Adenda AO Processamento de Dados

Esta Adenda ao Processamento de Dados (“DPA”) altera e integra o Acordo de Subscrição Principal ou outro acordo (o “Acordo”) entre o Cliente e a Absolute que rege o fornecimento dos Produtos e Serviços da Absolute ao Cliente. Em caso de conflito entre os termos deste DPA e o Acordo, os termos deste DPA terão o controlo.

1.     Definições. Os termos em maiúsculas utilizados, mas não definidos neste DPA terão os significados atribuídos a esses termos no Acordo.

1.1.    O significado de “Negócio”, “Finalidade do negócio”, “recolher”, “recolhido”, “recolha”, “Cliente”, “Informação Desidentificada”, “Informações Pessoais”, “venda”, “vender” e “Fornecedor de Serviços” é o atribuído no CCPA; e “vender” será interpretado em conformidade;

1.2.    O significado de “Controlador”, “Sujeito dos Dados”, “Dados Pessoais”, “processar”, “Processador” e “Autoridade Supervisora” é o atribuído no GDPR, e “processo”, “processos” e “processado” serão interpretados em conformidade;

1.3.    “Dados pessoais do cliente” significa quaisquer Dados do Cliente que constituam Informação Pessoal ou Dados Pessoais que sejam recolhidos ou processados pela Absolute como Fornecedor de Serviços ou Processador (conforme aplicável) em nome do Cliente para fornecer os Produtos e Serviços, conforme descrito no Anexo I deste DPA;

1.4.    “Lei de Proteção de Dados” significa a Lei de Privacidade do Consumidor da Califórnia, Código Civil da Califórnia § 1798.100 et seq., e os seus regulamentos de execução (“CCPA”), o Regulamento Geral de Proteção de Dados (UE) 2016/679 (“GDPR”), e a Diretiva 2002/58/CE sobre Privacidade e Comunicações Eletrónicas (alterada pela Diretiva 2009/136/CE), e respetivas implementações nacionais no Espaço Económico Europeu (“EEE”), a Lei Federal Suíça de Proteção de Dados, o Regulamento Geral de Proteção de Dados do Reino Unido, e a Lei de Proteção de Dados do Reino Unido de 2018, cada uma conforme aplicável, e conforme possa ser alterada ou substituída periodicamente;

1.5.    “Direitos do Sujeito dos Dados” significa os direitos dos Consumidores ou Sujeitos dos Dados à informação, acesso, retificação, eliminação, apagamento, restrição, portabilidade, objeção, opção de não venda, de não serem discriminados pelo exercício de certos direitos, e de não serem sujeitos a decisões individuais automatizadas, de acordo e na medida exigida pela Lei de Proteção de Dados;

1.6.    “Europa” significa o EEE e a Suíça;

1.7.    “Transferência Internacional de Dados” significa qualquer transferência de Dados Pessoais de Clientes da Europa ou do Reino Unido para um país fora da Europa e do Reino Unido;

1.8.    “Violação de dados pessoais” significa qualquer violação da segurança da Absolute que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos Dados Pessoais do Cliente transmitidos, armazenados ou de outra forma processados pela Absolute ou pelos seus Subprocessadores;

1.9.    “Subprocessador” significa um Processador contratado pela Absolute para processar os Dados Pessoais do Cliente; e

1.10.  “Cláusulas Contratuais Padrão” são as cláusulas anexas à Decisão 2021/914 da Comissão Europeia, de 4 de junho de 2021, relativa às cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (JO L 199, 7.6.2021, p. 31-61), conforme aplicável, podendo ser alteradas ou substituídas periodicamente.

2.     Função das partes e âmbito do processamento

2.1.    Âmbito. Este DPA e cada uma das disposições e obrigações aqui contidas aplicam-se na medida em que a Absolute processa Dados Pessoais do Cliente como Fornecedor de Serviços ou Processador (conforme aplicável).

2.2.    Função das partes. O Cliente é uma Empresa ou Controlador e nomeia a Absolute como Fornecedor de Serviços ou Processador em nome do Cliente. Cada Parte recolherá, reterá, utilizará, divulgará e processará os Dados Pessoais do Cliente sob ou em ligação com os Produtos e Serviços, de acordo com a Lei de Proteção de Dados aplicável.

2.3.    Responsabilidades do cliente. O cliente é responsável pelo cumprimento dos requisitos aplicáveis para notificar os Sujeitos de Dados da utilização da Absolute como Processador. O assunto, natureza e finalidade do tratamento, os tipos de Dados Pessoais do Cliente e as categorias de Sujeitos de Dados estão definidos no Anexo I.

2.4.    Responsabilidades da Absolute. A Absolute irá processar os Dados Pessoais do Cliente para fornecer os Produtos e Serviços de acordo com as instruções legais documentadas do Cliente, que são consideradas dadas, para os seguintes fins: (i) processamento em conformidade com este DPA, o Acordo e qualquer declaração de trabalho aplicável; (ii) processamento iniciado pelos Utilizadores Autorizados na sua utilização dos Produtos e Serviços; e (iii) processamento para cumprir outras instruções razoáveis documentadas fornecidas pelo Cliente (por exemplo, por e-mail), sempre que tais instruções sejam consistentes com os termos deste DPA, do Acordo e de qualquer declaração de trabalho aplicável. Salvo se proibido pela lei aplicável, a Absolute informará o Cliente se tiver conhecimento de que, ou na sua opinião, as instruções do Cliente violam a Lei de Proteção de Dados. Por exemplo, se a Absolute receber uma intimação ou ordem judicial de uma agência de aplicação da lei, informará o Cliente do pedido, a menos que seja legalmente proibida de o fazer.

2.5.    Colaboração com pedidos do Cliente. Tendo em conta a natureza do processamento e a informação que a Absolute tem disponível, a mesma irá ajudar razoavelmente o Cliente a (a) responder a pedidos para exercer os Direitos do Sujeito dos Dados; (b) realizar avaliações de impacto da proteção de dados e consultas prévias com as Autoridades de Supervisão; e (c) notificar um Sujeito dos Dados afetados de uma Violação de Dados Pessoais quando exigido por lei. O cliente será responsável por quaisquer custos razoáveis decorrentes da assistência da Absolute.

3.     Segurança e auditorias

3.1.    Medidas de Segurança. A Absolute irá implementar medidas técnicas e organizacionais adequadas ao risco para proteger os Dados Pessoais do Cliente contra o acesso não autorizado, destruição, utilização, modificação ou divulgação, conforme estabelecido nas Normas de Segurança da Absolute referidas no Anexo II. A Absolute pode modificar as Normas de Segurança da Absolute periodicamente, mas continuará a fornecer pelo menos o mesmo nível de segurança descrito nas Normas de Segurança da Absolute. A Absolute irá assegurar que todo o pessoal autorizado a processar os Dados Pessoais do Cliente esteja sujeito a uma obrigação de confidencialidade.

3.2.    Resposta à Violação de Dados Pessoais. A Absolute notificará o Cliente sem atrasos indevidos após tomar conhecimento de uma Violação de Dados Pessoais. A Absolute envidará esforços comercialmente razoáveis para identificar a causa da Violação de Dados Pessoais e tomará as medidas que a Absolute considerar necessárias e razoáveis para remediar a causa da Violação de Dados Pessoais, na medida em que a remediação esteja dentro do controlo razoável da Absolute. Esta disposição não se aplicará às Violações de Dados Pessoais que sejam causadas pelo Cliente ou pelos utilizadores do Cliente.

3.3.    Auditoria. Conforme exigido pela Lei de Proteção de Dados, a Absolute fornecerá ao Cliente um resumo de seus relatórios de auditoria, incluindo qualquer informação razoavelmente necessária para demonstrar o cumprimento das obrigações deste DPA; desde que a Absolute possa redigir qualquer informação confidencial ou comercialmente sensível em tais relatórios.

4.     Subprocessamento

4.1.    Subprocessadores autorizados. O cliente reconhece e concorda que a Absolute pode contratar Subprocessadores. Uma lista dos atuais Subprocessadores da Absolute está disponível em www.absolute.com/company/legal/absolute-sub-processors. A Absolute celebrará um acordo escrito com os Subprocessadores que impõe materialmente aos Subprocessadores as mesmas obrigações que as impostas à Absolute ao abrigo deste DPA.

4.2.    Mudanças ao Subprocessadores. O Cliente reconhece e concorda que a Absolute notificará o Cliente de qualquer adição ou substituição intencional de Subprocessadores através da atualização da sua lista de Subprocessadores referida na Secção 4.1. O Cliente poderá opor-se à adição ou substituição de um Subprocessador no prazo de trinta (30) dias após a atualização da lista de Subprocessadores pela Absolute. Se a objeção do Cliente for baseada em motivos razoáveis relacionados com uma potencial ou efetiva violação da Lei de Proteção de Dados, então o Cliente e a Absolute trabalharão em conjunto e de boa fé para resolver a objeção do Cliente.

5.     Transferências de dados

5.1.    Transferências Internacionais de Dados. O cliente concorda que a Absolute pode efetuar Transferências Internacionais de Dados: (a) a qualquer país considerado adequado pela Comissão da UE ou pelo Governo do Reino Unido, conforme o caso, incluindo o Canadá; (b) com base em salvaguardas adequadas de acordo com a Lei de Proteção de Dados; ou (c) de acordo com as Cláusulas Contratuais Padrão referidas na Secção 5.2 ou Secção 5.3. Se a conformidade da Absolute com as Leis de Proteção de Dados aplicáveis às Transferências Internacionais de Dados for afetada por circunstâncias fora do seu controlo, incluindo se um instrumento legal para Transferências Internacionais de Dados for invalidado, alterado ou substituído, então o Cliente e a Absolute trabalharão em conjunto e de boa fé para resolver razoavelmente essa não conformidade.

5.2.    Transferências de dados da Europa. Ao assinar o presente DPA, o Cliente e a Absolute concordam com os termos do MÓDULO DOIS das Cláusulas Contratuais Padrão, que são incorporados neste DPA por referência. As Partes acordam por este meio que quando as Cláusulas Contratuais Padrão se aplicarem, deverão ser preenchidas da seguinte forma: (a) a Cláusula 7 opcional é mantida; (b) na Cláusula 9, a Opção 1 é suprimida e a Opção 2 é mantida; (c) na Cláusula 11, a língua opcional é suprimida; (d) nas Cláusulas 17 e 18, a lei aplicável e os tribunais competentes são os da Irlanda; e (e) os Anexos I e II das Cláusulas Contratuais Padrão são os Anexos I e II deste DPA, respetivamente. Se a Absolute transferir Dados Pessoais do Cliente a partir da Europa para um país que não forneça um nível de proteção adequado, conforme determinado pela Comissão Europeia para fornecer os Produtos ao Cliente, então as Cláusulas Contratuais Padrão serão aplicáveis.

5.3.    Transferências de dados do Reino Unido. Ao assinar este DPA, o Cliente e a Absolute concordam com os termos do MÓDULO DOIS das Cláusulas Contratuais Padrão e da Parte 2 (Cláusulas Obrigatórias) da Adenda Internacional de Transferência de Dados às Cláusulas Contratuais Padrão, disponível em: https://ico.org.uk/media/for-organisations/documents/4019483/international-data-transfer-addendum.pdf (a “Adenda do Reino Unido”), que é aqui incorporada por referência. Se a Absolute transferir Dados Pessoais do Cliente do Reino Unido para um país que não ofereça um nível de proteção adequado, tal como determinado pelo Reino Unido, então a Adenda do Reino Unido será aplicável.

6.     Lei de Privacidade do Consumidor da Califórnia

6.1.    Consideração. A Absolute reconhece que a troca de Dados Pessoais do Cliente entre o Cliente e a Absolute não faz parte de qualquer contrapartida monetária ou de valor trocada entre o Cliente e a Absolute no que diz respeito ao Acordo ou a este DPA.

6.2.    Utilização de Dados Pessoais do Cliente. Exceto se a lei aplicável o permitir, a Absolute não irá: (a) reter, utilizar ou divulgar Dados Pessoais do Cliente para qualquer outra finalidade que não seja a execução dos Serviços e o fornecimento dos Produtos especificados no Acordo; e (b) vender Dados Pessoais do Cliente. Não obstante qualquer disposição em contrário do Acordo ou deste DPA, os termos deste DPA não serão aplicados ao processamento de Dados Pessoais do Cliente pela Absolute que estejam isentos da Lei de Proteção de Dados, incluindo ao abrigo do Código Civil da Califórnia § 1798.145(a).

7.     Rescisão e devolução ou eliminação de Dados Pessoais do Cliente

7.1.    Este DPA termina após a rescisão do Acordo. O Cliente poderá obter a devolução dos Dados Pessoais do Cliente utilizando as funcionalidades ou funcionalidades acessíveis na conta do Cliente para os Produtos aplicáveis, ou, se tais funcionalidades não estiverem disponíveis, o Cliente poderá solicitar a devolução dos Dados Pessoais do Cliente até noventa (90) dias após a rescisão do Acordo. A menos que seja exigido ou permitido pela lei aplicável, a Absolute eliminará ou tornará anónimas todas as cópias restantes dos Dados Pessoais do Cliente após a rescisão do Acordo.

8.     Limitação de responsabilidade

8.1.    A responsabilidade de cada parte resultante ou relacionada com este DPA, incluindo as Cláusulas Contratuais Padrão, se aplicável, quer em contrato, delito ou sob qualquer outra teoria de responsabilidade, está sujeita à seção de Limitação de Responsabilidade do Acordo.

9.     Invalidade e Separabilidade

9.1.    Se qualquer disposição deste DPA for considerada por qualquer tribunal ou órgão administrativo de jurisdição competente como inválida ou inaplicável, a invalidade ou inaplicabilidade da respetiva disposição não afeta qualquer outra disposição deste DPA e todas as disposições não afetadas por tal invalidade ou inaplicabilidade permanecerão em pleno vigor e efeito.

ANEXO I

  1. LISTA DAS PARTES (MÓDULO DOIS: Controlador de transferência para processador)

 

Exportador(es) de dados: Cliente

 

O Cliente, como Controlador, pode optar por transferir dados para a Absolute em relação à receção de Produtos e Serviços identificados no Formulário de Encomenda aplicável. O nome, as informações de contacto e a assinatura do Cliente estão indicados no Formulário de Encomenda aplicável ou na conta do Cliente para os Produtos e Serviços.

Importador(es) de dados Absolute

 

A Absolute, como Processador, processa os dados recebidos do Cliente relacionados com o fornecimento de Produtos e Serviços identificados no Formulário de Encomenda aplicável.

Morada: Suite 1400, Four Bentall Centre, 1055 Dunsmuir Street, Vancouver, B.C. Canadá, V7X 1K8

Contacto: [email protected]

 

  1. DESCRIÇÃO DA TRANSFERÊNCIA (MÓDULO DOIS: Controlador de transferência para processador)

 

Categorias de Sujeitos de Dados cujos dados pessoais são transferidos em relação aos Produtos e Serviços:

# Categoria
1 Utilizadores de dispositivos de ponto final do Cliente
2 Pessoal administrativo do Cliente responsável pela manutenção da conta do Cliente através do Serviço Alojado

Categorias de Dados Pessoais transferidos em relação aos Serviços Absolute:

# Categoria
1 Conforme aplicável, as informações do dispositivo de ponto final, incluindo marca e modelo do computador, número de série do computador, versão de Bios do sistema, nome do computador, informação do SO, número de série do HDD, modelo do HDD, revisão do firmware do HDD, ID do dispositivo da bateria, UUID do computador, strings de gateway, número de série da RAM, endereço MAC, nome do adaptador NIC, endereço IP, localização do dispositivo e informações de utilização do dispositivo.
  Informações da conta de Serviço Alojado, incluindo nome, informações de contacto e credenciais de início de sessão.

Categorias de dados sensíveis transferidos em relação aos Produtos e Serviços:

# Categoria
1 Nenhum.

 

Frequência e natureza do processamento:

Os dados são transferidos numa base contínua. Os dados pessoais transferidos estarão sujeitos às seguintes operações de processamento:

  • fornecer os Produtos e Serviços, incluindo o armazenamento de dados para os Produtos e Serviços;
  • resolver questões técnicas ou administrativas, faturação, e cumprir as suas próprias obrigações legais; e
  • otimizar e melhorar os Produtos e Serviços e outros fins comerciais, tal como descrito no DPA.

Objetivo(s) da transferência de dados e processamento adicional

O objetivo da transferência de dados é fornecer os Produtos e Serviços.

Período de retenção.

 

Aplicam-se diferentes períodos de retenção de dados, dependendo do serviço aplicável. Ao determinar o período de retenção específico, a Absolute considera vários fatores, tais como o tipo de serviço prestado ao Cliente, a natureza e duração da nossa relação com o Cliente e os períodos de retenção obrigatórios previstos por lei e o estatuto das limitações.

Transferências para (sub)processadores

As descrições apresentadas mais acima nesta secção B aplicam-se aos dados transferidos para os Subprocessadores.

 

  1. AUTORIDADE DE SUPERVISÃO COMPETENTE (MÓDULO DOIS: Controlador de transferência para processador)

A autoridade de supervisão competente, tal como definida pelo Cliente.

 

ANEXO II

MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS

Domínio

 

Práticas
Organização da Segurança da Informação ·          A Absolute possui uma equipa dedicada à segurança das informações

·          O programa de Segurança da Informação é apoiado pela equipa executiva da Absolute

·          A Absolute publica uma política de segurança da informação aprovada pela direção

Segurança dos Recursos Humanos ·          Realiza uma verificação prévia dos antecedentes do pessoal

·          Realiza formação regular em segurança da informação

Segurança física e ambiental ·          Apenas os utilizadores autorizados têm acesso físico aos centros de processamento de dados de clientes

·          Utiliza centros de dados e fornecedores de alojamento com controlos físicos e ambientais

Comunicações e gestão de operações ·          Encriptar dados de clientes em trânsito e em repouso

·          Implementar proteções de rede incluindo firewalls, VPN, IDS e, sempre que possível, IPS

Controlo de acesso ·          Menos acesso principal a redes e sistemas

·          Exigir AMF para acesso remoto

Gestão de incidentes de segurança da informação ·          Implementar um programa formalizado de Resposta a Incidentes de Segurança e Privacidade
Operações de segurança ·          Testes de penetração anuais

·          Gestão de vulnerabilidade contínua

·          Controlos para detetar e prevenir malware

·          Gerar e monitorizar informações de registo de eventos

Gestão da continuidade do negócio ·          Mantém os planos de BCP e DR para apoiar a continuação das operações

·          Testes planeados pelo menos anualmente

Gestão de fornecedores externos ·          Manter um programa de fornecedores externos para rever e avaliar e monitorizar os controlos de segurança e privacidade de fornecedores externos.
Desenvolvimento de sistemas ·          Fornecer formação segura em codificação aos programadores

·          Implementar testes de segurança como uma componente do SDLC

·          Desenvolvimento segregado, testes e ambientes de produção