Acordo de Processamento de Dados

YOGO.DK ApS

Njalsgade 21F, 6.º andar
2300 Copenhaga
Dinamarca
CVR: 39467542 

1. 1. Conteúdo

  1. Conteúdo

  2. Contexto do Acordo

  3. Deveres e Direitos do Responsável

  4. O Subcontratante Atua Sob Instruções

  5. Confidencialidade

  6. Segurança do Tratamento

  7. Utilização de Subcontratantes

  8. Transferência para Países Terceiros ou Organizações Internacionais

  9. Apoio ao Responsável

  10. Notificação de Violações de Segurança

  11. Eliminação e Devolução de Dados

  12. Monitorização e Auditoria

  13. Acordos sobre Outros Aspetos

  14. Entrada em Vigor e Cessação

  15. Contactos do Responsável e do Subcontratante

Anexo A: Informações sobre o Tratamento
Anexo B: Condições para a Utilização de Subcontratantes e Lista de Subcontratantes Aprovados
Anexo C: Instruções para o Tratamento de Dados Pessoais

2. Contexto do Acordo

Este acordo define os direitos e deveres aplicáveis quando a Yogo (subcontratante) processa dados pessoais em nome de um cliente (responsável). O objetivo é garantir o cumprimento do artigo 28.º, n.º 3 do Regulamento Geral sobre a Proteção de Dados (RGPD). O tratamento de dados pessoais pelo subcontratante ocorre no âmbito da utilização do sistema YOGO pelo responsável, conforme descrito nos termos e condições da Yogo. Este acordo e os termos e condições são interdependentes e não podem ser rescindidos separadamente. Em caso de alteração, a Yogo deve informar o responsável e enviar o novo acordo. Este acordo prevalece sobre disposições semelhantes noutros acordos entre as partes, incluindo os termos e condições da Yogo. O acordo inclui três anexos que fazem parte integrante do mesmo:

  • Anexo A: informações sobre o tratamento, incluindo finalidade, tipo de dados, categorias de titulares e duração;

  • Anexo B: condições para utilização de subcontratantes e lista dos aprovados;

  • Anexo C: instruções detalhadas para o tratamento, incluindo requisitos mínimos de segurança e monitorização.
    O acordo e anexos são disponibilizados ao responsável mediante pedido e sempre no início da colaboração. Este acordo não isenta o subcontratante das obrigações previstas no RGPD ou noutras leis aplicáveis1.

3. Direitos e Deveres do Responsável

O responsável é responsável perante terceiros (incluindo titulares dos dados) pelo cumprimento do RGPD e da legislação de proteção de dados. O subcontratante deve cumprir, sem demora injustificada, pedidos razoáveis do responsável para garantir o cumprimento do RGPD e da legislação. O responsável deve garantir, entre outros, que o tratamento solicitado ao subcontratante é lícito1.

4. O Subcontratante Atua Sob Instruções

O subcontratante só pode tratar dados pessoais mediante instruções documentadas do responsável, salvo obrigação legal da UE ou de Estado-Membro. Neste caso, deve informar previamente o responsável, salvo proibição legal por razões de interesse público. O subcontratante deve informar imediatamente o responsável se considerar que uma instrução viola o RGPD ou outras normas de proteção de dados1.

5. Confidencialidade

O subcontratante garante que apenas pessoas que necessitem de aceder aos dados pessoais para cumprir as suas funções na Yogo terão acesso aos dados tratados em nome do responsável. O acesso deve ser imediatamente bloqueado quando deixar de ser necessário ou se a pessoa já não trabalhar para a Yogo. Apenas pessoas autorizadas e obrigadas à confidencialidade podem aceder aos dados. O subcontratante deve, a pedido, comprovar que os colaboradores estão sujeitos a esta obrigação. O responsável pode criar utilizadores no sistema com acesso aos dados pessoais1.

6. Segurança do Tratamento

O subcontratante adota todas as medidas exigidas pelo artigo 32.º do RGPD, considerando o estado da técnica, custos de implementação, natureza, âmbito, contexto e finalidades do tratamento, bem como os riscos para os direitos e liberdades das pessoas. Devem ser tomadas medidas técnicas e organizativas adequadas para garantir um nível de segurança adequado aos riscos, incluindo:

  • Pseudonimização e encriptação dos dados

  • Capacidade de garantir confidencialidade, integridade, disponibilidade e resiliência dos sistemas

  • Capacidade de restaurar a disponibilidade e acesso aos dados em caso de incidente

  • Procedimentos para testar, avaliar e aferir regularmente a eficácia das medidas
    O subcontratante deve implementar, pelo menos, o nível de segurança definido no Anexo C. Questões relativas a remuneração por requisitos adicionais estão nos termos da YOGO1.

7. Utilização de Subcontratantes

O subcontratante só pode recorrer a subcontratantes mediante autorização escrita do responsável. Em caso de autorização geral, o subcontratante deve informar o responsável sobre alterações, permitindo oposição. As condições para utilização de subcontratantes e lista dos aprovados estão no Anexo B. O subcontratante garante que os subcontratantes cumprem obrigações equivalentes às deste acordo. O subcontratante mantém responsabilidade integral pelo cumprimento das obrigações dos subcontratantes. Cópias dos acordos com subcontratantes são disponibilizadas ao responsável mediante pedido, exceto termos comerciais irrelevantes para a proteção de dados1.

8. Transferência de Dados para Países Terceiros ou Organizações Internacionais

O subcontratante só pode transferir dados pessoais para países terceiros ou organizações internacionais mediante instruções documentadas do responsável, salvo obrigação legal. Neste caso, deve informar previamente o responsável, salvo proibição legal. Sem instruções ou autorização expressa do responsável, não pode:

  • Transferir dados para um responsável num país terceiro ou organização internacional

  • Transferir o tratamento para subcontratante num país terceiro

  • Tratar dados noutra filial em país terceiro
    As instruções ou autorizações do responsável constam do Anexo C1.

9. Apoio ao Responsável

O subcontratante apoia o responsável, na medida do possível e considerando a natureza do tratamento, através de medidas técnicas e organizativas adequadas para responder a pedidos dos titulares ao abrigo do Capítulo 3 do RGPD, incluindo:

  • Direito à informação

  • Direito de acesso

  • Direito de retificação

  • Direito ao apagamento

  • Direito à limitação do tratamento

  • Direito à portabilidade

  • Direito de oposição

  • Direito a não ser sujeito a decisões automatizadas
    O subcontratante apoia ainda o responsável no cumprimento dos artigos 32.º a 36.º do RGPD, incluindo notificação de violações, avaliações de impacto e consulta à autoridade de controlo. Questões relativas a remuneração estão nos termos da Yogo1.

10. Notificação de Violações de Dados

O subcontratante notifica imediatamente o responsável após tomar conhecimento de uma violação de dados pessoais, o mais tardar 36 horas após a deteção, para que o responsável possa cumprir o prazo de 72 horas junto da autoridade. O subcontratante apoia o responsável na notificação, incluindo:

  • Natureza da violação, categorias e número de titulares e registos afetados

  • Consequências prováveis

  • Medidas tomadas ou propostas para mitigar efeitos adversos1.

11. Eliminação e Devolução de Dados

Após o fim dos serviços de tratamento, o subcontratante compromete-se, conforme escolha do responsável, a eliminar ou devolver todos os dados pessoais e eliminar cópias existentes, salvo obrigação legal de conservação1.

12. Monitorização e Auditoria

O subcontratante fornece ao responsável todas as informações necessárias para demonstrar o cumprimento do artigo 28.º do RGPD e deste acordo. Permite e apoia auditorias e inspeções realizadas pelo responsável ou auditor designado. O procedimento de monitorização consta do Anexo C. A monitorização de subcontratantes é feita pelo subcontratante conforme o Anexo C. O subcontratante deve permitir o acesso das autoridades competentes às suas instalações, mediante credenciação adequada1.

13. Entrada em Vigor e Cessação

O acordo entra em vigor com o início da utilização do sistema YOGO pelo responsável. Qualquer das partes pode solicitar renegociação em caso de alterações legais ou incoerências. Questões relativas a remuneração e condições estão nos termos da Yogo. A cessação segue os prazos e condições dos termos da Yogo. O acordo mantém-se em vigor enquanto durar o tratamento e até à eliminação dos dados pelo subcontratante e subcontratantes1.

14. Contactos do Subcontratante

Pedidos relativos a dados pessoais podem ser dirigidos a:

  • Magnus H. Friis, Sócio/Desenvolvedor, magnus@yogo.dk

  • Anders H. Straarup, Sócio/Desenvolvedor, anders@yogo.dk
    O subcontratante deve informar o responsável sobre alterações nos contactos1.

Anexo A: Informações sobre o Tratamento

Finalidade: Permitir ao responsável utilizar o sistema YOGO para recolher e tratar informações sobre os seus membros.
Tipos de dados pessoais: Nome, e-mail, telefone, morada, data de nascimento, tipo de adesão, registo e participação em cursos.
Categorias de titulares: Pessoas que criaram perfil junto do responsável via YOGO.
Duração: Desde o início do acordo até rescisão por qualquer das partes1.

Anexo B: Condições para Utilização de Subcontratantes

B.1 Condições:
O subcontratante tem autorização geral para utilizar subcontratantes, mas deve informar o responsável sobre alterações com pelo menos um mês de antecedência. O responsável pode opor-se no prazo de 14 dias, por motivos fundamentados1.

B.2 Subcontratantes Aprovados:

  • Gateway API: envio de SMS

  • Mailgun: envio de e-mails

  • Amazon Web Services: infraestrutura IT
    O subcontratante só pode utilizar os subcontratantes aprovados para os fins descritos1.

Anexo C: Instruções para o Tratamento de Dados Pessoais

C.1 Objeto/Instruções:
Gestão dos dados dos clientes do responsável no âmbito da utilização do Yogo para gestão de cursos, seminários, pagamentos, etc1.

C.2 Segurança dos Dados:
O nível de segurança deve refletir: dados de registo e utilização dos titulares, informações sobre compras e utilização dos produtos, mas normalmente não categorias especiais de dados. O subcontratante decide e implementa medidas técnicas e organizativas necessárias para garantir o nível de segurança acordado1.

C.3 Prazo de Conservação/Rotina de Eliminação:
Os dados são mantidos até o responsável solicitar eliminação ou devolução. Quando um utilizador é eliminado, é marcado como "eliminado" e os dados identificáveis são removidos, permanecendo apenas um utilizador anónimo para efeitos estatísticos1.

C.4 Procedimentos de Monitorização:
Os custos de auditoria física correm por conta do responsável, mas o subcontratante deve disponibilizar os recursos necessários para permitir a monitorização1.