Proteção de dados
PRIMEIRO: Que para os efeitos do presente contrato entende-se por:
Personal data: means any information relating to an identified or identifiable natural person; an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.
Titular dos dados: é a pessoa singular identificada ou identificável.
“Tratamento”: uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;
“Responsável pelo Tratamento” ou “Responsável”: uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento. Neste caso o CLIENTE,
“Subcontratante”: uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do Responsável pelo Tratamento destes. Neste caso, a GIGAS.
Violação da segurança dos dados pessoais: uma violação de segurança que provoque, de modo acidental ou ilícito, a destruição, perda, a alteração, a divulgação ou acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
SEGUNDO.- Que para efeitos do presente contrato, o Responsável pelo Tratamento encarregou o Subcontratante da prestação dos seguintes serviços:
- Serviços de cloud hosting
- Qualquer outra atividade relacionada com o serviço contratado
TERCEIRO.- Que para a correta prestação dos serviços relacionados, o Responsável pelo Tratamento disponibilizará ao Subcontratante dados pessoais automatizados ou não automatizados que contêm dados pessoais.
QUARTO.- Que em cumprimento da legislação vigente em matéria de Proteção de Dados Pessoais, ambas as partes acordam de livre vontade regular o acesso e tratamento dos dados pessoais referidos, com base nas seguintes:
CLÁUSULAS
PRIMEIRA.- Objeto: o tratamento dos dados pessoais que o Responsável pelo Tratamento disponibiliza ao Subcontratante para que este possa prestar os serviços identificados no considerando.
SEGUNDA.- Duração: o prazo de vigência do presente contrato é estabelecido em virtude do acordo comercial formalizado entre ambas as partes.
TERCEIRA.- Finalidade do tratamento: o acesso por parte do Subcontratante aos dados pessoais que se encontram nos sistemas de tratamento do Responsável pelo Tratamento, será única e exclusivamente para dar cumprimento às finalidades indicadas no considerando SEGUNDO.
QUARTA.- O Subcontratante poderá aceder à categoria de titular dos dados e de dados estabelecida na última Cláusula do presente Anexo sempre que o Responsável pelo Tratamento o autorize e facilite esse acesso como utilizador temporário com chave de acesso que julgue adequadas.
QUINTA.- Obrigações e direitos do Responsável pelo Tratamento: De acordo com o estabelecido na legislação vigente em matéria de Proteção de Dados Pessoais, o Responsável pelo Tratamento deverá:
- Aplicar as medidas técnicas e organizacionais adequadas para garantir e poder demonstrar que o tratamento cumpre a legislação em vigor.
- Adotar as políticas de proteção de dados.
- Garantir que o Responsável pela Proteção dos Dados ou, na sua ausência, o Responsável pela Privacidade participa de forma adequada e em tempo oportuno em todas as questões relativas à proteção dos dados pessoais.
- Aderir ao Código de Conduta que possa vir a ser aprovado por parte do organismo correspondente (muito recomendável)
- Manter um registo de atividades do tratamento no caso de tratar dados pessoais que impliquem um risco para os direitos e liberdades do titular de dados e/ou de maneira não ocasional, ou que impliquem o tratamento de categorias especiais de dados e/ou dados relativos a condenações e infrações.
- Disponibilizar aos titulares de dados os aspetos essenciais do presente acordo.
- Observar indistintamente o exercício de direitos estabelecidos na legislação vigente em matéria Proteção de Dados Pessoais em cumprimento do disposto na cláusula OITAVA ainda que o referido exercício se dirija ao Subcontratante.
SEXTA.- Obrigações e direitos do Subcontratante: De acordo com o disposto na legislação vigente em matéria de Proteção de Dados Pessoais, o Subcontratante deverá:
- Tratar os dados pessoais seguindo unicamente as instruções documentadas do responsável, incluindo aquelas relativas às transferências de dados pessoais para países terceiros ou organizações internacionais, salvo se a isso estiver obrigado em virtude da Lei vigente que se aplique ao subcontratante; nesse caso, o subcontratante informará o responsável dessa exigência legal antes do tratamento, exceto se a Lei o proibir por razões de interesse público
- Garantir que as pessoas autorizadas a tratar dados pessoais se comprometam a respeitar a confidencialidade e ou estejam sujeitas a uma obrigação de confidencialidade de natureza estatutária
- Tomar todas as medidas de segurança técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco do tratamento em função da natureza, alcance, contexto e finalidades do tratamento que permitam:
- Assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento.
- Restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico.
- Testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do tratamento.
- Respeitar as condições para recorrer a outro Subcontratante, de acordo com o disposto na legislação vigente em matéria de Proteção de Dados Pessoais.
- Prestar assistência ao responsável, tendo em conta a natureza do tratamento, através de medidas técnicas e organizacionais adequadas, sempre que possível, para que esta possa cumprir a sua obrigação de responder aos pedidos que tenham por objeto o exercício dos direitos dos titulares de dados
- Ajudar o responsável a garantir o cumprimento das suas obrigações, tendo em conta a natureza do tratamento e a informação à sua disposição
- Apagar todos os dados pessoais alojados nos servidores uma vez finalizada a prestação dos serviços de tratamento, e apagar as cópias existentes, a não ser que a Lei vigente na matéria exija a conservação dos dados pessoais
- Disponibilizar ao responsável todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas no presente artigo, bem como facilitar e contribuir para a realização de auditorias, incluindo inspeções, conduzidas pelo responsável ou por outro auditor mandatado pelo referido responsável
- Tratar os dados pessoais facultados ao Subcontratante de forma a garantir que o pessoal a seu cargo segue as instruções do Responsável pelo Tratamento.
- Garantir que o Responsável pela Proteção dos Dados ou, na sua ausência, o Responsável pela Privacidade participa de forma adequada e em tempo oportuno em todas as questões relativas à proteção dos dados pessoais.
- Aderir ao Código de Conduta que possa vir a ser aprovado por parte do organismo ou organização internacional ou nacional que zela pela matéria
- Manter um registo de atividades do tratamento no caso de tratar dados pessoais que impliquem um risco para os direitos e liberdades do titular de dados e/ou de maneira não ocasional, ou que impliquem o tratamento de categorias especiais de dados e/ou dados relativos a condenações e infrações.
- Observar indistintamente o exercício de direitos estabelecido na legislação vigente em matéria Proteção de Dados Pessoais em cumprimento do disposto na cláusula SÉTIMA ainda que o referido exercício se dirija ao Responsável pelo Tratamento
SÉTIMA.- Exercício de direitos por parte do titular de dados: caso o titular de dados efetue um pedido ou exerça um dos direitos estabelecidos na legislação vigente em matéria de Proteção de Dados Pessoais, o Subcontratante deverá facultar-lhe a informação sobre as ações pedidas e realizadas, sem demoras e, o mais tardar, no prazo de um mês a contar da receção do pedido, prazo este que poderá ser prorrogado no máximo por mais dois meses, se necessário, tendo em conta a complexidade do pedido e o número de pedidos e sempre que seja possível identificar o próprio titular de dados.
Em todo o caso, a informação alojada pelo Responsável pelo Tratamento nos servidores cloud do Subcontratante só é acessível pelo Responsável e nunca pelo Subcontratante. O Responsável gere os seus servidores e políticas de acesso e o Subcontratante não tem permissão para aceder aos mesmos, salvo se o Responsável pelo Tratamento lha conceder, criando um perfil de utilizador temporário e concedendo-lhe acesso com as respetivas regras de firewall. Uma vez finalizada a intervenção solicitada, o Responsável pelo Tratamento é responsável pela eliminação desse utilizador ou pela criação das novas credenciais de acesso.
Quanto à informação alojada nos servidores do Subcontratante, este não pode, em caso algum, cifrar, proceder à pseudonimização ou de qualquer forma impedir ou limitar o acesso do Responsável pelo Tratamento à sua informação, tal como este a pretenda alojar nos servidores do Subcontratante.
A resposta ao pedido de exercício de direitos deve realizar-se no mesmo formato utilizado pelo titular de dados, a não ser seja solicitado que se proceda de outra forma.
OITAVA.- Transferência Internacional de Dados: As transferências internacionais de dados só poderão realizar-se se cumprirem os requisitos previstos pela Agência de Proteção de Dados, ou qualquer outra legislação nacional ou comunitária que as regulem.
Deste modo, a notificação não é necessária quando seja improvável que essa violação de segurança constitua um risco para os direitos e liberdades das pessoas singulares.
NONA.- Violação da segurança dos dados pessoais: O Subcontratante notificará o Responsável pelo Tratamento, sem atrasos indevidos, e em qualquer caso no prazo máximo de 72h, e através do endereço de correio eletrónico que consta do sistema da ONI como endereço para notificação das violações de segurança dos dados pessoais a seu cargo de que tome conhecimento, juntamente com todas informações relevantes para a documentação e comunicação do incidente.
DÉCIMA.- Rescisão, resolução e extinção: a rescisão, resolução ou extinção da relação contratual de prestação de serviços entre o Responsável pelo Tratamento e o Subcontratante, obriga este último a conservar os dados pessoais disponibilizados pelo primeiro sempre que exista obrigação legal de conservação.
Decorrido o prazo estabelecido de cobertura das responsabilidades legais, os dados pessoais devem ser apagados, assim como qualquer suporte ou documento que contenha dados pessoais.
CLÁUSULA FINAL: - TIPOLOGIA DE DADOS E CATEGORIA DE TITULARES DE DADOS
Em virtude do estabelecido na legislação vigente em matéria de Proteção de Dados Pessoais e para efeitos da prestação dos serviços expressos no presente contrato, o Subcontratante tratará da tipologia e categoria de dados do Responsável pelo Tratamento que a seguir se detalham:
Tipologia de dados: Dados de caráter identificativo, dados de características pessoais, dados relativos à relação laboral e dados económico-financeiros.
Categoria de titulares de dados: Clientes, colaboradores, fornecedores e outros.
Cloud
Cíber segurança
Comunicações e Móvel
Conectividade
Colocation
Kit Digital
Sobre Gigas
Blog
Partners
Suporte
Suporte 
Login