Regulamento Geral de Proteção de Dados (RGPD)
 YOGO.DK ApS
 Njalsgade 21F, 6.º andar
2300 Copenhaga
Dinamarca
CVR: 39467542

Índice

  1. Conteúdo

  2. Contexto do Acordo

  3. Direitos e Deveres do Responsável

  4. O Processador de Dados age mediante instruções

  5. Confidencialidade

  6. Segurança do Processamento

  7. Utilização de Subprocessadores

  8. Transferência para Países Terceiros ou Organizações Internacionais

  9. Assistência ao Responsável

  10. Notificação de Incidentes de Segurança

  11. Eliminação e Devolução de Dados

  12. Monitorização e Auditoria

  13. Disposições Adicionais

  14. Entrada em Vigor e Rescisão

  15. Contactos do Responsável e do Processador de Dados

Anexo A: Informações sobre o Processamento
Anexo B: Condições para a utilização de Subprocessadores e Lista de Subprocessadores Aprovados
Anexo C: Instruções para o Processamento de Dados Pessoais

2. Contexto do Acordo

Este acordo define os direitos e deveres aplicáveis quando a Yogo (Processador de Dados) processa dados pessoais em nome de um cliente (Responsável). O objetivo é assegurar que ambas as partes cumpram o artigo 28.º, n.º 3, do Regulamento Geral de Proteção de Dados (RGPD).

O processamento de dados pessoais pelo Processador de Dados ocorre no contexto da utilização do sistema YOGO pelo Responsável, conforme descrito nos Termos e Condições da Yogo. Este Acordo e os Termos e Condições da Yogo são interdependentes e não podem ser rescindidos separadamente. Qualquer alteração a este Acordo deve ser comunicada ao Responsável, que receberá a versão atualizada.

Este Acordo de Processamento de Dados prevalece sobre quaisquer disposições semelhantes em outros acordos entre as partes, incluindo os Termos e Condições da Yogo. O Acordo inclui três anexos que fazem parte integrante:

  • Anexo A: Informações sobre o processamento (finalidade, tipo de dados, categorias de titulares e duração do processamento).

  • Anexo B: Condições do Responsável para a utilização de subprocessadores pelo Processador de Dados e lista de subprocessadores aprovados.

  • Anexo C: Instruções detalhadas para o processamento de dados pessoais, incluindo requisitos mínimos de segurança e monitorização de processadores e subprocessadores.

O Acordo e os seus anexos estão disponíveis ao Responsável mediante solicitação e sempre no início da colaboração. Este Acordo não exonera o Processador de Dados das suas obrigações ao abrigo do RGPD ou de outras leis aplicáveis.

3. Direitos e Deveres do Responsável

O Responsável é responsável perante terceiros (incluindo os titulares de dados) pelo cumprimento do RGPD e da legislação de proteção de dados. O Processador de Dados deve atender, sem atrasos injustificados, a pedidos razoáveis do Responsável para garantir o cumprimento do RGPD e da legislação aplicável.

O Responsável é, entre outras responsabilidades, responsável por assegurar que o processamento que instrui o Processador de Dados seja legal.

4. O Processador de Dados age mediante instruções

O Processador de Dados só deve processar dados pessoais de acordo com instruções documentadas do Responsável, exceto quando exigido por lei da UE ou legislação nacional aplicável. Neste caso, o Processador deve informar previamente o Responsável, salvo se a lei proibir a notificação por motivos de interesse público relevante.

O Processador de Dados deve informar imediatamente o Responsável se considerar que uma instrução viola o RGPD ou outras normas de proteção de dados aplicáveis.

5. Confidencialidade

O Processador de Dados garante que apenas pessoas que necessitem de aceder aos dados pessoais para cumprir as suas funções na Yogo terão acesso a esses dados. O acesso deve ser imediatamente revogado quando a pessoa deixar de necessitar do mesmo ou deixar de trabalhar para a Yogo.

Todas as pessoas autorizadas a aceder aos dados devem comprometer-se com a confidencialidade. O Processador deve poder comprovar, mediante solicitação, que os colaboradores estão vinculados a este dever de confidencialidade. O Responsável pode criar utilizadores no sistema com acesso aos dados pessoais.

6. Segurança do Processamento

O Processador de Dados implementa todas as medidas exigidas pelo artigo 32.º do RGPD, considerando o estado da tecnologia, custos de implementação, tipo, âmbito, contexto e finalidade do processamento, bem como os riscos para os direitos e liberdades dos titulares.

Estas medidas incluem, mas não se limitam a:

a. Pseudonimização e encriptação de dados pessoais
b. Garantir a confidencialidade, integridade, disponibilidade e resiliência dos sistemas de processamento
c. Recuperação tempestiva da disponibilidade e acesso aos dados em caso de incidente
d. Revisão e avaliação regulares da eficácia das medidas de segurança

O Processador deve aplicar, pelo menos, o nível de segurança definido no Anexo C. Custos relacionados com medidas adicionais de segurança são definidos nos Termos e Condições da Yogo.

7. Utilização de Subprocessadores

O Processador só pode recorrer a subprocessadores após cumprir os requisitos dos artigos 28.º, n.os 2 e 4 do RGPD e com aprovação específica ou geral por escrito do Responsável. Alterações na lista de subprocessadores devem ser comunicadas com pelo menos um mês de antecedência, permitindo ao Responsável apresentar objeções.

O Processador garante que os subprocessadores estão vinculados a obrigações de proteção de dados equivalentes às deste Acordo. Caso o subprocessador não cumpra essas obrigações, o Processador continua totalmente responsável perante o Responsável.

8. Transferência de Dados para Países Terceiros ou Organizações Internacionais

O Processador só pode transferir dados pessoais para países terceiros ou organizações internacionais mediante instruções documentadas do Responsável, salvo exigência legal aplicável. A autorização ou instrução do Responsável deve constar no Anexo C.

9. Assistência ao Responsável

O Processador apoia o Responsável na implementação das obrigações do RGPD, incluindo:

  • Direito de acesso, retificação, eliminação e portabilidade de dados

  • Direito de oposição e limitação do processamento

  • Notificação de alterações aos dados pessoais

  • Cumprimento de medidas de segurança (artigos 32-36 do RGPD)

Custos ou acordos adicionais relacionados com esta assistência estão definidos nos Termos e Condições da Yogo.

10. Notificação de Incidentes de Segurança

O Processador notifica imediatamente o Responsável após tomar conhecimento de uma violação de dados. A notificação deve ocorrer, sempre que possível, no prazo máximo de 36 horas, permitindo ao Responsável cumprir o prazo de 72 horas para notificação à autoridade de controlo.

A notificação inclui:

a. Natureza da violação e número aproximado de titulares e registos afetados
b. Consequências prováveis da violação
c. Medidas adotadas ou propostas para mitigar os efeitos

11. Eliminação e Devolução de Dados

Após a cessação dos serviços, o Processador, à escolha do Responsável, deve eliminar ou devolver todos os dados pessoais, incluindo cópias existentes, salvo exigência legal em contrário.

12. Monitorização e Auditoria

O Processador disponibiliza todas as informações necessárias para demonstrar conformidade com o artigo 28.º do RGPD. Permite e apoia auditorias realizadas pelo Responsável ou por auditor designado. A monitorização de subprocessadores é realizada pelo Processador, conforme Anexo C.

Autoridades legalmente habilitadas devem ter acesso às instalações do Processador mediante credencial adequada.

14. Entrada em Vigor e Rescisão

Este Acordo entra em vigor assim que o Responsável começar a utilizar o sistema YOGO. Pode ser renegociado em caso de alterações legais ou inconsistências.

A rescisão segue os Termos e Condições da Yogo, mas o Acordo mantém-se em vigor até à cessação do processamento e eliminação dos dados pelo Processador e subprocessadores.

15. Contactos do Processador de Dados

Para questões sobre dados pessoais:

Magnus H. Friis – Partner/Developer
E-mail: magnus@yogo.dk

Anders H. Straarup – Partner/Developer
E-mail: anders@yogo.dk

O Processador deve informar o Responsável sobre alterações de contactos.

Anexos

Anexo A – Informações sobre o Processamento

  • Finalidade: Permitir ao Responsável utilizar o sistema YOGO para gerir membros e processar informações.

  • Tipos de dados: Nome, e-mail, telefone, morada, data de nascimento, tipo de adesão, inscrição e participação em cursos.

  • Categorias de titulares: Pessoas com perfil criado no sistema do Responsável.

  • Duração: Desde a entrada em vigor deste Acordo até rescisão por qualquer das partes.

Anexo B – Subprocessadores

  • Condições: Aprovação geral com aviso prévio de alterações (mínimo 1 mês).

  • Subprocessadores aprovados: Gateway API, Mailgun, Amazon Web Services.

Anexo C – Instruções de Processamento

  • Objeto: Gestão de dados de clientes relacionados com cursos, seminários e pagamentos.

  • Segurança: Garantir confidencialidade, integridade e resiliência dos dados.

  • Retenção/eliminação: Dados mantidos até solicitação de devolução ou eliminação; dados identificáveis eliminados, mantendo anónimos para relatórios.

  • Monitorização: Responsável suporta auditorias; custos físicos a cargo do Responsável, recursos fornecidos pelo Processador.