Este Aditamento de Processamento de Dados (“DPA”) faz parte do Acordo entre a Push Engage LLC d/b/a PushEngage (“PushEngage”) e o Cliente (“Cliente”) e entrará em vigor na data em que ambas as partes executarem este DPA (a “Data de Entrada em Vigor”). Todos os termos em maiúsculas não definidos neste DPA terão os significados estabelecidos no Acordo.

1. Definições

“Afiliada” significa uma entidade que, direta ou indiretamente, Controla, é Controlada por ou está sob Controlo comum com uma entidade.

“Acordo” significa os Termos de Utilização da PushEngage, que regem a prestação dos Serviços ao Cliente, podendo esses termos ser atualizados pela PushEngage periodicamente.

“Controlo” significa uma participação acionista, de voto ou similar que represente cinquenta por cento (50%) ou mais dos interesses totais em circulação da entidade em questão. O termo “Controlado” será interpretado em conformidade.

“Dados do Cliente” significa quaisquer Dados Pessoais que a PushEngage processe em nome do Cliente como Processador de Dados no decurso da prestação dos Serviços, conforme descrito mais detalhadamente neste DPA.

“Leis de Proteção de Dados” significa todas as leis de proteção de dados e privacidade aplicáveis ao processamento de Dados Pessoais ao abrigo do Acordo, incluindo, quando aplicável, a Lei de Proteção de Dados da UE.

“Responsável pelo Tratamento de Dados” significa uma entidade que determina as finalidades e os meios do processamento de Dados Pessoais.

“Processador de Dados” significa uma entidade que processa Dados Pessoais em nome de um Responsável pelo Tratamento de Dados.

“Lei de Proteção de Dados da UE” significa (i) antes de 25 de maio de 2018, a Diretiva 95/46/CE do Parlamento Europeu e do Conselho relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (“Diretiva”) e, a partir de 25 de maio de 2018, o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados) (“RGPD”); e (ii) a Diretiva 2002/58/CE relativa ao tratamento de dados pessoais e à proteção da vida privada no setor das comunicações eletrónicas e as suas implementações nacionais aplicáveis (conforme possam ser alteradas, substituídas ou renovadas).

“EEE” significa, para efeitos deste DPA, o Espaço Económico Europeu, o Reino Unido e a Suíça.

“Grupo” significa todas e quaisquer Afiliadas que façam parte do grupo corporativo de uma entidade.

“Rede PushEngage” significa as instalações do centro de dados da PushEngage, servidores, equipamentos de rede e sistemas de software de alojamento (por exemplo, firewalls virtuais) que estão sob o controlo da PushEngage e são utilizados para fornecer os Serviços.

“Dados Pessoais” significa qualquer informação relativa a uma pessoa singular identificada ou identificável.

“Processamento” tem o significado que lhe é atribuído pelo RGPD e “processar”, “processa” e “processado” serão interpretados em conformidade.

“Incidente de Segurança” significa qualquer violação de segurança não autorizada ou ilegal que resulte na destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilegal a Dados do Cliente.

“Serviços” significa qualquer produto ou serviço prestado pela PushEngage ao Cliente ao abrigo do Acordo.

“Cláusulas Contratuais-Tipo” significa o Anexo C anexo e parte integrante deste Aditamento.

“Subcontratante” significa qualquer Subcontratante de Dados contratado pela PushEngage ou pelas suas Afiliadas para auxiliar no cumprimento das suas obrigações relativas à prestação dos Serviços ao abrigo do Acordo ou desta DPA. Os subcontratantes podem incluir terceiros ou membros do Grupo PushEngage.

2. Relação com o Acordo

2.1 As partes concordam que a DPA substituirá qualquer DPA existente que as partes possam ter celebrado anteriormente em ligação com os Serviços.

2.2 Exceto pelas alterações efetuadas por esta DPA, o Acordo permanece inalterado e em plena força e vigor. Em caso de conflito entre esta DPA e o Acordo, prevalecerá esta DPA na medida desse conflito.

2.3 Quaisquer reclamações apresentadas ao abrigo ou em ligação com esta DPA estarão sujeitas aos termos e condições, incluindo, mas não se limitando a, as exclusões e limitações estabelecidas no Acordo.

2.4 Quaisquer reclamações contra a PushEngage ou as suas Afiliadas ao abrigo desta DPA serão apresentadas unicamente contra a entidade que é parte do Acordo. Em caso algum qualquer parte limitará a sua responsabilidade relativamente aos direitos de proteção de dados de qualquer indivíduo ao abrigo desta DPA ou de outra forma. O Cliente concorda ainda que quaisquer penalidades regulamentares incorridas pela PushEngage em relação aos Dados do Cliente que surjam como resultado, ou em ligação com, a falha do Cliente em cumprir as suas obrigações ao abrigo desta DPA ou de quaisquer Leis de Proteção de Dados aplicáveis contarão para e reduzirão a responsabilidade da PushEngage ao abrigo do Acordo como se fosse responsabilidade para com o Cliente ao abrigo do Acordo.

2.5 Ninguém, exceto uma parte desta DPA, os seus sucessores e cessionários permitidos, terá o direito de fazer cumprir qualquer um dos seus termos.

2.6 Esta DPA será regida e interpretada de acordo com as disposições de lei aplicável e jurisdição do Acordo, salvo se exigido de outra forma pelas Leis de Proteção de Dados aplicáveis.

3. Âmbito e Aplicabilidade desta DPA

3.1 Esta DPA aplica-se onde e apenas na medida em que a PushEngage processa Dados do Cliente que se originam no EEE e/ou que estão sujeitos à Lei de Proteção de Dados da UE em nome do Cliente como Subcontratante de Dados no decurso da prestação dos Serviços ao abrigo do Acordo.

3.2 A Parte A (sendo a Secção 4 – 8 (inclusive) deste DPA, bem como os Anexos A, B e C deste DPA) aplicar-se-á ao processamento de Dados do Cliente no âmbito deste DPA a partir da Data de Efetivação.

3.3 A Parte B (sendo as Secções 9-12 (inclusive) deste DPA) aplicar-se-á ao processamento de Dados do Cliente no âmbito do DPA a partir de 25 de maio de 2018, inclusive. Para evitar dúvidas, a Parte B aplicar-se-á adicionalmente, e não em substituição, aos termos da Parte A.

Parte A: Obrigações Gerais de Proteção de Dados

4. Funções e Âmbito do Processamento

4.1 Função das Partes. Entre a PushEngage e o Cliente, o Cliente é o Controlador de Dados dos Dados do Cliente, e a PushEngage processará os Dados do Cliente apenas como um Processador de Dados agindo em nome do Cliente.

4.2 Processamento de Dados do Cliente pelo Cliente. O Cliente concorda que (i) cumprirá as suas obrigações como Controlador de Dados ao abrigo das Leis de Proteção de Dados relativamente ao seu processamento de Dados do Cliente e a quaisquer instruções de processamento que emita para a PushEngage; e (ii) forneceu notificação e obteve (ou obterá) todos os consentimentos e direitos necessários ao abrigo das Leis de Proteção de Dados para que a PushEngage processe os Dados do Cliente e forneça os Serviços ao abrigo do Acordo e deste DPA.

4.3 Processamento de Dados do Cliente pela PushEngage. A PushEngage processará os Dados do Cliente apenas para os fins descritos neste DPA e apenas de acordo com as instruções legais documentadas do Cliente. As partes concordam que este DPA e o Acordo estabelecem as instruções completas e finais do Cliente para a PushEngage em relação ao processamento de Dados do Cliente e que o processamento fora do âmbito destas instruções (se houver) exigirá acordo prévio por escrito entre o Cliente e a PushEngage.

4.4 Detalhes do Processamento de Dados.

1. Assunto: O assunto do processamento de dados ao abrigo deste DPA são os Dados do Cliente.
2. Duração: Entre a PushEngage e o Cliente, a duração do processamento de dados ao abrigo deste DPA é até à rescisão do Acordo de acordo com os seus termos.
3. Finalidade: A finalidade do processamento de dados ao abrigo deste DPA é a prestação dos Serviços ao Cliente e o cumprimento das obrigações da PushEngage ao abrigo do Acordo (incluindo este DPA) ou conforme acordado pelas partes.
4. Natureza do processamento: A PushEngage fornece um serviço de notificações push web e outros serviços relacionados, conforme descrito no Acordo.
5. Categorias de titulares de dados: Qualquer indivíduo que aceda e/ou utilize os Serviços através da conta do Cliente (“Utilizadores”); e qualquer indivíduo: (i) cujo endereço de e-mail esteja incluído na Lista de Distribuição do Cliente; (ii) cuja informação seja armazenada ou recolhida através dos Serviços, ou (iii) para quem os Utilizadores enviem e-mails ou com quem de outra forma interajam ou comuniquem através dos Serviços (coletivamente, “Subscritores”).
6. Tipos de Dados do Cliente:
7. Clientes e Utilizadores: dados de identificação e contacto (nome, morada, cargo, detalhes de contacto, nome de utilizador); informações financeiras (detalhes do cartão de crédito, detalhes da conta, informações de pagamento); detalhes de emprego (empregador, cargo, localização geográfica, área de responsabilidade);
8. Subscritores: dados de identificação e contacto (nome, data de nascimento, género, informações gerais, ocupação ou outras informações demográficas, morada, cargo, detalhes de contacto, incluindo endereço de e-mail), interesses ou preferências pessoais (incluindo histórico de compras, preferências de marketing e informações de perfil de redes sociais publicamente disponíveis); informações de TI (endereços IP, dados de utilização, dados de cookies, dados de navegação online, dados de localização, dados do navegador); informações financeiras (detalhes do cartão de crédito, detalhes da conta, informações de pagamento).
9. Não obstante qualquer disposição em contrário no Acordo (incluindo este DPA), o Cliente reconhece que a PushEngage terá o direito de usar e divulgar dados relativos à operação, suporte e/ou utilização dos Serviços para os seus fins comerciais legítimos, tais como faturação, gestão de conta, suporte técnico, desenvolvimento de produtos e vendas e marketing. Na medida em que quaisquer dados desse tipo sejam considerados Dados Pessoais ao abrigo das Leis de Proteção de Dados, a PushEngage é o Controlador de Dados de tais dados e, consequentemente, processará tais dados de acordo com a Política de Privacidade da PushEngage e as Leis de Proteção de Dados.
10. Tecnologias de Rastreamento. O Cliente reconhece que, em conexão com o desempenho dos Serviços, a PushEngage emprega o uso de cookies, identificadores únicos, web beacons e tecnologias de rastreamento semelhantes ("Tecnologias de Rastreamento"). O Cliente manterá mecanismos apropriados de notificação, consentimento, opt-in e opt-out, conforme exigido pelas Leis de Proteção de Dados, para permitir que a PushEngage implemente Tecnologias de Rastreamento legalmente em, e recolha dados de, os dispositivos dos Subscritores (definidos abaixo) de acordo com e conforme descrito na Declaração de Cookies da PushEngage.

5. Subprocessamento

5.1 Subprocessadores Autorizados. O Cliente concorda que a PushEngage pode contratar Subprocessadores para processar Dados do Cliente em nome do Cliente. Os Subprocessadores atualmente contratados pela PushEngage e autorizados pelo Cliente estão listados no Anexo A.

5.2 Obrigações do Subprocessador. A PushEngage deverá: (i) celebrar um acordo escrito com o Subprocessador que imponha termos de proteção de dados que exijam que o Subprocessador proteja os Dados do Cliente com o padrão exigido pelas Leis de Proteção de Dados; e (ii) permanecer responsável pela sua conformidade com as obrigações deste DPA e por quaisquer atos ou omissões do Subprocessador que causem à PushEngage a violação de qualquer uma das suas obrigações ao abrigo deste DPA.

6. Segurança

6.1 Medidas de Segurança. A PushEngage implementará e manterá medidas de segurança técnicas e organizacionais apropriadas para proteger os Dados do Cliente contra Incidentes de Segurança e para preservar a segurança e a confidencialidade dos Dados do Cliente, de acordo com os padrões de segurança da PushEngage descritos no Anexo B (“Medidas de Segurança”).

6.2 Atualizações às Medidas de Segurança. O Cliente é responsável por rever as informações disponibilizadas pela PushEngage relativas à segurança de dados e por determinar de forma independente se os Serviços cumprem os requisitos e as obrigações legais do Cliente ao abrigo das Leis de Proteção de Dados. O Cliente reconhece que as Medidas de Segurança estão sujeitas ao progresso e desenvolvimento técnico e que a PushEngage pode atualizar ou modificar as Medidas de Segurança periodicamente, desde que tais atualizações e modificações não resultem na degradação da segurança geral dos Serviços adquiridos pelo Cliente.

6.3 Responsabilidades do Cliente. Não obstante o acima exposto, o Cliente concorda que, exceto conforme previsto neste DPA, o Cliente é responsável pelo uso seguro dos Serviços, incluindo a proteção das credenciais de autenticação da sua conta, a proteção da segurança dos Dados do Cliente durante a transmissão de e para os Serviços e a tomada de quaisquer medidas apropriadas para encriptar ou fazer backup de forma segura de quaisquer Dados do Cliente carregados para os Serviços.

7. Relatórios e Auditorias de Segurança

7.1 O Cliente reconhece que a PushEngage é auditada regularmente em relação aos padrões SSAE 16 e PCI por auditores independentes terceirizados e auditores internos, respetivamente.

7.2 A PushEngage também fornecerá respostas por escrito (de forma confidencial) a todos os pedidos razoáveis de informação feitos pelo Cliente, incluindo respostas a questionários de segurança da informação e auditoria que sejam necessários para confirmar a conformidade da PushEngage com este DPA, desde que o Cliente não exerça este direito mais de uma vez por ano.

8. Transferências Internacionais

8.1 Localizações dos centros de dados. A PushEngage pode transferir e processar Dados do Cliente em qualquer lugar do mundo onde a PushEngage, as suas Afiliadas ou os seus Subcontratados mantenham operações de processamento de dados. A PushEngage fornecerá em todos os momentos um nível adequado de proteção para os Dados do Cliente processados, de acordo com os requisitos das Leis de Proteção de Dados.

8.2 Mecanismo de Transferência Alternativo. As partes concordam que a solução de exportação de dados identificada na Secção 8.2 não se aplicará se e na medida em que a PushEngage adote uma solução de exportação de dados alternativa para a transferência legal de Dados Pessoais (conforme reconhecido pelas Leis de Proteção de Dados da UE) para fora do EEE (“Mecanismo de Transferência Alternativo”), caso em que o Mecanismo de Transferência Alternativo se aplicará em vez disso (mas apenas na medida em que tal Mecanismo de Transferência Alternativo se estenda aos territórios para os quais os Dados Pessoais são transferidos).

Parte B: Obrigações do RGPD a partir de 25 de maio de 2018

9. Segurança Adicional

9.1 Confidencialidade do processamento. A PushEngage garantirá que qualquer pessoa autorizada pela PushEngage a processar Dados do Cliente (incluindo o seu pessoal, agentes e subcontratados) esteja sujeita a uma obrigação apropriada de confidencialidade (seja um dever contratual ou estatutário).

9.2 Resposta a Incidentes de Segurança. Ao tomar conhecimento de um Incidente de Segurança, a PushEngage notificará o Cliente sem demora indevida e fornecerá informações atempadas relativas ao Incidente de Segurança à medida que este for conhecido ou conforme razoavelmente solicitado pelo Cliente.

10. Alterações aos Subcontratados

10.1 A PushEngage (i) fornecerá uma lista atualizada dos Subcontratados que designou mediante pedido escrito do Cliente; e (ii) notificará o Cliente (para o qual o e-mail será suficiente) se adicionar ou remover Subcontratados, pelo menos 10 dias antes de quaisquer alterações.

10.2 O Cliente poderá opor-se por escrito à designação de um novo Subcontratado pela PushEngage no prazo de trinta (30) dias corridos a contar dessa notificação, desde que tal oposição se baseie em motivos razoáveis relacionados com a proteção de dados. Nesse caso, as partes discutirão tais preocupações de boa fé com vista a alcançar uma resolução. Se tal não for possível, o Cliente poderá suspender ou rescindir o Acordo (sem prejuízo de quaisquer taxas incorridas pelo Cliente antes da suspensão ou rescisão).

11. Devolução ou Eliminação de Dados

11.1 Após a rescisão ou expiração do Acordo, a PushEngage (à escolha do Cliente) eliminará ou devolverá ao Cliente todos os Dados do Cliente (incluindo cópias) na sua posse ou controlo, exceto que este requisito não se aplicará na medida em que a PushEngage seja obrigada pela lei aplicável a reter alguns ou todos os Dados do Cliente, ou a Dados do Cliente que tenha arquivado em sistemas de cópia de segurança, os quais Dados do Cliente a PushEngage irá isolar e proteger de forma segura de qualquer processamento adicional, exceto na medida exigida pela lei aplicável.

12. Cooperação

12.1 Os Serviços fornecem ao Cliente uma série de controlos que o Cliente pode utilizar para recuperar, corrigir, eliminar ou restringir os Dados do Cliente, que o Cliente pode utilizar para o auxiliar nas suas obrigações ao abrigo do RGPD, incluindo as suas obrigações relativas à resposta a pedidos de titulares de dados ou de autoridades de proteção de dados aplicáveis. Na medida em que o Cliente não consiga aceder independentemente aos Dados do Cliente relevantes nos Serviços, a PushEngage deverá (à custa do Cliente) fornecer cooperação razoável para auxiliar o Cliente a responder a quaisquer pedidos de indivíduos ou de autoridades de proteção de dados aplicáveis relativos ao processamento de Dados Pessoais ao abrigo do Acordo. No caso de qualquer pedido ser feito diretamente à PushEngage, a PushEngage não responderá a tal comunicação diretamente sem autorização prévia do Cliente, a menos que seja legalmente obrigada a fazê-lo. Se a PushEngage for obrigada a responder a tal pedido, a PushEngage notificará prontamente o Cliente e fornecer-lhe-á uma cópia do pedido, a menos que seja legalmente proibida de o fazer.

12.2 Se uma agência de aplicação da lei enviar à PushEngage uma exigência de Dados do Cliente (por exemplo, através de uma intimação ou ordem judicial), a PushEngage tentará redirecionar a agência de aplicação da lei para solicitar esses dados diretamente ao Cliente. Como parte deste esforço, a PushEngage pode fornecer as informações de contacto básicas do Cliente à agência de aplicação da lei. Se for obrigada a divulgar Dados do Cliente a uma agência de aplicação da lei, então a PushEngage dará ao Cliente um aviso razoável da exigência para permitir que o Cliente procure uma ordem de proteção ou outro remédio apropriado, a menos que a PushEngage seja legalmente proibida de o fazer.

12.3 Na medida em que a PushEngage seja obrigada ao abrigo da Legislação da UE sobre Proteção de Dados, a PushEngage deverá (à custa do Cliente) fornecer informações razoavelmente solicitadas sobre os Serviços para permitir que o Cliente realize avaliações de impacto sobre a proteção de dados ou consultas prévias com autoridades de proteção de dados, conforme exigido por lei.

ANEXO A – Lista de Subprocessadores da PushEngage

A PushEngage utiliza as suas Afiliadas e uma gama de Subprocessadores terceirizados para a auxiliar na prestação dos Serviços (conforme descrito no Acordo). Estes Subprocessadores listados abaixo fornecem serviços de alojamento e armazenamento na nuvem; serviços de entrega e revisão de conteúdo; auxiliam na prestação de suporte ao cliente; bem como serviços de rastreamento, resposta, diagnóstico e resolução de incidentes.
Subprocessadores utilizados por nós quando atuamos como processador

Subprocessador	Propósito	Localização	Mais Comentários
Amazon Web Services	Serviço Seguro na Nuvem para Infraestrutura de Alojamento e Bases de Dados	EUA	https://aws.amazon.com/compliance/gdpr-center/

Anexo B – Medidas de Segurança

As Medidas de Segurança aplicáveis aos Serviços são descritas abaixo e aqui https://PushEngage.com/security/ (conforme atualizadas periodicamente de acordo com a Secção 6.2 deste DPA).

1. Programa de Segurança da Informação. A PushEngage manterá um programa de segurança da informação (incluindo a adoção e aplicação de políticas e procedimentos internos) concebido para (a) ajudar o Cliente a proteger os Dados do Cliente contra perda, acesso ou divulgação acidental ou ilegal, (b) identificar riscos razoavelmente previsíveis e internos para a segurança e acesso não autorizado à Rede PushEngage, e (c) minimizar os riscos de segurança, incluindo através de avaliação de riscos e testes regulares. A PushEngage designará um ou mais funcionários para coordenar e ser responsável pelo programa de segurança da informação. O programa de segurança da informação incluirá as seguintes medidas:

1.1 Segurança da Rede. A Rede PushEngage será eletronicamente acessível a funcionários, contratados e qualquer outra pessoa conforme necessário para fornecer os Serviços. A PushEngage manterá controlos de acesso e políticas para gerir que acesso é permitido à Rede PushEngage a partir de cada ligação de rede e utilizador, incluindo o uso de firewalls ou tecnologia funcionalmente equivalente e controlos de autenticação. A PushEngage manterá planos de ação corretiva e de resposta a incidentes para responder a potenciais ameaças de segurança.

1.2 Segurança Física

1.2.1 Controlos de Acesso Físico. Os componentes físicos da Rede PushEngage estão alojados em instalações discretas (as “Instalações”). São utilizados controlos de barreira física para impedir a entrada não autorizada nas Instalações, tanto no perímetro como nos pontos de acesso ao edifício. A passagem através das barreiras físicas nas Instalações requer validação de controlo de acesso eletrónico (por exemplo, sistemas de acesso por cartão, etc.) ou validação por pessoal de segurança humano (por exemplo, serviço de segurança contratado ou interno, rececionista, etc.). Os funcionários e contratados recebem crachás de identificação com foto que devem ser usados enquanto os funcionários e contratados estiverem em qualquer uma das Instalações. Os visitantes são obrigados a registar-se junto do pessoal designado, devem apresentar identificação apropriada, recebem um crachá de visitante que deve ser usado enquanto o visitante estiver em qualquer uma das Instalações, e são continuamente acompanhados por funcionários ou contratados autorizados durante a visita às Instalações.

1.2.2 Acesso Limitado a Funcionários e Contratados. A PushEngage concede acesso às Instalações aos funcionários e contratados que tenham uma necessidade comercial legítima para tais privilégios de acesso. Quando um funcionário ou contratado já não tem uma necessidade comercial para os privilégios de acesso atribuídos a ele/ela, os privilégios de acesso são revogados prontamente, mesmo que o funcionário ou contratado continue a ser um funcionário da PushEngage ou das suas afiliadas.

1.2.3 Proteções Físicas de Segurança. Todos os pontos de acesso (exceto as portas de entrada principais) são mantidos num estado seguro (fechados à chave). Os pontos de acesso às Instalações são monitorizados por câmaras de videovigilância concebidas para gravar todos os indivíduos que acedem às Instalações. A PushEngage também mantém sistemas eletrónicos de deteção de intrusão concebidos para detetar acesso não autorizado às Instalações, incluindo a monitorização de pontos de vulnerabilidade (por exemplo, portas de entrada principais, portas de saída de emergência, alçapões do telhado, portas de carga, etc.) com contactos de porta, dispositivos de deteção de quebra de vidro, deteção de movimento interior ou outros dispositivos concebidos para detetar indivíduos que tentam aceder às Instalações. Todo o acesso físico às Instalações por parte de funcionários e empreiteiros é registado e auditado rotineiramente.

2. Avaliação Contínua. A PushEngage realizará revisões periódicas da segurança da sua Rede PushEngage e da adequação do seu programa de segurança da informação, conforme medido em relação aos padrões de segurança da indústria e às suas políticas e procedimentos. A PushEngage avaliará continuamente a segurança da sua Rede PushEngage e dos Serviços associados para determinar se são necessárias medidas de segurança adicionais ou diferentes para responder a novos riscos de segurança ou a descobertas geradas pelas revisões periódicas.

Anexo C – Cláusulas Contratuais Padrão

Para efeitos do artigo 26.º(2) da Diretiva 95/46/CE para a transferência de dados pessoais para processadores estabelecidos em países terceiros que não garantem um nível adequado de proteção de dados

A entidade identificada como “Cliente” no Aditamento (o “exportador de dados”) e a PushEngage (o “importador de dados”), cada uma “parte”; em conjunto “as partes”,

ACORDARAM as seguintes Cláusulas Contratuais (as Cláusulas) a fim de fornecer garantias adequadas relativamente à proteção da privacidade e dos direitos e liberdades fundamentais dos indivíduos para a transferência, pelo exportador de dados para o importador de dados, dos dados pessoais especificados no Apêndice 1.

Cláusula 1

Definições

Para efeitos das Cláusulas:

• «dados pessoais», «categorias especiais de dados», «processar/processamento», «responsável pelo tratamento», «subcontratante», «titular dos dados» e «autoridade de controlo» terão o mesmo significado que na Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados;
• «o exportador de dados» significa o responsável pelo tratamento que transfere os dados pessoais;
• «o importador de dados» significa o subcontratante que concorda em receber do exportador de dados dados pessoais destinados a serem processados em seu nome após a transferência, de acordo com as suas instruções e os termos das Cláusulas, e que não está sujeito a um sistema de um país terceiro que garanta uma proteção adequada, nos termos do artigo 25.º(1) da Diretiva 95/46/CE;
• «subcontratado» significa qualquer processador contratado pelo importador de dados ou por qualquer outro subcontratado do importador de dados que concorde em receber do importador de dados ou de qualquer outro subcontratado do importador de dados dados pessoais exclusivamente destinados a atividades de processamento a serem realizadas em nome do exportador de dados após a transferência, de acordo com as suas instruções, os termos das Cláusulas e os termos do contrato de subcontratação por escrito;
• «lei de proteção de dados aplicável» significa a legislação que protege os direitos e liberdades fundamentais dos indivíduos e, em particular, o seu direito à privacidade relativamente ao processamento de dados pessoais aplicável a um responsável pelo tratamento no Estado-Membro em que o exportador de dados está estabelecido;
• «medidas técnicas e organizacionais de segurança» significa as medidas destinadas a proteger os dados pessoais contra a destruição acidental ou ilícita ou perda acidental, alteração, divulgação ou acesso não autorizado, em particular quando o processamento envolve a transmissão de dados através de uma rede, e contra todas as outras formas ilícitas de processamento.

Cláusula 2

Detalhes da transferência

Os detalhes da transferência e, em particular, as categorias especiais de dados pessoais, quando aplicável, são especificados no Anexo 1, que faz parte integrante das Cláusulas.

Cláusula 3

Cláusula de beneficiário terceiro

• O titular dos dados pode fazer valer contra o exportador de dados esta Cláusula, as Cláusulas 4(b) a (i), 5(a) a (e) e (g) a (j), 6(1) e (2), 7, 8(2) e 9 a 12 como beneficiário terceiro.
• O titular dos dados pode fazer valer contra o importador de dados esta Cláusula, as Cláusulas 5(a) a (e) e (g), 6, 7, 8(2) e 9 a 12, nos casos em que o exportador de dados tenha desaparecido de facto ou tenha deixado de existir legalmente, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações legais do exportador de dados por contrato ou por força da lei, como resultado do qual assume os direitos e obrigações do exportador de dados, caso em que o titular dos dados pode fazê-los valer contra essa entidade.
• O titular dos dados pode fazer valer contra o subcontratado esta Cláusula, as Cláusulas 5(a) a (e) e (g), 6, 7, 8(2) e 9 a 12, nos casos em que tanto o exportador de dados como o importador de dados tenham desaparecido de facto ou deixado de existir legalmente ou se tenham tornado insolventes, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações legais do exportador de dados por contrato ou por força da lei, como resultado do qual assume os direitos e obrigações do exportador de dados, caso em que o titular dos dados pode fazê-los valer contra essa entidade. Tal responsabilidade de terceiro do subcontratado será limitada às suas próprias operações de processamento ao abrigo das Cláusulas.
• As partes não se opõem a que um titular de dados seja representado por uma associação ou outro organismo, se o titular de dados assim o desejar expressamente e se tal for permitido pela lei nacional.

Cláusula 4

Obrigações do exportador de dados

O exportador de dados concorda e garante:

• que o tratamento, incluindo a própria transferência, dos dados pessoais foi e continuará a ser efetuado em conformidade com as disposições relevantes da lei de proteção de dados aplicável (e, quando aplicável, foi notificado às autoridades relevantes do Estado-Membro onde o exportador de dados está estabelecido) e não viola as disposições relevantes desse Estado;
•  que instruiu e, durante toda a duração dos serviços de tratamento de dados pessoais, instruirá o importador de dados a tratar os dados pessoais transferidos apenas em nome do exportador de dados e em conformidade com a lei de proteção de dados aplicável e as Cláusulas;
• que o importador de dados fornecerá garantias suficientes relativamente às medidas de segurança técnicas e organizacionais especificadas no Anexo 2 deste contrato;
• que, após avaliação dos requisitos da lei de proteção de dados aplicável, as medidas de segurança são adequadas para proteger os dados pessoais contra destruição acidental ou ilícita ou perda acidental, alteração, divulgação ou acesso não autorizados, em particular quando o tratamento envolve a transmissão de dados através de uma rede, e contra todas as outras formas ilícitas de tratamento, e que estas medidas garantem um nível de segurança adequado aos riscos apresentados pelo tratamento e à natureza dos dados a proteger, tendo em conta o estado da técnica e o custo da sua implementação;
• que garantirá a conformidade com as medidas de segurança;
• que, se a transferência envolver categorias especiais de dados, o titular dos dados foi informado ou será informado antes, ou o mais rapidamente possível após, a transferência de que os seus dados podem ser transmitidos para um país terceiro que não ofereça proteção adequada nos termos da Diretiva 95/46/CE;
• encaminhar qualquer notificação recebida do importador de dados ou de qualquer subcontratado nos termos da Cláusula 5(b) e da Cláusula 8(3) para a autoridade de supervisão da proteção de dados, caso o exportador de dados decida prosseguir com a transferência ou levantar a suspensão;
• disponibilizar aos titulares dos dados, mediante solicitação, uma cópia das Cláusulas, com exceção do Anexo 2, e uma descrição sumária das medidas de segurança, bem como uma cópia de qualquer contrato de serviços de subcontratação que deva ser celebrado nos termos das Cláusulas, a menos que as Cláusulas ou o contrato contenham informações comerciais, caso em que pode remover tais informações comerciais;
• que, em caso de subcontratação, a atividade de tratamento é realizada em conformidade com a Cláusula 11 por um subcontratado que ofereça, pelo menos, o mesmo nível de proteção dos dados pessoais e dos direitos do titular dos dados que o importador de dados nos termos das Cláusulas; e
• que garantirá a conformidade com a Cláusula 4(a) a (i).

Cláusula 5

Obrigações do importador de dados

O importador de dados concorda e garante:

• processar os dados pessoais apenas em nome do exportador de dados e em conformidade com as suas instruções e com as Cláusulas; se não puder garantir tal conformidade por qualquer motivo, concorda em informar prontamente o exportador de dados da sua incapacidade de cumprir, caso em que o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato;
• que não tem motivos para acreditar que a legislação aplicável a si a impede de cumprir as instruções recebidas do exportador de dados e as suas obrigações ao abrigo do contrato e que, em caso de alteração dessa legislação que seja suscetível de ter um impacto adverso substancial nas garantias e obrigações previstas nas Cláusulas, notificará prontamente a alteração ao exportador de dados assim que tiver conhecimento, caso em que o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato;
• que implementou as medidas de segurança técnicas e organizacionais especificadas no Anexo 2 antes de processar os dados pessoais transferidos;
• que notificará prontamente o exportador de dados sobre:
• qualquer pedido legalmente vinculativo para divulgação dos dados pessoais por uma autoridade de aplicação da lei, a menos que seja proibido de outra forma, como uma proibição ao abrigo do direito penal para preservar a confidencialidade de uma investigação de aplicação da lei,
• qualquer acesso acidental ou não autorizado, e
• qualquer pedido recebido diretamente dos titulares dos dados sem responder a esse pedido, a menos que tenha sido autorizado de outra forma a fazê-lo;
• tratar prontamente e adequadamente todas as questões do exportador de dados relativas ao seu processamento dos dados pessoais sujeitos à transferência e cumprir o conselho da autoridade de supervisão relativamente ao processamento dos dados transferidos;
• a pedido do exportador de dados, submeter as suas instalações de processamento de dados a auditoria das atividades de processamento abrangidas pelas Cláusulas, que será realizada pelo exportador de dados ou por um organismo de inspeção composto por membros independentes e na posse das qualificações profissionais exigidas, vinculado por um dever de confidencialidade, selecionado pelo exportador de dados, quando aplicável, em acordo com a autoridade de supervisão;
• disponibilizar ao titular dos dados, mediante solicitação, uma cópia das Cláusulas, ou de qualquer contrato de subcontratação existente, a menos que as Cláusulas ou o contrato contenham informações comerciais, caso em que pode remover tais informações comerciais, com exceção do Anexo 2, que será substituído por uma descrição sumária das medidas de segurança nos casos em que o titular dos dados não consiga obter uma cópia do exportador de dados;
• que, em caso de subcontratação, informou previamente o exportador de dados e obteve o seu consentimento prévio por escrito;
• que os serviços de processamento pelo subcontratado serão realizados de acordo com a Cláusula 11;
• enviar prontamente uma cópia de qualquer acordo de subcontratação que celebre ao abrigo das Cláusulas ao exportador de dados.

Os requisitos obrigatórios da legislação nacional aplicável ao importador de dados que não excedam o necessário numa sociedade democrática com base num dos interesses enumerados no artigo 13.º, n.º 1, da Diretiva 95/46/CE, ou seja, se constituírem uma medida necessária para salvaguardar a segurança nacional, a defesa, a segurança pública, a prevenção, investigação, deteção e repressão de infrações penais ou de violações da ética das profissões regulamentadas, um interesse económico ou financeiro importante do Estado ou a proteção do titular dos dados ou dos direitos e liberdades de terceiros, não contrariam as cláusulas contratuais-tipo. Alguns exemplos de tais requisitos obrigatórios que não excedem o necessário numa sociedade democrática são, inter alia, sanções reconhecidas internacionalmente, requisitos de comunicação de impostos ou requisitos de comunicação de branqueamento de capitais.

Cláusula 6

Responsabilidade

1. As partes concordam que qualquer titular de dados que tenha sofrido danos como resultado de qualquer violação das obrigações referidas na Cláusula 3 ou na Cláusula 11 por qualquer parte ou subcontratado tem o direito de receber indemnização do exportador de dados pelos danos sofridos.
2. Se um titular de dados não puder intentar uma ação de indemnização nos termos do n.º 1 contra o exportador de dados, decorrente de uma violação por parte do importador de dados ou do seu subcontratado de qualquer uma das suas obrigações referidas na Cláusula 3 ou na Cláusula 11, porque o exportador de dados desapareceu de facto ou deixou de existir legalmente ou tornou-se insolvente, o importador de dados concorda que o titular de dados pode intentar uma ação contra o importador de dados como se este fosse o exportador de dados, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações legais do exportador de dados por contrato ou por operação de lei, caso em que o titular de dados pode fazer valer os seus direitos contra essa entidade. O importador de dados não pode invocar uma violação por um subcontratado das suas obrigações para evitar as suas próprias responsabilidades.
3. Se um titular de dados não puder intentar uma ação contra o exportador de dados ou o importador de dados referidos nos n.º 1 e 2, decorrente de uma violação por parte do subcontratado de qualquer uma das suas obrigações referidas na Cláusula 3 ou na Cláusula 11, porque tanto o exportador de dados como o importador de dados desapareceram de facto ou deixaram de existir legalmente ou tornaram-se insolventes, o subcontratado concorda que o titular de dados pode intentar uma ação contra o subcontratado relativamente às suas próprias operações de processamento ao abrigo das Cláusulas como se fosse o exportador de dados ou o importador de dados, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações legais do exportador de dados ou do importador de dados por contrato ou por operação de lei, caso em que o titular de dados pode fazer valer os seus direitos contra essa entidade. A responsabilidade do subcontratado ficará limitada às suas próprias operações de processamento ao abrigo das Cláusulas.

Cláusula 7

Mediação e jurisdição

1. O importador de dados concorda que, se o titular dos dados invocar contra ele direitos de terceiro beneficiário e/ou reclamar indemnização por perdas e danos ao abrigo das Cláusulas, o importador de dados aceitará a decisão do titular dos dados:

• submeter a disputa à mediação, por uma pessoa independente ou, quando aplicável, pela autoridade de controlo;
• submeter a disputa aos tribunais do Estado-Membro onde o exportador de dados está estabelecido.

As partes concordam que a escolha feita pelo titular dos dados não prejudicará os seus direitos substantivos ou processuais de procurar reparações em conformidade com outras disposições do direito nacional ou internacional.

Cláusula 8

Cooperação com as autoridades de controlo

1. O exportador de dados concorda em depositar uma cópia deste contrato junto da autoridade de controlo, se esta o solicitar ou se tal depósito for exigido pela legislação aplicável em matéria de proteção de dados.
2. As partes concordam que a autoridade de controlo tem o direito de realizar uma auditoria ao importador de dados e a qualquer subcontratante, com o mesmo âmbito e sujeita às mesmas condições que se aplicariam a uma auditoria ao exportador de dados ao abrigo da legislação aplicável em matéria de proteção de dados.
3. O importador de dados informará prontamente o exportador de dados sobre a existência de legislação que lhe seja aplicável ou a qualquer subcontratante que impeça a realização de uma auditoria ao importador de dados, ou a qualquer subcontratante, nos termos do n.º 2. Nesse caso, o exportador de dados terá o direito de tomar as medidas previstas na Cláusula 5 (b).

Cláusula 9

Lei aplicável

As Cláusulas regem-se pela lei do Estado-Membro onde o exportador de dados está estabelecido.

Cláusula 10

Alteração do contrato

As partes comprometem-se a não alterar ou modificar as Cláusulas. Isto não impede as partes de adicionar cláusulas sobre questões relacionadas com o negócio, quando necessário, desde que não contrariem a Cláusula.

Cláusula 11

Subcontratação

1. O importador de dados não subcontratará nenhuma das suas operações de tratamento realizadas em nome do exportador de dados ao abrigo das Cláusulas sem o consentimento prévio por escrito do exportador de dados. Quando o importador de dados subcontratar as suas obrigações ao abrigo das Cláusulas, com o consentimento do exportador de dados, fá-lo-á apenas através de um acordo escrito com o subcontratante que imponha ao subcontratante as mesmas obrigações que são impostas ao importador de dados ao abrigo das Cláusulas. Quando o subcontratante não cumprir as suas obrigações de proteção de dados ao abrigo de tal acordo escrito, o importador de dados permanecerá integralmente responsável perante o exportador de dados pelo cumprimento das obrigações do subcontratante ao abrigo de tal acordo.
2. O contrato escrito prévio entre o importador de dados e o subcontratado deverá também prever uma cláusula de terceiro beneficiário, tal como estabelecido na Cláusula 3, para os casos em que o titular dos dados não consiga intentar a ação de indemnização a que se refere o n.º 1 da Cláusula 6 contra o exportador de dados ou o importador de dados porque estes desapareceram de facto ou deixaram de existir legalmente ou tornaram-se insolventes e nenhuma entidade sucessora assumiu a totalidade das obrigações legais do exportador de dados ou do importador de dados por contrato ou por força da lei. Tal responsabilidade de terceiro do subcontratado ficará limitada às suas próprias operações de tratamento ao abrigo das Cláusulas.
3. As disposições relativas aos aspetos de proteção de dados para o subcontrato do contrato referido no n.º 1 serão regidas pela lei do Estado-Membro em que o exportador de dados está estabelecido.
4. O exportador de dados manterá uma lista de acordos de subcontrato celebrados ao abrigo das Cláusulas e notificados pelo importador de dados nos termos da Cláusula 5 (j), que será atualizada pelo menos uma vez por ano. A lista estará à disposição da autoridade de supervisão da proteção de dados do exportador de dados.

Cláusula 12

Obrigação após a cessação dos serviços de tratamento de dados pessoais

1. As partes concordam que, com a cessação da prestação de serviços de tratamento de dados, o importador de dados e o subcontratado deverão, à escolha do exportador de dados, devolver todos os dados pessoais transferidos e as respetivas cópias ao exportador de dados ou destruir todos os dados pessoais e certificar ao exportador de dados que o fez, a menos que a legislação imposta ao importador de dados o impeça de devolver ou destruir a totalidade ou parte dos dados pessoais transferidos. Nesse caso, o importador de dados garante que manterá a confidencialidade dos dados pessoais transferidos e não tratará ativamente os dados pessoais transferidos.
2. O importador de dados e o subcontratado garantem que, mediante solicitação do exportador de dados e/ou da autoridade de supervisão, submeterão as suas instalações de tratamento de dados a uma auditoria das medidas referidas no n.º 1.

APÊNDICE 1 ÀS CLÁUSULAS CONTRATUAIS PADRÃO

Exportador de dados

O exportador de dados é a entidade identificada como “Cliente” no Aditamento.

Importador de dados

O importador de dados é a PushEngage, um fornecedor de serviços web.

Titulares dos dados

Os titulares dos dados incluem os clientes e os utilizadores finais do exportador de dados.

Categorias de dados

Os dados pessoais relativos a indivíduos que são carregados nos Serviços PushEngage pelo exportador de dados.

Operações de tratamento

Os dados pessoais transferidos estarão sujeitos às seguintes atividades básicas de tratamento (conforme aplicável):

Computação, Armazenamento e Distribuição de Conteúdo na Rede PushEngage

APÊNDICE 2 ÀS CLÁUSULAS CONTRATUAIS PADRÃO

Este Apêndice faz parte das Cláusulas e deve ser preenchido e assinado pelas partes. Ao assinar a página de assinatura na página 1 deste Aditamento, as partes serão consideradas como tendo assinado este Apêndice 2.

Descrição das medidas de segurança técnicas e organizacionais implementadas pelo importador de dados em conformidade com as Cláusulas 4(d) e 5(c) (ou documento/legislação anexa):

As medidas de segurança técnicas e organizacionais implementadas pelo importador de dados estão descritas no Aditamento.

Última atualização: 24 de dezembro de 2025