Todo o processamento por parte do Processador de Dados terminará excepto para qualquer Processamento requerido por lei ou que seja necessário para pôr fim à EULSA.
2.3. O Controlador de Dados pode, a qualquer momento, exigir que o Processador de Dados interrompa o processamento de Dados de Utilizador Final e elimine ou devolva os Dados de Usuário Final ao Controlador de Dados.
2.4. Caso o Processador de Dados determine que a devolução ou destruição dos Dados do Usuário Final, conforme requerido nesta seção, é inviável, o Processador de Dados estenderá as proteções deste Adendo a tais Dados de Usuário Final, e limitará o processamento posterior de tais Dados de Usuário Final, àqueles propósitos que inviabilizam a devolução ou destruição, enquanto o Processador de Dados retiver tais Dados de Usuário Final. - Obrigações e Atividades do Processador de Dados.
3.1. O Processador de Dados concorda em tratar os Dados do Utilizador Final sujeitos a medidas de segurança técnicas e organizacionais de um tipo que, se o Processador de Dados fosse o Responsável pelo tratamento desses dados, satisfaria o artigo 32º da GDPR, Segurança do Tratamento, ou seja, "Tendo em conta o estado da técnica, os custos de implementação e a natureza, âmbito, contexto e finalidades do tratamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento e o processador devem implementar medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco" e tomar medidas razoáveis para assegurar o cumprimento de tais medidas.
3.2. O Processador de Dados concorda em processar esses Dados do Usuário Final somente de acordo com as instruções do Usuário Final que este deverá fornecer por escrito de tempos em tempos.
3.3. O Processador de Dados concorda que cumprirá todas as obrigações impostas pelo Artigo 32 da GDPR como se o Processador de Dados fosse o Controlador em relação a esses Dados de Utilizador Final.
3.4. O Processador de Dados concorda que deve assegurar que todos os membros do pessoal, agentes, contratantes e outros que tenham acesso aos Dados do Utilizador Final sejam informados de que os dados são confidenciais e não devem ser revelados a ninguém que não esteja sujeito a um dever obrigatório de confidencialidade em relação aos mesmos. Apenas os membros do pessoal, etc., que tenham um requisito operacional para aceder aos Dados do Utilizador Final serão autorizados e (em termos de medidas lógicas, físicas ou outras medidas de segurança) capazes de o fazer.
3.5. Caso o Processador de Dados pretenda subcontratar o Processamento de Dados do Usuário Final, deverá impor a qualquer subcontratado as mesmas obrigações contratuais em matéria de proteção e segurança de dados que foram estabelecidas no presente Adendo.
3.6. O Processador de Dados concorda em informar imediatamente o Controlador de Dados sobre quaisquer violações de segurança relevantes para os Dados do Usuário Final dentro da sua própria organização ou de qualquer subcontratada.
3.7. O Processador de Dados concorda em assegurar que todo o pessoal que está envolvido no processamento dos Dados do Usuário Final receba a formação adequada em procedimentos de proteção de dados, identifique e mantenha registos da formação recebida por esse pessoal e dos conteúdos de todos os cursos. O Processador de Dados deve assegurar que nenhum outro agente ou empregado do Processador de Dados tenha acesso aos Dados do Usuário Final.
3.8. O Processador de Dados concorda que os Dados do Controlador não serão transferidos para um país ou território fora do Espaço Económico Europeu sem a aprovação escrita do Usuário Final, a menos que (1) esse país ou território garanta um nível adequado de protecção dos direitos e liberdades dos titulares dos dados em relação ao processamento de dados pessoais, conforme determinado pela autoridade de protecção de dados competente; (2) sem qualquer violação implícita desta disposição, se o Processador de Dados tiver introduzido Cláusulas Contratuais Padrão, conforme aprovadas pela Comissão Europeia, relativamente a tal transferência; ou (3) o Processador de Dados se tenha obrigado a cumprir as Regras Corporativas Vinculativas, conforme aprovadas ou aceites por uma autoridade de proteção de dados relevante; desde que o Utilizador Final possa restringir tais transferências ao abrigo de Regras de Contratação específicas e individuais, desde que o Utilizador Final concorde que a InterSystems não violará as suas obrigações nos termos da EULSA, se a InterSystems determinar que tal transferência é necessária para proporcionar o r
- Obrigações do usuário final.
4.1. O Usuário Final só deverá fornecer Dados de Usuário Final à InterSystems quando estritamente necessário para os fins da EULSA e em total conformidade com a Legislação de Proteção de Dados e concorda em fornecer apenas os dados pessoais mínimos necessários relevantes para o serviço ou suporte a ser prestado.
4.2. O Usuário Final não deve solicitar ou exigir que o Processador de Dados processe os Dados do Usuário Final de uma forma que o Usuário Final não possa fazer como Controlador ou Processador de um Controlador; desde que a InterSystems notifique imediatamente o Usuário Final por escrito, fornecendo informações suficientes para descrever a objeção, se a InterSystems considerar que qualquer uma das instruções do Usuário Final infringe a Legislação de Proteção de Dados. Se o Usuário Final concordar com a determinação da InterSystems de que as instruções do Usuário Final infringem a Legislação de Proteção de Dados, então o Usuário Final deverá notificar a InterSystems como tal e a InterSystems não será obrigada a cumprir essa instrução, nem a InterSystems será considerada como estando a infringir a EULSA por qualquer falha no cumprimento de tal instrução. Se o Usuário Final se opuser à determinação da InterSystems de que as instruções do Usuário Final infringem a Legislação de Proteção de Dados, então o Usuário Final deverá fornecer uma explicação por escrito do motivo pelo qual tais instruções estão de acordo com a Legislação de Proteção de Dados e a InterSystems poderá confiar nessa explicação para executar as instruções do Usuário Final.
4.3. O Usuário Final representa e garante que ele (ou no caso do Usuário Final ser um Processador de Dados, o Proprietário de Dados relevante) pode processar os Dados do Usuário Final da maneira que o Processador de Dados está autorizado a processar Dados Pessoais sob este Adendo.
4.4. O Usuário Final será responsável por utilizar sempre salvaguardas administrativas, físicas e técnicas para manter e garantir a confidencialidade, privacidade e segurança dos Dados do Usuário Final transmitidos ao Processador de Dados de acordo com as normas e requisitos da Legislação de Proteção de Dados, até que tais Dados do Usuário Final sejam recebidos pelo Processador de Dados.
4.5. O Usuário Final deverá obter qualquer consentimento ou autorização que possa ser exigida pela lei aplicável para que o Processador de Dados possa prestar os seus serviços no âmbito da EULSA
- Disposições Gerais.
5.1. Referências. Uma referência no presente Adendo ao idioma no GDPR significa o idioma conforme em vigor ou emendado, e a partir da data de sua conformidade aplicável.
5.2. Alterações a este Adendo. O Usuário Final concorda que a InterSystems, de boa fé, poderá alterar este Adendo ou a EULSA conforme necessário para cumprir com quaisquer alterações à Legislação de Proteção de Dados.
5.3. Sobrevivência das Disposições Contratuais. Os respectivos direitos e obrigações do Processador de Dados e do Controlador de Dados sobreviverão à cessação enquanto o Processador de Dados ou o Controlador de Dados Processar Dados do Usuário Final ao abrigo deste Adendo ou da EULSA.
5.4. Interpretação. Qualquer ambiguidade neste Adendo deverá ser resolvida para permitir que as Partes cumpram com a Legislação de Proteção de Dados
- Os direitos e obrigações previstos neste Adendo são adicionais, e não, em vez de quaisquer direitos ou obrigações que surjam entre as partes ao abrigo de qualquer outro contrato ou de direito comum
- Em caso de violação ou violação de uma obrigação de confidencialidade, por parte de qualquer pessoa, de dados de utilizador final a que essa pessoa tenha ou tenha tido acesso em consequência da presente adenda, a parte à qual a obrigação é devida compromete-se a envidar os seus melhores esforços para fazer cumprir a obrigação em questão