DPA – Contrato de Tratamento de Dados

DPA - Contrato de Processamento de Dados Magileads

Acordo de processamento de dados

Este acordo de processamento de dados ou Contrato de Processamento de Dados (DPA) define as condições em que a Magileads, enquanto subcontratante, trata os dados pessoais por instrução do Cliente. Neste DPA, a Magileads baseia-se nas cláusulas contratuais padrão da Comissão Europeia (acessíveis no seguinte endereço: https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32021D0915 ).

Completa o contrato entre Magileads e o Cliente e é incorporado ao Contrato formado pela aceitação por parte do Cliente das Condições Gerais de Uso (acessíveis no seguinte endereço: https://www.magileads.com/cgu-conditions- generales-d -usage/ ), incluindo a Política de Confidencialidade Magileads (acessível no seguinte endereço: https://www.magileads.com/accord-de-confidentialite/ ).

Em caso de contradição com o Contrato, prevalece o DPA.

da Magileads , presume-se que o Cliente atue como Responsável pelo Tratamento de todas as operações de tratamento que não sejam as realizadas pela Magileads para as suas próprias necessidades, detalhadas na Política de Privacidade da Magileads.

Se ele próprio atuar como subcontratante no tratamento de dados por instrução de um responsável pelo tratamento de dados terceiro, o Cliente compromete-se a:

  • Obter todas as autorizações que permitam a celebração deste DPA do Controlador de Dados;
  • Declarar a Magileads como subprocessadora do Controlador de Dados;
  • Ter celebrado um contrato com o Responsável pelo Tratamento nos termos do Artigo 28 do RGPD e nos termos do presente DPA e do Contrato celebrado entre a Magileads e o Cliente;
  • Dar à Magileads instruções consistentes com as que recebeu do Controlador de Dados, sem que a Magileads receba instruções diretamente do Controlador de Dados, exceto nos casos em que o Cliente tenha transferido os seus direitos e obrigações para o Controlador de Dados que forneça prova
  • Disponibilize este DPA ao Controlador de Dados.

O Cliente permanece totalmente responsável perante a Magileads pela aplicação deste DPA pelo Controlador de Dados. O Cliente isenta a Magileads de qualquer responsabilidade por qualquer falha do Controlador de Dados no cumprimento da lei aplicável, bem como por qualquer ação, reclamação ou reclamação do Controlador de Dados relativa a este DPA, ao Contrato celebrado entre Magileads e o Cliente, ou às instruções cedido pelo Cliente à Magileads.

SEÇÃO I

Cláusula 1
Objetivo e escopo
  1. Estas cláusulas contratuais-tipo (doravante “cláusulas”) destinam-se a garantir o cumprimento do artigo 28.º, n.ºs 3 e 4, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).
  2. Os responsáveis ​​pelo tratamento e os subcontratantes aceitaram estas cláusulas para garantir o cumprimento do disposto no artigo 28.º, n.ºs 3 e 4, do Regulamento (UE) 2016/679.
  3. Estas cláusulas aplicam-se ao tratamento de dados pessoais conforme descrito no Anexo I.
  4. Os Anexos I a III fazem parte integrante das cláusulas.
  5. Estas cláusulas não prejudicam as obrigações a que o responsável pelo tratamento está sujeito nos termos do Regulamento (UE) 2016/679.
  6. As cláusulas por si só não são suficientes para garantir o cumprimento das obrigações relativas às transferências internacionais em conformidade com o capítulo V do Regulamento (UE) 2016/679.

 Cláusula 2

Invariabilidade das cláusulas
  1. As partes comprometem-se a não modificar as cláusulas, exceto no que diz respeito ao acréscimo de informações aos anexos ou à atualização das informações neles contidas.
  2. As partes não estão, no entanto, impedidas de incluir num contrato mais amplo as cláusulas contratuais-tipo definidas nestas cláusulas, nem de acrescentar outras cláusulas ou garantias adicionais, desde que estas não contrariem, directa ou indirectamente, as cláusulas ou que não infrinjam direitos e liberdades fundamentais das pessoas em causa.

Cláusula 3

Interpretação
  1. Quando nas cláusulas aparecem termos definidos respectivamente no Regulamento (UE) 2016/679, entende-se como no regulamento em questão.
  2. Estas cláusulas devem ser lidas e interpretadas à luz das disposições do Regulamento (UE) 2016/679.
  3. Estas cláusulas não devem ser interpretadas de forma contrária aos direitos e obrigações previstos no Regulamento (UE) 2016/679 ou de forma que afete negativamente os direitos ou liberdades fundamentais dos titulares dos dados.

Cláusula 4

Hierarquia

Em caso de qualquer contradição entre estas cláusulas e as disposições dos acordos relacionados que existam entre as partes no momento em que estas cláusulas são acordadas ou que são posteriormente celebradas, estas cláusulas prevalecerão.

Cláusula 5

Cláusula de amarração
  1. Qualquer entidade que não seja parte nestas cláusulas poderá, com o acordo de todas as partes, aderir a elas a qualquer momento, na qualidade de responsável pelo tratamento ou de subcontratante, através do preenchimento dos anexos.
  2. Uma vez preenchidos e assinados os anexos mencionados na alínea a), a entidade aderente considera-se parte nestas cláusulas e goza dos direitos e fica sujeita às obrigações de um responsável pelo tratamento ou de um subcontratante.
  3. Estas cláusulas não criam para o aderente quaisquer direitos ou obrigações relativamente ao período anterior à adesão.

SEÇÃO II – OBRIGAÇÕES DAS PARTES

Cláusula 6

Descrição do(s) tratamento(s)

Os detalhes das operações de tratamento e, em particular, as categorias de dados pessoais e as finalidades do tratamento para as quais os dados pessoais são tratados por conta do responsável pelo tratamento, são especificados no Anexo I.

Cláusula 7

Obrigações das partes
7.1. Instruções
  1. O processador deve processar dados pessoais apenas de acordo com instruções documentadas do responsável pelo tratamento, a menos que seja obrigado a fazê-lo ao abrigo da legislação da União ou da legislação do Estado-Membro ao qual são submetidos. Neste caso, o subcontratante informa o responsável pelo tratamento desta obrigação legal antes do tratamento, salvo se a lei o proibir por razões importantes de interesse público. Também poderão ser dadas instruções posteriormente pelo responsável pelo tratamento durante o tratamento dos dados pessoais. Estas instruções devem ser sempre documentadas.
  2. O subcontratante informará imediatamente o responsável pelo tratamento se, na sua opinião, uma instrução dada pelo responsável pelo tratamento constituir uma violação do Regulamento (UE) 2016/679 ou de outras disposições da legislação da União ou dos Estados-membros relativas à proteção de dados.
7.2. Limitação de propósito

O processador processa dados pessoais apenas para a(s) finalidade(s) específica(s) do processamento, conforme definido no Anexo I, salvo instrução em contrário do responsável pelo tratamento.

7.3. Duração do tratamento dos dados pessoais

O processamento pelo processador ocorre apenas durante o período especificado no Anexo I.

7.4. Segurança do tratamento
  1. O processador implementa pelo menos as medidas técnicas e organizacionais especificadas no Anexo II para garantir a segurança dos dados pessoais. Estas medidas incluem a proteção dos dados contra qualquer violação de segurança que resulte, acidental ou ilicitamente, na destruição, perda, alteração, divulgação não autorizada de dados pessoais ou acesso não autorizado a esses dados (violação de dados pessoais). Ao avaliar o nível adequado de segurança, as partes devem ter devidamente em conta o estado dos conhecimentos, os custos de implementação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos para as pessoas afetadas.
  2. O subcontratante concede aos membros do seu pessoal o acesso aos dados pessoais objeto de tratamento apenas na medida do estritamente necessário à execução, gestão e acompanhamento do contrato. O processador deve garantir que as pessoas autorizadas a tratar dados pessoais se comprometem a respeitar a confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade adequada.
7.5. Dados confidenciais

Se o tratamento disser respeito a dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas ou a filiação sindical, bem como dados genéticos ou dados biométricos para efeitos de identificação inequívoca de uma pessoa singular, dados relativos à saúde ou dados relativos ao sexo vida ou orientação sexual de uma pessoa singular, ou dados relativos a condenações penais e infrações ("dados sensíveis"), o subcontratante aplica limitações específicas e/ou garantias adicionais.

7.6 Documentação e conformidade
  1. As partes devem ser capazes de demonstrar o cumprimento destas cláusulas.
  2. O Processador deverá atender pronta e adequadamente as solicitações do Controlador em relação ao processamento de dados de acordo com estas cláusulas.
  3. O subcontratante disponibiliza ao responsável pelo tratamento todas as informações necessárias para demonstrar o cumprimento das obrigações previstas nestas cláusulas e decorrentes diretamente do Regulamento (UE) 2016/679. A pedido do responsável pelo tratamento, o subcontratante também permite a realização de auditorias às atividades de tratamento abrangidas por estas cláusulas e contribui para as mesmas, em intervalos razoáveis ​​ou na presença de indícios de incumprimento. Ao decidir sobre uma revisão ou auditoria, o responsável pelo tratamento pode ter em conta as certificações relevantes detidas pelo subcontratante.
  4. O responsável pelo tratamento dos dados pode decidir realizar ele próprio a auditoria ou nomear um auditor independente. As auditorias também podem incluir inspeções nas instalações ou instalações físicas do subcontratado e são, quando apropriado, realizadas com antecedência razoável.
  5. As Partes disponibilizarão à(s) autoridade(s) de supervisão competente(s), mediante solicitação, as informações previstas nesta cláusula, incluindo os resultados de qualquer auditoria.
7.7. Uso de subcontratados
  1. O subcontratante dispõe da autorização geral do responsável pelo tratamento para o recrutamento de subcontratantes com base numa lista acordada. O processador informa especificamente o controlador por escrito sobre qualquer proposta de modificação desta lista através da adição ou substituição de subprocessadores com pelo menos 30 (trinta) dias de antecedência, dando assim ao controlador tempo suficiente para poder se opor a essas alterações antes do recrutamento de o(s) subprocessador(es) em questão. O subcontratante fornece ao responsável pelo tratamento as informações necessárias para lhe permitir exercer o seu direito de oposição.
  2. Quando o processador contrata um subprocessador para realizar atividades de processamento específicas (em nome do responsável pelo tratamento), ele o faz por meio de um contrato que impõe ao subprocessador, em substância, as mesmas obrigações de proteção de dados que as impostas ao o subcontratado sob estas cláusulas. O subcontratante garante que o subcontratante cumpre as obrigações a que está sujeito ao abrigo destas cláusulas e do Regulamento (UE) 2016/679.
  3. A pedido do responsável pelo tratamento, o subcontratante fornecer-lhe-á uma cópia do presente contrato celebrado com o subcontratante e de quaisquer modificações posteriormente efetuadas no mesmo. Na medida necessária para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o processador poderá redigir o texto do contrato antes de divulgar uma cópia.
  4. O processador permanece totalmente responsável perante o controlador pelo cumprimento das obrigações do subprocessador de acordo com o contrato celebrado com o subprocessador. O subcontratante informará o responsável pelo tratamento de qualquer incumprimento por parte do subcontratante das suas obrigações contratuais.
  5. O subcontratante acorda com o subcontratante uma cláusula de terceiro beneficiário segundo a qual — no caso de o subcontratante ter desaparecido materialmente, deixado de existir legalmente ou se tornado insolvente — o responsável pelo tratamento tem o direito de rescindir o contrato celebrado com o subcontratante. subprocessador e instruir o subprocessador a apagar ou devolver os dados pessoais.
 7.8. Transferências internacionais
  1. Qualquer transferência de dados para um país terceiro ou uma organização internacional pelo subcontratante só é realizada com base em instruções documentadas do responsável pelo tratamento ou para satisfazer um requisito específico da legislação da União ou do Estado-Membro ao qual o subcontratante se dirige. assunto e é realizado de acordo com o Capítulo V do Regulamento (UE) 2016/679.
  2. O Controlador concorda que quando o Processador contratar um subprocessador de acordo com a cláusula 7.7 para realizar atividades de processamento específicas (em nome do Controlador) e essas atividades de processamento envolverem uma transferência de dados para caráter pessoal na acepção do Capítulo V do Regulamento (UE ) 2016/679, o processador e o subprocessador podem garantir a conformidade com o capítulo V do Regulamento (UE) 2016/679, utilizando as cláusulas contratuais-tipo adotadas pela Comissão com base no artigo 46.º, n.º 2, do Regulamento (UE) 2016/679, desde que atendidas as condições de utilização destas cláusulas contratuais padrão.

Cláusula 8

Assistência ao responsável pelo tratamento de dados
  1. O subcontratante deve informar sem demora o responsável pelo tratamento de qualquer pedido que tenha recebido do titular dos dados. Ele próprio não responde a este pedido, a menos que o responsável pelo tratamento o tenha autorizado a fazê-lo.
  2. O subcontratante deve ajudar o responsável pelo tratamento no cumprimento da sua obrigação de responder aos pedidos dos titulares dos dados para o exercício dos seus direitos, tendo em conta a natureza do tratamento. No cumprimento das obrigações previstas nas alíneas a) e b), o subcontratante deve cumprir as instruções do responsável pelo tratamento.
  3. Além da obrigação do Processador de auxiliar o Controlador nos termos da Cláusula 8(b), o Processador deverá auxiliar ainda o Controlador a garantir o cumprimento das seguintes obrigações, levando em consideração a natureza do processamento e as informações disponíveis ao processador:
  4. A obrigação de realizar uma avaliação do impacto das operações de tratamento previstas na proteção de dados pessoais (“avaliação de impacto na proteção de dados”) sempre que um tipo de tratamento seja suscetível de apresentar um risco elevado para os direitos e liberdades das pessoas singulares;
  5. A obrigação de consultar a(s) autoridade(s) de controlo competente(s) antes do tratamento, sempre que uma avaliação de impacto na proteção de dados indique que o tratamento representaria um risco elevado se o responsável pelo tratamento não tomasse medidas adequadas para mitigar o risco;
  6. A obrigação de garantir que os dados pessoais são exatos e atualizados, informando sem demora o responsável pelo tratamento caso o subcontratante tome conhecimento de que os dados pessoais que trata são inexatos ou se tornaram obsoletos;
  7. As obrigações previstas no artigo 32.º do Regulamento (UE) 2016/679. 
  8. As Partes definem no Anexo II as medidas técnicas e organizacionais adequadas pelas quais o Processador é obrigado a fornecer assistência ao Controlador na aplicação desta cláusula, bem como o escopo e extensão da assistência necessária.

Cláusula 9

Notificação de violações de dados pessoais

Em caso de violação de dados pessoais, o subcontratante cooperará e ajudará o responsável pelo tratamento no cumprimento das suas obrigações nos termos dos artigos 33.º e 34.º do Regulamento (UE) 2016/679, tendo em conta a natureza do tratamento e as informações disponíveis para o subcontratado.

9.1 Violação de dados em relação aos dados tratados pelo controlador

Em caso de violação de dados pessoais relacionados com os dados tratados pelo responsável pelo tratamento, o processador deverá ajudar o responsável pelo tratamento:

  1. para efeitos de notificação da violação de dados pessoais à(s) autoridade(s) de controlo competente(s), o mais rapidamente possível após o responsável pelo tratamento tomar conhecimento da mesma, quando aplicável (a menos que seja pouco provável que a violação de dados pessoais crie um risco para os direitos e liberdades de pessoas físicas); 
  2. para efeitos de obtenção das seguintes informações que, nos termos do artigo 33.º, n.º 3, do Regulamento (UE) 2016/679, devem constar da notificação do responsável pelo tratamento e incluir, pelo menos:
  3. a natureza dos dados pessoais, incluindo, sempre que possível, as categorias e o número aproximado de indivíduos afetados pela violação e as categorias e o número aproximado de registos de dados pessoais afetados; 
  4. as prováveis ​​consequências da violação de dados pessoais;  
  5. as medidas tomadas ou medidas que o responsável pelo tratamento se propõe tomar para remediar a violação de dados pessoais, incluindo, quando aplicável, medidas para mitigar possíveis consequências negativas. 

Quando e na medida em que não seja possível fornecer todas as informações ao mesmo tempo, a notificação inicial deverá conter as informações disponíveis nesse momento e, à medida que estiverem disponíveis, serão fornecidas informações adicionais o mais rapidamente possível;

  1. para efeitos de cumprimento, em conformidade com o artigo 34.º do Regulamento (UE) 2016/679, da obrigação de comunicar a violação de dados pessoais ao titular dos dados o mais rapidamente possível, sempre que o pessoal responsável pela violação de dados pessoais possa criar um risco elevado pelos direitos e liberdades das pessoas singulares.

9.2 Violação de dados em relação aos dados processados ​​pelo processador

Em caso de violação de dados pessoais relativos a dados tratados pelo subcontratante, este informa o responsável pelo tratamento o mais rapidamente possível após tomar conhecimento do facto. Esta notificação contém pelo menos:

  1. uma descrição da natureza da violação encontrada (incluindo, sempre que possível, as categorias e o número aproximado de indivíduos afetados pela violação e os registos de dados pessoais afetados);
  2. dados de contacto de um ponto de contacto onde possam ser obtidas mais informações sobre a violação de dados pessoais;
  3. suas prováveis ​​consequências e as medidas tomadas ou propostas para remediar a violação, inclusive para mitigar possíveis consequências negativas.

Quando e na medida em que não seja possível fornecer todas as informações ao mesmo tempo, a notificação inicial deverá conter as informações disponíveis nesse momento e, à medida que estiverem disponíveis, serão fornecidas informações adicionais o mais rapidamente possível.

As Partes definem no anexo III todos os outros elementos que o subcontratante deve comunicar ao prestar assistência ao responsável pelo tratamento para efeitos do cumprimento das obrigações deste último nos termos dos artigos 33.º e 34.º do Regulamento (UE) 2016/679.

SEÇÃO III – DISPOSIÇÕES FINAIS

Cláusula 10 

Descumprimento de cláusulas e rescisão
  1. Sem prejuízo do disposto no Regulamento (UE) 2016/679, em caso de incumprimento por parte do subcontratante das suas obrigações ao abrigo destas cláusulas, o responsável pelo tratamento pode instruir o subcontratante a suspender o tratamento dos dados de caráter pessoal até que este último tenha cumpridas estas cláusulas ou até que o contrato seja rescindido. O subcontratante informará imediatamente o responsável pelo tratamento caso não consiga cumprir estas cláusulas, por qualquer motivo.
  2. O responsável pelo tratamento tem o direito de rescindir o contrato no que diz respeito ao tratamento de dados pessoais de acordo com estas cláusulas se:
  3. o tratamento de dados pessoais pelo subcontratante tiver sido suspenso pelo responsável pelo tratamento nos termos da alínea a) e o cumprimento destas cláusulas não for restabelecido num prazo razoável e, em qualquer caso, no prazo de um mês a contar da suspensão;
  4. o subcontratante viola grave ou persistentemente estas cláusulas ou as suas obrigações nos termos do Regulamento (UE) 2016/679; 
  5. o processador não cumprir uma decisão vinculativa de um tribunal competente ou autoridade(s) de supervisão competente(s) relativamente às suas obrigações ao abrigo destas cláusulas ou do Regulamento (UE) 2016/679.
  6. O processador tem o direito de rescindir o contrato no que diz respeito ao tratamento de dados pessoais ao abrigo destas cláusulas quando, depois de ter informado o responsável pelo tratamento de que as suas instruções violam os requisitos legais aplicáveis ​​de acordo com a cláusula 7.1(b), o responsável pelo tratamento insiste que as suas instruções ser seguido.
  7. Após a rescisão do contrato, o processador exclui, à escolha do controlador, todos os dados pessoais processados ​​em nome do controlador e certifica ao controlador que realizou tal exclusão, ou devolve todos os dados pessoais ao controlador e destrói os existentes cópias, a menos que o direito da União ou nacional exija que sejam conservadas por um período mais longo. O processador continua a garantir o cumprimento destas cláusulas até que os dados sejam apagados ou devolvidos. 

ANEXO I

Descrição dos tratamentos

Categorias de dados pessoais tratados e titulares dos dados

O tipo de Dados Pessoais e as categorias de pessoas envolvidas são determinadas e controladas pelo Cliente, a seu exclusivo critério, através da utilização da Plataforma Magileads.

Para garantir a segurança da Plataforma, gestão de erros e registo de acessos, a Magileads será obrigada a tratar os seguintes dados pessoais em nome do Cliente: endereço IP e Agente Utilizador de ligações à Plataforma (incluindo acesso a aplicações alojadas na Plataforma). Plataforma pelo Cliente), os endereços dos recursos acessados ​​(URLs).

Natureza dos tratamentos

As operações de tratamento realizadas pela Magileads relativas a Dados Pessoais podem incluir o cálculo, classificação, organização de dados, armazenamento, segurança e/ou qualquer outro tratamento realizado pelo Cliente no âmbito da sua utilização da plataforma Magileads.

Duração dos tratamentos

O tratamento abrangido por este DPA é realizado durante a vigência do contrato, ou por qualquer período inferior sob o controle exclusivo do Cliente.

ANEXO II

Medidas técnicas e organizacionais, incluindo medidas técnicas e organizacionais para garantir a segurança dos dados

A Magileads implementa medidas organizacionais e técnicas para garantir a segurança e confidencialidade dos dados tratados por conta do Cliente. Essas medidas incluem o uso de:

  1. Medidas de criptografia de dados em trânsito e durante o armazenamento;
  2. Medidas de segurança física (incluindo verificação de identidade) e controlo lógico dos direitos de acesso aos servidores Magileads e às salas do data center que albergam os referidos servidores;
  3. Processos de autenticação reforçados para todos os acessos à Magileads e aos dados dos seus clientes;
  4. Isolamento físico e/ou lógico de dados pessoais e não pessoais de diferentes clientes Magileads;
  5. Procedimentos para aplicação sistemática de patches de segurança documentados pelo CERT-FR nos prazos mais curtos possíveis;
  6. Compromissos de confidencialidade exigidos a todos os colaboradores e prestadores de serviços que atuam em nome da Magileads;
  7. Registo das ações realizadas nos sistemas de informação Magileads.
  8.  

Doravante designado o responsável pelo tratamento dos dados.
François KOLLI DPO – dpo@magileads.eu
Empresa KA-Groupe – MAGILEADS
40 Rue de Plaisance, 75014 Paris

Número RC / Siret: número 848746632
Código APE: 7022Z

Experimentar gratuitamente