Shortcuts

Leis locais de protecção de dados abrangidas pela DPA

(Revisão de 7 de março de 2024)


presente Contrato de Processamento de Dados do Cliente da IDEXX ("APD") e os respetivos Cronogramas do Contrato de Processamento de Dados aplicáveis (cada um deles um "Cronograma do APD") aplicam-se ao Processamento de Dados Pessoais ("Dados Pessoais do Cliente") pela IDEXX em nome do cliente ("Cliente") ao abrigo do contrato entre a IDEXX e o Cliente ("Contrato") para a prestação de Serviços IDEXX, se e na medida em que i) o Regulamento Geral Europeu de Protecção de Dados (UE/2016/679) (RGPD); ou ii) quaisquer outras leis de protecção de dados identificadas abaixo se aplicarem.


Espaço Económico Europeu:
Regulamentos da União Europeia e legislação dos Estados-Membros do EEE, que além do RGPD, exigem um contrato que regule o tratamento de dados pessoais, idêntico ou substancialmente semelhante aos requisitos especificados no artigo 28º do RGPD.


Suíça:
A Lei Federal Suíça sobre a Proteção de Dados de 19 de junho de 1992; a partir de 1 de setembro de 2023, a sua versão totalmente revista de 25 de setembro de 2020 ("FADP"), conforme emendada, revogada ou substituída.

Para os efeitos da Secção 9 da DPA, as CEC da UE serão implementadas para transferências para países não adequados sujeitos à FADP, conforme alterada e adaptada, da seguinte forma

  1. o Comissário Federal Suíço para a Proteção de Dados e Informações (FDPIC) é a autoridade de controlo competente, de acordo com a Cláusula 13 e Anexo I.C das CCT da UE; e
  2. a lei aplicável de acordo com a cláusula 17 das CCP-UE será a lei suíça no caso de a transferência de dados estar exclusivamente sujeita à FADP; e
  3. o termo "Estado-Membro" não deve ser interpretado de forma a excluir os titulares de dados na Suíça da possibilidade de intentar uma ação judicial para defender os seus direitos no seu local de residência habitual (Suíça), de acordo com a Cláusula 18.ª das ESC da UE; e
  4. as referências ao RGPD no CCP da UE devem também incluir a referência às disposições equivalentes da FADP (tal como alterada ou substituída)


Brasil:
A Lei Geral de Proteção de Dados Pessoais ("LGPD") do Brasil. Por uma questão de clareza, as obrigações da IDEXX para com um Cliente ao abrigo do DPA são apenas as obrigações expressas impostas pela LGPD a um "Processador de Dados (operador)" em benefício de um "Controlador (controlador)" (incluindo a nova Secção 3.5 abaixo), uma vez que o "Processador (operador)" e o "Controlador (controlador)" são definidos pela LGPD:

  • 3.5 Cada parte é responsável pelo cumprimento das respetivas obrigações ao abrigo da LGPD e o Cliente apenas emitirá instruções de Processamento, conforme estabelecido na Secção 3 da DPA, que permitam à IDEXX cumprir as suas obrigações ao abrigo da LGPD. Para efeitos da Secção 9 da APD, as CCT da UE aplicar-se-ão às transferências para países terceiros, de acordo com o RGPD.


África do Sul:
Lei sul-africana de Protecção de Informações Pessoais 4 de 2013 ("POPIA"). Por uma questão de clareza, as obrigações da IDEXX para com o Cliente ao abrigo do DPA são as obrigações expressas impostas pela POPIA a um "Operador" (equivalente a "Processador") em benefício de uma "Parte Responsável" (equivalente a um "Controlador"). Cada parte é responsável pelo cumprimento das suas respetivas obrigações ao abrigo do POPIA. Para efeitos da Secção 9 da DPA, as CCT da UE aplicam-se às transferências para países terceiros, de acordo com o RGPD.
 

Reino Unido:
O Regulamento Geral de Proteção de Dados do Reino Unido (conforme incorporado na legislação do Reino Unido ao abrigo da Lei da União Europeia (Revogada) de 2018), a Lei de Proteção de Dados do Reino Unido de 2018, ambos com as alterações introduzidas pelos Regulamentos de Proteção de Dados, Privacidade e Comunicações Eletrónicas (Alterações, etc.) (Saída da UE) de 2019, conforme alterados, substituídos ou emendados. Para efeitos da Secção 9 da DPA, será implementado o seguinte para transferências para países não adequados sujeitos ao Regulamento Geral de Protecção de Dados do Reino Unido. As partes baseiam-se nas Cláusulas Contratuais-tipo da UE para transferências de dados pessoais a partir do Reino Unido, sob reserva do preenchimento de uma "Adenda do Reino Unido às Cláusulas Contratuais-tipo da UE" emitida pelo Gabinete do Comissário da Informação ao abrigo do n.º 1 do artigo 119.º-A da Lei de Protecção de Dados de 2018 (a "Adenda do Reino Unido"). As cláusulas contratuais-tipo da UE, completadas conforme estabelecido na Secção 9 da DPA, também se aplicam às transferências desses dados pessoais. A Adenda do Reino Unido será considerada executada entre a IDEXX e o Cliente e as Cláusulas Contratuais Suplementares da UE serão consideradas alteradas conforme especificado pela Adenda do Reino Unido no que respeita à transferência desses Dados Pessoais.

Japão:
A Lei Japonesa sobre a Protecção de Informações Pessoais n.º 57 de 2003 ("APPI"), conforme alterada. Por uma questão de clareza, as obrigações da IDEXX para com o Cliente ao abrigo da DPA são as que a APPI exige que o Cliente tenha em vigor como "Operador Comercial de Tratamento de Informações Pessoais", para confiar o tratamento dos Dados Pessoais do Cliente à IDEXX como uma "pessoa encarregada", tal como esses termos são utilizados na APPI.

Califórnia:
A Lei de Privacidade do Consumidor da Califórnia de 2018, conforme alterada pela Lei de Direitos de Privacidade da Califórnia, e quaisquer regulamentos relacionados ("CCPA"). As obrigações da IDEXX para com o Cliente ao abrigo da DPA são as que a CCPA exige que uma "Empresa" (sendo o Cliente e equivalente a "Responsável pelo tratamento" ao abrigo da DPA) tenha em vigor com um "Prestador de serviços" (sendo a IDEXX e equivalente a "Prestador de serviços ao abrigo da DPA), tal como esses termos são definidos pela CCPA. Além disso:

Os termos "vender" e "partilhar" terão o significado que lhes é atribuído na CCPA.  O termo "Dados Pessoais", tal como utilizado na DPA, será substituído por " Informações Pessoais". O termo "Titular de Dados", tal como utilizado na DPA, é substituído por "consumidor". O termo "Categorias Especiais de Dados Pessoais", tal como utilizado na DPA, é substituído por "Informações Pessoais Sensíveis". Por "informações não identificadas" entende-se os dados que não podem ser razoavelmente utilizados para inferir informações sobre um consumidor identificado ou identificável, ou um dispositivo ligado a essa pessoa, ou para o ligar de outra forma.

A nova secção 3.5 é aditada como segue:

  • 3.5.  A IDEXX deverá:
  1. não vender ou partilhar Informações Pessoais;
  2. não combinará mais Informações Pessoais, nem reterá, utilizará ou divulgará as Informações Pessoais: (A) fora da relação comercial direta entre a IDEXX e o Cliente; ou (B) para qualquer outro fim que não os fins comerciais especificados no Contrato, salvo autorização em contrário da CCPA;
  3. mediante instrução do Cliente, deixar de utilizar as Informações Pessoais Sensíveis para qualquer outro fim que não a prestação dos Serviços, na medida em que o Fornecedor tenha conhecimento efetivo de que as Informações Pessoais são Informações Pessoais Sensíveis;
  4. abster-se-á de tentar re-identificar quaisquer informações não identificadas divulgadas pelo Cliente à IDEXX ao abrigo do Contrato;
  5. abster-se de cumprir os pedidos de eliminação do consumidor apresentados diretamente à IDEXX, na medida em que a IDEXX tenha recolhido, utilizado, processado ou retido as Informações Pessoais na sua qualidade de Fornecedor de Serviços ao Cliente;
  6. notificar prontamente o Cliente se a IDEXX determinar que já não pode cumprir as suas obrigações ao abrigo da Lei de Proteção de Dados da Califórnia ou da presente Secção; e
  7. continuar a ser responsável pelas próprias violações da CCPA por parte da IDEXX.