ACORDO DE TRATAMENTO DE DADOS PESSOAIS
LEIA ATENTAMENTE ESTES TERMOS E CONDIÇÕES ANTES DE ACEDER OU USAR O NOSSO WEBSITE E/OU CONTRATAR OS NOSSOS SERVIÇOS
ACORDO DE TRATAMENTO DE DADOS PESSOAIS
1. Introdução
1.1 – Este acordo de tratamento de dados pessoais (“Acordo de Tratamento de Dados Pessoais”) fazem parte e regulam o tratamento de dados pessoais relacionados com a prestação do serviço da InvoiceXpress (o “Serviço”) no âmbito da subscrição do Serviço feita pelo cliente ao aceitar os termos e condições que regulam o Serviço disponíveis em https://invoicexpress.com/termos-condicoes/, de tempos em tempos (os “Termos e Condições”).
2. Definições
2.1 – A definição de Dados Pessoais, Categorias Especiais de Dados Pessoais (Dados Pessoais Sensíveis), Tratamento de Dados Pessoais, Titular dos Dados, Responsável pelo Tratamento e Subcontratante é equivalente à forma como os termos são usados e interpretados na legislação relativa a privacidade aplicável, incluindo Regulamento Geral sobre a Proteção de Dados (Regulamento (UE) 2016/679)( 2016/679 (“RGPD”).
2.2 – Para efeitos do presente Acordo de Tratamento de Dados Pessoais, o cliente subscritor do Serviço será o Responsável pelo Tratamento e a InvoiceXpress, Lda. sendo o prestador de serviços sob os Termos e Condições, será o Subcontratante.
3. Âmbito
3.1 – Este Acordo de Tratamento de Dados Pessoais regula o Tratamento de Dados Pessoais realizado pelo Subcontratante em nome do Responsável pelo Tratamento e descrevem como o Subcontratante deve contribuir para garantir a privacidade em nome do Responsável pelo Tratamento e de seus Titulares de Dados registados, por meio de medidas técnicas e organizacionais, de acordo com a legislação de privacidade aplicável, incluindo o RGPD.
3.2 – A finalidade do Tratamento de Dados Pessoais pelo Subcontratante em nome do Responsável pelo Tratamento é fornecer o Serviço de acordo com os Termos e Condições.
3.3 – Este Acordo de Tratamento de Dados Pessoais têm precedência sobre quaisquer disposições conflitantes relativas ao Tratamento de Dados Pessoais no âmbito do Serviço ou em outros acordos anteriores ou comunicações escritas entre as Partes.
3.4 – Este Acordo de Tratamento de Dados Pessoais é válido enquanto o Subcontratante Tratar Dados Pessoais em nome do Responsável pelo Tratamento.
4. Obrigações do Subcontratante
4.1 – O Subcontratante só tratará Dados Pessoais em nome e de acordo com as instruções escritas do Responsável pelo Tratamento. Ao subscrever o Serviço ao abrigo dos Termos e Condições, o Responsável pelo Tratamento instrui o Subcontratante a tratar os Dados Pessoais da seguinte forma: (i) apenas de acordo com a lei aplicável, (ii) a cumprir todas as obrigações de acordo com os Termos e Condições, (iii) conforme especificado através do uso normal do Serviço do Subcontratante pelo Responsável pelo Tratamento e (iv) conforme especificado neste Acordo de Tratamento de Dados Pessoais.
4.2 – O Subcontratante não tem motivos para acreditar que a legislação aplicável o impeça de cumprir as instruções mencionadas acima. O Subcontratante deverá, ao tomar conhecimento disso, notificar o Responsável pelo Tratamento sobre instruções ou outras atividades de Tratamento do Responsável pelo Tratamento que, na opinião do Subcontratante, infrinjam a legislação de privacidade aplicável.
4.3 – O Subcontratante garantirá que a confidencialidade, integridade e disponibilidade dos Dados Pessoais estejam de acordo com a legislação de privacidade aplicável ao Subcontratante. O Subcontratante deve implementar medidas sistemáticas, organizacionais e técnicas para garantir um nível adequado de segurança, tendo em conta o estado da arte e o custo de implementação em relação ao risco representado pelo Tratamento e a natureza dos Dados Pessoais a serem protegidos.
4.4 – O Subcontratante deverá auxiliar o Responsável pelo Tratamento, por meio de medidas técnicas e organizacionais apropriadas, na medida do possível e levando em consideração a natureza do Tratamento e as informações disponíveis, no cumprimento das obrigações do Responsável pelo Tratamento ao abrigo da legislação de privacidade aplicável no que diz respeito a solicitações dos Titulares dos Dados, e para conformidade geral de acordo com os artigos 32 a 36 do RGPD.
4.5 – Se o Responsável pelo Tratamento requisitar informações ou assistência sobre medidas de segurança, documentação ou outras formas de informações sobre como o Subcontratante trata Dados Pessoais, e tais solicitações excederem as informações padrão fornecidas pelo Subcontratante para cumprir a legislação de privacidade aplicável como Subcontratante, o Subcontratante poderá cobrar tais serviços/solicitações adicionais ao Responsável pelo Tratamento.
4.6 – O Responsável pelo Tratamento e a sua equipa garantirá a confidencialidade dos Dados Pessoais sujeitos a Tratamento de acordo com os Termos e Condições. Esta disposição também se aplica após o termo do contrato.
4.7 – O Subcontratante, ao notificar o Responsável pelo Tratamento sem demora injustificada, permitirá que o Responsável pelo Tratamento cumpra os requisitos legais relativos à notificação às autoridades de supervisão de dados ou aos Titulares dos Dados sobre incidentes de privacidade.
4.8 – Adicionalmente, o Subcontratante notificará, na medida apropriada e legal, o Responsável pelo Tratamento sobre (i) solicitações de divulgação de Dados Pessoais recebidos de um Titular de Dados, (ii) solicitações de divulgação de Dados Pessoais por autoridades governamentais, como o polícia.
4.9 – O Subcontratante garantirá que as pessoas que têm o direito de proceder ao Tratamento dos Dados Pessoais assumiram compromissos de confidencialidade ou estão sujeitos a uma obrigação legal apropriada de confidencialidade.
4.10 – O Subcontratante não responderá diretamente às solicitações dos Titulares dos Dados, a menos que autorizado pelo Responsável pelo Tratamento para fazê-lo. O Subcontratante não divulgará informações relativas a este Acordo de Tratamento de Dados Pessoais a autoridades governamentais, como a polícia, aqui Dados Pessoais, exceto caso seja obrigado por lei, como uma ordem judicial ou mandado semelhante.
4.11 – O Subcontratante não controla se e como o Responsável pelo Tratamento usa aplicações de terceiros por meio da API do Subcontratante ou similar e, portanto, o Subcontratante não tem responsabilidade sobre qualquer risco a esse respeito. O Responsável pelo Tratamento é o único responsável pelas aplicações de terceiros.
4.12 – O Subcontratante pode Tratar Dados Pessoais sobre os utilizadores e o uso do Serviço pelo Responsável pelo Tratamento quando for necessário obter feedback e melhorar o serviço. O Responsável pelo Tratamento concede ao Subcontratante o direito de usar e analisar dados agregados de atividade do sistema associados ao seu uso dos Serviços para fins de otimizar, melhorar ou aprimorar a forma como o Subcontratante fornece os serviços e para permitir que o Subcontratante crie novos recursos e funcionalidades relacionados com os serviços. A InvoiceXpress Lda. será considerada a Responsável pelo Tratamento para tal tratamento e o tratamento não está, portanto, sujeito a este Acordo de Tratamento de Dados Pessoais.
4.13 – Ao utilizar o Serviço, o Responsável pelo Tratamento adicionará dados ao Software (“Dados do Cliente”). O Responsável pelo Tratamento reconhece e não se opõe que o Subcontratante use os Dados do Cliente num formato agregado e anonimizado para melhorar os serviços prestados aos clientes, pesquisa, treino, fins educacionais e/ou estatísticos.
5. Natureza e Finalidade do Tratamento
Natureza e finalidade
5.1 – O Subcontratante trata os Dados Pessoais para fornecer o Serviço ao Responsável pelo Tratamento. Durante a prestação do Serviço, o Subcontratante trata Dados Pessoais para os seguintes fins: prestação do Serviço e quaisquer serviços auxiliares (se aplicável), faturação, segurança cibernética e prevenção de utilizações indevidas do Serviço. A natureza do tratamento, na maioria dos casos, envolve o seguinte: recolha, estruturação, conservação, alteração, recuperação, uso, análise, divulgação por transmissão, anonimização, eliminação e destruição
Objeto e termo
5.2 – O Subcontratante tratará os Dados Pessoais enquanto for necessário para os fins estabelecidos acima na Seção 5.1.
Categorias de Titulares de Dados e Dados Pessoais
5.3 – O Responsável pelo Tratamento e/ou os utilizadores adicionam Dados Pessoais ao Serviço e, assim, o Responsável pelo Tratamento decide quais os Dados Pessoais que o Sucontratante trata e quem são os Titulares dos Dados. Habitualmente, estes incluem as seguintes categorias de Titulares dos Dados: clientes do Responsável pelo Tratamento ou clientes finais dos clientes do Responsável pelo Tratamento.
5.4 – O Tratamento de Dados Pessoais pelo Subcontratante abrange habitualmente as seguintes categorias de Dados Pessoais: nome, número de telefone, endereço de e-mail e endereço postal.
6. Direitos e obrigações do Responsável pelo Tratamento
6.1 – O Responsável pelo Tratamento confirma pela assinatura deste Acordo que:
6.1.1 – O Responsável pelo Tratamento tem autoridade legal para tratar e divulgar ao Subcontratante (incluindo quaisquer Subcontratantes ulteriores usados pelo Subcontratante) os Dados Pessoais em questão.
6.1.2 – O Responsável pelo Tratamento é responsável pela exatidão, integridade, conteúdo, confiabilidade e legalidade dos Dados Pessoais divulgados ao Subcontratante.
6.1.3 – O Responsável pelo Tratamento cumpriu os seus deveres de fornecer informações relevantes aos Titulares dos Dados e às autoridades relativamente ao tratamento de Dados Pessoais de acordo com a legislação obrigatória de proteção de dados.
6.1.4 – O Responsável pelo Tratamento não deverá, ao utilizar os serviços prestados pelo Subcontratante, ao abrigo dos Termos e Condições, comunicar quaisquer Dados Pessoais Sensíveis ao Subcontratante, a menos que isso seja explicitamente acordado entre as partes.
7. Uso de Subcontratantes ulteriores e transferência de dados
7.1 – Para a entrega do Serviço ao Responsável pelo Tratamento, de acordo com os Termos e Condições e este Acordo de Tratamento de Dados Pessoais, o Subcontratante fará uso de subcontratantes ulteriores e o Responsável pelo Tratamento dará o seu consentimento geral para o uso de subcontratantes ulteriores. Esses subcontratantes ulteriores podem ser outras empresas do grupo Visma ou subcontratantes ulteriores externos de terceiros. Todos os subcontratantes ulteriores que têm acesso aos Dados Pessoais do Responsável pelo Tratamento estão listados no site do Subcontratante. O Subcontratante garantirá que os subcontratantes ulteriores assumiram responsabilidades correspondentes às obrigações estabelecidas neste Acordo de Tratamento de Dados Pessoais.
7.2 – O Subcontratante pode contratar outras empresas localizadas na UE/EEE no grupo Visma como subcontratantes ulteriores sem aprovação prévia ou notificação ao Responsável pelo Tratamento. Tal será, geralmente, para fins de desenvolvimento, suporte, operações, etc. O Responsável pelo Tratamento pode solicitar informações mais detalhadas sobre os subcontratantes ulteriores.
7.3 – Se os subcontratantes ulteriores estiverem localizados fora da UE ou do EEE, o Responsável pelo Tratamento concede ao Subcontratante autorização para a transferência de Dados Pessoais para fora da UE/EEE em nome do Responsável pelo Tratamento, nos termos deste documento, através da celebração de Cláusulas Contratuais Tipo da UE (SCCs) ou com base noutro mecanismo legalmente válido em vigor de tempos em tempos.
7.4 – O Subcontratante notificará o Responsável pelo Tratamento com antecedência sobre quaisquer alterações de subcontratantes ulteriores que Tratem Dados Pessoais, usando os canais de comunicação normais usados pelo Subcontratante. O Responsável pelo Tratamento pode opor-se a um novo subcontratante ulterior no prazo de 30 dias a contar da notificação, com base em motivos legítimos. Neste caso, o Subcontratante e o Responsável pelo Tratamento deverão analisar a documentação relativa aos esforços de conformidade dos subcontratantes ulteriores, a fim de garantir o cumprimento da legislação de privacidade aplicável. Se o Responsável pelo Tratamento ainda contestar e tiver motivos razoáveis para isso, o Responsável pelo Tratamento não poderá recusar o uso de tal subcontratante ulterior com base na natureza do Serviço ser um software padrão online, mas o Responsável pelo Tratamento poderá resolver o contrato/Serviço para o qual o subcontratante ulterior em disputa é utilizado, de acordo com os Termos e Condições.
8. Segurança
8.1 – O Subcontratante está comprometido em fornecer um alto nível de segurança dos seus produtos e serviços. O Subcontratante fornece o seu nível de segurança através de medidas de segurança organizacionais, técnicas e físicas, de acordo com os requisitos sobre medidas de segurança da informação descritos no artigo 32 do RGPD.
8.2 – O Responsável pelo Tratamento concorda que é responsável por determinar de forma independente se a segurança fornecida para os Dados Pessoais é adequada para cumprir as obrigações do Responsável pelo Tratamento, de acordo com as leis de proteção de dados aplicáveis. O Responsável pelo Tratamento é ainda responsável pelo seu próprio uso seguro do Serviço, incluindo a proteção da segurança dos Dados Pessoais em trânsito de e para o Serviço e o backup ou criptografia segura de quaisquer Dados Pessoais fora do Serviço, na medida considerada necessária pelo Responsável pelo Tratamento.
9. Direitos de auditoria
9.1 – O Responsável pelo Tratamento poderá auditar a conformidade do Subcontratante com este Acordo de Tratamento de Dados Pessoais até uma vez por ano. Se exigido pela legislação aplicável ao Responsável pelo Tratamento, o Responsável pelo Tratamento poderá solicitar auditorias com maior frequência. Para solicitar uma auditoria, o Responsável pelo Tratamento deve enviar ao Subcontratante um plano de auditoria detalhado com pelo menos quatro semanas de antecedência da data de auditoria proposta, descrevendo o âmbito proposto, a duração e a data de início da auditoria. Se qualquer terceiro realizar a auditoria, esta deverá, como regra principal, ser mutuamente acordada entre as Partes. No entanto, se o ambiente de tratamento de dados pessoais for um ambiente multitenant ou similar, o Responsável pelo Tratamento confere ao Subcontratante autoridade para decidir, por razões de segurança, que as auditorias serão realizadas por um auditor externo neutro.
9.2 – Se o âmbito da auditoria solicitada for abordado num relatório de conformidade ISAE, ISO ou similar realizado por um auditor externo qualificado nos últimos doze meses, e o Subcontratante confirmar que não há alterações materiais conhecidas nas medidas auditadas, o Responsável pelo Tratamento concorda em aceitar essas conclusões, em vez de solicitar uma nova auditoria das medidas abrangidas pelo relatório.
9.3 – Em qualquer caso, as auditorias devem ser realizadas durante o horário comercial normal nas instalações aplicáveis, sujeitas às políticas do Subcontratante, e não podem interferir injustificadamente nas atividades comerciais do Subcontratante.
9.4 – O Responsável pelo Tratamento será responsável por quaisquer custos decorrentes das auditorias por si solicitadas. Os pedidos de assistência do Subcontratante podem estar sujeitos a taxas.
10. Prazo e Cessação
10.1 – Este Acordo de Tratamento de Dados Pessoais é válido enquanto o Subcontratante tratar Dados Pessoais em nome do Responsável pelo Tratamento de acordo com os Termos e Condições.
10.2 – Este Acordo de Tratamento de Dados Pessoais cessará automaticamente após o termo da subscrição do Serviço de acordo com os Termos e Condições. Após a cessação deste Acordo de Tratamento de Dados Pessoais, o Subcontratante excluirá ou devolverá os Dados Pessoais tratados em nome do Responsável pelo Tratamento, de acordo com as cláusulas aplicáveis nos Termos e Condições. Essa eliminação ocorrerá assim que razoavelmente possível, a menos que a legislação local ou da UE exija a sua conservação adicional. Salvo acordo em contrário por escrito, o custo de tais ações será baseado em: (i) taxas horárias pelo tempo gasto pelo Subcontratante e (ii) na complexidade do processo solicitado.
11. Mudanças e Alterações
11.1 – Se alguma disposição deste Acordo de Tratamento de Dados Pessoais se tornar nula, isso não afetará as demais disposições. As Partes substituirão a disposição nula por uma disposição legal que reflita a finalidade da disposição nula.
11.2 – Se o Responsável pelo Tratamento alterar a(s) pessoa(s) de contato mencionada(s) e fornecida(s) ao Subcontratante na subscrição, o Responsável pelo Tratamento deverá informar o Subcontratante por escrito.
12. Responsabilidade
12.1 – Para evitar dúvidas, as Partes concordam e reconhecem que cada Parte será responsável e responsabilizada pelo pagamento de contraordenações e danos diretamente aos Titulares dos Dados que a Parte foi obrigada a pagar pelas autoridades de proteção de dados ou tribunais competentes, de acordo com a legislação de privacidade aplicável. As questões de responsabilidade entre as Partes serão regidas pelas cláusulas de responsabilidade nos Termos e Condições.
13. Lei aplicável e foro legal
13.1 – Este Acordo de Tratamento de Dados Pessoais está sujeito à lei aplicável e ao foro legal estabelecido nos Termos e Condições.