EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32021D0915
Commission Implementing Decision (EU) 2021/915 of 4 June 2021 on standard contractual clauses between controllers and processors under Article 28(7) of Regulation (EU) 2016/679 of the European Parliament and of the Council and Article 29(7) of Regulation (EU) 2018/1725 of the European Parliament and of the Council (Text with EEA relevance)
Decisão de Execução (UE) 2021/915 da Comissão de 4 de junho de 2021 relativa às cláusulas contratuais-tipo entre os responsáveis pelo tratamento de dados pessoais e os subcontratantes nos termos do artigo 28.o, n.o 7, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho e do artigo 29.o, n.o 7, do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (Texto relevante para efeitos do EEE)
Decisão de Execução (UE) 2021/915 da Comissão de 4 de junho de 2021 relativa às cláusulas contratuais-tipo entre os responsáveis pelo tratamento de dados pessoais e os subcontratantes nos termos do artigo 28.o, n.o 7, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho e do artigo 29.o, n.o 7, do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (Texto relevante para efeitos do EEE)
C/2021/3701
JO L 199 de 7.6.2021, p. 18–30
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
7.6.2021 |
PT |
Jornal Oficial da União Europeia |
L 199/18 |
DECISÃO DE EXECUÇÃO (UE) 2021/915 DA COMISSÃO
de 4 de junho de 2021
relativa às cláusulas contratuais-tipo entre os responsáveis pelo tratamento de dados pessoais e os subcontratantes nos termos do artigo 28.o, n.o 7, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho e do artigo 29.o, n.o 7, do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho
(Texto relevante para efeitos do EEE)
A COMISSÃO EUROPEIA,
Tendo em conta o Tratado sobre o Funcionamento da União Europeia,
Tendo em conta o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (RGPD) (1), nomeadamente o artigo 28.o, n.o 7,
Tendo em conta o Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (RPDUE) (2), nomeadamente o artigo 29.o, n.o 7,
Considerando o seguinte:
(1) |
Os conceitos de responsável pelo tratamento e subcontratante desempenham um papel crucial na aplicação do Regulamento (UE) 2016/679 e do Regulamento (UE) 2018/1725. O responsável pelo tratamento é a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais. Para efeitos do Regulamento (UE) 2018/1725, o responsável pelo tratamento é a instituição ou o órgão da União, ou a direção-geral ou qualquer outra entidade organizativa que, individualmente ou em conjunto com outras entidades, determina as finalidades e os meios de tratamento dos dados pessoais. Caso as finalidades e os meios desse tratamento sejam determinados por um ato específico da União, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pela União. Um subcontratante é uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes. |
(2) |
O mesmo conjunto de cláusulas contratuais-tipo deve aplicar-se no que diz respeito à relação entre responsáveis pelo tratamento de dados e subcontratantes sujeitos ao Regulamento (UE) 2016/679, e também quando estão sujeitos ao Regulamento (UE) 2018/1725. Isto porque, a fim de se dispor de uma abordagem coerente da proteção de dados pessoais em toda a União e da livre circulação de dados pessoais na União, as regras de proteção de dados constantes do Regulamento (UE) 2016/679 aplicáveis ao setor público nos Estados-Membros e as regras de proteção de dados constantes do Regulamento (UE) 2018/1725 aplicáveis às instituições e aos órgãos e organismos da União foram, na medida do possível, alinhadas entre si. |
(3) |
Para assegurar o cumprimento dos Regulamentos (UE) 2016/679 e (UE) 2018/1725, o responsável pelo tratamento, quando confiar atividades de tratamento a um subcontratante, deverá recorrer exclusivamente a subcontratantes que ofereçam garantias suficientes, especialmente em termos de conhecimentos especializados, fiabilidade e recursos, quanto à execução de medidas técnicas e organizativas que cumpram os requisitos do Regulamento (UE) 2016/679 e do Regulamento (UE) 2018/1725, incluindo no que se refere à segurança do tratamento. |
(4) |
O tratamento por um subcontratante deve ser regulado por um contrato ou por outro ato normativo ao abrigo do direito da União ou dos Estados-Membros que vincule o subcontratante ao responsável pelo tratamento e que estabeleça os elementos enumerados no artigo 28.o, n.os 3 e 4, do Regulamento (UE) 2016/679 ou no artigo 29.o, n.os 3 e 4, do Regulamento (UE) 2018/1725. Esse contrato ou ato deve ser feito por escrito, incluindo em formato eletrónico. |
(5) |
Nos termos do artigo 28.o, n.o 6, do Regulamento (UE) 2016/679 e do artigo 29.o, n.o 6, do Regulamento (UE) 2018/1725, o responsável pelo tratamento e o subcontratante podem optar por negociar um contrato individual que contenha os elementos obrigatórios estabelecidos no artigo 28.o, n.os 3 e 4, do Regulamento (UE) 2016/679 ou no artigo 29.o, n.os 3 e 4, do Regulamento (UE) 2018/1725, respetivamente, ou utilizar, total ou parcialmente, cláusulas contratuais-tipo adotadas pela Comissão nos termos do artigo 28.o, n.o 7, do Regulamento (UE) 2016/679 e do artigo 29.o, n.o 7, do Regulamento (UE) 2018/1725. |
(6) |
O responsável pelo tratamento e o subcontratante devem ter a liberdade de incluir as cláusulas contratuais-tipo constantes da presente decisão num contrato mais abrangente e de acrescentar outras cláusulas ou garantias adicionais, desde que não colidam, direta ou indiretamente, com as cláusulas contratuais-tipo, e sem prejuízo dos direitos ou das liberdades fundamentais dos titulares dos dados. A utilização das cláusulas contratuais-tipo em nada prejudica quaisquer obrigações contratuais do responsável pelo tratamento e/ou do subcontratante destinadas a assegurar o respeito pelos privilégios e imunidades aplicáveis. |
(7) |
As cláusulas contratuais-tipo devem incluir regras materiais e processuais. Em consonância com o artigo 28.o, n.o 3, do Regulamento (UE) 2016/679 e com o artigo 29.o, n.o 3, do Regulamento (UE) 2018/1725, as cláusulas contratuais-tipo devem exigir igualmente que o responsável pelo tratamento e o subcontratante estabeleçam o objeto e a duração do tratamento, a sua natureza e a sua finalidade, o tipo de dados pessoais, as categorias dos titulares dos dados e as obrigações e os direitos do responsável pelo tratamento. |
(8) |
Nos termos do artigo 28.o, n.o 3, do Regulamento (UE) 2016/679 e do artigo 29.o, n.o 3, do Regulamento (UE) 2018/1725, o subcontratante tem de informar imediatamente o responsável pelo tratamento se, no seu entender, alguma instrução do responsável pelo tratamento violar o Regulamento (UE) 2016/679 ou o Regulamento (UE) 2018/1725, ou outras disposições do direito da União ou do direito dos Estados-Membros em matéria de proteção de dados. |
(9) |
Se um subcontratante recorrer a outro subcontratante para realizar operações específicas de tratamento, deverão aplicar-se os requisitos específicos referidos no artigo 28.o, n.os 2 e 4, do Regulamento (UE) 2016/679 ou no artigo 29.o, n.os 2 e 4, do Regulamento (UE) 2018/1725. Em particular, é necessária uma autorização escrita prévia, específica ou geral. Quer a autorização prévia concedida seja específica ou geral, o primeiro subcontratante deve manter atualizada uma lista de outros subcontratantes. |
(10) |
Para cumprir os requisitos do artigo 46.o, n.o 1, do Regulamento (UE) 2016/679, a Comissão adotou cláusulas contratuais-tipo nos termos do artigo 46.o, n.o 2, alínea c), do Regulamento (UE) 2016/679. Essas cláusulas cumprem igualmente os requisitos do artigo 28.o, n.os 3 e 4, do Regulamento (UE) 2016/679 aplicáveis às transferências de dados de responsáveis pelo tratamento sujeitos ao Regulamento (UE) 2016/679 para subcontratantes fora do âmbito de aplicação territorial desse regulamento ou de subcontratantes sujeitos ao Regulamento (UE) 2016/679 para subcontratantes ulteriores fora do âmbito de aplicação territorial desse regulamento. Estas cláusulas contratuais-tipo não podem ser utilizadas como cláusulas contratuais-tipo para efeitos do capítulo V do Regulamento (UE) 2016/679. |
(11) |
Terceiros devem poder tornar-se parte nas cláusulas contratuais-tipo ao longo da vigência do contrato. |
(12) |
O funcionamento das cláusulas contratuais-tipo deve ser avaliado enquanto subparte da avaliação periódica do Regulamento (UE) 2016/679 referida no artigo 97.o desse regulamento. |
(13) |
A Autoridade Europeia para a Proteção de Dados e o Comité Europeu para a Proteção de Dados foram consultados nos termos do artigo 42.o, n.os 1 e 2, do Regulamento (UE) 2018/1725 e emitiram um parecer comum em 14 de janeiro de 2021 (3), que foi tido em consideração na preparação da presente decisão. |
(14) |
As medidas previstas na presente decisão são conformes ao parecer do Comité instituído pelo artigo 93.o do Regulamento (UE) 2016/679 e pelo artigo 96.o, n.o 2, do Regulamento (UE) 2018/1725, |
ADOTOU A PRESENTE DECISÃO:
Artigo 1.o
As cláusulas contratuais-tipo constantes do anexo cumprem os requisitos aplicáveis aos contratos celebrados entre responsáveis pelo tratamento e subcontratantes referidos no artigo 28.o, n.os 3 e 4, do Regulamento (UE) 2016/679 e no artigo 29.o, n.os 3 e 4, do Regulamento (UE) 2018/1725.
Artigo 2.o
As cláusulas contratuais-tipo constantes do anexo podem ser utilizadas em contratos celebrados entre um responsável pelo tratamento e um subcontratante que trate dados pessoais por conta do responsável pelo tratamento.
Artigo 3.o
A Comissão deve avaliar a aplicação prática das cláusulas contratuais-tipo constantes do anexo com base em todas as informações disponíveis, no âmbito da avaliação periódica prevista no artigo 97.o do Regulamento (UE) 2016/679.
Artigo 4.o
A presente decisão entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
Feito em Bruxelas, em 4 de junho de 2021.
Pela Comissão
A Presidente
Ursula VON DER LEYEN
(1) JO L 119 de 4.5.2016, p. 1.
(2) JO L 295 de 21.11.2018, p. 39.
(3) «EDPB — EDPS Joint Opinion 1/2021 on the European Commission’s Implementing Decision on standard contractual clauses between controllers and processors for the matters referred to in Article 28 (7) of Regulation (EU) 2016/679 and Article 29 (7) of Regulation (EU) 2018/1725» [Parecer conjunto 1/2021 do CEPD e da AEPD sobre a Decisão de Execução da Comissão Europeia relativa às cláusulas contratuais-tipo entre os responsáveis pelo tratamento de dados pessoais e os subcontratantes para as matérias referidas no artigo 28.o, n.o 7, do Regulamento (UE) 2016/679 e no artigo 29.o, n.o 7, do Regulamento (UE) 2018/1725].
ANEXO
Cláusulas contratuais-tipo
SECÇÃO I
Cláusula 1
Finalidade e âmbito de aplicação
a) |
As presentes cláusulas contratuais-tipo (cláusulas) visam assegurar a conformidade com [escolher a opção relevante: OPÇÃO 1: o artigo 28.o, n.os 3 e 4, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados)]/[OPÇÃO 2: o artigo 29.o, n.os 3 e 4, do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE]. |
b) |
Os responsáveis pelo tratamento e os subcontratantes enumerados no anexo I acordaram nas presentes cláusulas a fim de assegurar o cumprimento do disposto no artigo 28.o, n.os 3 e 4, do Regulamento (UE) 2016/679 e/ou no artigo 29.o, n.os 3 e 4, do Regulamento (UE) 2018/1725. |
c) |
As presentes cláusulas são aplicáveis ao tratamento de dados pessoais, conforme especificado no anexo II. |
d) |
Os anexos I a IV são parte integrante das cláusulas. |
e) |
As presentes cláusulas não prejudicam as obrigações a que o responsável pelo tratamento está sujeito por força do Regulamento (UE) 2016/679 e/ou do Regulamento (UE) 2018/1725. |
f) |
As presentes cláusulas não garantem, por si só, o cumprimento das obrigações relacionadas com as transferências internacionais em conformidade com o capítulo V do Regulamento (UE) 2016/679 e/ou do Regulamento (UE) 2018/1725. |
Cláusula 2
Invariabilidade das cláusulas
a) |
As Partes comprometem-se a não alterar as cláusulas, exceto para acrescentar informações nos anexos ou atualizar as informações neles contidas. |
b) |
Tal não impede as Partes de incluírem as cláusulas contratuais-tipo estabelecidas nas presentes cláusulas num contrato mais abrangente ou de acrescentarem outras cláusulas ou garantias adicionais, desde que não colidam, direta ou indiretamente, com as cláusulas, e sem prejuízo dos direitos ou das liberdades fundamentais dos titulares dos dados. |
Cláusula 3
Interpretação
a) |
Caso as presentes cláusulas utilizem os termos definidos no Regulamento (UE) 2016/679 ou no Regulamento (UE) 2018/1725, respetivamente, esses termos terão o mesmo significado que lhes é atribuído no regulamento em causa. |
b) |
As presentes cláusulas devem ser lidas e interpretadas à luz das disposições do Regulamento (UE) 2016/679 ou do Regulamento (UE) 2018/1725, respetivamente. |
c) |
As presentes cláusulas não devem ser interpretadas de forma contrária aos direitos e obrigações previstos no Regulamento (UE) 2016/679/Regulamento (UE) 2018/1725, sem prejuízo dos direitos e das liberdades fundamentais dos titulares dos dados. |
Cláusula 4
Hierarquia
Em caso de contradição entre as presentes cláusulas e as disposições de acordos conexos celebrados entre as Partes que se encontrem em vigor no momento em que as presentes cláusulas sejam acordadas ou que sejam celebrados posteriormente, prevalecem as presentes cláusulas.
Cláusula 5 — Facultativa
Cláusula de adesão
a) |
Qualquer entidade que não seja Parte nas presentes cláusulas pode, com o acordo de todas as Partes, aderir, em qualquer momento, às presentes cláusulas, como responsável pelo tratamento ou como subcontratante, preenchendo os anexos e assinando o anexo I. |
b) |
Uma vez preenchidos e assinados os anexos referidos na alínea a), a entidade aderente é tratada como Parte nas presentes cláusulas e tem os direitos e as obrigações de um responsável pelo tratamento ou subcontratante, em conformidade com a sua designação no anexo I. |
c) |
A entidade aderente não tem quaisquer direitos ou obrigações decorrentes das presentes cláusulas em relação ao período antes de se ter tornado Parte. |
SECÇÃO II
OBRIGAÇÕES DAS PARTES
Cláusula 6
Descrição do(s) tratamento(s)
Os pormenores das operações de tratamento, em particular as categorias de dados pessoais e as finalidades do tratamento para as quais os dados pessoais são tratados por conta do responsável pelo tratamento, são especificados no anexo II.
Cláusula 7
Obrigações das Partes
7.1. Instruções
a) |
O subcontratante deve proceder ao tratamento de dados pessoais apenas mediante instruções documentadas do responsável pelo tratamento, salvo se for obrigado a fazê-lo pelo direito da União ou pelo direito do Estado-Membro a que esteja sujeito. Neste caso, o subcontratante deve informar o responsável pelo tratamento desse requisito jurídico antes do tratamento, salvo se a lei o proibir por motivos importantes de interesse público. O responsável pelo tratamento pode dar instruções subsequentes ao longo de toda a duração do tratamento de dados pessoais. Estas instruções devem ser sempre documentadas. |
b) |
O subcontratante deve informar imediatamente o responsável pelo tratamento se, no seu entender, as instruções dadas pelo responsável pelo tratamento violarem o Regulamento (UE) 2016/679/Regulamento (UE) 2018/1725 ou as disposições aplicáveis do direito da União ou do direito dos Estados-Membros em matéria de proteção de dados. |
7.2. Limitação das finalidades
O subcontratante deve proceder ao tratamento dos dados pessoais apenas para a(s) finalidade(s) específica(s) do tratamento, conforme estabelecido no anexo II, salvo se receber instruções adicionais do responsável pelo tratamento.
7.3. Duração do tratamento de dados pessoais
O tratamento pelo subcontratante só pode ocorrer durante o período especificado no anexo II.
7.4. Segurança do tratamento
a) |
O subcontratante deve, pelo menos, aplicar as medidas técnicas e organizativas especificadas no anexo III para garantir a segurança dos dados pessoais. Tal inclui a proteção dos dados contra uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizados aos dados (violação de dados pessoais). Ao avaliar o nível de segurança adequado, as Partes devem ter em devida conta as técnicas mais avançadas, os custos de aplicação, a natureza, o âmbito, o contexto e as finalidades do tratamento e os riscos para os titulares dos dados. |
b) |
O subcontratante só deve conceder acesso aos dados pessoais objeto de tratamento aos membros do seu pessoal na medida estritamente necessária para a execução, a gestão e o acompanhamento do contrato. O subcontratante deve assegurar que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade ou estão sujeitas às obrigações legais de confidencialidade adequadas. |
7.5. Dados sensíveis
Se o tratamento envolver dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas ou a filiação sindical, dados genéticos ou biométricos destinados a identificar uma pessoa singular de forma inequívoca, dados relativos à saúde, à vida sexual ou à orientação sexual de uma pessoa ou dados relacionados com condenações penais e com infrações («dados sensíveis»), o subcontratante deve aplicar limitações específicas e/ou garantias adicionais.
7.6 Documentação e cumprimento
a) |
As Partes devem poder demonstrar o cumprimento das presentes cláusulas. |
b) |
O subcontratante deve responder, rápida e adequadamente, aos pedidos de informação do responsável pelo tratamento sobre o tratamento de dados, em conformidade com as presentes cláusulas. |
c) |
O subcontratante deve disponibilizar ao responsável pelo tratamento todas as informações necessárias para demonstrar o cumprimento das obrigações previstas nas presentes cláusulas decorrentes diretamente do Regulamento (UE) 2016/679 e/ou do Regulamento (UE) 2018/1725. A pedido do responsável pelo tratamento, o subcontratante deve igualmente facilitar e contribuir para as auditorias das operações de tratamento abrangidas pelas presentes cláusulas, a intervalos razoáveis ou se houver indícios de incumprimento. Ao decidir sobre uma revisão ou uma auditoria, o responsável pelo tratamento pode ter em conta as certificações pertinentes detidas pelo subcontratante. |
d) |
O responsável pelo tratamento pode optar por realizar, ele próprio, a auditoria ou mandatar um auditor independente. As auditorias podem igualmente incluir inspeções nos edifícios ou nas instalações físicas do subcontratante, devendo, se for caso disso, ser realizadas com uma antecedência razoável. |
e) |
As Partes devem disponibilizar as informações referidas na presente cláusula, incluindo os resultados de quaisquer auditorias, à(s) autoridade de controlo competente(s), mediante pedido. |
7.7. Recurso a subcontratantes ulteriores
a) |
OPÇÃO 1: AUTORIZAÇÃO PRÉVIA ESPECÍFICA: O subcontratante não pode subcontratar nenhuma das suas operações de tratamento efetuadas por conta do responsável pelo tratamento em conformidade com as presentes cláusulas a um subcontratante ulterior sem a autorização escrita prévia específica do responsável pelo tratamento. O subcontratante deve apresentar o pedido de autorização específica pelo menos [ESPECIFICAR PERÍODO] antes da contratação do subcontratante ulterior em causa, juntamente com as informações necessárias para permitir ao responsável pelo tratamento tomar uma decisão sobre a autorização. A lista de subcontratantes ulteriores autorizados pelo responsável pelo tratamento pode ser consultada no anexo IV. As Partes devem manter o anexo IV atualizado. OPÇÃO 2: AUTORIZAÇÃO ESCRITA GERAL: O subcontratante tem a autorização geral do responsável pelo tratamento para a contratação de subcontratantes ulteriores a partir de uma lista acordada. O subcontratante deve informar especificamente o responsável pelo tratamento, por escrito, das alterações pretendidas a efetuar a essa lista quanto ao aumento do número ou à substituição de subcontratantes ulteriores com uma antecedência mínima de [ESPECIFICAR PERÍODO], dando assim ao responsável pelo tratamento tempo suficiente para se opor a essas alterações antes da contratação do(s) subcontratante(s) ulterior(es) em causa. O subcontratante deve fornecer ao responsável pelo tratamento as informações necessárias para que este último possa exercer o direito de oposição. |
b) |
Caso o subcontratante contrate um subcontratante ulterior para realizar operações específicas de tratamento (por conta do responsável pelo tratamento), deve fazê-o através de um contrato que imponha ao subcontratante ulterior, do ponto de vista material, as mesmas obrigações em matéria de proteção de dados que as impostas ao subcontratante em conformidade com as presentes cláusulas. O subcontratante deve assegurar o cumprimento, pelo subcontratante ulterior, das obrigações a que o subcontratante está sujeito nos termos das presentes cláusulas e do Regulamento (UE) 2016/679 e/ou do Regulamento (UE) 2018/1725. |
c) |
O subcontratante deve facultar ao responsável pelo tratamento, a pedido do mesmo, uma cópia do referido acordo de subcontratação e de quaisquer alterações subsequentes. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o subcontratante pode editar o texto do acordo antes de partilhar a cópia. |
d) |
O subcontratante continua a ser inteiramente responsável, perante o responsável pelo tratamento, pelo cumprimento das obrigações que incumbem ao subcontratante ulterior em conformidade com o seu contrato com o subcontratante. O subcontratante deve notificar o responsável pelo tratamento de qualquer incumprimento, pelo subcontratante ulterior, das obrigações contratuais que lhe incumbem. |
e) |
O subcontratante deve acordar com o subcontratante ulterior uma cláusula do terceiro beneficiário nos termos da qual - em caso de desaparecimento de facto, de extinção legal ou de insolvência do subcontratante - o responsável pelo tratamento tem o direito de rescindir o contrato do subcontratante ulterior e de dar instruções ao subcontratante ulterior para apagar ou devolver os dados pessoais. |
7.8. Transferências internacionais
a) |
Qualquer transferência de dados para um país terceiro ou para uma organização internacional pelo subcontratante só pode ser efetuada com base em instruções documentadas do responsável pelo tratamento ou a fim de cumprir um requisito específico ao abrigo do direito da União ou do direito do Estado-Membro a que o subcontratante esteja sujeito e deve ter lugar em conformidade com o capítulo V do Regulamento (UE) 2016/679 ou do Regulamento (UE) 2018/1725. |
b) |
O responsável pelo tratamento concorda que, caso o subcontratante contrate um subcontratante ulterior, em conformidade com a cláusula 7.7, para realizar operações específicas de tratamento (por conta do responsável pelo tratamento) e essas operações de tratamento envolvam uma transferência de dados pessoais na aceção do capítulo V do Regulamento (UE) 2016/679, o subcontratante e o subcontratante ulterior podem assegurar o cumprimento do capítulo V do Regulamento (UE) 2016/679 recorrendo às cláusulas contratuais-tipo adotadas pela Comissão em conformidade com o artigo 46.o, n.o 2, do Regulamento (UE) 2016/679, desde que as condições para o recurso a essas cláusulas contratuais-tipo sejam cumpridas. |
Cláusula 8
Assistência ao responsável pelo tratamento
a) |
O subcontratante deve notificar imediatamente o responsável pelo tratamento de qualquer pedido que tenha recebido do titular dos dados. Não pode responder ele próprio a esse pedido, salvo se autorizado a fazê-lo pelo responsável pelo tratamento. |
b) |
O subcontratante deve prestar assistência ao responsável pelo tratamento no cumprimento das suas obrigações de resposta aos pedidos de exercício de direitos apresentados pelos titulares dos dados, tendo em conta a natureza do tratamento. No cumprimento das obrigações que lhe incumbem por força das alíneas a) e b), o subcontratante deve cumprir as instruções do responsável pelo tratamento. |
c) |
Para além da obrigação que incumbe ao subcontratante de prestar assistência ao responsável pelo tratamento nos termos da cláusula 8, alínea b), o subcontratante deve ainda prestar assistência ao responsável pelo tratamento para assegurar o cumprimento das obrigações a seguir indicadas, tendo em conta a natureza do tratamento de dados e as informações ao seu dispor:
|
d) |
As Partes devem estabelecer, no anexo III, as medidas técnicas e organizativas adequadas através das quais o subcontratante é obrigado a prestar assistência ao responsável pelo tratamento na aplicação da presente cláusula, bem como o âmbito e a amplitude da assistência necessária. |
Cláusula 9
Notificação de violação de dados pessoais
Em caso de violação de dados pessoais, o subcontratante deve cooperar com o responsável pelo tratamento e prestar-lhe assistência para que este cumpra as obrigações que lhe incumbem por força dos artigos 33.o e 34.o do Regulamento (UE) 2016/679 ou dos artigos 34.o e 35.o do Regulamento (UE) 2018/1725, se aplicável, tendo em conta a natureza do tratamento e as informações ao seu dispor.
9.1 Violação de dados relativa a dados tratados pelo responsável pelo tratamento
Em caso de violação de dados pessoais relativa a dados tratados pelo responsável pelo tratamento, o subcontratante deve prestar assistência ao responsável pelo tratamento:
a) |
Na notificação da violação de dados pessoais à(s) autoridade de controlo competente(s), sem demora injustificada, após o responsável pelo tratamento ter tomado conhecimento da violação, quando pertinente/(salvo se essa violação não for suscetível de constituir um risco para os direitos e para as liberdades das pessoas singulares); |
b) |
Na obtenção das informações a seguir enumeradas que, nos termos do [OPÇÃO 1] artigo 33.o, n.o 3, do Regulamento (UE) 2016/679/[OPÇÃO 2] artigo 34.o, n.o 3, do Regulamento (UE) 2018/1725, devem ser indicadas na notificação do responsável pelo tratamento e têm de incluir, pelo menos:
|
Caso, e na medida em que, não seja possível comunicar todas estas informações ao mesmo tempo, a notificação inicial deve conter as informações então disponíveis, devendo outras informações, à medida que fiquem disponíveis, ser fornecidas posteriormente sem demora injustificada.
c) |
No cumprimento, nos termos do [OPÇÃO 1] artigo 34.o do Regulamento (UE) 2016/679/[OPÇÃO 2] artigo 35.o do Regulamento (UE) 2018/1725, da obrigação de comunicar, sem demora injustificada, a violação de dados pessoais ao titular dos dados, caso a violação de dados pessoais seja suscetível de constituir um elevado risco para os direitos e as liberdades das pessoas singulares. |
9.2 Violação de dados relativa a dados tratados pelo subcontratante
Em caso de violação de dados pessoais relativa a dados tratados pelo subcontratante, o subcontratante deve notificar o responsável pelo tratamento, sem demora injustificada, após ter tomado conhecimento da violação. Esta notificação deve conter, pelo menos, os seguintes elementos:
a) |
Uma descrição da natureza da violação (incluindo, se possível, as categorias e o número aproximado de titulares de dados afetados e de registos de dados em causa); |
b) |
Os dados de um ponto de contacto onde possam ser obtidas mais informações relativas à violação de dados pessoais; |
c) |
As consequências prováveis da violação e as medidas adotadas ou propostas para a reparar, incluindo para atenuar os seus eventuais efeitos negativos. |
Caso, e na medida em que, não seja possível comunicar todas estas informações ao mesmo tempo, a notificação inicial deve conter as informações então disponíveis, devendo outras informações, à medida que fiquem disponíveis, ser fornecidas posteriormente sem demora injustificada.
As Partes devem estabelecer, no anexo III, todos os outros elementos a fornecer pelo subcontratante aquando da prestação de assistência ao responsável pelo tratamento no cumprimento das obrigações que lhe incumbem por força dos [OPÇÃO 1] artigos 33.o e 34.o do Regulamento (UE) 2016/679/[OPÇÃO 2] artigos 34.o e 35.o do Regulamento (UE) 2018/1725.
SECÇÃO III
DISPOSIÇÕES FINAIS
Cláusula 10
Incumprimento das cláusulas e rescisão
a) |
Sem prejuízo de quaisquer disposições do Regulamento (UE) 2016/679 e/ou do Regulamento (UE) 2018/1725, caso o subcontratante viole as obrigações que lhe incumbem por força das presentes cláusulas, o responsável pelo tratamento pode dar instruções ao subcontratante para suspender o tratamento de dados pessoais até que este último cumpra as presentes cláusulas ou até que o contrato seja rescindido. O subcontratante deve informar imediatamente o responsável pelo tratamento caso, por qualquer motivo, não possa cumprir as presentes cláusulas. |
b) |
O responsável pelo tratamento tem o direito de rescindir o contrato, na medida em que este diga respeito ao tratamento de dados pessoais em conformidade com as presentes cláusulas, se:
|
c) |
O subcontratante tem o direito de rescindir o contrato, na medida em que este diga respeito ao tratamento de dados pessoais ao abrigo das presentes cláusulas, caso, após ter informado o responsável pelo tratamento de que as suas instruções violam os requisitos legais aplicáveis nos termos da cláusula 7.1, alínea b), o responsável pelo tratamento insista no cumprimento das instruções. |
d) |
Na sequência da rescisão do contrato, o subcontratante deve, consoante a escolha do responsável pelo tratamento, apagar todos os dados pessoais tratados por conta deste último e certificar ao responsável pelo tratamento que o fez ou devolver todos os dados pessoais ao responsável pelo tratamento e apagar as cópias existentes, salvo se a conservação dos dados pessoais for exigida ao abrigo do direito da União ou do direito dos Estados-Membros. Até que os dados sejam apagados ou devolvidos, o subcontratante deve continuar a assegurar o cumprimento das presentes cláusulas. |
ANEXO I
Lista das partes
Responsável(eis) pelo tratamento: [Identidade e contactos do(s) responsável(eis) pelo tratamento e, se for caso disso, do encarregado da proteção de dados do responsável pelo tratamento]
1. |
Nome: … |
|
Endereço: … |
|
Nome, cargo e contactos da pessoa de contacto: … |
|
Assinatura e data de adesão: … |
2. |
|
…
Subcontratante(s): [Identidade e contactos do(s) subcontratante(s) e, se for caso disso, do encarregado da proteção de dados do subcontratante]
1. |
Nome: … |
|
Endereço: … |
|
Nome, cargo e contactos da pessoa de contacto: … |
|
Assinatura e data de adesão: … |
2. |
|
…
ANEXO II
Descrição do tratamento
Categorias de titulares de dados cujos dados pessoais são tratados
…
Categorias de dados pessoais tratados
…
Dados sensíveis tratados (se aplicável) e limitações aplicadas ou garantias que tenham plenamente em consideração a natureza dos dados e os riscos inerentes, como, por exemplo, a limitação rigorosa da finalidade, limitações de acesso (incluindo o acesso apenas do pessoal que tenha recebido uma formação especializada), a manutenção de um registo de acesso aos dados, limitações aplicáveis a transferências ulteriores ou medidas de segurança adicionais.
…
Natureza do tratamento
…
Finalidade(s) para a(s) qual(ais) os dados pessoais são tratados por conta do responsável pelo tratamento
…
Duração do tratamento
…
…
Para o tratamento por subcontratantes (ulteriores), especificar também o objeto, a natureza e a duração do tratamento
ANEXO III
Medidas técnicas e organizativas, incluindo medidas técnicas e organizativas destinadas a garantir a segurança dos dados
NOTA EXPLICATIVA:
As medidas técnicas e organizativas têm de ser descritas de forma concreta e não de forma genérica.
Descrição das medidas técnicas e organizativas no domínio da segurança aplicadas pelo(s) subcontratante(s) (incluindo quaisquer certificações pertinentes) para garantir um nível de segurança adequado, tendo em conta a natureza, o âmbito, o contexto e a finalidade do tratamento, bem como os riscos para os direitos e as liberdades das pessoas singulares. Exemplos de eventuais medidas:
|
medidas de pseudonimização e de cifragem dos dados pessoais |
|
medidas destinadas a assegurar a confidencialidade, a integridade, a disponibilidade e a resiliência permanentes dos sistemas e dos serviços de tratamento |
|
medidas destinadas a restabelecer atempadamente a disponibilidade e o acesso aos dados pessoais em caso de incidente físico ou técnico |
|
processos para testar, apreciar e avaliar periodicamente a eficácia das medidas técnicas e organizativas a fim de garantir a segurança do tratamento |
|
medidas de identificação e de autorização do utilizador |
|
medidas de proteção de dados durante a transmissão |
|
medidas de proteção de dados durante a conservação |
|
medidas destinadas a garantir a segurança física dos locais onde os dados pessoais são tratados |
|
medidas destinadas a garantir o registo cronológico de acontecimentos |
|
medidas destinadas a garantir a configuração do sistema, incluindo a configuração por defeito |
|
medidas de governação e de gestão interna do serviço informático e do serviço de segurança informática |
|
medidas de certificação/garantia dos processos e dos produtos |
|
medidas destinadas a garantir a minimização dos dados |
|
medidas destinadas a garantir a qualidade dos dados |
|
medidas destinadas a garantir uma limitação da conservação dos dados |
|
medidas destinadas a garantir a responsabilidade |
|
medidas destinadas a permitir a portabilidade dos dados e a garantir o seu apagamento] |
Para transferências para subcontratantes (ulteriores), descrever também as medidas técnicas e organizativas específicas a tomar pelo subcontratante (ulterior) para poder prestar assistência ao responsável pelo tratamento
Descrição das medidas técnicas e organizativas específicas a tomar pelo subcontratante para poder prestar assistência ao responsável pelo tratamento.
ANEXO IV
Lista de subcontratantes ulteriores
NOTA EXPLICATIVA:
Este anexo tem de ser preenchido caso seja concedida uma autorização específica a subcontratantes [cláusula 7.7, alínea a), opção 1].
O responsável pelo tratamento autorizou o recurso aos seguintes subcontratantes:
1. |
Nome: … |
|
Endereço: … |
|
Nome, cargo e contactos da pessoa de contacto: … |
|
Descrição do tratamento (incluindo uma delimitação clara de responsabilidades caso sejam autorizados vários subcontratantes): … |
2. |
… |