GoDaddy

ADENDA RELATIVA AO PROCESSAMENTO DE DADOS (CLIENTES)

A presente Adenda relativa ao processamento de dados (a “Adenda”) é celebrada por e entre a GoDaddy.com, LLC, a Delaware limited liability company e os respetivos Afiliados (“GoDaddy”) e o utilizador (“Cliente”) e está anexada e complementa as nossas Condições de serviço universais, a nossa Política de privacidade e quaisquer e todos os acordos que rejam os Serviços Abrangidos (coletivamente, os “Termos de Serviço”).  Salvo definição em contrário na presente Adenda, todos os termos apresentados em maiúsculas não definidos na presenta Adenda terão significados que lhes são atribuídos nos Termos de Serviço.

1. Definições

Afiliados” significa qualquer entidade que seja controlada pela, que controle ou que controle em conjunto com a GoDaddy.

Serviços Abrangidos” são quaisquer serviços alojados que disponibilizamos que possam implicar o Processamento de Dados Pessoais pela nossa parte.

“Dados do Cliente” significa os Dados Pessoais de qualquer Titular dos Dados processados pela GoDaddy no âmbito da rede da GoDaddy em nome do Cliente, de acordo com ou relacionados com os Termos de Serviço.

Controlador de Dados” significa o Cliente, enquanto entidade que determina a finalidade e os meios de Processamento de Dados Pessoais.

Processador de Dados” significa a GoDaddy, na qualidade da entidade que processa os Dados Pessoais em nome do Controlador de Dados.

Leis de Proteção de Dados” significa todas as leis e regulamentos, incluindo as leis e regulamentos da União Europeia, aplicáveis ao Processamento de Dados Pessoais nos termos do Acordo.

Titular dos Dados” significa o indivíduo a quem os Dados Pessoais dizem respeito.

EEE” significa o Espaço Económico Europeu.

Rede da GoDaddy” significa instalações de centros de dados, servidores, equipamento de rede e sistemas de software de alojamento (por exemplo, firewalls virtuais) da GoDaddy que estão sob o controlo da GoDaddy e que são utilizadas para fornecer os Serviços Abrangidos.

Dados Pessoais” significa quaisquer informações relacionadas com uma pessoa identificada ou identificável.

Processamento” significa qualquer operação ou conjunto de operações executadas sobre os Dados Pessoais, seja ou não por meios automáticos, como a recolha, gravação, organização, estruturação, armazenamento, adaptação ou alteração, obtenção, consulta, utilização, divulgação por transmissão, disseminação ou disponibilização por alguma outra forma, alinhamento ou combinação, restrição, eliminação ou destruição. “Processo”, “processos” e “processado” serão interpretados neste contexto. Os detalhes do Processamento são descritos no Anexo 1.

Incidente de Segurança” pode ser (a) uma violação da segurança das Normas de Segurança da GoDaddy que provoque destruição acidental ou ilícita, perda, alteração, divulgação não autorizada de, ou acesso a, quaisquer Dados do Cliente; ou (b) qualquer acesso não autorizado a equipamento ou instalações da GoDaddy, situações em que tais acessos provoquem a destruição, perda, divulgação não autorizada ou alteração dos Dados do Cliente.

Normas de Segurança” significa as normas de segurança anexadas à presente Adenda como Anexo 2.

Cláusulas Contratuais-tipo” ou “CCT” significa Anexo 3, apenso à e constituindo parte integrante desta Adenda nos termos da Decisão da Comissão Europeia de 5 de fevereiro de 2010 relativa a cláusulas contratuais-tipo para a transferência de dados pessoais para processadores estabelecidos em países terceiros nos termos da Diretiva. 

Subcontratante” significa qualquer Processador de Dados contratado pelo Processador para Processar os dados em nome do Controlador de Dados.                                                               

2. Processamento de Dados

2.1 Âmbito e Funções. Esta Adenda é aplicável quando os Dados do Cliente são processados pela GoDaddy.  Neste contexto, a GoDaddy agirá na qualidade de Processador de Dados em nome do Cliente e na qualidade de Controlador de Dados relativamente aos Dados do Cliente.

2.2 Detalhes do Processamento de Dados. O objeto de processamento dos Dados do Cliente por parte da GoDaddy é a execução dos Serviços Abrangidos de acordo com os Termos de Serviço e com os acordos específicos do produto. A GoDaddy apenas processará os Dados do Cliente em nome do e de acordo com as instruções documentadas do Cliente para as finalidades seguintes: (i) Processamento de acordo com os Termos de Serviço ou com o acordo específico do produto aplicável; (ii) Processamento iniciado pelos utilizadores finais na respetiva utilização dos Serviços Abrangidos; (iii) Processamento para cumprir outras instruções documentadas e razoáveis fornecidas pelos Clientes (por exemplo, via email), sempre que essas instruções sejam consistentes com os termos do Acordo. Não será exigido à GoDaddy que cumpra ou siga as instruções do Cliente se tais instruções constituírem uma violação do RGPD ou de quaisquer outras leis de privacidade de dados aplicáveis. A duração do Processamento, a natureza e a finalidade do Processamento, os tipos de dados pessoais e as categorias dos Titulares dos Dados processados nos termos da presente Adenda são especificados em detalhe no Anexo 1 (“Detalhes do Processamento”) à presente Adenda.

3. Confidencialidade dos Dados do Cliente

A GoDaddy não divulgará os Dados do Cliente a nenhum governo ou outro terceiro, salvo quando necessário para cumprir a lei ou uma ordem de uma autoridade de execução penal (como uma intimação ou um mandado judicial).  Se uma autoridade de execução penal enviar à GoDaddy um pedido dos Dados do Cliente, a GoDaddy tentará redirecionar o pedido de tais dados por parte da autoridade de execução penal diretamente para o Cliente. Como parte deste esforço, a GoDaddy pode fornecer à autoridade de execução penal informações de contacto elementares do Cliente. Se formos obrigados a divulgar os Dados do Cliente a uma autoridade de execução penal, a GoDaddy enviará ao cliente uma notificação razoável do pedido ao Cliente, para permitir que este procure obter uma providência cautelar ou outro recurso adequado, salvo se a GoDaddy estiver legalmente impedida de o fazer.

4. Segurança

4.1 A GoDaddy implementou e conservará as medidas técnicas e organizacionais para a Rede da GoDaddy conforme descrito na presente Adenda, nesta Secção e conforme adicionalmente descrito no Anexo 2 a esta Adenda, Normas de Segurança. Em particular, a GoDaddy implementou e conservará as medidas técnicas e organizacionais seguintes que estão relacionadas com (i) a segurança da Rede da GoDaddy; (ii) a segurança física das instalações; (iii) os controlos relacionados com o acesso por parte dos colaboradores e do contratante a (i) e/ou (ii); e (iv) os processos para a realização de testes e avaliação da eficácia das medidas técnicas e organizacionais implementadas pela GoDaddy. Na eventualidade de não conseguirmos cumprir qualquer uma das obrigações aqui definidas, forneceremos notificação por escrito (através do nosso site na web e por email) assim que for possível na prática.

4.2 A GoDaddy disponibiliza uma série de características e funcionalidades de segurança que o Cliente pode optar por utilizar relacionadas com os Serviços Abrangidos. O Cliente é responsável por (a) configurar devidamente os Serviços Abrangidos, (b) utilizar os controlos disponíveis relacionados com os Serviços Abrangidos (incluindo os controlos de segurança) para assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e serviços de processamento, (c) utilizar os controlos disponíveis relacionados com os Serviços Abrangidos (incluindo os controlos de segurança) para permitir que o Cliente restaure atempadamente a disponibilidade e o acesso aos Dados do Cliente na eventualidade de um incidente físico ou técnico (por exemplo, realização de cópias de segurança e arquivamento de rotina dos Dados do Cliente), e (d) tomar as medidas que o Cliente considerar adequadas para manter a devida segurança, proteção e eliminação dos Dados do Cliente, o que inclui a utilização de tecnologia de encriptação para proteger os Dados do Cliente de acesso não autorizado e medidas para controlar os direitos de acesso aos Dados do Cliente.

5. Direitos do Titular dos Dados

Considerando a natureza dos Serviços Abrangidos, a GoDaddy oferece ao Cliente determinados controlos, conforme descrito na secção “Segurança” da presente Adenda que o Cliente pode optar por utilizar para obter, corrigir, eliminar ou restringir a utilização e a partilha de Dados do Cliente, conforme descrito nos Serviços Abrangidos. O Cliente pode utilizar estes controlos como medidas técnicas e organizacionais para o ajudar a cumprir as suas obrigações nos termos das leis de privacidade aplicáveis, incluindo as suas obrigações relacionados com responder a pedidos dos Titulares dos Dados. Conforme comercialmente razoável, e na medida do que é requerido ou permitido por lei, a GoDaddy notificará prontamente o Cliente se a GoDaddy receber diretamente um pedido de um Titular dos Dados para exercer tais direitos nos termos de quaisquer leis de proteção de dados aplicáveis (“Pedido do Titular dos Dados”). Além disso, sempre que a utilização por parte do Cliente dos Serviços Abrangidos limite a sua possibilidade de enviar um Pedido do Titular dos Dados, a GoDaddy pode, na medida em que for permitido e apropriado por lei e a pedido específico do Cliente, prestar a assistência comercial razoável no processamento do pedido, a expensas do Cliente (se existentes).

6. Subcontratação

6.1 Subcontratantes Autorizados. O Cliente concorda que a GoDaddy pode utilizar Subcontratantes para cumprir as respetivas obrigações contratuais no âmbito dos respetivos Termos de Serviço e da presente Adenda ou prestar determinados serviços em seu nome, como prestar serviços de assistência. Pela presente, o Cliente consente que a GoDaddy utilize Subcontratantes, conforme descrito nesta Secção. Salvo conforme estabelecido nesta Secção ou de outra forma explicitamente autorizado pelo utilizador, a GoDaddy não permitirá quaisquer outras atividades de subcontratação.

6.2 Obrigações do Subcontratante. Sempre que a GoDaddy utilizar qualquer Subcontratante autorizado, conforme descrito na Secção 6.1:

(i)A GoDaddy apenas restringirá o acesso por parte do Subcontratante aos Dados do Cliente na medida necessária para manter os Serviços Abrangidos ou para fornecer os Serviços Abrangidos ao Cliente e a quaisquer utilizadores finais em conformidade com os Serviços Abrangidos. A GoDaddy proibirá o Subcontratante de aceder aos Dados do Cliente para quaisquer outros fins;

(ii)A GoDaddy celebrará um acordo escrito com o Subcontratante e, na medida em que o Subcontratante estiver a executar os mesmos serviços de processamento de dados que estão a ser fornecidos pela GoDaddy nos termos da presente Adenda, a GoDaddy imporá ao Subcontratante as mesmas obrigações contratuais da GoDaddy nos termos da presente Adenda; e

(iii)A GoDaddy continuará a ser responsável pela conformidade com as obrigações da presente Adenda e por quaisquer atos ou omissões do Subcontratante que levem a GoDaddy a violar quaisquer das obrigações da GoDaddy nos termos desta Adenda.

6.3 Novos Subcontratantes.  Por vezes, podem ser contratados novos Subcontratantes sujeitos aos termos desta Adenda.  Nesse caso, será fornecida uma notificação prévia de 60 dias (através do nosso site na web e email) antes de o novo Subcontratante obter quaisquer Dados de Clientes. Se o Cliente não aprovar um novo Subcontratante, este poderá então rescindir quaisquer serviços abrangidos sem penalização ao fornecer, dentro de 10 dias ou após o aviso de receção da nossa parte, uma notificação por escrito de rescisão que inclua uma explicação dos motivos da sua não aprovação. Se os serviços abrangidos fizerem parte de um pacote ou compra agregada, então a rescisão será aplicada à sua totalidade.

7. Notificação de Falha de Segurança

7.1 Incidente de Segurança. Se a GoDaddy tomar conhecimento de um Incidente de Segurança, a GoDaddy sem demoras injustificadas: (a) notificará o Cliente do Incidente de Segurança; e (b) tomará as medidas razoáveis no sentido de mitigar os efeitos de e de minimizar quaisquer prejuízos decorrentes do Incidente de Segurança. 

7.2 Assistência da GoDaddy.  Para prestar assistência ao Cliente relativamente a quaisquer notificações de incumprimento em matéria de dados pessoais que sejam solicitadas ao Cliente no âmbito de quaisquer leis de privacidade aplicáveis, a GoDaddy incluirá na notificação nos termos da secção 8.1 as informações acerca do Incidente de Segurança conforme for razoavelmente possível à GoDaddy divulgar ao Cliente, tendo em conta a natureza dos Serviços Abrangidos, as informações que foram disponibilizadas à GoDaddy e quaisquer restrições sobre a divulgação de informações, como a confidencialidade.  

7.3 Incidentes de Segurança falhados. O Cliente concorda que:

(i) Um Incidente de Segurança falhado não estará sujeito aos termos da presente Adenda. Um Incidente de Segurança falhado é aquele que resulta em nenhum acesso não autorizado aos Dados do Cliente ou a qualquer rede, equipamento ou instalações da GoDaddy onde se encontrem armazenados os Dados do Cliente, e podem incluir, sem limitações, pingues e outros ataques difundidos a firewalls ou servidores Edge, análises de portas, tentativas de início de sessão sem êxito, ataques denial-of-service (DDoS), interceção de pacotes (ou outros acessos não autorizados a dados de tráfego que não tenham como consequência acessos para além dos cabeçalhos) ou incidentes similares; e

(ii) A obrigação da GoDaddy de relatar ou de responder a um Incidente de Segurança nos termos desta Secção não é nem será interpretada como um reconhecimento por parte da GoDaddy de qualquer falha ou responsabilidade da GoDaddy relativamente ao Incidente de Segurança.  

7.4 Comunicação. As notificações de Incidentes de Segurança, se existentes, serão enviadas a um ou mais administradores do Cliente mediante qualquer meio que a GoDaddy selecionar, incluindo o email. É da exclusiva responsabilidade do Cliente assegurar que os administradores do Cliente conservam dados de contacto exatos na consola de gestão da GoDaddy e que protegem a transmissão em permanência.

8. Direitos do Cliente

8.1 Determinação Independente. O Cliente é responsável por analisar as informações disponibilizadas pela GoDaddy relacionadas com a segurança de dados e as respetivas Normas de Segurança e por uma determinação independente no que concerne o facto de os Serviços Abrangidos cumprirem os requisitos e as obrigações legais do Cliente, bem como as obrigações do Cliente no âmbito da presente Adenda. As informações disponibilizadas destinam-se a ajudar o Cliente a cumprir as obrigações do Cliente no âmbito da legislação aplicável, incluindo o Regulamento Geral sobre a Proteção de Dados (RGPD), relativamente às avaliações do impacto da proteção de dados e a consultas prévias.

8.2 Direitos de Auditoria do Cliente. O Cliente tem o direito de confirmar a conformidade da GoDaddy com a presente Adenda, conforme aplicável aos Serviços Abrangidos, incluindo especificamente a conformidade da GoDaddy com as respetivas Normas de Segurança, exercendo um direito razoável de realizar uma auditoria ou inspeção, incluindo nos termos das Cláusulas Contratuais-tipo, caso sejam aplicáveis, enviando um pedido específico, por escrito, à GoDaddy para o endereço indicado nos Termos de Serviço. Se a GoDaddy recusar seguir quaisquer instruções pedidas pelo Cliente relativamente a uma auditoria ou inspeção devidamente solicitada e confinada, o Cliente tem o direito de cancelar a presente Adenda e os Termos de Serviço. Se as Normas Contratuais-tipo se aplicarem, nada nesta Secção variará nem alterará as Cláusulas Contratuais-tipo, nem afetará quaisquer direitos da autoridade de supervisão ou do titular dos dados, nos termos das Normas Contratuais-tipo. Esta Secção também será aplicável, na medida em que a GoDaddy realize o controlo dos Subcontratantes em nome do Cliente.

9. Transferências de Dados Pessoais

9.1 Processamento Baseado nos EUA. Salvo nos casos em que seja expressamente previsto nos Termos de Serviço, os Dados do Cliente serão transferidos para fora do Espaço Económico Europeu e processados nos Estados Unidos.  

9.2 Aplicação das Cláusulas Contratuais-tipo. As Cláusulas Contratuais-tipo aplicar-se-ão aos Dados do Cliente que sejam transferidos para fora do Espaço Económico Europeu (EEE), seja diretamente, seja através de transferência a partir daí, para qualquer país que não seja reconhecido pela União Europeia como fornecendo um nível de proteção adequado dos dados pessoais (conforme descrito no RGPD). As Cláusulas Contratuais-tipo não se aplicarão aos Dados do Cliente que não sejam transferidos, seja diretamente, seja através de transferência a partir daí, para fora do Espaço Económico Europeu.  Não obstante o precedente, as Cláusulas Contratuais-tipo não se aplicarão sempre que os dados forem transferidos de acordo com uma norma de conformidade reconhecida para a transferência lícita de dados pessoais (conforme definido no RGPD) para fora do Espaço Económico Europeu, como as Estruturas do Escudo de Proteção da Privacidade UE-EUA e Suíça-EUA.  

10. Cancelamento da Adenda

A presente Adenda permanecerá em vigor até ao cancelamento do nosso processamento em conformidade com os Termos de Serviço (a “Data de Cancelamento”).   

11. Devolução ou Eliminação dos Dados do Cliente

Conforme descrito nos Serviços Abrangidos, podem ser fornecidos controlos ao Cliente que lhe permitam obter ou eliminar os Dados do Cliente. Qualquer eliminação dos Dados do Cliente reger-se-á pelos termos dos Serviços Abrangidos específicos.

12. Limitações de Responsabilidade

A responsabilidade de cada parte nos termos da presente Adenda estará sujeita às exclusões e limitações de responsabilidade estabelecidas nos Termos de Serviço. O Cliente concorda que quaisquer sanções regulamentares incorridas pela GoDaddy relacionadas com os Dados do Cliente que decorram de, ou que estejam relacionadas com, o incumprimento por parte do Cliente das respetivas obrigações nos termos da presente Adenda e de quaisquer leis de privacidade aplicáveis contarão para e reduzirão a responsabilidade da GoDaddy no âmbito dos Termos de Serviço como se fosse uma responsabilidade para com o Cliente nos Termos do Serviço.

13. Totalidade dos Termos de Serviço; Conflito

A presente Adenda sobrepõe-se a e substitui todas as representações, interpretações, acordos ou comunicações prévios ou atuais entre o Cliente e a GoDaddy, sejam por escrito ou verbais, relativamente ao assunto em questão, incluindo qualquer adenda relativa ao processamento de dados celebrada entre a GoDaddy e o Cliente relativamente ao processamento de dados pessoais e à livre circulação de tais dados.  Salvo em caso de alteração em contrário na presente Adenda, os Termos de Serviço permanecerão em vigor e em efeito.  Na eventualidade da existência de um conflito entre quaisquer outros acordos entre as partes, incluindo os Termos de Serviço e a presente Adenda, prevalecerão os termos da presente Adenda.

** ************************************************

Anexo 1

 DETALHES DO PROCESSAMENTO

 1. Natureza e Finalidade do Processamento. A GoDaddy processará os Dados Pessoais conforme necessário para fornecer os Serviços Abrangidos de acordo com os Termos de Serviço, acordos específicos dos produtos e conforme adicionalmente indicado pelo Cliente durante a sua utilização dos Serviços Abrangidos.

 2. Duração do Processamento. Sob reserva do estabelecido na Secção 10 da presente Adenda, a GoDaddy processará os Dados Pessoais durante o período de vigência dos Termos de Serviço, mas cumprirá os termos da presente Adenda pelo período de duração do Processamento, se esse período tiver sido ultrapassado, e salvo acordado em contrário por escrito.

3. Categorias de Titulares de Dados. O Cliente pode carregar Dados Pessoais durante a sua utilização dos Serviços Abrangidos, sendo o âmbito de tais dados determinado e controlado pelo Cliente segundo os seus próprios critérios, e que pode incluir, mas não se limitar a, Dados Pessoais relacionados com as categorias seguintes de Titulares de Dados:

  • Potenciais clientes, clientes, parceiros de negócio e fornecedores do Cliente (que sejam pessoas singulares)
  • Colaboradores ou pessoas de contacto de potenciais clientes do Cliente, clientes, parceiros de negócio e fornecedores
  • Colaboradores, agentes, consultores, freelancers do Cliente (que sejam pessoas singulares)
  • Utilizadores do Cliente autorizados pelo Cliente a utilizar os Serviços Abrangidos

 4. Tipo de Dados Pessoais. O Cliente pode carregar Dados Pessoais durante a sua utilização dos Serviços Abrangidos, sendo o tipo e âmbito dos mesmos determinado e controlado pelo Cliente, segundo os seus próprios critérios exclusivos, e que pode incluir, mas não se limitar às categorias seguintes de Dados Pessoais dos Titulares dos Dados: 

  • Nome
  • Endereço
  • Número de telefone
  • Data de nascimento
  • Endereço de email
  • Outros dados recolhidos que podem identificá-lo direta ou indiretamente.

** ************************************************

Anexo 2

Normas de Segurança

I.  Medidas Técnicas e Organizacionais  

Comprometemo-nos a proteger as informações dos nossos clientes.  Tendo em consideração as melhores práticas, os custos de implementação e a natureza, âmbito, circunstâncias e finalidades do processamento, bem como as diferentes probabilidades de ocorrência e de gravidade de riscos para os direitos e liberdades das pessoas singulares, implementamos as medidas técnicas e organizacionais seguintes.  Na seleção das medidas, tomamos em consideração a confidencialidade, a integridade, a disponibilidade e resiliência dos sistemas. Garantimos uma recuperação rápida após um incidente físico ou técnico. 

II.  Programa de Privacidade de Dados  

O nosso Programa de Privacidade de Dados foi estabelecido para manter uma estrutura de governação de dados global e proteger as informações durante o ciclo de vida das mesmas. Este programa é gerido pelo gabinete do responsável pela proteção dos dados, que supervisiona a implementação de práticas de privacidade e de segurança. Testamos e avaliamos regularmente a eficácia dos respetivos Programa de Privacidade de Dados e Normas de Segurança.   

1. Confidencialidade. “Confidencialidade significa que os dados pessoais se encontram protegidos de divulgação não autorizada.”  

Utilizamos uma série de medidas físicas e lógicas para proteger a confidencialidade dos respetivos dados pessoais do cliente. Entre tais medidas incluem-se:   

  Segurança Física  

  • Sistemas de controlo de acesso físico implementados (Controlo de acesso por distintivo, Monitorização de eventos de segurança, etc.) 
  • Sistemas de vigilância, incluindo alarmes e, conforme apropriado, sistemas de vigilância por televisão em circuito fechado (CCTV)
  • Políticas e controlos de “secretária limpa“ implementados (Bloqueio de computadores não utilizados, armários trancados, etc.)  
  • Gestão do Acesso de Visitantes
  • Destruição de dados em suportes físicos e em documentos (retalhamento, desmagnetização, etc.) 

  Controlo de Acessos e Prevenção de Acesso Não Autorizado 

  • Restrições de acesso por parte dos utilizadores aplicadas e permissões com base em funções concedidas/analisadas com base no princípio da separação de funções  
  • Métodos seguros de autenticação e de autorização (Autenticação multifator, autorização com base em certificados, desativação/terminar sessão automáticos, etc.) 
  • Gestão centralizada de palavras-passe e políticas de palavras-passe seguras/complexas (comprimento mínimo, complexidade de carateres, expiração de palavras-passe, etc.)   
  • Acesso controlado a emails e à Internet
  • Gestão de antivírus  
  • Gestão do Sistema de Prevenção de Intrusão  

Encriptação   

  • Encriptação de comunicação externa e interna através de protocolos criptográficos seguros  
  • Encriptação de dados PII/SPII inativos (bases de dados, diretórios partilhados, etc.)   
  • Encriptação total do disco para computadores de secretária e portáteis de empresa   
  • Encriptação de suporte de dados de armazenamento  
  • As ligações remotas às redes da empresa são encriptadas através de VPN  
  • Assegurar o ciclo de vida das chaves de encriptação  

 Minimização dos Dados    

  • Minimização de PII/SPI em registos da aplicação, de depuração e de segurança  
  • Apresentação sob pseudónimo de dados pessoais para impedir a identificação direta de um indivíduo 
  • Separação de dados armazenados por função (transição, de teste, dinâmico) 
  • Separação lógica de dados por direitos de acesso baseados em funções 
  • Períodos de retenção de dados definidos para dados pessoais 

Testes de Segurança     

  • Teste de Penetração para redes e plataformas empresariais críticas que alojem dados pessoais 
  • Análises regulares de rede e de vulnerabilidade 

2. Integridade. “Integridade refere-se a assegurar a exatidão (integridade) dos dados e o correto funcionamento dos sistemas. Quando o termo integridade é utilizado com o termo "dados", é uma indicação de que os dados estão completos e inalterados.”  

As alterações adequadas e os controlos de gestão de registo estão implementados, além dos controlos de acesso para manter a integridade dos dados pessoais, como:    

Gestão de Alterações e de Versões    

  • Processo de gestão de alterações e de versões (incluindo análise do impacto, aprovações, testes, análises de segurança, transição, monitorização, etc.)  
  • Aprovisionamento de acesso baseado em funções (Separação de Funções) em ambientes de produção  

Monitorização e Registos

  • Registo de acesso e alterações a dados  
  • Auditoria centralizada e registos de segurança   
  • Monitorização da integralidade e da correção da transferência dos dados (verificação ponto a ponto)  

3. Disponibilidade. “A disponibilidade dos serviços e sistemas de TI, aplicações de TI e funções de rede ou informações de TI está garantida, se os utilizadores conseguirem utilizá-las em permanência conforme pretendido.”    

Implementamos medidas de segurança e continuidade adequadas para manter a disponibilidade dos serviços e dos dados que residem em tais serviços:    

  • Testes regulares de ativação pós-falha aplicados para serviços críticos  
  • Monitorização e elaboração de relatórios sobre desempenho alargado/disponibilidade de sistemas críticos  
  • Programa de resposta a incidentes  
  • Dados críticos replicados ou com cópia de segurança (Cópias de Segurança na Nuvem/Discos Rígidos/Replicação de base de dados, etc.) 
  • Manutenção planeada de software, infraestrutura e segurança implementada (Atualizações de software, patches de segurança, etc.)   
  • Sistemas redundantes e resilientes (clusters de servidores, bases de dados espelhadas, configurações de elevada disponibilidade, etc.) localizados em localizações fora das instalações e/ou geograficamente separadas    
  • Utilização de fontes de alimentação ininterrupta, hardware redundantes a falhas e sistemas de rede  
  • Sistemas de segurança e alarme implementados  
  • Medidas de Proteção Física implementadas para locais críticos (proteções de sobretensão, pisos sobreelevados, sistemas de refrigeração, detetores de incêndio e/ou fumo, sistemas de supressão de incêndios, etc.) 
  • Proteção contra ataques denial-of-service (DDoS) para manter a disponibilidade   
  • Testes de esforço e de carga  

4Instruções para Processamento de Dados. "As Instruções para Processamento de Dados referem-se a assegurar que os dados pessoais apenas serão processados de acordo com as instruções do controlador de dados e as medidas relacionadas da empresa"  

Estabelecemos políticas de privacidade internas, acordos e realizamos formações regulares em matéria de privacidade para os colaboradores para nos certificarmos de que os dados pessoais são processados de acordo com as preferências e instruções dos clientes.   

  • Termos de privacidade e de confidencialidade acordados no âmbito dos contratos de trabalho 
  • Formações regulares em privacidade e segurança de dados para os colaboradores
  • Disposições contratuais adequadas aos acordos com subcontratantes para manter os direitos de controlo instrucional
  • Verificações de privacidade regulares para fornecedores de serviços externos
  • Disponibilizar aos clientes o controlo total das respetivas preferências em termos de processamento de dados
  • Auditorias de segurança regulares

**********************************************

Anexo 3

Consultar a Secção 9.2 da Adenda para saber mais sobre a aplicabilidade destas CCT

Cláusulas Contratuais-tipo (processadores)

Para os fins do número 2 do Artigo 26º da Diretiva 95/46/CE do Parlamento Europeu e do Conselho relativa à transferência de dados pessoais para processadores estabelecidos em países terceiros que não assegurem um nível adequado de proteção de dados

A entidade identificada como “Cliente” na Adenda
(o “exportador de dados”)

e

GoDaddy.com, LLC

 (o “importador de dados”)

individualmente, “uma parte”; conjuntamente “as partes”,

ACORDARAM as Cláusulas Contratuais seguintes (as Cláusulas) de modo a apresentarem garantias adequadas relativas à proteção da privacidade e dos direitos e liberdades fundamentais dos indivíduos para a transferência por parte do exportador de dados para o importador de dados dos dados pessoais especificados no Anexo 1.

Cláusula 1

Definições

Para as finalidades das Cláusulas:

(a) "dados pessoais", "categorias especiais de dados", "tratar/tratamento", "responsável pelo tratamento", "subcontratante", "titular dos dados" e "autoridade de controlo" terão o mesmo significado que na Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados;

(b) "o exportador de dados" significa o responsável pelo tratamento que transfere os dados pessoais;

(c) "o importador dos dados" significa o processador que concorda receber do exportador de dados os dados pessoais destinados a serem tratados em seu nome após a transferência e de acordo com as respetivas instruções e os termos das Cláusulas e que não está sujeito ao sistema de um país terceiro que assegure a proteção adequada no âmbito do número 1 do Artigo 25º da Diretiva 95/46/CE do Parlamento Europeu e do Conselho;

(d) "o subcontratante" significa qualquer processador contratado pelo importador de dados ou por qualquer outro subcontratante do importador de dados que concorde receber do importador de dados, ou de qualquer outro subcontratante do importador de dados, dados pessoais destinados exclusivamente a atividades de processamento a serem executadas em nome do exportador de dados após a transferência em conformidade com as respetivas instruções, os termos das Cláusulas e os termos do subcontrato escrito;

(e) "a lei de proteção de dados aplicável" significa a legislação que protege os direitos e liberdades fundamentais dos indivíduos, em particular o seu direito à privacidade relativamente ao tratamento de dados pessoais aplicável a um responsável pelo tratamento de dados no Estado-Membro em que o exportador de dados esteja estabelecido;

(f) "medidas de segurança técnica e organizacional" significa as medidas destinadas a proteger os dados pessoais de destruição acidental ou ilícita, alteração, divulgação ou acesso não autorizados, em particular quando o processamento envolver a transmissão de dados através de uma rede, e de todas as outras formas ilícitas de processamento.

Cláusula 2

Detalhes da transferência

Os detalhes da transferência e em particular as categorias especiais de dados pessoais sempre que aplicável são especificadas no Apêndice 1 que é parte integrante das Cláusulas.

Cláusula 3

Cláusula de terceiro beneficiário

1.  O titular dos dados pode invocar contra o exportador de dados a presente Cláusula, as alíneas (b) a (i) da Cláusula 4, as alíneas (a) a (e) da Cláusula 5 e (g) a (j), o parágrafos 1 e 2 da Cláusula 6, a Cláusula 7, o parágrafo 2 da Cláusula 8 e as Cláusulas 9 a 12 na qualidade de terceiro beneficiário.

2.  O titular dos dados pode invocar contra o importador dos dados esta Cláusula, as alíneas (a) a (e) e (g) da Cláusula 5, a Cláusula 6, a Cláusula 7, o parágrafo 2 da Cláusula 8 e as Cláusulas 9 a 12, nos casos em que o exportador de dados tenha desaparecido de facto ou tenha sido legalmente extinto, salvo se qualquer entidade sucessora tiver assumido a totalidade das obrigações legais do exportador de dados mediante contrato ou por força da lei, decorrendo daí a respetiva assunção dos direitos e obrigações do exportador de dados, caso em que o titular dos dados pode invocar os seus direitos contra essa entidade.

3.  O titular dos dados pode invocar contra o subcontratante esta Cláusula, as alíneas (a) a (e) e (g) da Cláusula 5, a Cláusula 6, a Cláusula 7, a Cláusula 8, o número 2 da Cláusula 8 e as Cláusulas 9 a 12, nos casos em que tanto o exportador de dados como o importador de dados tenham desaparecido de facto ou tenham sido legalmente extintos ou se tenham tornado insolventes, salvo se qualquer entidade sucessora tiver assumido a totalidade das obrigações legais do exportador de dados mediante contrato ou por força da lei, decorrendo daí a respetiva assunção dos direitos e obrigações do exportador de dados, caso em que o titular dos dados pode invocar os seus direitos contra essa entidade. Essa responsabilidade perante terceiros do subcontratante estará limitada às suas próprias operações de processamento nos termos das Cláusulas.

4.  As partes não se opõem a que um titular de dados seja representado por uma associação ou outro organismo, se o titular de dados assim o desejar expressamente e se permitido pelas leis nacionais.

Cláusula 4

Obrigações do exportador de dados

O exportador de dados concorda e garante:

(a) que o processamento, incluindo a própria transferência, dos dados pessoais foi e continuará a ser executado em conformidade com as disposições relevantes da lei de proteção de dados aplicável (e, quando aplicável, foi notificado às entidades relevantes do Estado-Membro no qual o exportador de dados se encontra estabelecido) e não viola as disposições relevantes de tal Estado;

(b) que instruiu e que durante o período dos serviços de processamento de dados instruirá o importador de dados no sentido de processar os dados pessoais transferidos apenas em nome do exportador de dados e de acordo com a lei de proteção de dados aplicável e as Cláusulas;

(c) que o importador de dados fornecerá garantias suficientes relativamente às medidas de segurança técnicas e organizacionais especificadas no Apêndice 2 ao presente contrato;

(d) que após a avaliação dos requisitos da lei de proteção de dados aplicável, as medidas de segurança sejam apropriadas para proteger os dados pessoais de destruição acidental ou ilícita ou de perda acidental, alteração, divulgação ou acesso não autorizados, em particular quando o processamento envolver a transmissão de dados através de uma rede, e de todas as outras formas ilícitas de processamento, e que estas medidas assegurem um nível de segurança adequado aos riscos representados pelo processamento e à natureza dos dados a proteger relativamente à tecnologia mais recente e ao custo da sua implementação;

(e) que assegurará a conformidade com as medidas de segurança;

Que, se a transferência envolver categorias de dados especiais, o titular dos dados foi informado ou será informado antes da, ou tão breve quanto possível após a, transferência de que os respetivos dados podem ser transmitidos para um país terceiro que não disponibilize proteção adequada no âmbito da Diretiva 95/46/CE do Parlamento Europeu e do Conselho;

(g) encaminhar qualquer notificação recebida do importador de dados ou de qualquer subcontratante nos termos da alínea (b) da Cláusula 5 e do parágrafo 3 da Cláusula 8 para a autoridade de supervisão dos dados pessoais, se o exportador de dados decidir continuar com a transferência ou anular a suspensão;

(h) disponibilizar aos titulares dos dados, a pedido, uma cópia das Cláusulas, com a exceção do Apêndice 2, bem como uma descrição abreviada das medidas de segurança, assim como uma cópia de qualquer contrato de serviços de subprocessamento que tenha celebrado nos termos das Cláusulas, salvo se as Cláusulas ou o contrato contiverem informações comerciais, situação em que está autorizada a eliminar tais informações comerciais;

(i) que, na eventualidade de subprocessamento, a atividade de processamento é executada em conformidade com a Cláusula 11 por um subcontratante que forneça pelo menos o mesmo nível de proteção para os dados pessoais e os direitos dos titulares dos dados que o importador de dados nos termos das Cláusulas; e

(j) que assegurará a conformidade com as alíneas (a) a (i) da Cláusula 4.

Cláusula 51.

Obrigações do importador de dados

O importador de dados concorda e garante:

(a) processar os dados pessoais apenas em nome do exportador de dados e em conformidade com as instruções e as Cláusulas; se não conseguir cumprir com tal conformidade, seja por que motivos for, concorda informar prontamente o exportador de dados da respetiva incapacidade de cumprir, caso em que o exportador de dados tem o direito de suspender a transferência de dados e/ou de cancelar o contrato;

(b) que não tem qualquer motivo para acreditar que a legislação aplicável o impeça de cumprir as instruções recebidas do exportador de dados e as respetivas obrigações nos termos do contrato e que na eventualidade de uma alteração a esta legislação que possa ter um efeito adverso substancial nas garantias e obrigações conferidas pelas Cláusulas, notificará prontamente o exportador de dados de tal alteração, assim que dela tiver conhecimento, tendo neste caso o exportador de dados o direito de suspender a transferência de dados e/ou de rescindir o contrato;

(c) que implementou as medidas de segurança técnicas e organizacionais especificadas no Apêndice 2 antes de processar os dados pessoais transferidos;

(d) que notificará prontamente o exportador de dados de:

(i) qualquer pedido juridicamente vinculativo de divulgação dos dados pessoais por parte de uma autoridade competente para a aplicação da lei, a não ser que exista uma proibição em contrário, como uma proibição prevista no direito penal para preservar a confidencialidade de uma investigação policial,

(ii) quaisquer acessos acidentais ou não autorizados, e

(iii) qualquer pedido recebido diretamente dos titulares dos dados sem responder a tal pedido, salvo autorização em contrário;

(e) lidar pronta e devidamente com todas as perguntas do exportador de dados relacionadas com o respetivo processamento dos dados pessoais sujeitos à transferência e cumprir os conselhos da autoridade de supervisão relativamente ao processamento dos dados transferidos;

(f) a pedido do exportador de dados para que as respetivas instalações de processamento de dados sejam submetidas a auditoria das atividades de processamento abrangidas pelas Cláusulas que serão executadas pelo exportador de dados ou um organismo de inspeção composto por membros independentes e em posse das qualificações profissionais requeridas vinculados por um dever de confidencialidade, selecionado pelo exportador de dados, conforme aplicável, de acordo com a autoridade de supervisão;

(h) disponibilizar aos titulares dos dados, a pedido, uma cópia das Cláusulas ou de qualquer contrato de subprocessamento existente, salvo se as Cláusulas ou o contrato contiverem informações comerciais, situação em que está autorizada a eliminar tais informações comerciais, com a exceção do Apêndice 2, que será substituído por uma descrição abreviada das medidas de segurança nos casos em que o titular dos dados não consiga obter uma cópia junto do exportador dos dados;

(h) que, na eventualidade de subprocessamento, informou previamente o exportador de dados e obteve o respetivo consentimento por escrito;

(i) que os serviços de processamento por parte do subcontratante serão executados nos termos da Cláusula 11;

(j) enviar prontamente uma cópia de qualquer acordo que o subcontratante celebre com o exportador de dados nos termos das Cláusulas.

Cláusula 6

Responsabilidade

1.  As partes concordam que qualquer titular dos dados que tenha sofrido prejuízos como consequência de qualquer violação das obrigações mencionadas na Cláusula 3 ou na Cláusula 11, por qualquer parte ou subcontratante, tem o direito de receber uma indemnização por parte do exportador de dados pelos prejuízos sofridos.

2.  Se não for possível a um titular de dados intentar uma ação de reparação de acordo com o parágrafo 1 contra o exportador de dados na sequência de um incumprimento por parte do importador de dados ou do respetivo subcontratante de quaisquer das respetivas obrigações mencionadas na Cláusula 3 ou na Cláusula 11, por o exportador de dados ter desaparecido de facto, ter sido legalmente extinto ou se ter tornado insolvente, o importador de dados concorda que o titular dos dados pode intentar uma ação de reparação contra o importador de dados como se fosse o exportador de dados, salvo se qualquer entidade sucessora tiver assumido a totalidade das obrigações legais do exportador de dados mediante contrato ou por força da lei, caso em que o titular dos dados pode invocar os seus direitos contra essa entidade. O importador de dados não pode basear-se numa violação das respetivas obrigações por parte de um subcontratante para se eximir às suas próprias responsabilidades.

3.  Se não for possível a um titular dos dados intentar uma ação judicial contra o exportador de dados ou se o importador de dados mencionado nos parágrafos 1 e 2, na sequência de um incumprimento por parte do subcontratante de quaisquer das respetivas obrigações mencionadas na Cláusula 3 ou na Cláusula 11 por tanto o exportador de dados como o importador de dados terem desaparecido de facto ou terem sido legalmente extintos ou se terem tornado insolventes, o subcontratante concorda que o titular dos dados pode intentar uma ação judicial contra o subcontratante de dados relativamente às suas próprias operações de processamento nos termos das Cláusulas, como se fosse o exportador de dados ou o importador de dados, salvo se qualquer entidade sucessora tiver assumido a totalidade das obrigações legais do exportador de dados ou do importador de dados mediante contrato ou por força da lei, caso em que o titular dos dados pode invocar os seus direitos contra essa entidade. A responsabilidade do subcontratante estará limitada às suas próprias operações de processamento nos termos das Cláusulas.

Cláusula 7

Mediação e jurisdição

1.  O importador de dados concorda que, se o titular dos dados invocar contra si direitos de terceiro beneficiário e/ou um pedido de indemnização por danos nos termos das Cláusulas, o importador de dados aceitará a decisão do titular dos dados:

(a) submeter o litígio a mediação de uma pessoa independente ou, quando aplicável, da autoridade de controlo;

(b) submeter o litígio aos tribunais do Estado-Membro em que o exportador de dados está estabelecido.

2.  As partes acordam que a opção tomada pelo titular dos dados não prejudicará os respetivos direitos substantivos ou processuais de procurar obter reparação em conformidade com as restantes disposições das leis nacionais ou internacionais.

Cláusula 8

Cooperação com as autoridades de supervisão

1.  O exportador de dados concorda enviar uma cópia do presente contrato à autoridade de supervisão, se tal lhe for solicitado por tal autoridade ou se tal envio for requerido nos termos da lei de proteção de dados aplicável.

2.  As partes acordam que a autoridade de supervisão detém o direito de realizar uma auditoria ao importador de dados, e a qualquer subcontratante, que tenha o mesmo âmbito e que esteja sujeito às mesmas condições que se aplicariam a uma auditoria ao exportador de dados no âmbito da lei de proteção de dados aplicável.

3.  O importador de dados informará prontamente o exportador de dados da existência de legislação aplicável ao mesmo ou a qualquer subcontratante que impeça a realização de uma auditoria ao importador de dados ou a qualquer subcontratante, nos termos do parágrafo 2. Em tal eventualidade, o exportador terá o direito de tomar as medidas previstas na alínea (b) da Cláusula 5.

Cláusula 9

Lei Aplicável

As Cláusulas reger-se-ão pelas leis do Estado-Membro em que o exportador de dados se encontra estabelecido e, em caso de dúvida ou no caso de existirem vários exportadores de dados, reger-se-á pelas leis da Inglaterra e do País de Gales. 

Cláusula 10

Alteração do Contrato

As partes comprometem-se a não fazer variar nem a alterar as Cláusulas. Isto não exclui a possibilidade de as partes adicionarem cláusulas relativas a questões relacionadas com o negócio sempre que necessário, desde que estas não contradigam as Cláusulas.

Cláusula 11

Subprocessamento

1.  O importador de dados não subcontratará nenhuma das respetivas operações de processamento executadas em nome do exportador de dados nos termos das Cláusulas sem o consentimento prévio, por escrito, do exportador de dados. Sempre que o importador de dados subcontratar as respetivas obrigações, nos termos das Cláusulas, com o consentimento do exportador de dados, fá-lo-á apenas mediante um acordo escrito com o subcontratante que imponha ao subcontratante as mesmas obrigações que são impostas ao importador de dados nos termos das Cláusulas. Sempre que o subcontratante não cumprir as suas obrigações em matéria de proteção de dados, nos termos de tal acordo escrito, o importador de dados continuará a ser totalmente responsável perante o exportador de dados pela execução das obrigações do subcontratante nos termos de tal acordo.

2.  O contrato prévio escrito entre o importador de dados e o subcontratante deve prever igualmente uma cláusula de terceiro beneficiário, tal como previsto na Cláusula 3, para os casos em que o titular dos dados não puder intentar uma ação de reparação mencionada no parágrafo 1 da Cláusula 6 contra o exportador de dados ou o importador de dados por estes terem desaparecido de facto, terem sido extintos legalmente ou por se terem tornado insolventes e nenhuma entidade sucessora ter assumido a totalidade das obrigações legais do exportador ou do importador de dados, mediante contrato ou por força da lei. Essa responsabilidade perante terceiros do subcontratante estará limitada às suas próprias operações de processamento nos termos das Cláusulas.

3.  As disposições relacionadas com os aspetos de proteção de dados para subprocessamento do contrato mencionados no parágrafo 1 reger-se-ão pela lei do Estado-Membro no qual o exportador de dados se encontra estabelecido.

4.  O exportador de dados conservará uma lista de acordos de subprocessamento elaborada nos termos das Cláusulas e notificada pelo importador de dados de acordo com a alínea (j) da Cláusula 5, que será atualizada pelo menos uma vez por ano. A lista será disponibilizada à autoridade de supervisão de proteção de dados do exportador de dados.

Cláusula 12

Obrigação após o cancelamento dos serviços de processamento de dados pessoais

1.  As partes concordam que, após o cancelamento do fornecimento dos presentes serviços de processamento, o importador de dados e o subcontratante restituirão, à discrição do exportador de dados, todos os dados pessoais transferidos, bem como as cópias dos mesmos, para o exportador de dados ou que destruirão todos os dados pessoais e assegurarão ao exportador de dados que tal foi executado, salvo se a legislação aplicável ao importador de dados o impedir de restituir ou de destruir a totalidade ou parte dos dados pessoais transferidos. Nessa eventualidade, o importador de dados garante que assegurará a confidencialidade dos dados pessoais transferidos e que deixará de processar ativamente os dados pessoais transferidos.

2.  O importador de dados e o subcontratante garantem que, a pedido do exportador de dados e/ou da autoridade de supervisão, submeterão as respetivas instalações de processamento de dados a uma auditoria às medidas mencionadas no parágrafo 1.

**********************************************

Apêndice 1 às Cláusulas Contratuais-tipo

Exportador de dados

O exportador de dados é a entidade identificada como “Cliente” na Adenda

Importador de dados

O importador de dados é a GoDaddy.com, LLC , um fornecedor de serviços alojados.

Titulares dos dados

As operações de processamento são definidas na Secção 1.3 e no Anexo 1 à Adenda.

Categorias de dados

As operações de processamento são definidas na Secção 1.3 e no Anexo 1 à Adenda.

Operações de processamento

As operações de processamento são definidas na Secção 1.3 e no Anexo 1 à Adenda.

Apêndice 2 às Cláusulas Contratuais-tipo

O presente Apêndice é parte integrante das Cláusulas.  Ao adquirir os Serviços Abrangidos à GoDaddy, a Adenda e o presente Apêndice 2 consideram-se aceites e executados por e entre as partes.

Descrição das medidas de segurança técnicas e organizacionais implementadas pelo importador de dados em conformidade com a alínea (d) da Cláusula 4 e a alínea (c) da Cláusula 5 (ou documento/legislação anexados):

As medidas de segurança técnica e organizacional implementadas pelo importador de dados conforme descritas na Adenda, mais especificamente no Anexo 2, que é incorporado na e anexado à mesma.


1              Requisitos obrigatórios da legislação nacional aplicáveis ao importador de dados que não ultrapassem o necessário numa sociedade democrática com base num dos interesses enumerados no número 1 do Artigo 13º da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, isto é, sempre que constituam uma medida necessária à proteção da segurança do Estado, da defesa, da segurança pública, da prevenção, investigação, deteção e repressão de infrações penais e de violações da deontologia das profissões regulamentadas, de um interesse económico ou financeiro importante de um Estado-Membro ou da União Europeia ou a proteção da pessoa em causa ou dos direitos e liberdades de outrem, não estão em contradição com as cláusulas contratuais-tipo. Alguns exemplos de tais requisitos obrigatórios que não ultrapassam o que é necessário numa sociedade democrática são, entre outros, as sanções reconhecidas internacionalmente, a obrigações de comunicação em matéria fiscal ou de comunicação no âmbito do combate ao branqueamento de capitais.

Revisão: 29/01/2019
Copyright © 2019 GoDaddy.com, LLC Todos os direitos reservados.