CONTRATO DE PROCESSAMENTO DE DADOS DE CLIENTES DA IDEXX
(Revisão de 18 de Maio de 2023)
O presente Contrato de Processamento de Dados ("CPD") e os Cronogramas do Contrato de Processamento de Dados aplicáveis que se encontram aqui (cada um deles um "Cronograma do CPD") aplicam-se ao Processamento de Dados Pessoais ("Dados Pessoais do Cliente") pela IDEXX em nome do cliente ("Cliente") sujeito ao Regulamento Geral de Proteção de Dados 2016/679 ("RGPD") ou a qualquer outra lei de proteção de dados aqui identificada (em conjunto, "Leis de Proteção de Dados") para a prestação de serviços ("Serviços") nos termos de um contrato entre a IDEXX e o Cliente ("Contrato"). Quando a IDEXX é referida neste DPA, significa a IDEXX B.V. ou uma Subsidiária da IDEXX B.V. que celebrou o Contrato com o Cliente. O Cliente e a IDEXX serão designados coletivamente como "Partes" ou separadamente como uma "Parte". O presente DPA e o Calendário DPA aplicável são incorporados no Contrato aplicável ao Serviço aplicável. Em caso de conflito, o Programa do CPD prevalece sobre o CPD, que prevalece sobre o resto do Contrato, exceto se explicitamente estipulado de outra forma no presente CPD.
1 Definições
1.1 Todas as definições incluídas no Contrato aplicar-se-ão igualmente ao presente CPD, salvo estipulação em contrário no presente CPD. Os termos em maiúsculas utilizados e não definidos no presente documento têm os significados que lhes são atribuídos nas Leis de Proteção de Dados aplicáveis. Para além disso, as seguintes definições aplicam-se a este CPD:
1.2 Subsidiária: qualquer pessoa ou entidade que controle, seja controlada por ou esteja sob controlo comum de outra pessoa ou entidade. Para estes efeitos, "controlo" refere-se (i) à posse, direta ou indireta, do poder de dirigir a gestão ou as políticas da entidade em questão, quer através da propriedade de títulos com direito de voto, por contrato ou de outra forma, ou (ii) à propriedade, direta ou indireta, de pelo menos cinquenta por cento (50%) dos títulos com direito de voto ou outra participação da entidade em questão ou, no caso de essa entidade residir num país onde esse nível de propriedade não seja permitido, a percentagem máxima de propriedade permitida;
1.3 País Terceiro: qualquer país que não ofereça um nível adequado de proteção de dados de acordo com as Leis de Proteção de Dados aplicáveis;
1.4 Violação de Dados Pessoais: uma violação de segurança que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos Dados Pessoais do Cliente transmitidos, armazenados ou processados de outra forma.
2 Objeto do presente contrato de proteção de dados
2.1 Relativamente ao processamento dos Dados Pessoais do Cliente em relação aos Serviços aplicáveis e ao Contrato aplicável, a IDEXX será o Processador e o Cliente será o Controlador. O processamento dos Dados Pessoais aos quais se aplica o presente CPD está descrito nos respetivos anexos do CPD.
2.2 O presente CPD complementa o Contrato e anula quaisquer acordos (orais e/ou escritos) de uma data anterior relativos ao processamento de Dados Pessoais entre o Cliente, na qualidade de Controlador, e a IDEXX, na qualidade de Subprocessador, relativamente aos Dados Pessoais, se aplicável.
3 Processamento dos dados pessoais
3.1 A IDEXX cumprirá todas as Leis de Proteção de Dados relativamente aos Serviços aplicáveis à IDEXX como Processador. O Cliente garante que processa ou terá processado os Dados Pessoais do Cliente em conformidade com a legislação aplicável. O Cliente deverá, mediante o primeiro pedido da IDEXX, fornecer prontamente todas as informações relevantes solicitadas à IDEXX por escrito, o que poderá incluir um formato eletrónico. A IDEXX não é responsável pelo cumprimento das obrigações do Cliente ao abrigo da legislação aplicável, incluindo, sem limitação, as obrigações do Cliente para com os seus próprios clientes, tais como a obrigação do Cliente de informar os seus clientes sobre os destinatários do Processamento dos seus Dados Pessoais. A IDEXX não é responsável por determinar os requisitos ou leis ou regulamentos aplicáveis à atividade do Cliente, ou que um Serviço cumpra os requisitos de quaisquer leis ou regulamentos aplicáveis. Como entre as partes, o Cliente é responsável pela legalidade do Processamento dos Dados Pessoais do Cliente. O Cliente não utilizará os Serviços de uma forma que possa violar a Lei de Proteção de Dados aplicável.
3.2 O Programa DPA aplicável a um Serviço contém uma lista de categorias de Titulares de Dados, tipos de Dados Pessoais do Cliente e quaisquer Categorias Especiais de Dados Pessoais. A duração do processamento corresponde à duração do Serviço, exceto se indicado de outra forma no Programa DPA. O objetivo e o objeto do processamento é a prestação do Serviço, tal como descrito no Contrato.
3.3 A IDEXX só processará os Dados Pessoais do Cliente em nome do Cliente e de acordo com as instruções documentadas do Cliente, exceto se exigido de outra forma pela Lei de Proteção de Dados aplicável. O âmbito das instruções do Cliente para o processamento dos Dados Pessoais do Cliente é definido no Contrato e, se aplicável, na utilização e configuração das funcionalidades do Serviço por parte do Cliente e dos seus utilizadores autorizados. A IDEXX informará imediatamente o Cliente se, na sua opinião, alguma das instruções do Cliente infringir as Leis de Proteção de Dados aplicáveis e a IDEXX poderá suspender a execução de tal instrução até que o Cliente modifique ou confirme a sua legalidade de forma documentada.
3.4 A IDEXX deve garantir que os seus funcionários e outras pessoas envolvidas no processamento dos Dados Pessoais do Cliente se comprometem a manter a confidencialidade, na medida em que estas pessoas não estejam vinculadas por uma obrigação legal de confidencialidade adequada. A IDEXX assegurará que os seus funcionários ou outras pessoas envolvidas no Processamento dos Dados Pessoais do Cliente cumpram todas as obrigações estabelecidas no presente CPD e no Contrato. A IDEXX assegurará que o acesso da IDEXX aos Dados Pessoais do Cliente se limita aos funcionários e outras pessoas que prestam serviços em conformidade com o Contrato.
4 Medidas de segurança
4.1 A IDEXX implementará medidas de segurança técnicas e organizacionais adequadas para garantir um nível de segurança apropriado em relação aos Dados Pessoais. As medidas de segurança técnicas e organizacionais a implementar pelo IDEXX, tendo em conta o estado da técnica, os custos de implementação e a natureza, o âmbito, o contexto e as finalidades do processamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas singulares, estão descritas nas Medidas Técnicas e Organizacionais incluídas nas Listas do CPD. A IDEXX pode atualizar ou modificar as suas medidas de segurança periodicamente, desde que essas atualizações e modificações não resultem numa redução da segurança global dos Serviços.
5 Comunicação de violações de dados pessoais
5.1 A obrigação da IDEXX de notificar o Cliente de uma Violação de Dados Pessoais e de tomar medidas relativamente a uma Violação de Dados Pessoais não implica o reconhecimento de qualquer falha ou responsabilidade por parte da IDEXX relativamente a essa Violação de Dados Pessoais.
5.2 Assim que a IDEXX tiver conhecimento de uma Violação de Dados Pessoais da qual o Cliente ainda não tenha sido informado, a IDEXX informará o Cliente, sem atrasos indevidos, da forma determinada pela IDEXX. A IDEXX informará o contacto do Cliente fornecido pelo Cliente no âmbito dos Serviços. O Cliente será responsável por assegurar que os dados de contacto das pessoas de contacto do Cliente comunicados à IDEXX estão atualizados. Se a IDEXX não conseguir contactar atempadamente a(s) pessoa(s) de contacto do Cliente, tal será da responsabilidade do Cliente.
5.3 Quando o próprio Cliente tiver conhecimento de uma Violação de Dados Pessoais relevante para a prestação dos Serviços pela IDEXX, o Cliente deverá informar a IDEXX sem atrasos indevidos, incluindo as medidas que foram ou serão adotadas pelo Cliente.
5.4 Após a deteção de uma Violação de Dados Pessoais pela IDEXX, a IDEXX deverá fornecer todas as informações razoáveis ao Cliente sobre o possível impacto da Violação de Dados Pessoais no Cliente e nos Titulares dos Dados afetados. O feedback inclui uma descrição da natureza e extensão da Violação de Dados Pessoais, as medidas planeadas e já tomadas para resolver a Violação de Dados Pessoais.
5.5 A pedido do Cliente, a IDEXX também fornecerá a assistência razoavelmente necessária para a redação da documentação relevante relativa à Violação de Dados Pessoais. No entanto, o Cliente continuará a ser responsável pela obrigação de manter uma visão geral interna das Violações de Dados Pessoais que tenham ocorrido.
5.6 O Cliente é responsável por informar a autoridade governamental competente e/ou os Titulares dos Dados afetados sobre a Violação de Dados Pessoais, na medida em que tal seja exigido pelas leis de Proteção de Dados aplicáveis. Se o Cliente solicitar à IDEXX que informe o(s) Titular(es) dos Dados afetado(s) e/ou a autoridade governamental competente sobre a Violação de Dados Pessoais, a IDEXX só o fará após receber uma instrução escrita e completa do Cliente e a aprovação dessa instrução escrita pela IDEXX. Tal não implica qualquer responsabilidade ou obrigação para a IDEXX relativamente à (notificação da) Violação de Dados Pessoais.
6 Assistência
6.1 Tendo em conta a natureza do processamento de dados e as informações de que as Partes dispõem, as Partes prestar-se-ão mutuamente toda a assistência necessária ao cumprimento das obrigações que lhes incumbem por força da legislação aplicável em matéria de proteção de dados, em especial as obrigações relativas à segurança dos dados pessoais, os deveres de notificação de violação de dados pessoais, o dever de informação e a realização de avaliações de impacto sobre a proteção de dados, incluindo a consulta prévia da autoridade governamental competente.
6.2 O Cliente apresentará um pedido por escrito para qualquer assistência referida no presente CPD. A IDEXX pode cobrar ao Cliente a execução dessa assistência ou de uma instrução adicional; esses encargos não serão superiores a um custo razoável e serão estabelecidos num orçamento e acordados por escrito pelas partes.
7 Direitos de auditoria do cliente
7.1 O Cliente pode, a expensas próprias e mediante consulta prévia da IDEXX, efetuar uma auditoria ao sistema de processamento de dados utilizado pela IDEXX para processar os Dados Pessoais do Cliente, a fim de verificar se as medidas de segurança técnicas e organizacionais razoáveis que foram tomadas em relação aos Dados Pessoais processados no contexto do presente CPD estão em conformidade com as medidas descritas na Secção 4 do presente CPD.
7.2 A IDEXX disponibilizará ao Cliente todas as informações razoavelmente necessárias para demonstrar o cumprimento das obrigações do Cliente de celebrar um contrato de processamento de dados em conformidade com os requisitos relevantes a este respeito ao abrigo da Lei de Proteção de Dados aplicável e permitirá e contribuirá para auditorias, incluindo inspeções, realizadas pelo Cliente. Em consulta com a IDEXX, o Cliente pode contratar um terceiro (perito) para efetuar os seus direitos de auditoria, desde que esse terceiro esteja vinculado a uma obrigação de confidencialidade adequada.
7.3 A execução de uma auditoria pelo Cliente ou em nome do Cliente não deverá causar qualquer atraso nas atividades comerciais da IDEXX ou de qualquer um dos seus Subprocessadores.
8 Subprocessadores
8.1 O Cliente autoriza a contratação de outros Subprocessadores para o processamento dos Dados Pessoais do Cliente pela IDEXX, incluindo, mas não se limitando a, Subsidiárias da IDEXX ("Subprocessadores"). É apresentada aqui uma lista dos atuais Subprocessadores externos, que poderá ser atualizada periodicamente pela IDEXX. A IDEXX informará o Cliente, de uma forma determinada pela IDEXX, de quaisquer alterações pretendidas relativamente à adição ou substituição dos referidos Subprocessadores. O Cliente pode opor-se a qualquer novo Subprocessador ulterior, rescindindo o Contrato mediante notificação por escrito à IDEXX, desde que o Cliente forneça essa notificação à IDEXX no prazo de 60 dias após a IDEXX ter informado o Cliente da contratação do Subprocessador ulterior. Este direito de rescisão é o único e exclusivo recurso do Cliente se este se opuser a qualquer novo Subprocessador.
8.2 A IDEXX deve celebrar e aplicar um contrato de processamento de dados por escrito com os seus Subprocessadores com obrigações de privacidade e segurança de dados substancialmente semelhantes, mas não menos protetoras, às estabelecidas no presente CPD. A IDEXX continuará a ser responsável pelo cumprimento das suas obrigações ao abrigo do Contrato, do presente CPD e das Leis de Proteção de Dados aplicáveis.
9 Transferência transfronteiriça dos dados pessoais
9.1 Os Dados Pessoais do Cliente podem ser transferidos para um País Terceiro pela IDEXX ou pelos Subprocessadores Contratados pela IDEXX.
9.2 No caso de uma transferência de Dados Pessoais do Cliente para um País Terceiro, as partes deverão cooperar para garantir a conformidade com as Leis de Proteção de Dados aplicáveis, conforme estabelecido nas Secções seguintes.
9.3 Ao celebrar o Contrato, o Cliente celebra as Cláusulas Contratuais-tipo para transferências internacionais (Decisão de Execução (UE) 2021/914 da Comissão ou qualquer versão atualizada ou sua substituição) ("CCT"), completadas conforme detalhado na Secção 9.3.1 abaixo, a menos que um instrumento de transferência de dados diferente tenha sido declarado aplicável à transferência relevante dos Dados Pessoais do Cliente na Lei de Proteção de Dados aplicável aqui identificada, cujo instrumento de transferência de dados identificado será então aplicável e regerá a transferência dos Dados Pessoais do Cliente para o País Terceiro. Na medida do previsto nas Leis de Proteção de Dados que não o RGPD, as CCT também se aplicam à transferência de Dados Pessoais do Cliente de Clientes não localizados no EEE ou na Suíça para uma entidade IDEXX localizada num País Não Adequado.
9.3.1 As cláusulas contratuais-tipo serão aplicadas da seguinte forma:
a ) Aplica-se o módulo 2 – controlador para processador.
b ) Na cláusula 7, aplica-se a cláusula de acoplamento facultativa.
c ) Na cláusula 9, aplica-se a opção 2 e o período de notificação prévia é de 14 dias.
d ) Na cláusula 11, não se aplica a língua facultativa.
e ) Na cláusula 17, aplica-se a opção 1 e aplica-se a lei dos Países Baixos. Na Cláusula 17, aplica-se a opção 1 e é aplicável a lei dos Países Baixos.
f ) Na Cláusula 18, alínea b), os litígios serão resolvidos pelos tribunais dos Países Baixos.
g ) O Anexo I (A. Lista de Partes, B. Descrição da Transferência, C. Autoridade de Controlo Competente) das CCT será considerado concluído com as informações previstas na Secção B do Programa DPA aplicável aos Serviços.
h ) O Anexo II (Medidas de Segurança Técnicas e Organizacionais) das SCC deve ser considerado concluído com a informação prevista na Secção B do Programa DPA aplicável aos Serviços.
i ) O Anexo III (Lista de Subprocessadores) deve ser considerado concluído com a lista de Subprocessadores identificada na Secção 8.1 supra.
9.4 A IDEXX celebrará o Módulo Três das SCC (Subprocessador para Subprocessador) com cada Subprocessador localizado num País Terceiro, conforme indicado no respetivo Anexo do CPD, sempre que exigido pelas Leis de Proteção de Dados aplicáveis. A IDEXX pode transferir e armazenar Dados Pessoais para e nas suas instalações nos Estados Unidos ou noutros países onde as suas Filiais estejam localizadas. Tais transferências estão sujeitas a um contrato interempresarial entre as Filiais da IDEXX que inclui as SCC do módulo três (Processador para Processador) aplicáveis.
9.5 Nada no Contrato ou no presente CPD deve ser interpretado de forma a prevalecer sobre qualquer cláusula contraditória das CEC. O Cliente reconhece que teve a oportunidade de analisar as CEC e de obter uma cópia junto da IDEXX.
10 Pedidos dos titulares dos dados
Mediante pedido razoável por escrito do Cliente, a IDEXX prestará a assistência razoável para facilitar que o Cliente possa cumprir as suas obrigações como controlador de dados se um Titular dos Dados exercer qualquer um dos seus direitos ao abrigo das Leis de Proteção de Dados aplicáveis.
11 Generalidades
11.1 Custos: Os custos em que a IDEXX possa incorrer no cumprimento das suas obrigações ao abrigo do presente DPA (por exemplo, prestar assistência ao Cliente na resposta a pedidos dos titulares dos dados) podem resultar na cobrança de trabalho adicional ao Cliente por parte da IDEXX. Se for esse o caso, a IDEXX informará o Cliente desse facto.
11.2 Indemnização: O Cliente deverá indemnizar totalmente a IDEXX contra qualquer reclamação de terceiros, incluindo qualquer um dos Titulares dos Dados, imposta contra a IDEXX em resultado de uma violação da lei aplicável, que possa ser atribuída ao Cliente ou a qualquer um dos seus funcionários ou contratantes.
11.3 Prazo e rescisão: O presente CPD entra em vigor na data em que a IDEXX processa pela primeira vez os Dados Pessoais em nome do Cliente na execução do Contrato. O presente CPD permanecerá em vigor durante a vigência do Contrato. Caso o Contrato termine, o presente CPD termina igualmente por força da lei, sem necessidade de qualquer outra ação legal. A menos que a IDEXX seja obrigada pela lei aplicável a reter os Dados Pessoais, a IDEXX deverá, após a cessação do presente CPD, assegurar que (i) os Dados Pessoais serão devolvidos ou fornecidos ao Cliente, ou (ii) os Dados Pessoais serão destruídos, a pedido do Cliente por escrito, o que pode incluir em formato eletrónico. Qualquer obrigação decorrente do presente CPD que, por natureza, tenha efeito pós-contratual, incluindo, mas não se limitando à presente Secção do CPD, continuará em vigor após a cessação do presente CPD.
11.4 Divergências e renegociação: As divergências e aditamentos ao presente DPA só serão válidos se tiverem sido expressamente acordados por escrito, incluindo em formato eletrónico.
O Cliente deverá informar prontamente a IDEXX sobre quaisquer alterações que sejam ou possam ser relevantes para o Contrato e para o processamento dos Dados Pessoais.
Se o presente DPA estiver traduzido em várias línguas, o texto em inglês será considerado autêntico para efeitos de interpretação ou em caso de conflito ou inconsistência entre as várias traduções.