Acordo de Tratamento de Dados Pessoais
- Definições
- Funções de Tratamento de Dados Pessoais
- Obrigações da DMNS Dominios S.A
- Obrigações do Cliente
- Consentimento para Subcontratação
- Transferências de Dados Pessoais
- Obrigações de Cooperação e Responsabilidade
- Direitos do Titular dos Dados
- Devolução e Apagamento de Dados
- Transmissões
- Violações de Dados Pessoais
- Recuperação de Desastres e Continuidade de Negócios
- Mandato
Preâmbulo
Considerando que:
A. A Legislação de Proteção de Dados Aplicável permite que um Responsável pelo Tratamento nomeie uma pessoa singular ou coletiva, autoridade pública, agência ou qualquer outro organismo ou entidade para atuar como seu Subcontratante no que respeita a Tratamentos de Dados Pessoais.
B. O Subcontratante a nomear deve apresentar garantias suficientes, em virtude da sua experiência, competências e fiabilidade, de execução de medidas técnicas e organizativas adequadas, de tal forma que as atividades de Tratamento que deva realizar satisfaçam os requisitos da Legislação de Proteção de Dados Aplicável e assegurem a defesa dos direitos dos Titulares dos Dados, inclusive no que diz respeito a questões de segurança.
C. O presente Acordo de Tratamento de Dados Pessoais, incluindo os seus Anexos (“DPA”), é celebrado entre o Cliente, e a DMNS Dominios S.A (“DMNS”). O Cliente e a DMNS Dominios S.A serão conjuntamente referidos como as “Partes”, e cada um individualmente como “Parte”. O presente DPA é celebrado entre as Partes para formalizar o seu acordo no que respeita à sua relação de Tratamento de Dados Pessoais, nos termos da Legislação de Proteção de Dados Aplicável.
D. A DMNS Dominios S.A fornece ao Cliente os serviços (“Serviços”) ativados pelo Cliente nos termos das Condições Gerais de Serviço aplicáveis, bem como demais condições particulares relevantes, disponíveis em: https://www.dominios.pt/sobre/condicoes (“Condições”). No âmbito da prestação dos Serviços, a DMNS Dominios S.A poderá Tratar Dados Pessoais por conta do Cliente, nos termos do presente DPA.
E. As finalidades do Tratamento de Dados Pessoais a realizar pela DMNS Dominios S.A no âmbito da prestação dos Serviços estão descritas no Anexo 1 do presente DPA.
F. O Cliente reconhece que a sua utilização dos Serviços pode estar sujeita a Legislação de Proteção de Dados Aplicável relativa a jurisdições que imponham certos requisitos para o Tratamento lícito de quaisquer Dados Pessoais.
G. As Partes celebraram o presente DPA para garantir o seu cumprimento com as Legislação de Proteção de Dados Aplicável para estabelecer garantias e procedimentos para o Tratamento lícito de Dados Pessoais entre elas. O Cliente confirma que as disposições estabelecidas no presente DPA refletem as obrigações que a Legislação de Proteção de Dados Aplicável impõe à DMNS Dominios S.A no que respeita ao Tratamento de Dados Pessoais realizado por esta no âmbito da prestação dos Serviços. Por sua vez, a DMNS Dominios S.A compromete-se a cumprir com o disposto no presente DPA.
H. O presente documento, uma vez descarregado, será preenchido, assinado e enviado pelo Cliente para dpo@dominios.pt. Seguidamente, será também assinado pela DMNS Dominios S.A. Uma vez assinado por ambas as Partes, o presente DPA substituirá integralmente qualquer outro acordo anteriormente celebrado entre as Partes com o mesmo âmbito.
Os considerandos acima fazem parte integrante do DPA.
1. Definições
Todos os termos com letra inicial maiúscula usados neste DPA terão o significado que lhes tenha sido dado nas Condições, exceto se estiverem especificamente definidas nesta Cláusula. Os termos do presente DPA respeitantes ao Tratamento de Dados Pessoais prevalecerão sobre quaisquer disposições conflituantes ou inconsistentes das Condições.
“Autoridade de Controlo”: qualquer autoridade pública responsável pela fiscalização da aplicação da Legislação de Proteção de Dados Aplicável relativamente ao Tratamento de Dados Pessoais do Cliente;
“Categorias Especiais de Dados Pessoais”: Dados Pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o Tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa: Esta definição inclui também Dados Pessoais relacionados com condenações penais e infrações ou com medidas de segurança conexas;
“Cláusulas Contratuais-Tipo”: as cláusulas contratuais-tipo aplicáveis à transferência de Dados Pessoais para países terceiros nos termos do Regulamento, aprovadas pela Comissão Europeia na sua Decisão de Execução (UE) 2021/914, de 4 de junho de 2021;
“Cliente”: a entidade que adquire os Serviços;
“Condições”: as Condições Gerais de Serviço aplicáveis, bem como demais condições particulares relevantes, disponíveis em: https://www.dominios.pt/sobre/condicoes .
“Dados Pessoais”: qualquer informação relativa a um Titular dos Dados;
“Dados Pessoais do Cliente”: Dados Pessoais Tratados no âmbito da prestação dos Serviços;
“Decisão de Adequação”: uma decisão juridicamente vinculativa emitida pela Comissão Europeia referente a um país terceiro, considerado adequado em termos de garantias de proteção de Dados Pessoais pela Comissão Europeia, que permite a transferência de Dados Pessoais a partir do EEE para esse país;
“Direitos do Titular dos Dados”: os direitos reconhecidos ao Titular dos Dados pela Legislação de Proteção de Dados Aplicável. Na medida em que o Regulamento seja aplicável, isto inclui, por exemplo, o direito de acesso, o direito de retificação, o direito ao apagamento, o direito à limitação do tratamento, o direito de portabilidade dos dados e o direito de oposição;
“DP”: o presente Acordo de Tratamento de Dados Pessoais, incluindo os seus Anexos 1, 2 e 3;
“EEE”: o Espaço Económico Europeu;
“Exportador de Dados”: tem o significado estabelecido nas Cláusulas Contratuais-Tipo;
“Importador de Dados”: tem o significado estabelecido nas Cláusulas Contratuais-Tipo;
“Legislação de Proteção de Dados Aplicável” nos Estados-Membros da UE, significa o Regulamento e demais legislação de privacidade/proteção de Dados Pessoais dos Estados-Membros da UE, incluindo quaisquer orientações e/ou códigos de prática emitidos por Autoridades de Controlo da UE; noutros países, qualquer legislação de privacidade/proteção de dados aplicável;
“Lista de Sub-subcontratantes”: a lista de Sub-subcontratantes que pode ser obtida mediante solicitação por escrito para dpo@dominios.pt;
“Regulamento”: o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/EC;
“Responsável pelo Tratamento”: uma pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que, isoladamente ou em conjunto com outros, determina os fins e os meios de um Tratamento de Dados Pessoais;
“Responsável pelo Tratamento Não-EEE”: um Responsável pelo Tratamento à qual a DMNS Dominios S.A fornece os Serviços que esteja estabelecido num país fora do EEE, e que não esteja sujeito ao Regulamento nos termos do seu artigo 3.º, n.º 2;
“Serviços”: os serviços ativados pelo Cliente nos termos das Condições;
“Serviço com Sub-subcontratantes Não-EEE”: Registo de domínios genéricos e de acordo com a especificidade do TLD;
“Subcontratante”: uma pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que Trata Dados Pessoais por conta de um Responsável pelo Tratamento de Dados;
“Sub-Subcontratante”: uma entidade contratada pela DMNS Dominios S.A para auxiliar no Tratamento dos Dados Pessoais do Cliente nos termos do presente DPA, listada na Lista de Subcontratantes e cuja contratação foi aprovada pelo Cliente nos termos da Cláusula 5.ª do presente DPA;
“Sub-subcontratante Não-EEE”: um Sub-subcontratante que Trate Dados Pessoais do Cliente num país fora do EEE, e que não esteja sujeita ao Regulamento nos termos do seu artigo 3.º, n.º 2;
“Tratamento”: qualquer operação ou um conjunto de operações efetuadas sobre Dados Pessoais ou sobre conjuntos de Dados Pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição. “Tratar” significa a realização de qualquer deste tipo de operações, e “Tratados” refere-se a Dados Pessoais que sejam submetidos a qualquer deste tipo de operações;
“Titular dos Dados”: uma pessoa singular identificada ou identificável, cujos Dados Pessoais sejam Tratados. Uma pessoa singular identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador, como um nome, um número de identificação, dados de localização, um identificador online ou a um ou mais fatores específicos da natureza física, fisiológica, identidade genética, mental, económica, cultural ou social dessa pessoa singular;
“UE”: a União Europeia;
“Violação de Dados Pessoais”: uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a Dados Pessoais do Cliente transmitidos, conservados ou sujeitos a qualquer outro tipo de Tratamento.
2. Funções de Tratamento de Dados Pessoais
2.1. As Partes concordam que:
a) O Cliente é o Responsável pelo Tratamento dos Dados Pessoais do Cliente, salvo quando o Cliente atue como Subcontratante por conta de terceiro (que seja o Responsável pelo Tratamento dos Dados Pessoais do Cliente, ou que por sua vez também atue como Subcontratante por conta de terceiro). O Cliente, ou o Responsável pelo Tratamento relevante, determina as finalidades da recolha e Tratamento dos Dados Pessoais do Cliente;
b) A DMNS Dominios S.A atua, em qualquer caso, como Subcontratante por conta do Cliente quanto ao Tratamento dos Dados Pessoais do Cliente no âmbito da prestação dos Serviços; e
c) O presente DPA regula a relação entre as Partes no que respeita aos seus direitos e obrigações respetivas em relação ao Tratamento de Dados Pessoais do Cliente realizado pela DMNS Dominios S.A, enquanto Subcontratante, no âmbito da prestação dos Serviços.
3. Obrigações da DMNS Dominios S.A
3.1. O Cliente, ou o Responsável pelo Tratamento relevante, determina as finalidades do Tratamento de Dados Pessoais do Cliente no âmbito da prestação dos Serviços.
3.2. No âmbito da prestação dos Serviços, a DMNS Dominios S.A compromete-se a cumprir as seguintes obrigações, incluindo as definidas nos Anexos 1 e 2 do presente DPA:
a) A DMNS Dominios S.A deve tratar os Dados Pessoais do Cliente apenas na medida do necessário para a prestação dos Serviços, nos termos das instruções escritas dadas pelo Cliente através do presente DPA;
b) A DMNS Dominios S.A deve notificar o Cliente caso considere que uma instrução escrita dada pelo Cliente esteja em violação da Legislação de Proteção de Dados Aplicável. Sem prejuízo do disposto, a DMNS Dominios S.A não está obrigada a realizar uma análise jurídica exaustiva de qualquer instrução escrita dada pelo Cliente;
c) A DMNS Dominios S.A, enquanto Subcontratante, deve notificar o Cliente sem demora indevida quanto a qualquer contacto ou comunicação que receba de uma Autoridade de Controlo relativa ao Tratamento de Dados Pessoais do Cliente. As Partes reconhecem e aceitam que, na medida em que a DMNS Dominios S.A não esteja legalmente obrigada a responder a tais contatos ou comunicações, a responsabilidade de fornecer uma resposta recai sobre o Cliente, e não sobre a DMNS Dominios S.A;
d) A DMNS Dominios S.A implementou medidas operativas, técnicas e organizativas, incluindo as descritas no Anexo 2 do presente DPA, destinadas a garantir a segurança dos Dados Pessoais do Cliente. O Cliente autoriza a DMNS Dominios S.A a implementar medidas alternativas adequadas, ou usar locais alternativos para Tratamento dos Dados Pessoais do Cliente, desde que o nível de segurança das medidas ou dos locais seja mantido ou reforçado em comparação com as medidas declaradas no presente DPA;
e) Caso a DMNS Dominios S.A divulgue Dados Pessoais do Cliente a seus colaboradores que estejam envolvidos na prestação dos Serviços, a DMNS Dominios S.A deve garantir que tais colaboradores: i) assumiram um compromisso de confidencialidade ou estão sujeitos a adequadas obrigações legais de confidencialidade, e; ii) Tratam Dados Pessoais do Cliente sob as instruções da DMNS Dominios S.A, em conformidade com as suas obrigações nos termos do presente DPA.
4. Obrigações do Cliente
4.1. O Cliente reconhece e aceita que, para que a DMNS Dominios S.A possa prestar os Serviços, o Cliente deve fornecer à DMNS Dominios S.A acesso aos Dados Pessoais do Cliente. O Cliente compromete-se a verificar que as medidas de segurança listadas no Anexo 2 do presente DPA
são adequadas tendo em conta os tipos de Dados Pessoais contidos nos Dados Pessoais do Cliente.
4.2. O Cliente declara e garante que:
a) Tem um fundamento jurídico apropriado (p.e., consentimento, interesses legítimos, necessidade de Tratamento para cumprimento de contrato, etc.) para Tratar e divulgar os Dados Pessoais do Cliente à DMNS Dominios S.A no âmbito da prestação dos Serviços; e,
b) As disposições estabelecidas no presente DPA refletem as obrigações que a Legislação de Proteção de Dados Aplicável impõem à DMNS Dominios S.A, quanto ao Tratamento de Dados Pessoais do Cliente no âmbito da prestação dos Serviços.
5. Consentimento para Subcontratação
5.1. O Cliente reconhece, concorda e aceita que, para a finalidade única e exclusiva de assegurar a prestação dos Serviços e sempre de acordo com os termos do presente DPA, os Dados Pessoais do Cliente podem ser Tratados pela DMNS Dominios S.A ou pelos seus Subcontratantes, conforme identificados na Lista de Subcontratantes.
5.2. Nos termos da Cláusula 5.1., o Cliente fornece à DMNS Dominios S.A uma autorização geral para a contratação de Subcontratantes, desde que a DMNS Dominios S.A:
a) Forneça previamente ao Cliente informações sobre a identidade dos Subcontratantes, conforme identificados na Lista de Subcontratantes, e notifique o Cliente de qualquer atualização à Lista de Subcontratantes, para que o Cliente possa se opor à contratação de novos Subcontratantes;
b) Celebre acordos com os Subcontratantes que contenham as mesmas obrigações relativas ao Tratamento de Dados Pessoais do Cliente que as estabelecidas no presente DPA;
c) Exerça a devida diligência na seleção de Subcontratantes e permaneça responsável pelo cumprimento dos Subcontratantes com as obrigações estabelecidas no presente DPA;
d) A pedido do Cliente, forneça ao Cliente detalhes, na medida do razoável, quanto a medidas tomadas pela DMNS Dominios S.A e seus Subcontratantes para cumprir, na prática, com os termos do presente DPA.
6. Transferências de Dados Pessoais
6.1. Se o Cliente adquirir um ou mais Serviços com Sub-subcontratantes Não-EEE, a DMNS Dominios S.A pode, nos termos da Cláusula 5 acima, transferir Dados Pessoais do Cliente para um ou mais Sub-subcontratantes Não-EEE, que serão considerados Importadores de Dados nos termos das Cláusulas Contratuais-Tipo. Neste caso, caso não exista uma Decisão de Adequação aplicável a um Sub-subcontratante Não-EEE, a DMNS Dominios S.A compromete-se a assinar Cláusulas Contratuais-Tipo com tal Sub-subcontratante Não-EEE, sendo aplicáveis somente as cláusulas do MÓDULO TRÊS: Transferência entre Subcontratantes (com exclusão dos outros MÓDULOS).
6.2. Nenhum termo do presente DPA deve ser interpretado como prevalecendo sobre qualquer cláusula conflitante das Cláusulas Contratuais-Tipo.
6.3. O Cliente pode solicitar a oportunidade de rever as Cláusulas Contratuais-Tipo assinadas. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo Dados Pessoais, a DMNS Dominios S.A pode remover parte do texto das Cláusulas Contratuais-Tipo antes de partilhar uma cópia com o Cliente.
6.4. O Cliente reconhece que é responsabilidade do Cliente cumprir com quaisquer obrigações adicionais aplicáveis e necessárias para assegurar a licitude de transferências de Dados Pessoais para a DMNS Dominios S.A e para os Subcontratantes Não-EEE, nos termos da Legislação de Proteção de Dados Aplicável.
6.5. Caso o Cliente seja um Responsável pelo Tratamento Não-EEE, a DMNS Dominios S.A e Cliente aceitam que as Cláusulas Contratuais-Tipo sejam consideradas como incorporadas no presente DPA, sendo aplicáveis a qualquer transferência de Dados Pessoais do Cliente realizada pela DMNS Dominios S.A para o Cliente no âmbito da prestação dos Serviços. Neste caso, aplicam-se as seguintes especificações às Cláusulas Contratuais-Tipo:
(i) A Cláusula 7 é aplicável;
(ii) Apenas são aplicáveis as cláusulas do MÓDULO QUATRO: Transferência de Subcontratante para Responsável pelo Tratamento (com exclusão dos outros MÓDULOS);
(iii) As Cláusulas 14 e 15 não são aplicáveis, uma vez que a prestação dos Serviços não implica a combinação pela DMNS Dominios S.A de Dados Pessoais do Cliente recebidos do Cliente com outros Dados Pessoais que recolha na UE;
(iv) Nos termos da Cláusula 17, as leis de Portugal serão aplicáveis;
(v) Nos termos da Cláusula 18, os tribunais de Portugal serão os competentes;
(vi) O Anexo 1 do presente DPA será aplicável como Anexo I das Cláusulas Contratuais-Tipo.
7. Obrigações de Cooperação e Responsabilidade
7.1. As Partes devem colaborar de boa fé para garantir o cumprimento das disposições do presente DPA, incluindo, mas não se limitando a, assegurar o exercício correto e oportuno dos Direitos do Titular dos Dados, bem como gerir incidentes em caso de violação de segurança/Violação de Dados Pessoais, a fim de mitigar os seus possíveis efeitos adversos.
7.2. As Partes devem colaborar de boa fé para disponibilizar a cada Parte, bem como a Autoridades de Controlo, as informações necessárias para demonstrar o cumprimento da Legislação de Proteção de Dados Aplicável.
8. Direitos do Titular dos Dados
8.1. Tendo em conta a natureza do Tratamento de Dados Pessoais do Cliente, a DMNS Dominios S.A deve prestar assistência ao Cliente através de medidas técnicas e organizativas adequadas, para permitir que o Cliente cumpra a sua obrigação de dar resposta a pedidos de exercício de Direitos do Titular dos Dados.
8.2. A DMNS Dominios S.A deve fornecer ao Cliente cooperação e assistência na medida do razoável, e deve prestar informações que sejam razoavelmente necessárias para que o Cliente possa responder aos Titulares dos Dados, ou possa cumprir as suas obrigações respeitantes a Direitos do Titular dos Dados nos termos da Legislação de Proteção de Dados Aplicável. O Cliente reconhece e aceita que, caso tal cooperação e assistência exijam o dispêndio de recursos significativos por parte da DMNS Dominios S.A, poderá ser cobrada uma taxa mediante aviso prévio e com o acordo do Cliente.
9. Devolução e Apagamento de Dados
9.1. A DMNS Dominios S.A deve, sem qualquer custo para o Cliente, devolver ou apagar Dados Pessoais do Cliente a qualquer momento, bem como após a cessação do presente DPA, desde que tal seja solicitado por escrito pelo Cliente com um aviso prévio razoável, salvo se obrigações legais (incluindo, mas não apenas, obrigações legais derivadas da Legislação de Proteção de Dados Aplicável) ou ordens vinculativas de autoridades públicas (incluindo, mas não apenas, ordens de Autoridades de Controlo), impeçam a DMNS Dominios S.A de proceder a tal devolução ou apagamento.
9.2. As solicitações do Cliente para devolução de Dados Pessoais do Cliente serão atendidas na medida do exequível, sujeitos a limitações técnicas e organizativas comercialmente razoáveis e proporcionais ao volume, tipologia e quantidade de Dados Pessoais Tratados.
9.3. A devolução de Dados Pessoais do Cliente segundo os procedimentos internos definidos pela DMNS Dominios S.A será feita sem custo para o Cliente. Caso contrário, será cobrado um custo razoável ao Cliente.
9.4. Caso o Cliente opte pelo apagamento de Dados Pessoais do Cliente, e sem prejuízo da Cláusula 9.5, a DMNS Dominios S.A fornecerá uma declaração que garanta que tal apagamento tenha sido realizado.
9.5. A DMNS Dominios S.A pode reter Dados Pessoais do Cliente que (1) sejam retidos de acordo com operações regulares de backup de sistemas informáticos em conformidade com os protocolos da DMNS Dominios S.A de recuperação de desastres e continuidade de negócios (vide Cláusula 12), ou que (2) sejam necessários para a demonstração do cumprimento de quaisquer obrigações contratuais ou legais aplicáveis à prestação dos Serviços por parte da DMNS Dominios S.A, desde que esses Dados Pessoais do Cliente não sejam ativa ou intencionalmente Tratados, pela DMNS Dominios S.A ou seus Sub-subcontratantes, para quaisquer outras finalidades que a prestação dos Serviços ou a demonstração de tal cumprimento (p.e., em processos judiciais e extrajudiciais relevantes).
10. Transmissões
10.1. Os Dados Pessoais que sejam transmitidos através da Internet pela DMNS Dominios S.A no âmbito da prestação dos Serviços devem ser razoavelmente cifrados. As Partes reconhecem, no entanto, que a segurança das transmissões de dados pela Internet não pode ser garantida. A DMNS Dominios S.A não assume qualquer responsabilidade pelo acesso do Cliente à Internet, por qualquer intercepção ou interrupção de comunicações feitas através da Internet, ou por alterações ou perdas de Dados Pessoais através da Internet.
10.2. Se houver uma suspeita de Violação de Dados Pessoais, a DMNS Dominios S.A pode suspender a prestação dos Serviços através da Internet imediatamente na pendência de uma investigação, desde que a DMNS Dominios S.A notifique tal suspensão ao Cliente assim que razoavelmente possível, tome todas as medidas razoáveis para restaurar prontamente a prestação dos Serviços através da Internet e coopere com o Cliente assegurar a continuidade da prestação dos Serviços através de outros canais de comunicação, quando possível.
10.3. O Cliente deve tomar todas as medidas que sejam necessárias, adequadas e razoáveis para assegurar a confidencialidade dos nomes e palavras-passe de acesso aos Serviços dos seus colaboradores. O Cliente será responsável por qualquer uso indevido dos Serviços por qualquer dos seus colaboradores.
11. Violações de Dados Pessoais
11.1. O Cliente reconhece e aceita que a DMNS Dominios S.A não será considerada responsável por qualquer Violação de Dados Pessoais que não seja imputável à DMNS Dominios S.A, pelo menos a título de negligência.
11.2. Se a DMNS Dominios S.A tomar conhecimento de uma Violação de Dados Pessoais, deve:
a) tomar medidas apropriadas para conter e mitigar tal Violação de Dados Pessoais, incluindo notificar o Cliente sem demora indevida, para permitir que o Cliente implemente prontamente os seus programas de resposta. Sem prejuízo do disposto, a DMNS Dominios S.A reserva-se o direito de determinar as medidas que tomará para cumprir com as suas obrigações ao abrigo da Legislação de Proteção de Dados Aplicável ou para proteger os seus direitos e interesse;
b) cooperar com o Cliente para investigar: a natureza da Violação de Dados Pessoais, as categorias e o número aproximado de Titulares dos Dados afetados, as categorias e o número aproximado de registos de Dados Pessoais afetados e as consequências prováveis de qualquer Violação de Dados Pessoais, consoante a gravidade e o impacto geral da Violação no Cliente e na prestação dos Serviços ao abrigo do presente DPA,
c) quando a Legislação de Proteção de Dados Aplicável exija a notificação da Violação de Dados Pessoais a uma Autoridade de Controlo relevante e/ou aos Titulares dos Dados afetados, e na medida em que tenham sido afetados Dados Pessoais do Cliente, pedir e seguir as instruções dadas pelo Cliente, uma vez que ao Cliente assiste o direito exclusivo de determinar as medidas a tomar para cumprir com a Legislação de Proteção de Dados Aplicável ou para mitigar quaisquer riscos, incluindo, mas não apenas:
i. Decidir se devem ser notificados quaisquer indivíduos, reguladores, autoridades públicas, agências de proteção do consumidor ou outros, conforme exigido pela Legislação de Proteção de Dados Aplicável, ou a critério do Cliente; e
ii. Decidir o conteúdo de tais notificações, bem como se qualquer tipo de compensação deva ser oferecida aos Titulares dos Dados afetados e, em caso afirmativo, o tipo e medida de tal compensação.
12. Recuperação de Desastres e Continuidade de Negócios
12.1. A DMNS Dominios S.A mantém protocolos comercialmente razoáveis de recuperação de desastres e continuidade de negócios, que diferem entre cada Serviço prestado. Um resumo de tais protocolos será fornecido ao Cliente mediante solicitação. A DMNS Dominios S.A pode alterar tais protocolos a seu critério, desde que as alterações não reduzam a sua capacidade de recuperação de desastres abaixo da capacidade existente à data de assinatura do presente DPA.
13. Mandato
13.1 Com a assinatura do presente DPA, incluindo os seus Anexos 1, 2 e 3, o Cliente autoriza explicitamente a DMNS Dominios S.A para realizar, por conta do Cliente, as atividades descritas na Cláusula 5.
13.2 Com a assinatura do presente DPA, a DMNS Dominios S.A aceita o mandato, que será exercido sem remuneração económica por ser conferido no âmbito da prestação dos Serviços, e confirma, para os devidos efeitos legais, que leu e compreendeu as instruções que lhe foram dadas.
Anexo 1
1. TITULARES DOS DADOS
Os Dados Pessoais do Cliente, consoante os Serviços específicos que tenham sido contratados, nos termos das Condições, poderão dizer respeito às seguintes categorias de Titulares dos Dados (não sendo as categorias específicas determináveis pela DMNS Dominios S.A a priori):
- O Cliente e/ou colaboradores do Cliente;
- Fornecedores do Cliente;
- Utilizadores do Cliente;
- Clientes do Cliente;
- Titulares dos Dados cujos Dados Pessoais sejam tratados pelo Cliente através dos Serviços.
2. CATEGORIAS DE DADOS PESSOAIS TRATADOS POR SERVIÇO
Os Dados Pessoais do Cliente que poderão ser tratados no âmbito da prestação dos Serviços ao Cliente (que não são determináveis pela DMNS Dominios S.A a priori) incluirão apenas Dados Pessoais nos termos do Art.º 4.º, n.º 1 do Regulamento, sendo expressamente excluído o Tratamento de Categorias Especiais de Dados Pessoais e de Dados Pessoais relacionados com condenações penais e infrações.
Em concreto, poderão ser Tratadas/transferidas as seguintes categorias de Dados Pessoais:
- Dados de contacto (nome, endereço de e-mail, endereço postal, número de telefone…);
- Data de nascimento;
- Idade;
- Sexo;
- Outras categorias de Dados Pessoais que sejam tratadas pelo Cliente através dos Serviços.
3. CATEGORIAS ESPECIAIS DE DADOS PESSOAIS
Os Dados Pessoais do Cliente não incluem Categorias Especiais de Dados Pessoais ou Dados Pessoais relacionados com condenações penais e infrações.
4. OPERAÇÕES DE TRATAMENTO DE DADOS PESSOAIS
Os Dados Pessoais do Cliente podem ser tratados/transferidos apenas para a prestação dos Serviços nos termos das Condições, ou conforme permitido ao abrigo da legislação aplicável ao Subcontratante.
5. NATUREZA DO TRATAMENTO DE DADOS PESSOAIS
A natureza das operações de Tratamento varia de acordo com os Serviços específicos que tenham sido contratados, nos termos das Condições.
6. FREQUÊNCIA DO TRATAMENTO DE DADOS PESSOAIS
A frequência das operações de Tratamento varia de acordo com os Serviços específicos que tenham sido contratados, nos termos das Condições.
7. DURAÇÃO DO TRATAMENTO DE DADOS PESSOAIS
Os Dados Pessoais do Cliente serão retidos enquanto a prestação dos Serviços permaneça ativa, ou conforme permitido ao abrigo da legislação aplicável ao Subcontratante.
Anexo 2
Descrição das Medidas Técnicas e Organizativas de Segurança
O Subcontratante e os Sub-subcontratantes comprometem-se a manter pelo menos as medidas técnicas e organizativas descritas infra.
Informações sobre medidas de segurança
Consulte a informação disponível em https://www.dominios.pt/sobre/condicoes.
Para os demais Serviços da empresa, listam-se as medidas de segurança aplicáveis infra:
Procedimentos de segurança da informação
Organização interna
Funções e responsabilidades separadas foram definidas para a segurança da informação e foram atribuídas aos responsáveis pela empresa pelas atividades de tratamento (doravante designados também por “usuários”), de forma a evitar conflitos de interesse e impedir atividades impróprias.
Segurança de recursos humanos
Dispositivos móveis e teletrabalho
Existe uma política de segurança para o uso de todos os dispositivos da empresa, em particular dispositivos móveis, e controles adequados estão em vigor.
Conclusão ou mudanças na relação de emprego
Após a cessação de uma relação de colaboração de um usuário na organização ou no caso de uma alteração significativa nas suas funções, as permissões de acesso são atualizadas imediatamente, enquanto as ferramentas de negócios são retornadas e redefinidas física e logicamente.
Gestão de recursos da empresa
Responsabilidade pelos recursos e ativos da empresa
Todas as ferramentas e ativos da empresa são cuidadosamente inventariados e a alocação dos mesmos aos vários usuários responsáveis pela sua segurança é fiscalizada. Foi definida uma política para o seu uso correto.
Classificação de informação
Todas as informações são classificadas e catalogadas pelos respetivos usuários, de acordo com os requisitos de segurança, bem como processadas adequadamente.
Gestão de storage media
As informações armazenadas em dispositivos de armazenamento (storage media) são geridas, controladas, modificadas e usadas de maneira a não comprometer seu conteúdo e são apagadas de maneira apropriada
Controlo de acessos
Requisitos de controlo de acessos
Os requisitos organizativos da empresa para fiscalizar o acesso aos recursos de informação são documentados numa política e implementados na prática por meio de um procedimento de controlo de acessos; significando que o acesso à rede e conexões é limitado.
Gestão de acesso do usuário
A alocação de direitos de acesso dos usuários é controlada desde o registo inicial do usuário até a remoção dos direitos de acesso quando eles não sejam mais necessários, incluindo restrições especiais aos direitos de acesso privilegiado e a gestão de “informações secretas de autenticação”, e está sujeita a revisões e verificações periódicas incluindo uma atualização dos direitos de acesso quando necessário. Na gestão de acesso, o critério de minimização de direitos de acesso é utilizado, pois são emitidos para conceder ao usuário apenas acesso aos dados necessários para a sua função e atividade comercial. Direitos de acesso adicionais requerem autorização específica.
Responsabilidade do usuário
Os usuários estão cientes das suas responsabilidades também por meio da manutenção da eficácia dos controlos de acesso, devendo, por exemplo, escolher palavras-passe complexas, cuja complexidade é verificada pelo sistema, e mantê-las confidenciais.
Sistemas e aplicações de controlo de acesso
O acesso às informações está sujeito a restrições em conformidade com a política de controlo de acesso, por meio de um sistema de acesso seguro e gestão de palavras-passe, bem como controlos sobre usuários privilegiados e acesso limitado a todos os códigos-fonte.
Encriptação
Controlo criptográfico
Existe uma Política em vigor sobre o uso de criptografia de storage media e dados dos usuários. As autenticações são criptografadas.
Segurança física e ambiental
Estão em vigor medidas de segurança física e ambiental para impedir o acesso, a perda ou a disseminação ilegítima ou acidental de dados.
Áreas seguras: data center
Os serviços da empresa são fornecidos e alojados em Datacenter nacional. O Centro de Dados oferece redundância completa de todos os circuitos elétricos, de arrefecimento e de rede. O Centro de Dados tem um sistema de deteção de presença com câmaras de CCTV e uma central de alarme ligado directamente a uma entidade certificada que fornece a segurança privada do edifício. O acesso físico é regulado e controlado por procedimentos de autorização, reconhecimento e registo e é limitado, graças ao sistema de controlo de acesso, às áreas para as quais existe uma autorização.
Equipamento
Existe uma política para abate de equipamentos sem utilização, a fim de destruir com segurança todas as informações que neles possam estar contidas.
Segurança das operações
Procedimentos e responsabilidades operacionais
As responsabilidades operacionais em TI são documentadas e as mudanças nas instalações e sistemas de TI são controladas. Sistemas de desenvolvimento, sistemas de verificação e sistemas operacionais são separados. Existem usuários responsáveis pelo bom funcionamento dos procedimentos. Por outro lado, a gestão da segurança lógica dos sistemas operacionais e das aplicações instaladas pelo cliente é de responsabilidade do cliente dos serviços individuais prestados pela Empresa (doravante também designado por “cliente”).
Proteção contra malware
O controlo de vírus e malware está ativo nos dispositivos da empresa e existe uma consciencialização apropriada dos usuários.
No que diz respeito aos serviços do Servidor Virtual ou Servidor Dedicado, o cliente é responsável pela instalação de software antivírus e anti-malware e – se o serviço relacionado não tiver sido adquirido – de uma firewall. Com relação ao serviço de hospedagem, existe uma proteção em tempo real nas máquinas de front-end.
No que diz respeito ao serviço de e-mail, o tráfego de e-mail é analisado em tempo real, tanto de entrada como de saída, para a deteção de vírus, malware e para a identificação e filtragem de spam. A análise é automatizada e baseia-se na natureza do conteúdo, na interrogação de bancos de dados internacionais e na reputação adquirida devido a uma série de parâmetros.
Cópia de segurança
Backups periódicos são realizados, com a exclusão de serviços pelos quais o cliente é responsável por manter e gerir backups (Servidores Dedicados e Servidores Virtuais). Para serviços de hospedagem e de correio, são realizados backups periódicos que, para serviços de hospedagem, também podem ser acedidos pelo cliente. Backups adicionais, não acessíveis pelos clientes, são realizados com o único propósito de recuperação de desastres.
Autenticação e Monitoramento
Autenticação e Sincronização
Toda a atividade e eventos relacionados com a segurança das informações realizados por usuários do sistema e administradores / operadores ocorre após a inserção das suas credenciais de autenticação ou dos seus certificados de identidade. Os relógios de todos os equipamentos estão sincronizados.
Controlo de software operacional
A instalação de software nos sistemas operacionais é controlada e monitorada.
Relativamente aos Servidores Virtuais e Servidores Dedicados, os sistemas operacionais disponíveis para os clientes são disponibilizados com imagens de instalação atualizadas, mesmo durante a instalação pelo cliente. Também é responsabilidade do cliente atualizar o firmware e as aplicações ou software instalados pelo cliente.
Gestão de vulnerabilidades técnicas
Gestão de patches
Cada vulnerabilidade técnica é corrigida com patches e procedimentos apropriados fornecidos para todas as fases de teste e para a instalação subsequente do software e atualizações, que ocorre somente quando todos os testes são positivos.
Considerações sobre auditoria de sistemas de informação
Verificações periódicas são realizadas para verificar se qualquer efeito negativo nos sistemas de produção é minimizado e se não há acesso não autorizado aos dados.
Segurança das comunicações
Gestão de segurança de rede
Redes e serviços online também são garantidos através da separação e segregação.
Transferência de informação
Acordos relativos à transferência de informações de e para terceiros estão em vigor.
Aquisição, desenvolvimento e manutenção do sistema
Segurança em processos de desenvolvimento e suporte
As regras que governam a segurança do desenvolvimento de software e sistema são definidas numa Política. As alterações no sistema (para aplicativos e para sistemas operacionais) são controladas. A segurança do sistema é testada e os critérios de elegibilidade, que incluem aspetos de segurança, são definidos.
Relacionamento com fornecedores
Segurança da informação no relacionamento com fornecedores
Existem contratos ou acordos que visam proteger e regular o processamento de informações da organização e dos clientes acessíveis a terceiros que operam na área de TI e a outros fornecedores subcontratados que fazem parte de toda a cadeia de fornecedores.
Gestão de serviços prestados por fornecedores
A prestação de serviços prestados pelos fornecedores é monitorizada e verificada em relação ao contrato ou acordo. Todas as alterações no serviço são verificadas.
Gestão de incidentes para segurança das informações
Gestão de incidentes de segurança da informação e melhorias
Existem responsabilidades e procedimentos específicos que visam administrar coerentemente e efetivamente todos os eventos e incidentes relacionados à segurança da informação (por exemplo, o chamado procedimento de violação de dados).
Aspetos de segurança da informação relacionados com a continuidade dos negócios
Redundâncias
Todas as principais instalações de TI são redundantes para atender aos requisitos de disponibilidade. Onde esta redundância não está em vigor, medidas adequadas estão em vigor para garantir a continuidade do serviço ou a minimização da perda de dados.
Conformidade
Cumprimento dos requisitos legais e contratuais
A empresa identifica e documenta suas obrigações para com autoridades externas e outros terceiros em relação à segurança da informação, incluindo propriedade intelectual, documentação contábil e informações sobre privacidade.
Revisão da informação de segurança
Os projetos da organização relacionados à segurança da informação e às políticas de segurança são revistos e ações corretivas são tomadas quando necessário.
Anexo 3
O Anexo 3 (Lista de Sub-subcontratantes) deve ser solicitado por e-mail para: dpo@dominios.pt.