Nos termos do artigo 28.º, n.º 3, do Regulamento 2016/679 (Regulamento Geral sobre a Proteção de Dados) para efeitos do tratamento de dados pessoais pelo subcontratante. O acordo de subcontratação de tratamento de dados entra em vigor quando o utilizador é registado como cliente na plataforma Evofleet.
O acordo é celebrado entre o Cliente (a seguir «o responsável pelo tratamento») e a Evofleet ApS, CVR 43560433, St. Sct. Mikkels Gade 7, 8800 Viborg, Dinamarca (a seguir «o subcontratante»), sendo cada um deles uma «parte» e constituindo, em conjunto, as «partes».
As partes acordaram as seguintes cláusulas contratuais-tipo (as Cláusulas) com vista a dar cumprimento ao Regulamento Geral sobre a Proteção de Dados e a assegurar a proteção da privacidade e dos direitos e liberdades fundamentais das pessoas singulares.
Estas Cláusulas estabelecem os direitos e as obrigações do subcontratante quando este efetua o tratamento de dados pessoais por conta do responsável pelo tratamento.
Estas cláusulas foram elaboradas com vista ao cumprimento, pelas partes, do disposto no artigo 28.º, n.º 3, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).
No âmbito da prestação da plataforma online da Evofleet, o subcontratante trata dados pessoais por conta do responsável pelo tratamento, em conformidade com estas Cláusulas.
As Cláusulas prevalecem sobre quaisquer cláusulas correspondentes constantes de outros acordos entre as partes.
Estas Cláusulas comportam quatro anexos, que constituem parte integrante das Cláusulas.
O Anexo A contém informações mais detalhadas sobre o tratamento dos dados pessoais, incluindo a finalidade e a natureza do tratamento, o tipo de dados pessoais, as categorias de titulares dos dados e a duração do tratamento.
O Anexo B contém as condições do responsável pelo tratamento para a utilização de subcontratantes ulteriores pelo subcontratante e uma lista dos subcontratantes ulteriores cuja utilização o responsável pelo tratamento aprovou.
O Anexo C contém as instruções do responsável pelo tratamento no que respeita ao tratamento de dados pessoais pelo subcontratante, uma descrição das medidas de segurança que o subcontratante deve, no mínimo, implementar, e a forma como é exercida a supervisão sobre o subcontratante e eventuais subcontratantes ulteriores.
As Cláusulas e os respetivos anexos devem ser conservados por escrito, incluindo em formato eletrónico, por ambas as partes.
Estas Cláusulas não isentam o subcontratante das obrigações que lhe são impostas pelo Regulamento Geral sobre a Proteção de Dados ou por qualquer outra legislação.
O responsável pelo tratamento é responsável por assegurar que o tratamento de dados pessoais é efetuado em conformidade com o Regulamento Geral sobre a Proteção de Dados (ver o artigo 24.º do Regulamento), com as disposições em matéria de proteção de dados constantes de outras normas de direito da União ou do direito nacional dos Estados-Membros e com estas Cláusulas.
O responsável pelo tratamento tem o direito e a obrigação de tomar decisões sobre as finalidades e os meios do tratamento de dados pessoais.
O responsável pelo tratamento é responsável, entre outros aspetos, por assegurar que existe um fundamento jurídico para o tratamento de dados pessoais que o subcontratante é instruído a efetuar.
O subcontratante só pode tratar dados pessoais segundo instruções documentadas do responsável pelo tratamento, salvo se tal for exigido por força do direito da União ou do direito nacional dos Estados-Membros a que o subcontratante está sujeito. Estas instruções devem ser especificadas nos Anexos A e C. Instruções posteriores podem igualmente ser dadas pelo responsável pelo tratamento durante o tratamento de dados pessoais, devendo, porém, ser sempre documentadas e conservadas por escrito, incluindo em formato eletrónico, juntamente com estas Cláusulas.
O subcontratante informa imediatamente o responsável pelo tratamento se considerar que uma instrução viola o presente regulamento ou as disposições em matéria de proteção de dados constantes de outras normas de direito da União ou do direito nacional dos Estados-Membros.
O subcontratante só pode conceder acesso aos dados pessoais tratados por conta do responsável pelo tratamento a pessoas sujeitas ao poder de instrução do subcontratante que se tenham comprometido a respeitar a confidencialidade ou estejam sujeitas a uma obrigação legal de sigilo adequada, e apenas na medida do necessário. A lista das pessoas a quem foi concedido acesso deve ser objeto de revisão contínua. Com base nessa revisão, o acesso aos dados pessoais pode ser encerrado se já não for necessário, deixando os dados pessoais, a partir desse momento, de estar acessíveis a essas pessoas.
O subcontratante deve, a pedido do responsável pelo tratamento, poder demonstrar que as pessoas em causa sujeitas ao seu poder de instrução estão sujeitas à referida obrigação de sigilo.
O artigo 32.º do Regulamento Geral sobre a Proteção de Dados estabelece que o responsável pelo tratamento e o subcontratante, tendo em conta o estado da técnica, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento em causa, bem como os riscos, de probabilidade e gravidade variáveis, para os direitos e liberdades das pessoas singulares, aplicam as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado a esses riscos.
O responsável pelo tratamento deve avaliar os riscos para os direitos e liberdades das pessoas singulares decorrentes do tratamento e aplicar medidas para fazer face a esses riscos. Em função da sua relevância, tal pode incluir:
Nos termos do artigo 32.º do Regulamento, o subcontratante deve também — independentemente do responsável pelo tratamento — avaliar os riscos para os direitos das pessoas singulares decorrentes do tratamento e aplicar medidas para fazer face a esses riscos. Para efeitos dessa avaliação, o responsável pelo tratamento deve facultar ao subcontratante as informações necessárias que lhe permitam identificar e avaliar tais riscos.
Além disso, o subcontratante deve assistir o responsável pelo tratamento no cumprimento da obrigação deste último decorrente do artigo 32.º do Regulamento, nomeadamente facultando ao responsável pelo tratamento as informações necessárias relativas às medidas técnicas e organizativas de segurança já implementadas pelo subcontratante nos termos do artigo 32.º do Regulamento, bem como quaisquer outras informações necessárias para o cumprimento, pelo responsável pelo tratamento, da sua obrigação nos termos do artigo 32.º do Regulamento.
Se fazer face aos riscos identificados — segundo a avaliação do responsável pelo tratamento — exigir a aplicação de medidas adicionais às já implementadas pelo subcontratante, o responsável pelo tratamento deve indicar, no Anexo C, as medidas adicionais a aplicar.
O subcontratante deve cumprir as condições previstas no artigo 28.º, n.os 2 e 4, do Regulamento Geral sobre a Proteção de Dados para recorrer a outro subcontratante (um subcontratante ulterior).
Assim, o subcontratante não pode recorrer a um subcontratante ulterior para o cumprimento destas Cláusulas sem autorização prévia, geral e por escrito do responsável pelo tratamento.
O subcontratante dispõe da autorização geral do responsável pelo tratamento para o recurso a subcontratantes ulteriores. O subcontratante deve informar por escrito o responsável pelo tratamento de quaisquer alterações previstas no que respeita ao aditamento ou à substituição de subcontratantes ulteriores, com uma antecedência mínima de um mês, dando assim ao responsável pelo tratamento a possibilidade de se opor a tais alterações antes do recurso ao(s) subcontratante(s) ulterior(es) em causa. Um prazo de aviso mais longo para a notificação relativa a atividades de tratamento específicas pode ser indicado no Anexo B. A lista dos subcontratantes ulteriores já aprovados pelo responsável pelo tratamento consta do Anexo B.
Quando o subcontratante recorre a um subcontratante ulterior para a realização de atividades de tratamento específicas por conta do responsável pelo tratamento, o subcontratante deve, através de um contrato ou de outro ato jurídico ao abrigo do direito da União ou do direito nacional dos Estados-Membros, impor ao subcontratante ulterior as mesmas obrigações de proteção de dados que as previstas nestas Cláusulas, oferecendo, nomeadamente, garantias suficientes de que o subcontratante ulterior aplicará as medidas técnicas e organizativas de modo a que o tratamento cumpra os requisitos destas Cláusulas e do Regulamento Geral sobre a Proteção de Dados.
O subcontratante é, por conseguinte, responsável por exigir que o subcontratante ulterior cumpra, no mínimo, as obrigações que incumbem ao subcontratante por força destas Cláusulas e do Regulamento Geral sobre a Proteção de Dados.
O(s) acordo(s) de subcontratação ulterior e eventuais alterações posteriores aos mesmos são enviados — a pedido do responsável pelo tratamento — em cópia ao responsável pelo tratamento, que assim tem a possibilidade de se assegurar de que foram impostas ao subcontratante ulterior obrigações de proteção de dados correspondentes às que decorrem destas Cláusulas. As disposições relativas a condições comerciais que não afetem o conteúdo destas Cláusulas em matéria de proteção de dados não têm de ser enviadas ao responsável pelo tratamento.
Se o subcontratante ulterior não cumprir as suas obrigações de proteção de dados, o subcontratante continua plenamente responsável, perante o responsável pelo tratamento, pelo cumprimento das obrigações do subcontratante ulterior. Tal não afeta os direitos dos titulares dos dados decorrentes do Regulamento Geral sobre a Proteção de Dados, em especial os artigos 79.º e 82.º do Regulamento, perante o responsável pelo tratamento e o subcontratante, incluindo o subcontratante ulterior.
Qualquer transferência de dados pessoais para países terceiros ou organizações internacionais só pode ser efetuada pelo subcontratante com base em instruções documentadas do responsável pelo tratamento nesse sentido e deve sempre ser realizada em conformidade com o capítulo V do Regulamento Geral sobre a Proteção de Dados.
Se a transferência de dados pessoais para países terceiros ou organizações internacionais que o subcontratante não tenha sido instruído pelo responsável pelo tratamento a efetuar for exigida por força do direito da União ou do direito nacional dos Estados-Membros a que o subcontratante está sujeito, o subcontratante deve informar o responsável pelo tratamento dessa exigência jurídica antes do tratamento, salvo se o referido direito o proibir por razões importantes de interesse público.
Sem instruções documentadas do responsável pelo tratamento, o subcontratante não pode, assim, no âmbito destas Cláusulas:
As instruções do responsável pelo tratamento relativas à transferência de dados pessoais para um país terceiro, incluindo o eventual fundamento de transferência previsto no capítulo V do Regulamento Geral sobre a Proteção de Dados em que a transferência se baseia, devem ser indicadas no Anexo C.6.
Estas Cláusulas não devem ser confundidas com as cláusulas contratuais-tipo a que se refere o artigo 46.º, n.º 2, alíneas c) e d), do Regulamento Geral sobre a Proteção de Dados, e estas Cláusulas não podem constituir um fundamento para a transferência de dados pessoais a que se refere o capítulo V do Regulamento Geral sobre a Proteção de Dados.
O subcontratante assiste, tendo em conta a natureza do tratamento e na medida do possível, o responsável pelo tratamento, através de medidas técnicas e organizativas adequadas, no cumprimento da obrigação do responsável pelo tratamento de dar resposta aos pedidos de exercício dos direitos dos titulares dos dados previstos no capítulo III do Regulamento Geral sobre a Proteção de Dados.
Tal implica que o subcontratante deve, na medida do possível, assistir o responsável pelo tratamento para que este assegure o cumprimento de:
Em complemento da obrigação do subcontratante de assistir o responsável pelo tratamento nos termos da Cláusula 6.3., o subcontratante assiste ainda, tendo em conta a natureza do tratamento e as informações ao dispor do subcontratante, o responsável pelo tratamento com:
As partes devem indicar no Anexo C as medidas técnicas e organizativas necessárias através das quais o subcontratante deve assistir o responsável pelo tratamento, bem como o respetivo âmbito e extensão. Tal aplica-se às obrigações decorrentes das Cláusulas 9.1. e 9.2.
O subcontratante informa o responsável pelo tratamento, sem demora injustificada, após ter tido conhecimento da ocorrência de uma violação de dados pessoais.
A notificação do subcontratante ao responsável pelo tratamento deve, sempre que possível, ser efetuada no prazo máximo de 72 horas após este ter tido conhecimento da violação, de modo a que o responsável pelo tratamento possa cumprir a sua obrigação de notificar a violação de dados pessoais à autoridade de controlo competente, nos termos do artigo 33.º do Regulamento Geral sobre a Proteção de Dados.
Em conformidade com a Cláusula 9.2.a, o subcontratante deve assistir o responsável pelo tratamento na notificação da violação à autoridade de controlo competente. Tal significa que o subcontratante deve prestar assistência na obtenção das informações abaixo indicadas, que, nos termos do artigo 33.º, n.º 3, devem constar da notificação da violação pelo responsável pelo tratamento à autoridade de controlo competente:
As partes devem indicar no Anexo C as informações que o subcontratante deve prestar no âmbito da sua assistência ao responsável pelo tratamento no cumprimento da obrigação deste de notificar a violação de dados pessoais à autoridade de controlo competente.
O Cliente é o responsável pelo tratamento no que respeita a quaisquer dados pessoais carregados e tratados nos Serviços. O Cliente é proprietário dos seus próprios dados nos Serviços. Os dados do Cliente são, contudo, apagados ou anonimizados de forma contínua à medida que a finalidade para a qual foram recolhidos termina.
Os dados de natureza contabilística podem ser conservados até 5 anos, nos termos da lei da contabilidade.
O subcontratante disponibiliza ao responsável pelo tratamento todas as informações necessárias para demonstrar o cumprimento do artigo 28.º do Regulamento Geral sobre a Proteção de Dados e destas Cláusulas, e permite e contribui para auditorias, incluindo inspeções, realizadas pelo responsável pelo tratamento ou por outro auditor por este mandatado.
Os procedimentos relativos às auditorias do responsável pelo tratamento, incluindo inspeções, junto do subcontratante e dos subcontratantes ulteriores estão especificados nos Anexos C.7. e C.8.
O subcontratante é obrigado a conceder às autoridades de controlo que, ao abrigo da legislação aplicável, tenham acesso às instalações do responsável pelo tratamento ou do subcontratante, ou aos representantes que atuem por conta da autoridade de controlo, acesso às instalações físicas do subcontratante mediante a apresentação de identificação adequada.
As partes podem acordar outras cláusulas relativas ao serviço de tratamento de dados pessoais, por exemplo, sobre responsabilidade civil, desde que tais outras cláusulas não contrariem, direta ou indiretamente, as Cláusulas nem prejudiquem os direitos e liberdades fundamentais do titular dos dados decorrentes do Regulamento Geral sobre a Proteção de Dados.
As Cláusulas entram em vigor na data da assinatura das mesmas por ambas as partes.
Ambas as partes podem exigir a renegociação das Cláusulas se alterações legislativas ou inadequações das Cláusulas o justificarem.
As Cláusulas são aplicáveis enquanto durar o serviço de tratamento de dados pessoais. Durante este período, as Cláusulas não podem ser denunciadas, salvo se forem acordadas entre as partes outras cláusulas que regulem a prestação do serviço de tratamento de dados pessoais.
Se a prestação dos serviços de tratamento de dados pessoais cessar e os dados pessoais tiverem sido apagados ou devolvidos ao responsável pelo tratamento em conformidade com a Cláusula 11.1 e o Anexo C.4, as Cláusulas podem ser denunciadas mediante aviso escrito por qualquer das partes.
O presente acordo faz parte das nossas condições e, no momento do registo do cliente, estas são aceites, considerando-se assim o acordo aprovado pelo cliente.
As partes podem contactar-se entre si através das pessoas de contacto abaixo indicadas.
As partes são obrigadas a informar-se mutuamente, de forma contínua, sobre alterações relativas às pessoas de contacto.
O responsável pelo tratamento pode contactar o subcontratante por correio eletrónico para hello@evofleet.com ou por telefone para o 70 604 604. O subcontratante pode contactar o responsável pelo tratamento por correio eletrónico ou telefone.
Os dados pessoais são utilizados para registos de clientes, criação de contratos de locação, fiança / garantia pessoal, avaliações de crédito, contas finais e faturação.
O subcontratante disponibiliza um portal ao responsável pelo tratamento e um portal de cliente aos clientes do responsável pelo tratamento.
Nome, endereço de correio eletrónico, número de telefone, morada, número da carta de condução, n.º de CPR (o CPR só é utilizado em caso de fiança / garantia pessoal).
O responsável pelo tratamento e os seus clientes.
O tratamento de dados pessoais pelo subcontratante por conta do responsável pelo tratamento pode ter início após a entrada em vigor destas Cláusulas. O tratamento prolonga-se até à denúncia de um acordo.
Aquando da entrada em vigor das Cláusulas, o responsável pelo tratamento aprovou a utilização dos seguintes subcontratantes ulteriores:
Aquando da entrada em vigor das Cláusulas, o responsável pelo tratamento aprovou a utilização dos subcontratantes ulteriores acima referidos para a atividade de tratamento descrita. O subcontratante não pode — sem autorização escrita do responsável pelo tratamento — recorrer a um subcontratante ulterior para uma atividade de tratamento diferente da descrita e acordada, nem recorrer a outro subcontratante ulterior para esta atividade de tratamento.
O tratamento de dados pessoais pelo subcontratante por conta do responsável pelo tratamento processa-se através da realização, pelo subcontratante, do seguinte: o responsável pelo tratamento regista o cliente na plataforma. Em seguida, é criado um contrato de locação, que é enviado ao cliente por correio eletrónico.
O responsável pelo tratamento pode exigir a um cliente uma fiança / garantia pessoal. Isto significa que, nesses casos, serão conservados na plataforma dados relativos ao n.º de CPR.
O subcontratante tem o direito e a obrigação de tomar decisões sobre as medidas técnicas e organizativas de segurança a aplicar para estabelecer o nível de segurança necessário (e acordado).
O subcontratante deve, contudo — em todas as circunstâncias e no mínimo — aplicar as seguintes medidas, acordadas com o responsável pelo tratamento:
O subcontratante deve, na medida do possível — dentro do âmbito e da extensão acordados —, assistir o responsável pelo tratamento em conformidade com as Cláusulas 9.1 e 9.2, aplicando as medidas técnicas e organizativas necessárias.
No termo do serviço de tratamento de dados pessoais, o subcontratante deve apagar ou devolver os dados pessoais em conformidade com a Cláusula 11.1, salvo se o responsável pelo tratamento — após a assinatura destas cláusulas — tiver alterado a escolha inicial do responsável pelo tratamento. Tais alterações devem ser documentadas e conservadas por escrito, incluindo em formato eletrónico, em conexão com as cláusulas.
O tratamento dos dados pessoais abrangidos pelas Cláusulas não pode ser efetuado, sem autorização prévia e por escrito do responsável pelo tratamento, em localizações diferentes das seguintes: o tratamento é efetuado nos centros de dados da Amazon Web Services em Frankfurt e Stockholm.
Os dados pessoais não são transferidos para países terceiros fora da UE.
O presente acordo de subcontratação de tratamento de dados rege-se pela lei dinamarquesa. O acordo é disponibilizado em várias línguas como um serviço ao cliente. Em caso de divergência ou litígio entre as versões linguísticas, prevalece a versão dinamarquesa.