Adenda ao Tratamento de Dados

Última atualização: 21 de março de 2023

A presente Adenda ao Tratamento de Dados ("DPA") entre si, o utilizador, juntamente com qualquer empresa ou outra entidade comercial que represente, se existir (coletivamente, o "Cliente"), e a parte Contratante da VistaPrint, conforme aplicável ao abrigo do Acordo ("VistaPrint"), é incorporada por referência, e complementa e faz parte dos termos que regem a utilização dos diferentes Serviços VistaPrint, conforme alterados periodicamente (coletivamente, o "Acordo"). A presente DPA aplica-se onde e na medida em que a VistaPrint atua na qualidade de Subcontratante ou Prestador de Serviços (conforme aplicável) de Dados Pessoais em nome do Cliente ao abrigo do Acordo. A presente DPA entrará em vigor e substituirá e anulará quaisquer termos anteriormente aplicáveis relacionados com o respetivo objeto a partir da Data Efetiva do Acordo e permanecerá em vigor até ao momento em que o Acordo for rescindido.

1. DEFINIÇÕES

“País Adequado” designa, conforme aplicável (i) onde se aplica o RGPD da UE, o Espaço Económico Europeu ("EEE") ou um país ou território considerado como assegurando um nível adequado de proteção pela Comissão Europeia; (ii) onde se aplica o RGPD do Reino Unido, o Reino Unido ou um país ou território reconhecido como assegurando um nível adequado de proteção de dados nos termos da Secção 17A da Lei de Proteção de Dados de 2018 do Reino Unido, conforme alterada ou substituída; e (iii) onde se aplica a FADP da Suíça, conforme alterada ou substituída, a Suíça ou um país ou território fora da Suíça que tenha sido reconhecido como assegurando um nível adequado de proteção pelo Comissário Federal de Proteção de Dados e Informação.

“Finalidade Comercial” designa a finalidade limitada especificamente identificada no Anexo I para a qual a VistaPrint recebe ou acede aos Dados Pessoais.

“Leis de Proteção de Dados” designa todas as leis e todos os regulamentos aplicáveis de proteção de dados e privacidade, conforme aplicável a uma parte, incluindo, entre outros, quando aplicável, as Leis de Proteção de Dados da UE e as Leis de Proteção de Dados dos EUA, e quaisquer outras leis estatais ou nacionais de proteção de dados, privacidade de dados ou segurança de dados aplicáveis ao âmbito dos Serviços, em cada caso, conforme alteradas, anuladas ou substituídas periodicamente.

“Dados Pessoais dos Utilizadores Finais” designa os Dados Pessoais relativos aos visitantes e utilizadores dos serviços do Cliente e tratados pela VistaPrint em nome do Cliente para efeitos de prestação dos Serviços.

“Leis de Proteção de Dados da UE” designa (i) o Regulamento 2016/679 do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/CE (Regulamento Geral de Proteção de Dados ou "RGPD da UE"), (ii) o RGPD, tal como estabelecido no direito interno do Reino Unido, nos termos da Secção 3 da Lei 2018 da União Europeia (Retirada) (o "RGPD do Reino Unido"); (iii) a Lei Federal Suíça relativa à Proteção de Dados de 19 de junho de 1992 e as correspondentes portarias ("FADP"); (iv) a Diretiva da UE 2002/58/CE relativa à Privacidade e às Comunicações Eletrónicas; e (v) qualquer lei de um Estado-Membro da UE ou do Reino Unido elaborada ao abrigo ou nos termos dos itens (i) - (iii); em cada caso, conforme alteradas, anuladas ou substituídas periodicamente.

“Dados Pessoais”, “Titular dos Dados”, “Tratar” ou “Tratamento”, “Responsável pelo Tratamento” e “Subcontratante” terão o significado atribuído nas Leis de Proteção de Dados aplicáveis ou, se não definidos nas mesmas, no RGPD, e os termos__“Empresa”__ e “Prestador de Serviços” terão os significados atribuídos na CCPA.

“Serviços” designa os diferentes serviços prestados pela VistaPrint ao Cliente no seu web site, onde e na medida em que a VistaPrint atua na qualidade de Subcontratante ou Prestador de Serviços (conforme aplicável) em nome do Cliente ao abrigo do respetivo Acordo, incluindo, entre outros, o Acordo do Programa ProAdvantage e os Termos de Utilização do ProShop.

“Cláusulas Contratuais-Tipo” ou “SCC” designa (i) onde se aplica o RGPD da UE e/ou a FADP da Suíça, as cláusulas contratuais-tipo da UE, conforme aprovadas pela Decisão da Comissão Europeia (UE) 2021/914 de 4 de junho de 2021 (“SCC da UE”); e (ii) onde se aplica o RGPD do Reino Unido, as SCC da UE, conforme alteradas pela Adenda sobre Transferência Internacional de Dados às Cláusulas Contratuais-Tipo da Comissão Europeia, conforme emitidas pelo Gabinete do Comissário de Informação do Reino Unido (“Adenda do Reino Unido"), em cada caso, conforme alteradas, anuladas ou substituídas periodicamente. As SCC da UE e a Adenda do Reino Unido são incorporadas por referência e são parte integrante da presente DPA.

“Subcontratante Secundário” designa qualquer entidade contratada pela VistaPrint, incluindo os respetivos Afiliados, para ajudar a cumprir as suas obrigações nos termos do Acordo ou da presente DPA.

“Avaliação do Risco de Transferência” designa as garantias adicionais para complementar as garantias fornecidas pelas SCC e pela Adenda do Reino Unido.

“Leis de Proteção de Dados dos EUA” designa todas as leis e todos os regulamentos aplicáveis de qualquer jurisdição nos Estados Unidos relativos à privacidade, à proteção de dados ou à segurança de dados (em cada caso, conforme alteradas, anuladas ou substituídas periodicamente), incluindo, entre outros, conforme aplicável, a Lei de Privacidade do Consumidor da Califórnia, conforme alterada pela Lei de Direitos de Privacidade da Califórnia, juntamente com os regulamentos promulgados ao abrigo da mesma (coletivamente, a "CCPA"); a Lei de Proteção de Dados do Consumidor de Virgínia; a Lei de Direitos de Privacidade do Colorado; a Lei de Privacidade de Dados do Connecticut; e a Lei de Privacidade do Consumidor do Utah.

Os outros termos em maiúsculas utilizados, mas não definidos na presente DPA, devem ter o significado atribuído no Acordo.

2. FUNÇÕES E ÂMBITO DO TRATAMENTO

2.1. Função das Partes. As Partes concordam que, no que diz respeito ao Tratamento dos Dados Pessoais dos Utilizadores Finais ao abrigo da presente DPA, o Cliente atue na qualidade de Responsável pelo Tratamento de Dados ou Empresa (conforme aplicável) e a VistaPrint atue na qualidade de Subcontratante de Dados ou Prestador de Serviços (conforme aplicável).

O Cliente reconhece que a VistaPrint atua na qualidade de um Responsável pelo Tratamento de Dados independente no que diz respeito aos Dados Pessoais que recolhe diretamente junto dos clientes ou visitantes através das suas aplicações e dos seus serviços destinados aos consumidores.

2.2. Âmbito do Tratamento. Cada parte deverá cumprir todas as Leis de Proteção de Dados aplicáveis e respetivas obrigações nos termos do Acordo e da presente DPA em relação ao seu Tratamento dos Dados Pessoais dos Utilizadores Finais, conforme descrito no Anexo I. Sem prejuízo do anterior, a VistaPrint deverá proporcionar o mesmo nível de proteção de privacidade que é exigido às Empresas (conforme definido na CCPA) pela CCPA.

3. OBRIGAÇÕES DAS PARTES

3.1. Obrigações do Cliente. Ao utilizar os Serviços prestados pela VistaPrint:

(i) O Cliente garante e declara que notificou os Titulares dos Dados, estabeleceu todas as bases legais e obteve todos os consentimentos necessários ao abrigo das Leis de Proteção de Dados aplicáveis para que a VistaPrint, e os respetivos Subcontratantes Secundários, tratem os Dados Pessoais dos Utilizadores Finais em seu nome e prestem os Serviços nos termos do Acordo, incluindo a presente DPA.

(ii) O Cliente é o único responsável pela exatidão e pela qualidade dos Dados Pessoais dos Utilizadores Finais fornecidos e pela legalidade dos meios pelos quais o Cliente adquire, divulga e trata os Dados Pessoais dos Utilizadores Finais. O Cliente continua a ser o único responsável pelo respetivo cumprimento das Leis de Proteção de Dados aplicáveis no que diz respeito a qualquer recolha e tratamento independente de Dados Pessoais não relacionados com os Serviços.

(iii) O Cliente fornece instruções à VistaPrint para tratar os Dados Pessoais dos Utilizadores Finais em seu nome nos termos da presente DPA e deve assegurar que as suas instruções estão em conformidade com as Leis de Proteção de Dados aplicáveis. A presente DPA e o Acordo são as instruções completas e finais do Cliente à VistaPrint. As instruções adicionais fora do âmbito do Acordo ou da presente DPA têm de ser acordadas separadamente por escrito, incluindo quaisquer taxas adicionais que possam ser pagas pelo Cliente à VistaPrint pela execução de essas instruções adicionais.

3.2. Obrigações da VistaPrint. No que diz respeito ao Tratamento dos Dados Pessoais dos Utilizadores Finais, a VistaPrint deverá:

(i) tratar apenas os Dados Pessoais dos Utilizadores Finais para a Finalidade Comercial e em conformidade com as instruções do Cliente, na medida em que as instruções sejam compatíveis com o Acordo e com a presente DPA;

(ii) tratar os Dados Pessoais dos Utilizadores Finais como informações confidenciais e efetuar o respetivo tratamento apenas na medida, e de tal forma que seja necessário para cumprir as obrigações previstas no Acordo e para os fins adicionalmente especificados no Anexo I abaixo. A VistaPrint não pode tratar os Dados Pessoais dos Utilizadores Finais para qualquer outra finalidade, a menos que a VistaPrint seja obrigada a fazê-lo ao abrigo da lei. Neste caso, a VistaPrint informará o Cliente por escrito desse requisito legal antes do Tratamento, a menos que essa lei proíba essas informações por motivos importantes de interesse público;

(iii) ajudar o Cliente a assegurar o cumprimento das suas obrigações ao abrigo das Leis de Proteção de Dados aplicáveis, que podem incluir, entre outras, a realização de qualquer avaliação de impacto da privacidade ou consulta prévia das autoridades relevantes de proteção de dados, mediante pedido razoável do Cliente;

(iv) informar o Cliente se considerar que as instruções de Tratamento do Cliente infringem as Leis de Proteção de Dados aplicáveis. Neste caso, a VistaPrint reserva-se o direito de suspender o Tratamento dos Dados Pessoais dos Utilizadores Finais até o Cliente emitir novas instruções. Além disso, a VistaPrint não será responsável perante o Cliente por qualquer falha na prestação dos Serviços ao abrigo do Acordo durante esse período;

(v) assegurar que os seus funcionários e Subcontratantes Secundários, que têm acesso aos Dados Pessoais dos Utilizadores Finais, estão sujeitos a obrigações de confidencialidade adequadas;

(vi) notificar o Cliente de qualquer decisão tomada de que não pode mais cumprir as suas obrigações ao abrigo da presente DPA ou das Leis de Proteção de Dados;

(vii) notificar prontamente o Cliente de quaisquer pedidos apresentados por qualquer Titular dos Dados ou agência de aplicação da lei em relação ao Tratamento dos Dados Pessoais dos Utilizadores Finais, para que o Cliente possa responder a qualquer pedido desse tipo; e

(viii) prestar prontamente essas cooperação e assistência razoavelmente exigidas pelo Cliente para cumprir as suas obrigações ao abrigo das Leis de Proteção de Dados em relação aos pedidos do Titular dos Dados ou qualquer pedido de um regulador governamental ou autoridade supervisora aplicável.

Na medida do permitido pelas Leis de Proteção de Dados aplicáveis, a VistaPrint pode utilizar internamente dados agregados e anónimos provenientes dos Dados Pessoais dos Utilizadores Finais ("Dados Anónimos") para criar e melhorar a qualidade dos Serviços, desde que esses Dados Anónimos não constituam Dados Pessoais ao abrigo das Leis de Proteção de Dados aplicáveis.

3.3. Atividades de Tratamento Proibidas da VistaPrint. A VistaPrint não deverá:

(i) vender ou partilhar (conforme definido na CCPA) Dados Pessoais dos Utilizadores Finais ou conservar, utilizar ou divulgar Dados Pessoais dos Utilizadores Finais para quaisquer Finalidades Comerciais (conforme definido pela CCPA) ou fora da sua relação comercial direta com o Cliente e apenas sob a autorização prévia por escrito do Cliente; e

(ii) misturar ou combinar Dados Pessoais dos Utilizadores Finais com os seus próprios dados ou com dados de terceiros, salvo quando estritamente necessário para a execução dos Serviços.
A VistaPrint certifica que compreende e cumprirá as restrições relativas à utilização dos Dados Pessoais dos Utilizadores Finais relacionadas com os Serviços estabelecidos na presente DPA.

4. DIREITOS DO TITULAR DOS DADOS

Na medida das capacidades da VistaPrint, e de acordo com a legislação aplicável, a VistaPrint deverá, tendo em conta a natureza do Tratamento, prestar uma assistência razoável para permitir que o Cliente responda a quaisquer pedidos recebidos dos Titulares dos Dados para exercerem os seus direitos ao abrigo das Leis de Proteção de Dados aplicáveis. O Cliente deverá cobrir todos os custos incorridos pela VistaPrint relacionados com a prestação de tal assistência. Se esse pedido for realizado diretamente à VistaPrint, a VistaPrint informará o Cliente, a menos que a VistaPrint esteja legalmente proibida de o fazer, e o Cliente será o único responsável por responder a esse pedido. A VistaPrint não se responsabiliza pelas informações fornecidas de boa-fé ao Cliente com base na presente Secção.

5. SUBCONTRATANTES SECUNDÁRIOS

5.1. Autorização Geral. O Cliente concede uma autorização geral à VistaPrint para contratar Subcontratantes Secundários (incluindo os seus Afiliados) para tratar os Dados Pessoais dos Utilizadores Finais, a fim de prestar os Serviços e cumprir as suas obrigações ao abrigo do Acordo e da presente DPA. A VistaPrint, sujeita às disposições de confidencialidade do Acordo e mediante pedido prévio do Cliente, disponibilizará ao Cliente uma lista dos Subcontratantes Secundários que contratar.

5.2. Obrigações. A VistaPrint imporá substancialmente as mesmas obrigações contratuais aos seus Subcontratantes Secundários que as impostas à VistaPrint ao abrigo da presente DPA, na medida aplicável à natureza dos serviços prestados por cada Subcontratante Secundário.

5.3. Direito de Oposição para Novos Subcontratantes Secundários. Ao contratar novos Subcontratantes Secundários, a VistaPrint fornecerá um aviso prévio ao Cliente, logo que razoavelmente exequível, quando e na medida em que tal contratação esteja relacionada com a prestação dos Serviços aplicáveis.

5.3.1. O Cliente pode opor-se à nomeação ou substituição de um Subcontratante pelo VistaPrint por escrito no prazo de dez (10) dias úteis a contar da recepção da notificação, com base em motivos razoáveis relacionados com as Leis de Protecção de Dados aplicáveis. Nesse caso, o VistaPrint poderá, a seu exclusivo critério, optar por utilizar esforços comerciais razoáveis (mas não é obrigado a fazê-lo) para lhe disponibilizar uma solução alternativa para evitar o Processamento de Dados Pessoais dos Utilizadores Finais pelo novo Subcontratante ou pelo Subcontratante substituto. Até que o VistaPrint tome uma decisão relativamente à objecção do Cliente, o VistaPrint poderá ser obrigado a suspender temporariamente o Processamento dos Dados Pessoais dos Utilizadores Finais relacionados, incluindo, se necessário para este assunto, suspender ou limitar o acesso à Conta do Cliente ou suspender ou limitar determinadas características dos Serviços oferecidos ao Cliente. Se o VistaPrint for razoavelmente capaz de fornecer os Serviços ao Cliente em conformidade com o Contrato sem utilizar o Subcontratante e decidir, a seu critério, fazê-lo, então o Cliente não terá mais direitos ao abrigo desta Secção no que diz respeito à utilização proposta do Subcontratante.

5.3.2. Se o VistaPrint, a seu critério, requerer a utilização do Subcontratante e não puder satisfazer a objecção do Cliente relativamente à utilização proposta do novo ou substituto Subcontratante no prazo de trinta (30) dias a contar da recepção da sua objecção fundamentada válida, então o Cliente poderá rescindir o Contrato aplicável em vigor na data em que o VistaPrint iniciar a utilização do novo ou substituto Subcontratante apenas em relação aos Serviços que irão utilizar o novo Subcontratante proposto para o Processamento de Dados Pessoais, mediante notificação por escrito ao VistaPrint. Tal rescisão não prejudicará quaisquer taxas incorridas pelo Cliente antes da rescisão dos Serviços afectados e o Cliente não terá mais reclamações contra a VistaPrint relacionadas com a rescisão dos Serviços afectados.

5.3.3. Se o Cliente não se opuser por escrito à nomeação do VistaPrint de um novo Subcontratante no prazo de dez (10) dias úteis a contar da recepção da notificação, o Cliente concorda que será considerado como tendo consentido a esse novo Subcontratante.

5.4. Responsabilidade. A VistaPrint permanece responsável por qualquer violação desta DPA causada por um acto ou omissão dos seus Subcontratantes, na mesma medida em que a VistaPrint é responsável pelos seus próprios, salvo disposição em contrário no Contrato.

6. TRANSFERÊNCIAS INTERNACIONAIS DE DADOS

6.1. Em Geral. Como parte da prestação dos Serviços, o Cliente autoriza a VistaPrint, os seus Afiliados e os seus Subcontratantes Secundários a armazenar, tratar e transferir Dados Pessoais dos Utilizadores Finais em qualquer parte do mundo onde a VistaPrint, os seus Afiliados ou Subcontratantes Secundários tenham operações de tratamento de dados. Quando os Dados Pessoais da UE, do Reino Unido ou da Suíça forem transferidos para fora do EEE, do Reino Unido ou da Suíça, a VistaPrint só tratará ou permitirá o Tratamento de Dados Pessoais da UE, do Reino Unido ou da Suíça fora do EEE, do Reino Unido ou da Suíça se uma das seguintes condições for cumprida:

a) os Dados Pessoais dos Utilizadores Finais da UE, do Reino Unido ou da Suíça forem transferidos para um País Adequado; ou

b) as Cláusulas Contratuais-Tipo e a Avaliação do Risco de Transferência estiverem em vigor entre a VistaPrint e o Cliente e/ou entre a VistaPrint e o Subcontratante Secundário, conforme o caso.

6.2. Transferências de Dados Pessoais da UE. Na medida em que os Dados Pessoais são transferidos de qualquer jurisdição do EEE para a qual o RGPD rege a natureza internacional da transferência, as SCC da UE fazem parte da presente DPA, e serão consideradas cumpridas da seguinte forma:

(i) Os termos do Módulo dois (Responsável pelo Tratamento para Subcontratante) aplicam-se quando o Cliente é um Responsável pelo Tratamento e um exportador de Dados Pessoais e a VistaPrint é um Subcontratante e importador de dados em relação a esses Dados Pessoais.

(ii) Os termos do Módulo três (Subcontratante para Subcontratante) aplicam-se quando a VistaPrint é um Subcontratante a atuar em nome de um Responsável pelo Tratamento e um exportador de Dados Pessoais e o Subcontratante Secundário é um Subcontratante e um importador de dados em relação a esses Dados Pessoais.

(iii) A Cláusula 7 (a)-(c) aplica-se;

(iv) A Cláusula 9, Opção 2 aplicar-se-á e o período de tempo para notificação prévia das alterações do Subcontratante Secundário estará em conformidade com o processo de notificação estabelecido nas disposições relativas ao Subcontratante Secundário da presente DPA.

(v) A Cláusula 11 não se aplicará;

(vi) A Cláusula 17, Opção 1 aplicar-se-á e as SCC da UE serão regidas pela lei especificada no Acordo, desde que a lei seja uma lei de um Estado-Membro da UE que reconheça direitos de terceiros beneficiários. Caso contrário, aplicam-se as leis dos Países Baixos;

(vii) Cláusula 18 (b), os litígios serão resolvidos perante os tribunais especificados no Acordo, desde que esses tribunais se encontrem num Estado-Membro da UE. Caso contrário, esses tribunais serão os dos Países Baixos. Em qualquer caso, as Cláusulas 17 e 18 (b) deverão ser coerentes, no sentido em que a escolha do foro e da jurisdição recairá sobre o país da lei aplicável;

(viii) Os Anexos das SCC da UE deverão ser preenchidos com as informações relevantes indicados no Anexo I, no Anexo II e no Anexo III da presente DPA; e

(ix) Se e na medida em que as SCC da UE entrem em conflito com qualquer disposição da presente DPA, as SCC da UE prevalecem.

6.3. Transferências de Dados Pessoais do Reino Unido. Na medida em que os Dados Pessoais do Reino Unido são transferidos e para os quais o RGPD do Reino Unido rege a natureza internacional da transferência, as SCC da UE referidas na Secção 6.2 supramencionada aplicar-se-ão juntamente com a Adenda do Reino Unido, e serão consideradas preenchidas da seguinte forma:

(i) As Tabelas 1 a 3 da Parte 1 da Adenda do Reino Unido serão consideradas preenchidas com as informações contidas nos Anexos da presente DPA;

(ii) A Tabela 4 da Parte 2 da Adenda do Reino Unido será considerada preenchida selecionando "importador"; e

(iii) Qualquer conflito entre as SCC da UE e a Adenda do Reino Unido será resolvido em conformidade com a Secção 10 e a Secção 11 da Adenda do Reino Unido.

6.4. Transferências de Dados Pessoais da Suíça. Na medida em que os Dados Pessoais sejam transferidos a partir da Suíça de uma forma que possa desencadear obrigações ao abrigo da Lei Federal de Proteção de Dados da Suíça ("FADP"), as SCC da UE aplicar-se-ão a essas transferências e serão consideradas como modificadas de forma a incorporar referências e definições relevantes que tornariam essas SCC da UE numa ferramenta adequada para essas transferências ao abrigo da FADP, incluindo, entre outros, as seguintes:

(i) A autoridade supervisora competente no Anexo I.C das SCC da UE ao abrigo da Cláusula 13 é o Comissário Federal de Proteção de Dados e Informação da Suíça;

(ii) A lei aplicável às reclamações contratuais ao abrigo da Cláusula 17 das SCC da UE é a lei suíça ou a lei de um país que permita e conceda direitos como um terceiro beneficiário;

(iii) O termo "Estado-Membro" utilizado nas SCC da UE não deverá ser interpretado de forma a excluir os Titulares dos Dados na Suíça da possibilidade de intentar ações em tribunal pelos seus direitos no seu local de residência habitual (Suíça) em conformidade com a Cláusula 18(c); e

(iv) As SCC da UE também protegem os dados das entidades jurídicas até à entrada em vigor da FADP revista.

6.5. Salvaguardas Adicionais. Na medida em que a VistaPrint trata Dados Pessoais de Titulares de Dados localizados ou sujeitos às Leis de Proteção de Dados aplicáveis do EEE, do Reino Unido ou da Suíça, a VistaPrint implementou uma variedade de salvaguardas adicionais relativamente à transferência de tais Dados Pessoais a partir destas jurisdições. A VistaPrint realizou uma Avaliação do Risco de Transferência, que será fornecida ao Cliente mediante pedido por escrito para o endereço de e-mail [email protected].

7. SEGURANÇA DOS DADOS E NOTIFICAÇÃO DE VIOLAÇÃO DE DADOS

7.1. Medidas de Segurança. A VistaPrint implementou e manterá medidas de segurança técnicas e organizacionais adequadas para proteger os Dados Pessoais dos Utilizadores Finais contra o Tratamento não autorizado ou ilegal e à perda ou alteração acidental ("Incidente de Segurança"). Em particular, a VistaPrint implementou as medidas técnicas e organizacionais indicadas no Anexo II.

7.2. Notificação de Violação de Dados. No caso de a VistaPrint ter conhecimento de um Incidente de Segurança que afete os Dados Pessoais dos Utilizadores Finais, a VistaPrint tomará as medidas razoáveis para notificar o Cliente sem atrasos injustificados e deverá:

(i) fornecer ao Cliente essas informações sobre o Incidente de Segurança, que lhe possam ser razoavelmente reveladas, tendo em conta a natureza dos Serviços, as informações à disposição da VistaPrint e quaisquer restrições na divulgação das informações, como por motivos de confidencialidade.

(ii) A pedido do Cliente, prestar assistência razoável para permitir que o Cliente notifique as autoridades adequadas ou os Titulares de Dados afetados, conforme exigido pelas Leis de Proteção de Dados aplicáveis.

Um Incidente de Segurança não inclui tentativas ou atividades infrutíferas que não comprometam a segurança dos Dados Pessoais dos Utilizadores Finais. A notificação ou resposta da VistaPrint a um Incidente de Segurança não constituirá um reconhecimento de culpa ou responsabilidade no que diz respeito ao referido Incidente de Segurança.

8. AUDITORIAS

8.1. Relatórios de Auditoria. Mediante pedido escrito do Cliente com intervalos razoáveis (não mais de uma vez por ano) e sujeito às obrigações de confidencialidade, a VistaPrint fornecerá uma cópia dos seus resumos mais recentes de auditorias, certificações ou relatórios de terceiros, conforme aplicável. As partes concordam que os direitos de auditoria do Cliente descritos nas Leis de Proteção de Dados aplicáveis serão cumpridos pelo fornecimento de esses resumos e/ou relatórios por parte da VistaPrint.

8.2. Auditoria da Autoridade Supervisora. A VistaPrint proporcionará ao Cliente um acesso razoável à sua documentação e aos seus sistemas caso ocorra uma auditoria exigida por um regulador governamental ou por uma autoridade supervisora para cumprir as Leis de Proteção de Dados aplicáveis.

8.3. Informações Confidenciais. Quaisquer informações fornecidas pela VistaPrint ao abrigo da presente Secção 8 constituem informações confidenciais. A VistaPrint não será obrigada a divulgar quaisquer segredos comerciais, incluindo algoritmos, código-fonte, segredos comerciais e informações semelhantes.

9. ELIMINAÇÃO DE DADOS

As partes concordam que, após a cessação da DPA ou por pedido escrito do Cliente, a VistaPrint e qualquer Subcontratante Secundário deverão destruir de forma segura todos os Dados Pessoais dos Utilizadores Finais e quaisquer cópias dos mesmos, logo que razoavelmente exequível, em conformidade com os termos do Acordo e as leis aplicáveis. Sem prejuízo do anterior, a VistaPrint poderá conservar todos ou parte dos Dados Pessoais dos Utilizadores Finais divulgados, se exigido pelo Acordo ou pela lei ou pelo regulamento aplicável (incluindo as Leis de Proteção de Dados aplicáveis), desde que tais Dados Pessoais dos Utilizadores Finais permaneçam protegidos em conformidade com os termos da presente DPA e com as Leis de Proteção de Dados aplicáveis.

10. DIVERSOS

10.1. Hierarquia. No caso de quaisquer inconsistências ou conflito entre as disposições da presente DPA e as disposições do Acordo, as disposições da presente DPA prevalecem na medida desse conflito no que diz respeito ao Tratamento dos Dados Pessoais dos Utilizadores Finais. Na medida em que exista algum conflito entre as Cláusulas Contratuais-Tipo (quando aplicável), a presente DPA ou o Acordo, as Cláusulas Contratuais-Tipo prevalecem.

10.2. Atualizações da DPA. A VistaPrint pode modificar a presente DPA, conforme necessário, periodicamente e publicará a versão mais atualizada no web site. Quaisquer alterações ou modificações deste tipo entrarão em vigor no momento da publicação. Ao continuar a utilizar ou a aceder aos Serviços após a entrada em vigor de quaisquer modificações, o Cliente concorda em ficar vinculado à DPA modificada.

10.3. Legislação aplicável. A presente DPA será regida e interpretada em conformidade com as disposições da legislação e jurisdição aplicáveis no Acordo, salvo disposição em contrário pelas Leis de Proteção de Dados aplicáveis.

10.4. Limitação da Responsabilidade. Todas as atividades ao abrigo da presente DPA (incluindo, entre outras, o Tratamento dos Dados Pessoais dos Utilizadores Finais) permanecem sujeitas às limitações de responsabilidade aplicáveis estabelecidas no Acordo.

10.5 Contacto. Quaisquer questões relativas à presente DPA devem ser dirigidas ao Responsável pela Proteção de Dados através do endereço de e-mail [email protected]. A VistaPrint tentará resolver quaisquer reclamações relativas à utilização dos Dados Pessoais dos Utilizadores Finais em conformidade com a presente DPA e com o Acordo.

ANEXO I - DESCRIÇÃO DO TRATAMENTO/DA TRANSFERÊNCIA

A. LISTA DAS PARTES

Exportador(es) de dados:

  • Nome: a entidade identificada como o "Cliente" ou o nome especificado na conta do Cliente.
  • Morada: a Morada de Faturação do Cliente especificado na conta do Cliente.
  • Nome, cargo e detalhes de contacto da pessoa de contacto: as informações de contacto especificadas na conta do Cliente.
  • Atividades relevantes para os dados transferidos ao abrigo destas Cláusulas: quaisquer atividades relevantes para efeitos de receção dos Serviços prestados pela VistaPrint no que diz respeito ao Acordo.
  • Assinatura e data: ao celebrar a DPA, considera-se que o exportador de dados assinou as Cláusulas Contratuais-Tipo e os Anexos aqui incorporados a partir da Data Efetiva da DPA.
  • Função (responsável pelo tratamento/subcontratante): Responsável pelo Tratamento

Importador(es) de dados:

  • Nome: Parte Contratante da VistaPrint, conforme aplicável ao abrigo do Acordo.
  • Morada: morada da Parte Contratante da VistaPrint, conforme aplicável ao abrigo do Acordo.
  • Nome, cargo e detalhes de contacto da pessoa de contacto: [email protected].
  • Atividades relevantes para os dados transferidos ao abrigo destas Cláusulas: tratamento dos Dados Pessoais relacionados com a utilização dos Serviços VistaPrint por parte do Cliente.
  • Assinatura e data: ao celebrar a DPA, considera-se que o importador de dados assinou as Cláusulas Contratuais-Tipo e os Anexos aqui incorporados a partir da Data Efetiva da DPA.
  • Função (responsável pelo tratamento/subcontratante): Subcontratante

B. DESCRIÇÃO DA TRANSFERÊNCIA

Categorias de titulares de dados: Os titulares dos dados podem incluir, entre outros:

  • Utilizadores finais (que são pessoas singulares), como clientes existentes e potenciais, clientes ou visitantes, que são utilizadores do serviço do Cliente.
  • Representantes, funcionários, candidatos, agentes, consultores, freelancers, parceiros comerciais, subcontratados e/ou colaboradores atuais, antigos ou potenciais do Cliente (que são pessoas singulares).
  • Indivíduos terceiros que o Cliente decide contratar através do Serviço.

Categorias de dados pessoais: Dados Pessoais enviados no âmbito e no caráter determinados pelo Responsável pelo Tratamento a seu critério exclusivo.

Dados sensíveis transferidos (se aplicável) e restrições ou salvaguardas aplicadas: as partes não preveem a transferência de dados sensíveis.

Frequência da transferência: base contínua, dependendo da utilização dos Serviços pelo Cliente.

Natureza do tratamento: execução dos Serviços nos termos do Acordo.

Finalidade(s) da transferência de dados e tratamento adicional: podemos utilizar os seus Dados Pessoais para as seguintes finalidades (e tarefas relacionadas com as mesmas), tudo em conformidade com o Acordo e de uma forma que seja proporcional e que respeite os Dados Pessoais dos seus Utilizadores Finais:

  • Prestar-lhe os Serviços;
  • Agir de acordo com as suas instruções;
  • Executar e fazer cumprir o Acordo e a presente DPA;
  • Defender os nossos direitos;
  • Prevenir, investigar e mitigar os riscos e incidentes relacionados com a segurança dos dados, fraude, erros e/ou atividades ilegais ou proibidas;
  • Cumprir as leis e os regulamentos aplicáveis

Período durante o qual os dados pessoais serão conservados, ou, se tal não for possível, o critério utilizado para determinar esse período: a VistaPrint conservará os Dados Pessoais até à cessação do Acordo e em conformidade com a Secção 9 da DPA, salvo disposição em contrário ao abrigo do Acordo.

Para as transferências destinadas aos subcontratantes (secundários), especificar também o assunto, a natureza e a duração do tratamento: os Subcontratantes Secundários tratarão os Dados Pessoais conforme necessário para a execução dos Serviços nos termos do Acordo e durante o mesmo, salvo acordo em contrário por escrito.

C. AUTORIDADE SUPERVISORA COMPETENTE

Identificar a(s) autoridade(s) supervisora(s) competente(s) em conformidade com a Cláusula 13: A Autoridade Holandesa de Proteção de Dados, a menos que exigido de outra forma pela Secção 6 da DPA.

ANEXO II - MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS

Atualmente, a VistaPrint mantém as seguintes medidas de segurança técnicas e organizacionais para efeitos de proteção, confidencialidade e integridade dos Dados Pessoais. Tenha em atenção que a VistaPrint pode modificar estas práticas a seu critério. Quaisquer modificações feitas não diminuirão substancialmente a segurança e a proteção gerais dos Dados Pessoais.

1- Impedir que pessoas não autorizadas acedam aos sistemas com os quais os Dados Pessoais são tratados ou utilizados (controlo de acesso físico); em particular, tomando as seguintes medidas:

  • Acesso controlado a áreas críticas ou sensíveis
  • Registos de incidentes
  • Sistemas automatizados de controlo de acesso
  • Leitores de cartões de identificação ou chip
  • Formação de sensibilização de segurança

2- Impedir que os sistemas de tratamento de dados sejam utilizados sem autorização (controlo de acesso lógico); em particular, tomando as seguintes medidas:

  • Dispositivos de rede, como sistemas de deteção de intrusão, routers e firewalls.
  • Início de sessão seguro com identificação de utilizador/palavra-passe única, incluindo requisitos de complexidade da palavra-passe e autenticação multifator, quando adequado.
  • A política obriga ao bloqueio das estações de trabalho sem vigilância. A palavra-passe da proteção de ecrã está implementada de forma a que se o utilizador se esquecer de bloquear a estação de trabalho, o bloqueio automático está assegurado.
  • Registo e análise da utilização do sistema.
  • Acesso baseado nas funções para sistemas críticos contendo Dados Pessoais.
  • Processo para atualizações de rotina do sistema para vulnerabilidades conhecidas.
  • Encriptação dos discos rígidos de computadores portáteis.
  • Monitorização de vulnerabilidades de segurança em sistemas críticos.
  • Implementação e atualização de software antivírus.
  • Dispositivos de rede, como sistemas de deteção de intrusão, routers e firewalls.
  • Cumprimento da norma de segurança de dados da indústria de cartões de pagamento.

3- Assegurar que as pessoas com direito a utilizar um sistema podem ter acesso apenas aos dados a que têm direito de acesso, e que, durante o tratamento ou a utilização e após o armazenamento, os Dados Pessoais não podem ser lidos, copiados, modificados ou eliminados sem autorização (controlo de acesso aos dados); em particular, tomando as seguintes medidas:

  • Dispositivos de rede, como sistemas de deteção de intrusão, routers e firewalls.
  • Início de sessão seguro com identificação de utilizador/palavra-passe única, incluindo requisitos de complexidade da palavra-passe e autenticação multifator, quando adequado.
  • Registo e análise da utilização do sistema.
  • Acesso baseado nas funções para sistemas críticos contendo Dados Pessoais.
  • Encriptação dos discos rígidos de computadores portáteis.
  • Implementação e atualização de software antivírus.
  • Cumprimento da norma de segurança de dados da indústria de cartões de pagamento.

4- Assegurar que os Dados Pessoais não podem ser lidos, copiados, modificados ou eliminados sem autorização durante a transmissão, o transporte ou o armazenamento eletrónico, tomando as seguintes medidas:

  • Início de sessão seguro com identificação de utilizador/palavra-passe única, incluindo requisitos de complexidade da palavra-passe e autenticação multifator, quando adequado.
  • Protocolos de transmissão seguros.
  • Registo e análise da utilização do sistema.
  • Acesso baseado nas funções para sistemas críticos contendo Dados Pessoais.
  • Dispositivos de rede, como sistemas de deteção de intrusão, routers e firewalls.
  • Implementação de uma VPN.

5- Assegurar que os Dados Pessoais são tratados apenas de acordo com a política da empresa, tomando as seguintes medidas:

  • Formação obrigatória de sensibilização de segurança e privacidade para todos os funcionários.
  • Procedimentos de contratação de funcionários que requerem o preenchimento de um formulário de candidatura detalhado para funcionários-chave com acesso a dados pessoais significativos e, quando permitido pela legislação local.
  • Selecionar diligentemente equipas e prestadores de serviços adequados.
  • Celebrar acordos adequados de tratamento de dados com os subcontratantes secundários, que incluem medidas de segurança técnicas e organizacionais adequadas.

6- Assegurar que os Dados Pessoais estão protegidos contra a destruição ou perda acidental (controlo de disponibilidade); em particular, tomando as seguintes medidas:

  • Testar regularmente a eficácia das medidas de segurança.
  • Procedimentos de cópia de segurança e sistemas de recuperação.
  • Servidores redundantes numa localização separada.
  • Fonte de alimentação ininterrupta e unidade de alimentação auxiliar.
  • Armazenamento remoto.
  • Monitorização e controlo climático de servidores.
  • Implementação e atualização de software antivírus.
  • Recuperação de desastres e plano de emergência.

7- Assegurar que os dados recolhidos para diferentes fins ou diferentes mandantes podem ser tratados separadamente (controlo da separação); em particular, tomando as seguintes medidas:

  • Acesso baseado nas funções para sistemas críticos contendo Dados Pessoais.
  • Separação dos dados de teste e dados reais.
  • Cumprimento da norma de segurança de dados da indústria de cartões de pagamento.

ANEXO III - LISTA DOS SUBCONTRATANTES SECUNDÁRIOS

Uma lista com os Subcontratantes Secundários que contratamos e a nossa finalidade da contratação está acessível mediante pedido do Cliente.