Processadores
acordo

Partes:
O cliente, a seguir designado por "Controlador";

e

a empresa privada TwoPurpose B.V., com sede em Utrecht, Países Baixos e com sede social em Utrecht, Europalaan 93, representada no presente processo por T. Slijp, a seguir designada por "Processador".

Considerações:

1. O Processador celebrou ou irá celebrar um ou mais acordos com o Processador para a prestação de vários serviços pelo Processador ao Processador. Este acordo ou estes acordos coletivamente é ou são doravante designados por "o acordo principal" indicou.
   1. Na execução do Contrato Principal, o Processador processará dados pelos quais o Processador é e permanece responsável. Esses dados incluem dados pessoais na aceção do Regulamento Geral sobre a Proteção de Dados (UE 2016/679), a seguir designado por "AVG". 
   2. Tendo em conta as disposições do Artigo 28º, nº 3, AVGA Comissão Europeia, em conformidade com o disposto no artigo 11.º, estabelece as condições de tratamento destes dados pessoais no presente acordo.

Acordo:

1. Âmbito de aplicação
   1. O presente acordo aplica-se na medida em que a prestação de serviços ao abrigo do acordo-quadro envolva uma ou mais operações de tratamento de dados incluídas em Anexo 1. 
   2. O processamento de Anexo 1 que têm lugar na prestação dos serviços são indicadas a seguir: "os Processos" mencionado. Dados pessoais tratados no âmbito do processo: "os dados pessoais".
   3. No que respeita às operações de tratamento, o Responsável pelo Tratamento é o Subcontratante e o Subcontratante é o Subcontratante. As pessoas singulares que utilizam efetivamente os serviços do Subcontratante ao abrigo do Contrato Principal e, se for caso disso, os seus representantes, são também designadas a seguir por "os utilizadores finais" indicou. 
   4. Todos os termos deste contrato têm o significado que lhes é atribuído no AVG.
   5. Se forem tratados mais e diferentes dados pessoais em nome do Subcontratante ou se o tratamento for efectuado de forma diferente da descrita no presente artigo, o presente acordo aplicar-se-á também a essas operações de tratamento, na medida do possível.
   6. No que diz respeito ao processamento de determinados dados dos Utilizadores Finais, o próprio Processador é (co-)responsável. Em particular, isto diz respeito aos detalhes de contacto e outros dados do Utilizador Final que o Processador necessita para executar o Contrato Principal. 
   7. Os anexos fazem parte do presente acordo. São eles:
      1. Anexo 1 as operações de tratamento, os dados pessoais e os períodos de conservação;
      2. Anexo 2 os subcontratantes e as categorias de subcontratantes que o Responsável pelo Tratamento aprova.
2. Assunto
   1.  O Subcontratante terá e manterá o controlo total sobre os Dados Pessoais. Se o Responsável pelo Tratamento não tratar ele próprio os Dados Pessoais utilizando os sistemas do Subcontratante, o Subcontratante apenas tratará os Dados Pessoais com base em instruções escritas do Responsável pelo Tratamento. O Contrato Principal servirá como uma instrução genérica a este respeito.  
   2. O tratamento só terá lugar no contexto do Contrato Principal. O Processador não processará os Dados Pessoais para além do previsto no Contrato Principal. Em particular, o Processador não utilizará os Dados Pessoais para os seus próprios fins.
   3. O transformador deve efetuar as operações de tratamento de forma adequada e cuidadosa.
3. Medidas de segurança
   1. O Subcontratante adopta todas as medidas de segurança técnicas e organizativas exigidas pelo AVG e, em especial, por Artigo 32º AVG ser-lhe-á exigido.
   2. O Processador assegurará que as pessoas, não se limitando aos funcionários, que participam no Processamento no Processador estão vinculadas a uma obrigação de confidencialidade relativamente aos Dados Pessoais.
4. Violação de dados
   1. O Subcontratante notificará o Subcontratante de qualquer "violação de dados pessoais" referida em artigo 4 sub 12 AVG. Esta infração é a seguir designada por: "Violação de dados" mencionou. 
   2. O Processador facultará atempadamente ao Processador todas as informações na sua posse que sejam necessárias para cumprir as obrigações decorrentes artigo 33 AVG cumprir. O transformador fornecerá as informações pertinentes o mais rapidamente possível, num formato comum a determinar pelo transformador.
   3. O Processador não notificará o Controlador sobre uma violação de dados se for imediatamente claro que a violação de dados não representa um risco para os direitos e liberdades das pessoas singulares. Se houver margem para dúvidas a este respeito, o Subcontratante comunica a violação de dados ao Responsável pelo tratamento, de modo a permitir que este forme a sua própria opinião relativamente a uma possível comunicação da violação de dados. O Subcontratante deve documentar todas as violações, incluindo as que não precisam de ser comunicadas ao Subcontratante, e fornecer essa documentação ao Subcontratante uma vez por trimestre. 
   4. É da exclusiva responsabilidade do Processador determinar se uma Violação de Dados identificada no Processador é comunicada à Autoridade de Dados Pessoais e/ou aos titulares dos dados relevantes.
5. Envolver os subcontratantes
   1. O Processador não tem o direito de contratar um terceiro como subcontratante ulterior no processamento sem o consentimento prévio por escrito do Processador. O consentimento do Processador pode também dizer respeito a um determinado tipo de terceiros.
   2. Se o Subcontratante der o seu consentimento, o Subcontratante assegurará que o terceiro em causa celebre um acordo em que, pelo menos, cumpra as mesmas obrigações legais.
   3. Caso o consentimento diga respeito a um determinado tipo de terceiros, o Processador informá-lo-á sobre os subcontratantes que contratou. O Processador pode então opor-se a adições ou substituições relativas aos subprocessadores do Processador.
   4. O responsável pelo tratamento autoriza a utilização dos dados do in Anexo 2 incluiu subcontratantes e/ou categorias de subcontratantes.
6.  Dever de confidencialidade
   1. O Processador manterá os Dados Pessoais confidenciais. O Processador assegurará que os Dados Pessoais não sejam disponibilizados, direta ou indiretamente, a terceiros. Os terceiros incluem também o pessoal do Processador, desde que não seja necessário que tenham conhecimento dos Dados Pessoais. Este imperativo não se aplica se o presente Acordo previr o contrário e/ou se um regulamento legal ou uma decisão judicial exigir qualquer divulgação.
   2. O Subcontratante informará o Responsável pelo Tratamento de qualquer pedido de inspeção, fornecimento ou qualquer outro pedido e comunicação de Dados Pessoais que viole a obrigação de confidencialidade contida no presente artigo.
7. Períodos de conservação e eliminação
   1. O Processador é responsável por determinar os períodos de retenção em relação aos Dados Pessoais. Na medida em que os Dados Pessoais se encontrem sob o controlo da Parte Responsável pelo Tratamento (por exemplo, no caso de serviços de alojamento), esta deve eliminá-los ela própria em tempo útil.
   2. O Subcontratante eliminará os Dados Pessoais no prazo de trinta dias após o termo do Contrato Principal ou, se o Subcontratante assim o entender, transferirá os Dados Pessoais para o Subcontratante, exceto se os Dados Pessoais tiverem de ser conservados durante mais tempo, por exemplo, no contexto de obrigações (legais) do Subcontratante, ou se o Subcontratante solicitar ao Subcontratante que conserve os Dados Pessoais durante mais tempo e se o Subcontratante e o Subcontratante acordarem nos custos e noutras condições dessa conservação mais longa, sem prejuízo da responsabilidade do Subcontratante de cumprir os períodos de conservação legais. Qualquer transferência para o Subcontratante será efectuada a expensas do Subcontratante.
   3. A pedido do responsável pelo tratamento, o transformador deve certificar que a supressão referida no número anterior foi efectuada. O subcontratante pode, a expensas suas, mandar verificar se tal se verificou efetivamente. Artigo 10.o do presente Acordo aplicar-se-ão a esse controlo. Na medida do necessário, o Subcontratante notificará todos os subcontratantes ulteriores envolvidos no tratamento de Dados Pessoais da cessação do Contrato Principal e dar-lhes-á instruções para agirem em conformidade com o disposto no presente Acordo.
   4. Salvo acordo em contrário entre as partes, o próprio Subcontratante assegurará uma cópia de segurança dos dados pessoais.
8. Direitos das pessoas em causa
   1. Se o próprio Subcontratante tiver acesso aos dados pessoais, deve satisfazer todos os pedidos dos titulares dos dados relativos aos dados pessoais. O Subcontratante comunicará prontamente ao Responsável pelo Tratamento todos os pedidos por ele recebidos.  
   2. Apenas na medida em que o parágrafo anterior não seja possível, o Processador prestará a sua cooperação total e atempada ao Processador para: 
      • permitir que os titulares dos dados acedam aos dados pessoais que lhes dizem respeito, após aprovação pelo Subcontratante e de acordo com as suas instruções,
      • Eliminar ou corrigir dados pessoais
      • demonstrar que os Dados Pessoais foram eliminados ou corrigidos se estiverem incorrectos (ou, no caso de o Processador não concordar que os Dados Pessoais estão incorrectos, registar o facto de o titular dos dados considerar que os seus Dados Pessoais estão incorrectos) 
      • os dados pessoais em causa ao Subcontratante ou a uma pessoa designada pelo Terceiro designado pelo transformador, num formato estruturado, comum e de leitura ótica e 
      • permitir de outra forma que o Processador cumpra as suas obrigações ao abrigo do AVG ou de qualquer outra lei aplicável relativa ao processamento de Dados Pessoais.
   3. Os custos e as necessidades da parágrafo anterior Esta cooperação é determinada conjuntamente pelas partes. Na ausência de acordo para o efeito, as despesas são suportadas pelo Responsável pelo Tratamento.
9. Responsabilidade civil
   1. O responsável pelo tratamento assume, entre outras coisas, a responsabilidade e é, por essa razão, totalmente responsável pelo (objetivo declarado do) tratamento, pela utilização e conteúdo dos dados pessoais, pela divulgação a terceiros, pela duração do armazenamento dos dados pessoais, pela forma de tratamento e pelos meios utilizados para esse efeito.
   2. O Processador será responsável perante o Processador, tal como previsto no Contrato Principal
10. Verificar
    1. O Processador terá o direito de auditar o cumprimento das disposições do presente acordo uma vez por ano, a expensas suas, ou de o fazer auditar por um contabilista ou informático independente. 
    2. O Subcontratante disponibilizará ao Responsável pelo Tratamento todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no artigo 28º AVG. Se o terceiro contratado pelo Responsável pelo Tratamento emitir uma instrução que, na opinião do Responsável pelo Tratamento, viole o AVG, este deve notificar imediatamente o Responsável pelo Tratamento.
    3. A investigação do Responsável pelo Tratamento limitar-se-á sempre aos sistemas do Processador utilizados para as operações de tratamento. O Processador manterá a confidencialidade das informações encontradas durante a auditoria e utilizá-las-á apenas para verificar o cumprimento pelo Processador das obrigações decorrentes do presente acordo, podendo eliminar as informações ou partes das mesmas o mais rapidamente possível. O Processador garante que quaisquer terceiros contratados também assumirão estas obrigações.
11. Outras disposições
    1. As alterações ao presente acordo só serão válidas se forem acordadas por escrito entre as partes.
    2. As partes adaptarão o presente acordo a regulamentos alterados ou completados, a instruções adicionais das autoridades competentes e à evolução da aplicação da AVG (por exemplo, através de jurisprudência ou relatórios, mas não exclusivamente), à introdução de cláusulas-tipo e/ou a outros acontecimentos ou conhecimentos que exijam essa adaptação. 
    3. O presente Acordo mantém-se enquanto o Acordo Principal se mantiver em vigor. As disposições do presente Acordo continuarão a aplicar-se na medida do necessário para a sua conclusão e na medida em que se destinem a sobreviver à cessação do presente Acordo. Esta última categoria de disposições inclui, mas não se limita a, disposições em matéria de confidencialidade e de litígios. 
    4. Este acordo prevalece sobre todos os outros acordos entre o Responsável pelo Tratamento e o Processador.
    5. O presente acordo rege-se exclusivamente pelo direito neerlandês.
    6. As partes submeterão os seus litígios relacionados com o presente acordo exclusivamente ao Tribunal Distrital de Amesterdão.