Contrato sobre o processamento de dados pessoais

celebrado em acordo com as disposições do Art. 28 do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção de pessoas singulares no que diz respeito ao processamento de dados pessoais e à livre circulação desses dados, que revoga a Diretiva 95/46 / CE (doravante “o Regulamento”), resp. de acordo com as disposições do § 34 da Lei n.º 18/2018 Coll. sobre a proteção de dados pessoais, conforme alterado (doravante denominado “Ato”) entre o Operador e o Intermediário.

Este Contrato sobre o processamento de dados pessoais é um adendo e faz parte do Contrato de Serviço entre o Luigi’s Box (“Luigi’s Box” e “Intermediário”) e a parte identificada como o Cliente no Contrato de Serviço (“Cliente” ou “Operador”). Este Contrato define os termos que se aplicam às partes ao processar dados pessoais em conexão com a prestação dos Serviços.

1. PREÂMBULO

1.1 Este Contrato de Processamento de Dados (doravante “Contrato”) estipula as condições para o processamento de dados pessoais pelo Intermediário em nome do Operador no cumprimento das obrigações decorrentes do Contrato sobre a prestação de serviços celebrados entre as Partes Contratantes (doravante o “Contrato de Serviço“).

1.2 O objeto do Contrato é a obrigação do Intermediário de fornecer ao Operador serviços relacionados a tecnologias de marketing digital, cujo escopo é acordado no Contrato de Serviços. Ao fornecer esses serviços, os dados pessoais de pessoas físicas podem ser processados com base em uma instrução do Operador e na obrigação do Operador de pagar a taxa acordada ao Intermediário por esses serviços.

2. ASSUNTO DO CONTRATO

2.1 O objeto deste Contrato é a autorização do Intermediário para processar dados pessoais de pessoas físicas em nome do Operador, exclusivamente em conexão com a prestação de serviços do Intermediário, que são definidos no Contrato de Serviços e/ou em pedidos individuais do Operador.

2.2 O Intermediário tem o direito de processar dados pessoais para o Operador apenas na medida, sob as condições e para a finalidade acordada com o Operador e na forma determinada pelo Regulamento, Lei e outros regulamentos legais geralmente vinculativos (doravante coletivamente denominados “Regulamentos de Proteção de Dados Pessoais“).

3. FINALIDADE E ESCOPO DO PROCESSAMENTO DE DADOS PESSOAIS

3.1 A finalidade do processamento de dados pessoais pelo Intermediário é a prestação adequada dos serviços acordados de acordo com o Contrato de Serviço e/ou a ordem individual de serviços (doravante denominado “Finalidade“).

3.2 As categorias de titulares de dados aos quais os dados pessoais processados sob este Contrato se referem estão listadas no Anexo n.º. 1 do Contrato.

3.3 O assunto do processamento inclui dados pessoais dos titulares dos dados, que são necessários para o cumprimento da Finalidade e cujo escopo exato depende da natureza do serviço fornecido de acordo com o Contrato de Serviço (doravante denominados “Dados Pessoais“); o assunto do processamento não é uma categoria especial de dados pessoais de acordo com o Art. 9 Regulamentos. Os tipos de dados pessoais estão listados no Anexo nº 1 do Contrato.

3.4 O Intermediário tem o direito de processar Dados Pessoais apenas para a Finalidade especificada e de executar com Dados Pessoais para o Operador apenas aquelas operações que são necessárias para a prestação de serviços e de acordo com o Contrato de Serviço ou pedido individual, e de processar Dados Pessoais para a Finalidade especificada de acordo com instruções documentadas e instruções do Operador.

4. DIREITOS E OBRIGAÇÕES DO OPERADOR

4.1 Operador:

4.1.1 é obrigado a processar dados pessoais de acordo com o Regulamento de Proteção de Dados Pessoais;

4.1.2 tem o direito de confiar ao Intermediário o processamento apenas dos Dados Pessoais que foram obtidos e processados pelo Operador de acordo com o Regulamento de Proteção de Dados Pessoais;

4.1.3 tem o direito de fornecer ao Intermediário instruções escritas (em papel ou eletronicamente) sobre o processamento de dados pessoais para atingir o Propósito. Tais instruções são vinculativas para o Intermediário, desde que a execução dessas instruções exija a prestação de serviços de acordo com o Contrato de Serviço ou ordem de serviço individual ou se a execução dessas instruções exigir custos adicionais por parte do Intermediário em conexão com a execução dessas instruções e o O operador paga todos os custos incorridos. O Intermediário não executará as instruções do Operador que estejam em conflito com qualquer disposição deste Contrato ou estejam em conflito com os Regulamentos Legais de Proteção de Dados Pessoais;

4.1.4 é sempre responsável pelo processamento de Dados Pessoais. Se o titular dos dados solicitar o fornecimento de informações sobre o processamento de dados pessoais, a correção ou exclusão de dados pessoais, se opuser à legalidade do processamento de dados pessoais ou solicitar de outra forma o término do processamento de dados pessoais ou o bloqueio de dados pessoais, o Operador é obrigado a dar instruções por escrito (em papel ou eletronicamente) ao Intermediário para tomar as medidas necessárias.

5. DIREITOS E OBRIGAÇÕES DO INTERMEDIÁRIO

5.1 O Intermediário é obrigado a:

5.1.1 processar Dados Pessoais somente de acordo com as instruções escritas (em papel ou eletronicamente) do Operador, que visam cumprir a Finalidade e o Contrato de Serviço; estas instruções são vinculativas para o Intermediário, salvo disposição em contrário no Contrato;

5.1.2 não usar Dados Pessoais para finalidades diferentes das especificadas neste Contrato e no Contrato de Serviço e não combinar Dados Pessoais com outros dados pessoais obtidos, registrados ou de outra forma processados pelo Intermediário sem a instrução prévia por escrito do Operador, mesmo com o propósito de atingir o mesmo propósito (por exemplo, dados de atribuição de bancos de dados próprios/públicos, etc.);

5.1.3 processar apenas os Dados Pessoais que, em escopo e conteúdo, correspondem à Finalidade pretendida e são necessários para sua realização;

5.1.4 processar Dados Pessoais de acordo com as práticas estabelecidas de processamento de dados pessoais e padrões vigentes no campo de gerenciamento de informações e de acordo com o Regulamento de Proteção de Dados Pessoais;

5.1.5 no caso de obter Dados Pessoais em nome do Operador, fornecer informações às pessoas envolvidas de acordo com os Art. 13 e 14 do Regulamento; se o Operador solicitar o uso de seus próprios materiais informativos para fins de cumprimento da obrigação de informação, ele deverá fornecer esses materiais ao Intermediário sem demora injustificada após a conclusão deste Contrato ou após a instrução para obter Dados Pessoais em seu nome;

5.1.6 para fornecer ao Operador cooperação no cumprimento de suas obrigações em relação às solicitações das pessoas envolvidas e para auxiliar o Operador a garantir o cumprimento das obrigações de acordo com o Art. 32 a 36 Regulamentos levando em consideração a natureza do processamento e as informações disponíveis para o Intermediário;

5.1.7 informar imediatamente o Operador sobre qualquer solicitação ou exercício dos direitos da pessoa em questão e, ao mesmo tempo, enviar imediatamente a submissão relevante da pessoa em questão e a documentação relacionada ao Operador;

5.1.8 no caso de uma violação da proteção de dados pessoais, ou seja, no caso de uma violação das medidas de segurança que levem à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou divulgação de Dados Pessoais, o Intermediário é obrigado a notificar o Operador sobre qualquer violação da proteção de Dados Pessoais sem demora indevida após tomar conhecimento da violação. O aviso por escrito sob esta seção deve conter uma descrição da natureza da violação de dados pessoais, a categoria e o número aproximado de titulares de dados e registros de dados pessoais envolvidos, uma descrição das prováveis consequências da violação de dados pessoais e uma descrição das medidas tomadas para remediar a violação de dados pessoais. Se não for possível fornecer todas as informações acima ao mesmo tempo, essas informações podem ser fornecidas em etapas, sem mais demora indevida.

5.1.9 informar imediatamente o Operador sobre as inspeções e medidas tomadas pelo autor supervisorresponsabilidade contra o Intermediário, bem como sobre a condução de processos civis, criminais ou administrativos contra o Intermediário, se estes se relacionarem com a relação contratual entre o Operador e o Intermediário e/ou processamento de Dados Pessoais sob o Contrato;

5.1.10 monitorar regularmente os processos internos e as medidas técnicas e organizacionais para garantir que o processamento dentro do escopo da responsabilidade do Intermediário esteja em conformidade com os requisitos do Regulamento de Proteção de Dados Pessoais;

5.1.11 processar Dados Pessoais somente durante a vigência deste Contrato.

5.2 O Intermediário também tem o direito para processar Dados Pessoais para fins que resultem de regulamentações legais especiais ou tal processamento seja exigido pelo tribunal competente ou autoridade administrativa. No caso de um tribunal ou autoridade administrativa ordenar ao Intermediário qualquer medida ou operação com Dados Pessoais, o Intermediário é obrigado a informar o Operador sem demora injustificada sobre a entrega de qualquer solicitação antes de responder a esta solicitação ou executar outra ação referente aos Dados Pessoais processados, ou assim que razoavelmente esperado, no caso de o Intermediário ser obrigado a fornecer uma resposta imediata ao tribunal competente ou autoridade administrativa, a menos que a notificação ao Operador seja contrária à legislação especial ou a uma decisão de um tribunal ou autoridade administrativa.

6. SEGURANÇA DE DADOS PESSOAIS

6.1 O Intermediário garantirá a proteção dos Dados Pessoais implementando e documentando medidas de segurança de acordo com o Art. 28 par. 3 letra c) e Art. 32 Regulamentos em conjunto com o Art. 5 par. 1 e par. 2 Regulamentos. As medidas de segurança a serem tomadas devem garantir a proteção de Dados Pessoais com um nível de segurança compatível com o risco representado pelo processamento para os direitos dos titulares dos dados e com vistas a garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas de processamento, a fim de evitar destruição acidental ou ilegal, perda, fornecimento não autorizado, divulgação de Dados Pessoais, acesso não autorizado a eles ou qualquer outra operação de processamento não autorizada.

6.2 O Intermediário é obrigado a ter estabelecido gerenciamento de risco com relação às pessoas envolvidas no sentido do Regulamento e também gerenciamento de risco de segurança da informação com relação aos meios técnicos dentro dos quais os Dados Pessoais são processados. O Operador tem o direito de solicitar o fornecimento de documentação sobre as medidas técnicas e organizacionais adotadas, no prazo máximo de 30 dias a partir do envio da solicitação do Operador.

6.3 O Intermediário, seus funcionários e outras pessoas que conheçam Dados Pessoais por meio do Intermediário são obrigados a manter confidencialidade sobre eles; o dever de confidencialidade continua mesmo após a conclusão do processamento de Dados Pessoais. O Intermediário tem o direito de disponibilizar os Dados Pessoais a funcionários ou outras pessoas com as quais tenha uma relação jurídica apenas para garantir suas obrigações no desempenho do Propósito e sob as condições estabelecidas neste Contrato.

6.4 No caso de fornecer Dados Pessoais a funcionários ou outras pessoas com as quais o Intermediário tenha uma relação jurídica, o Intermediário é obrigado a informar essas pessoas sobre a obrigação de cumprir as disposições deste Artigo do Contrato e vincular essas pessoas continuará mesmo após o término da relação jurídica dessa pessoa.

6.5 O Intermediário não fornecerá Dados Pessoais a terceiros, a menos que tal divulgação seja necessária para:

6.5.1 funcionários do Intermediário,

6.5.2 subcontratados de acordo com o Art. 8 do Contrato,

6.5.3 terceiros, se tal disposição for exigida por lei ou por uma decisão válida e executável de um tribunal ou outra autoridade pública da República Eslovaca.

7. OUTRAS OBRIGAÇÕES DAS PARTES CONTRATANTES

7.1 As Partes Contratantes comprometem-se a fornecer uma à outra a cooperação necessária para cumprir as disposições do Contrato e garantir a conformidade com o Regulamento de Proteção de Dados Pessoais.

7.2 Se, em conexão com a violação da obrigação do Operador decorrente do Contrato e/ou do Regulamento de Proteção de Dados Pessoais, o Intermediário incorrer em qualquer dano ou outro prejuízo, o Operador é obrigado a compensar o Intermediário por esse dano ou outro dano integralmente.

7.3 Se qualquer dano ou outro prejuízo ocorrer em conexão com a violação da obrigação do Corretor decorrente do Contrato e/ou do Regulamento de Proteção de Dados Pessoais, o Corretor é obrigado a compensar o Operador por este dano ou outro dano integralmente.

8. SUBCONTRATADOS

8.1 O Operador concorda que o Intermediário pode envolver outros intermediários na execução de atividades de processamento que ele executa para o Operador dentro da prestação de serviços com base no Contrato de Serviço ou com base em um pedido individual (doravante denominado “Subcontratado“).

8.2 O Intermediário tem o direito de envolver o Subcontratado na execução de atividades de processamento sob a cláusula 8.1 do Contrato se ele celebrar um acordo por escrito com ele, que impõe ao Subcontratado as mesmas obrigações em relação à proteção de dados pessoais que o Intermediário em relação ao Operador sob este Contrato. Se o Subcontratado não cumprir suas obrigações sob este Contrato em relação à proteção de dados pessoais, o Intermediário é totalmente responsável perante o Operador pela falha do Subcontratado em cumprir essas obrigações.

8.3 O Intermediário deverá notificar o Operador com antecedência sobre quaisquer alterações relacionadas à adição ou substituição de outros Subcontratados. Se o Operador não expressar sua discordância por escrito dentro de 15 dias corridos após ser informado da alteração, o Intermediário poderá usar um novo Subcontratado. Se o Operador discordar dentro do período especificado, o Intermediário deverá fazer esforços razoáveis para alterar o Subcontratado. Se o Intermediário não puder fazer tais alterações dentro de 60 dias corridos, o Operador poderá rescindir este Contrato por escrito dentro de 30 dias da notificação de não mudança de Subcontratado (ou da data da notificação de mudança de Subcontratado se o Intermediário não tiver informado o Operador sobre a obtenção de um Subcontratado substituto). O Operador poderá rescindir este Contrato por meio de notificação por escrito com um período de notificação de um mês a partir da data de entrega da notificação. Se o Operador não notificar o Intermediário da rescisão do Contrato dentro do período especificado, considera-se que ele concorda com o uso do Subcontratado originalmente proposto.

9. PODERES DE CONTROLE DO OPERADOR

9.1 Se solicitado pelo Operador, o Intermediário deverá habilitar o Operador ou o Auditor Independente de Terceiros autorizado pelo Operador a realizar o controle nos Sistemas de Processamento de Dados Pessoais; este controle se limita à avaliação do cumprimento das obrigações sob este Contrato e em nenhuma circunstância pode cobrir o acesso a quaisquer dados de outros clientes intermediários. A data da inspeção deve sempre ser acordada com antecedência, pelo menos dez (10) dias úteis antes da inspeção planejada.

9.2 O Intermediário informa o Operador se, em sua opinião, as instruções do Operador violam o Regulamento de Proteção de Dados Pessoais. Se o Operador insistir no cumprimento de uma instrução que, na opinião do Intermediário, viole o Regulamento de Proteção de Dados Pessoais, o Intermediário reserva-se o direito de não executar tal instrução, bem como o direito de rescindir o Contrato.

10. TRANSFERÊNCIA DE DADOS PESSOAIS PARA TERCEIROS PAÍSES

10.1 O processamento contratualmente acordado de Dados Pessoais é realizado pelo Intermediário em um Estado-Membro da União Europeia ou em um estado que forma o Espaço Econômico Europeu.

10.2 A transferência de Dados Pessoais para um estado localizado no território de um estado diferente do estado especificado na cláusula 10.1 do Contrato só pode ocorrer com o consentimento prévio por escrito do Operador e sujeito às condições especiais estabelecidas nos Regulamentos dos Art. 44 a 50.

11. TEMPO DE PROCESSAMENTO DE DADOS PESSOAIS

11.1 O Intermediário tem o direito de começar a processar Dados Pessoais de acordo com o Contrato o mais cedo possível a partir da data efetiva deste Contrato e também do Contrato de Serviço, e sua autorização para processar dura por toda a duração deste Contrato.

11.2 Este Contrato dura até que o Contrato de Serviço expire.

12. DEVOLVER OU EXCLUIR DADOS PESSOAIS

12.1 Após a rescisão do Contrato, o Intermediário é obrigado a excluir ou devolver ao Operador ou a um terceiro designado pelo Operador todos os Dados Pessoais com base em instruções especiais do Operador. Se o Operador solicitar a devolução de Dados Pessoais, ele é obrigado a reembolsar o Intermediário pelos custos incorridos em conexão com a devolução de Dados Pessoais.

12.2 Se o Operador não fornecer ao Intermediário quaisquer instruções em conexão com a exclusão ou devolução de Dados Pessoais dentro de 15 dias corridos a partir do término do Contrato, o Intermediário deverá enviar uma solicitação por escrito ao Operador solicitando que o Operador envie instruções para excluir ou devolver Dados Pessoais dentro de 15 dias corridos. Se o Operador não fornecer instruções por escrito dentro deste período adicional e não reembolsar os custos incorridos no caso de devolução de Dados Pessoais, é válido que o Intermediário tenha o direito de excluir todos os Dados Pessoais.

12.3 A obrigação de devolver ou excluir Dados Pessoais não afeta as informações que o Intermediário é obrigado a manter com base em regulamentações legais geralmente vinculativas, mesmo após o término do Contrato e do Acordo de Serviço.

12.4 A pedido do Operador, o Intermediário confirmará por escrito a exclusão ou devolução dos Dados Pessoais.

13. DISPOSIÇÕES FINAIS

13.1 Este Contrato substitui todos os acordos anteriores entre o Operador e o Intermediário relativos à proteção de dados pessoais.

13.2 As relações jurídicas das partes contratantes, que não são reguladas por este Contrato, são regidas pelas disposições relevantes do Regulamento, da Lei e da Lei n.º 513/1991 Coll. do Código Comercial conforme alterado e outras regulamentações legais relevantes da República Eslovaca.

13.3 As Partes Contratantes declaram que leram o Contrato cuidadosamente antes de concluí-lo, entendem seu conteúdo e confirmam que o Contrato corresponde à sua real e livre vontade, e que o Contrato não foi concluído sob coação ou em condições visivelmente desfavoráveis.