Acordo de Processamento de Dados da CiviCRM Spark

CONSIDERANDO QUE

• (A) A Empresa atua como um Data Processor (doravante “Processador”).
• (B) O Cliente atua como Data Controller (doravante “Controlador”).
• (C) As Partes desejam subcontratar determinados Serviços, o que implica o tratamento de dados pessoais.
• (D) As Partes desejam firmar um acordo de tratamento de dados que cumpra os requisitos do atual quadro legal no que respeita ao tratamento de dados e ao Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/CE (Regulamento Geral de Proteção de Dados).
• (E) As Partes desejam estabelecer os seus direitos e obrigações.

FICA ACORDADO O SEGUINTE:

• 1. Definições e Interpretação
• 1.1 Salvo definição em contrário neste documento, os termos e expressões em maiúsculas utilizados no presente Acordo terão o seguinte significado:
• 1.1.1 “Acordo” significa o presente Acordo de Processamento de Dados e todas as Adendas e Anexos;
• 1.1.2 “Dados Pessoais da Empresa” significa quaisquer Dados Pessoais tratados por um Processador Contratado em nome da Empresa, nos termos ou em conexão com o Contrato Principal;
• 1.1.3 “Processador Contratado” significa um Subprocessador;
• 1.1.4 “Leis de Proteção de Dados” significa as leis de proteção de dados da UE e, na medida aplicável, as leis de proteção de dados ou de privacidade de qualquer outro país;
• 1.1.5 “EEE” significa o Espaço Económico Europeu;
• 1.1.6 “Leis de Proteção de Dados da UE” significa a Diretiva 95/46/CE da UE, tal como transposta para a legislação nacional de cada Estado-Membro e conforme alterada, substituída ou revogada ocasionalmente, incluindo pelo RGPD e leis que implementam ou complementam este último;
• 1.1.7 “RGPD” significa o Regulamento Geral sobre a Proteção de Dados da União Europeia (Regulamento Nº 2016/679);
• 1.1.8 “Transferência de Dados” significa:
• 1.1.8.1 Uma transferência de dados pessoais da Empresa para um Processador Contratado; ou
• 1.1.8.2 Uma transferência posterior de dados pessoais da empresa de um Processador Contratado para um Processador Subcontratado, ou entre dois estabelecimentos de um Processador Contratado, em cada caso, quando tal transferência for proibida pelas Leis de Proteção de Dados (ou pelos termos dos acordos de transferência de dados implementados para abordar as restrições de transferência de dados ao abrigo das Leis de Proteção de Dados);
• 1.1.9 “Serviços” ou “Serviço Contratados” significa os serviços CiviCRM Spark prestados pela Empresa.
• 1.1.10 “Subprocessador” significa qualquer pessoa nomeada pelo Processador ou a atuar por ele no tratamento de Dados Pessoais em nome da Empresa no âmbito do Acordo.
• 1.2 Os termos “Comissão”, “Controlador” (“Controller”), “Titular dos Dados”, “Estado Membro”, “Dados Pessoais”, “Violação de Dados Pessoais”, “Tratamento” (ou “Processamento”) e “Autoridade Supervisora” terão o mesmo significado que no RGPD, e os termos cognatos devem ser interpretados em conformidade.

• 2. Responsabilidades relativas ao Tratamento de Dados Pessoais da Empresa
• 2.1 As partes deverão:
• 2.1.1 Cumprir todas as Leis de Proteção de Dados aplicáveis no Tratamento de Dados Pessoais.
• 2.1.2 A Empresa dá instruções ao Processador para tratar os Dados Pessoais de acordo com a finalidade do software.
• 2.2. Considerando que todos os Dados Pessoais armazenados pelo Processador de Dados são fornecidos pelo Cliente:
• 2.2.1 No âmbito do Acordo e da sua utilização dos serviços, o Cliente será responsável pelo cumprimento de todos os requisitos que lhe são aplicáveis ao abrigo das Leis de Proteção de Dados no que diz respeito ao Tratamento dos seus de Dados Pessoais e às Instruções que transmite à Empresa.
• 2.2.2 Em particular, mas sem prejuízo da generalidade do precedente, o Cliente reconhece e concorda ser o único responsável: (i) pela exatidão, qualidade e legalidade dos Dados do Cliente e dos meios pelos quais os Dados Pessoais são adquiridos; (ii) pelo cumprimento de todos os requisitos de transparência e licitude necessários nos termos das Leis de Proteção de Dados aplicáveis à recolha e utilização dos Dados Pessoais, incluindo a obtenção de quaisquer consentimentos e autorizações necessárias (particularmente para uso do Cliente para fins de marketing); (iii) pela garantia de ter o direito de transferir ou facultar o acesso aos Dados Pessoais à Empresa para tratamento de acordo com os termos do Acordo (incluindo este APD); (iv) pela garantia de que as instruções fornecidas à Empresa relativamente ao Tratamento de Dados Pessoais cumprem a legislação vigente, incluindo as Leis de Proteção de Dados; e (v) pelo cumprimento de todas as leis (incluindo as Leis de Proteção de Dados) aplicáveis a quaisquer e-mails ou outros conteúdos criados, enviados ou geridos através dos Serviços Contratados, incluindo aquelas relativas à obtenção de consentimentos (quando necessário) para o envio de e-mails, do conteúdo dos e-mails e das suas práticas de distribuição de e-mails. Caso não consiga cumprir com as suas responsabilidades, o Cliente deverá informar imediatamente a Empresa sem qualquer atraso indevido.

• 3. Pessoal do Tratamento de Dados
• 3.1 O Processador (responsável pelo tratamento/processamento de dados) deverá tomar medidas adequadas para assegurar a fiabilidade de qualquer funcionário, agente ou terceiro vindo de qualquer Processador Contratado que possa ter acesso aos Dados Pessoais da Empresa, assegurando sempre que tal acesso seja estritamente limitado às pessoas que necessitam de saber/aceder aos Dados Pessoais relevantes da Empresa, conforme estritamente necessário para os fins do Contrato Principal e para cumprir as Leis Vigentes no contexto dos deveres desse indivíduo para com o Processador Contratado, assegurando que todos esses indivíduos ficam sujeitos a compromissos de confidencialidade ou obrigações profissionais ou legais de confidencialidade.

• 4. Segurança
• 4.1 Tendo em conta as melhores práticas, os custos de implementação e a natureza, âmbito, contexto e finalidades do Tratamento dos Dados, bem como o risco de variação de probabilidade e rigor quanto aos direitos e liberdades individuais das pessoas singulares, o Processador deve, em relação à Empresa, implementar as respetivas medidas técnicas e organizacionais que garantam um nível de segurança adequado ao risco, incluindo, se for caso, as medidas referidas no n.º 1 do artigo 32.
• 4.2 Ao avaliar a adequação do nível de segurança, o Processador levará em conta principalmente os riscos inerentes ao Tratamento de Dados, em particular, os riscos de Violação de Dados Pessoais.

• 5. Subprocessamento
• 5.1 Consentimento para Contratação de Subprocessador. Embora a Empresa limite tanto quanto possível a recorrência ao serviço de terceiros, o Cliente autoriza especificamente a contratação de Subprocessadores para executar Tratamento de Dados Pessoais em seu nome. Os Subprocessadores estão normalmente limitados ao processamento de pagamentos, ao envio de emails ou outras características diretamente relevantes para o próprio CiviCRM. A Empresa tem atualmente ao seu serviço, na qualidade de Subprocessadores, as entidades listadas no Anexo 1 do presente APD. A Empresa notificará o Cliente com uma antecedência mínima de 30 dias quando algum Subprocessador for adicionado ou substituído, caso o cliente solicite ser informado via e-mails antes de tais alterações. Clique aqui para solicitar ser informado.
• 5.2 Quando a Empresa contratar Subprocessadores, os termos de proteção de dados dos Subprocessadores fornecerão, no mínimo, o mesmo nível de proteção de Dados Pessoais que os do presente APD (incluindo, quando apropriado, as Cláusulas Contratuais Padrão), na medida aplicável à natureza dos serviços prestados por tais Subprocessadores. A Empresa permanece responsável pela conformidade dos Subprocessadores.
• 5.3 O Cliente será responsável por qualquer outro Subprocessador com o qual ele se envolva pessoalmente.

• 6. Solicitações do Titular dos Dados
• 6.1 O Serviço Contratado fornece-lhe uma série de controlos que pode utilizar para recuperar, corrigir, apagar ou restringir Dados Pessoais que o Cliente pode utilizar para interagir relativamente às suas obrigações no âmbito das Leis de Proteção de Dados, incluindo obrigações relacionadas com o atendimento às solicitações dos Titulares dos Dados quando exercerem os seus direitos ao abrigo das Leis de Proteção de Dados aplicáveis (“Solicitações dos Titulares de Dados”).
• 6.2 Caso o Cliente não consiga tratar de forma independente uma Solicitação do Titular de Dados através do Serviço Contratado, então, mediante o seu pedido por escrito, a Empresa prestará a assistência adequada para ajudar o Cliente a satisfazer quaisquer Solicitações do Titular dos Dados ou solicitações das autoridades de proteção de dados relacionadas com o Tratamento de Dados Pessoais nos termos do Acordo. O Cliente deverá reembolsar a Empresa pelos custos comercialmente razoáveis decorrentes de tal assistência.
• 6.3 Se uma Solicitação do Titular dos Dados ou outra comunicação relativa ao Tratamento de Dados Pessoais nos termos do Acordo for feita diretamente à Empresa, esta informará imediatamente o Cliente e aconselhará o Titular dos Dados a apresentar o seu pedido ao Cliente. Este último será o único responsável por responder de forma material a quaisquer pedidos ou comunicações que envolvam Dados Pessoais.

• 7. Violação de Dados Pessoais
• 7.1 Todas as partes deverão, sem demora injustificada, notificar a outra parte se o Processador tomar conhecimento de alguma Violação de Dados Pessoais que afete os Dados Pessoais, fornecendo à outra parte informações suficientes que possibilitem que as partes cumpram todas e quaisquer obrigações de comunicar ou informar os Titulares dos Dados sobre a Violação de Dados Pessoais no âmbito das Leis de Proteção de Dados.
• 7.2 Todas as partes devem cooperar e tomar medidas comercialmente viáveis para ajudar na investigação, mitigação e reparação de qualquer violação de Dados Pessoais.

• 8. Avaliação do Impacto na Proteção de Dados e Consulta Prévia às Autoridades Supervisoras.
• 8.1. A Empresa prestará adequada assistência ao Cliente no tocante a avaliações do impacto de violações na proteção de dados e a consultas prévias às Autoridades Supervisoras, ou outras autoridades competentes em matéria de privacidade de dados, que o Cliente sensatamente considere serem requeridas pelos artigos 35 ou 36 do RGPD ou disposições equivalentes de qualquer outra Lei de Proteção de Dados, em cada caso apenas em relação ao Tratamento de Dados Pessoais pelos Processadores Contratados e tendo em conta a natureza do Tratamento e informação disponibilizada a estes últimos.

• 9. Eliminação ou Devolução de Dados Pessoais

• 9.1 A Empresa eliminará ou devolverá todos os Dados do Cliente, incluindo Dados Pessoais (com as respetivas cópias dos mesmos) tratados nos termos do presente APD, no momento do término ou expiração do seu Serviço Contratado, de acordo com os nossos Termos Específicos do Produto. Este termo aplicar-se-á, exceto nos casos em que a lei em vigor nos obrigue a reter alguns ou todos os Dados do Cliente, ou nos casos em que tenhamos arquivado os Dados do Cliente em sistemas de backup cujos dados isolaremos e protegeremos de qualquer outro tratamento e eliminaremos de acordo com as nossas práticas de eliminação. O cliente pode solicitar a eliminação do seu CiviCRM Spark hosting após a expiração ou cessação da sua subscrição, enviando o pedido para spark@civicrm.org. Você poderá recuperar os Dados do seu Cliente a partir do seu serviço CiviCRM Spark fazendo o download de uma cópia de segurança a partir da interface administrativa do CiviCRM.

• 10. Demonstração de Conformidade, Direitos de Auditoria

• 10.1 Mediante pedido, a Empresa disponibilizará ao Cliente toda a informação necessária para demonstrar o cumprimento do presente Acordo, e não só permitirá, como facilitará as auditorias eventualmente feitas por um auditor mandatado pelo Cliente para verificar o Tratamento dos Dados Pessoais feito pelos Processadores Contratados.
• 10.2 Mediante pedido escrito do Cliente, a Empresa fornecerá resposta escrita (de forma confidencial) a todas os pedidos de informação legitimamente sensatos feitos por si e necessários para confirmar a conformidade com o presente APD, desde que o Cliente não exerça esse direito mais do que uma vez por ano, a menos que o Cliente tenha motivos legítimos para suspeitar de não-conformidade com o APD.

• 11. Transferência de Dados
• 11.1 A Empresa não pode transferir nem autorizar a transferência de Dados para países fora da UE e/ou do Espaço Económico Europeu (EEE) sem o prévio consentimento escrito do Cliente. Se os dados pessoais tratados ao abrigo do presente Acordo forem transferidos de um país dentro do Espaço Económico Europeu para um país fora do Espaço Económico Europeu, as Partes devem assegurar que os dados pessoais são adequadamente protegidos. Para tal, as Partes deverão, salvo acordo em contrário, confiar nas cláusulas contratuais padrão aprovadas pela UE para a transferência de dados pessoais.

• 12. Condições Gerais
• 12.1 Confidencialidade. Cada Parte deve manter confidencial o presente Acordo e as informações recebidas sobre a outra Parte e os seus negócios no âmbito do presente Acordo (“Dados Confidenciais”) e não deve utilizar ou divulgar esses Dados Confidenciais sem o prévio consentimento escrito da outra Parte, exceto em caso de: (a) a divulgação ser exigida por lei; (b) a informação relevante já seja do domínio público.
• 12.2 Notificações. Todas as notificações e comunicações efetuadas ao abrigo do presente Acordo devem ser feitas por escrito e serão entregues pessoalmente, enviadas por e-mail para o endereço eletrónico indicado no cabeçalho do presente Acordo ou entregues em qualquer outro endereço notificado ocasionalmente pelas Partes que mudem de endereço.

• 13. Lei Aplicável e Jurisdição
• 13.1 Estas cláusulas serão regidas pela lei de um dos Estados Membros da UE, desde que tal lei permita direitos de terceiros beneficiários. As Partes acordam que estas cláusulas serão regidas em conformidade com a secção “Entidade Contratante; Lei Aplicável; Aviso” dos Termos Específicos de Jurisdição ou, se tal secção não especificar um Estado Membro da UE, pela lei da República da Irlanda (sem referência a princípios de conflitos legais).
• 13.2 Qualquer litígio resultante das cláusulas acima será resolvido pelos tribunais de um Estado Membro da UE.

Anexo 1 – Lista dos Subprocessadores