Pular para o conteúdo

A GTreasury agora é Ripple Treasury

Adendo de Processamento de Dados

Este Aditamento de Tratamento de Dados (este “DPA”) estabelece as obrigações da Ripple Treasury, Coprocess ou CashAnalytics sob o Contrato Principal em relação aos Dados Pessoais Abrangidos. Em qualquer caso, “Ripple Treasury” neste Aditamento de Tratamento de Dados significará a respetiva entidade com a qual o Cliente é parte sob um Contrato Principal.Este Adendo de Processamento de Dados (este “DPA”) estabelece as obrigações da Ripple Treasury, Coprocess ou CashAnalytics nos termos do Contrato Principal com relação aos Dados Pessoais Abrangidos. Em qualquer caso, “Ripple Treasury” neste Adendo de Processamento de Dados significará a respectiva entidade com a qual o Cliente é parte nos termos de um Contrato Principal.Este Aditamento de Processamento de Dados (este “DPA”) estabelece as obrigações da Ripple Treasury, Coprocess ou CashAnalytics sob o Contrato Principal em relação aos Dados Pessoais Abrangidos. Em qualquer caso, “Ripple Treasury” neste Aditamento de Processamento de Dados significará a respetiva entidade com a qual o Cliente é parte sob um Contrato Principal.

1. Termos Definidos.1. Termos Definidos.

Qualquer termo capitalizado neste DPA que não seja definido por este DPA terá o significado atribuído a esse termo pelo Contrato Principal. Caso contrário, os seguintes termos terão os seguintes significados.Qualquer termo em maiúsculas neste DPA que não seja definido por este DPA terá o significado atribuído a esse termo pelo Contrato Principal. Caso contrário, os termos a seguir terão os seguintes significados.Qualquer termo capitalizado neste DPA que não seja definido por este DPA terá o significado atribuído a esse termo pelo Contrato Principal. Caso contrário, os seguintes termos terão os seguintes significados.

(a) “Dados Pessoais Abrangidos” são Dados Pessoais que:(a) “Dados Pessoais Abrangidos” são Dados Pessoais que:(a) “Dados Pessoais Abrangidos” são Dados Pessoais que:

(i) A Ripple Treasury recebe do Cliente ou de qualquer terceiro (incluindo, mas não se limitando a, qualquer Titular de Dados) no âmbito do Contrato; eA Ripple Treasury recebe do Cliente ou de qualquer terceiro (incluindo, mas não se limitando a, qualquer Titular de Dados) no âmbito do Contrato; e(i) A Ripple Treasury recebe do Cliente ou de qualquer terceiro (incluindo, mas não se limitando a, qualquer Titular de Dados) no âmbito do Contrato; e

(ii) É protegido pela Lei de Proteção de Dados e em relação ao qual a Lei de Proteção de Dados impõe proteções devido à sua natureza pessoal.(ii) É protegido pela Lei de Proteção de Dados e em relação ao qual a Lei de Proteção de Dados impõe proteções devido à sua natureza pessoal.(ii) É protegido pela Lei de Proteção de Dados e em relação ao qual a Lei de Proteção de Dados impõe proteções devido à sua natureza pessoal.

(b) “Lei de Proteção de Dados” significa a legislação internacional, nacional, estadual ou provincial que protege, ou impõe restrições ao Tratamento dos Dados Pessoais em questão. O termo inclui, mas não se limita a, o seguinte, conforme alterado, e as regras subjacentes com força de lei, tudo na medida em que cumpram a definição precedente: o Regulamento Geral sobre a Proteção de Dados (Regulamento (UE) 2016/679) (o “RGPD”), a Lei de Privacidade Australiana de 1988, a Lei de Privacidade da Nova Zelândia de 2020, a Lei de Proteção de Informações Pessoais e Documentos Eletrónicos do Canadá (“PIPEDA”), a Lei Federal Suíça de Proteção de Dados, a Lei de Proteção de Dados do Reino Unido de 2018, a Lei de Privacidade do Consumidor da Califórnia de 2018 (“CCPA”) e a Lei de Direitos de Privacidade da Califórnia de 2020 (“CPRA”).(b) “Lei de Proteção de Dados” significa legislação internacional, nacional, estadual ou provincial que protege, ou impõe restrições ao Tratamento de, Dados Pessoais em questão. O termo inclui, mas não se limita a, o seguinte, conforme alterado, e as normas dele decorrentes com força de lei, tudo na medida em que atendam à definição precedente: o Regulamento Geral sobre a Proteção de Dados (Regulamento (UE) 2016/679) (o “RGPD”), a Lei de Privacidade Australiana de 1988, a Lei de Privacidade da Nova Zelândia de 2020, a Lei de Proteção de Informações Pessoais e Documentos Eletrônicos do Canadá (“PIPEDA”), a Lei Federal Suíça de Proteção de Dados, a Lei de Proteção de Dados do Reino Unido de 2018, a Lei de Privacidade do Consumidor da Califórnia de 2018 (“CCPA”), e a Lei de Direitos de Privacidade da Califórnia de 2020 (“CPRA”).(b) “Lei de Proteção de Dados” significa lei internacional, nacional, estadual ou provincial que protege, ou impõe restrições ao Processamento de, os Dados Pessoais em questão. O termo inclui, mas não se limita a, o seguinte, conforme alterado, e as regras daí decorrentes com força de lei, tudo na medida em que cumpram a definição precedente: o Regulamento Geral sobre a Proteção de Dados (Regulamento (UE) 2016/679) (o “RGPD”), a Lei de Privacidade Australiana de 1988, a Lei de Privacidade da Nova Zelândia de 2020, a Lei de Proteção de Informações Pessoais e Documentos Eletrónicos do Canadá (“PIPEDA”), a Lei Federal Suíça sobre Proteção de Dados, a Lei de Proteção de Dados do Reino Unido de 2018, a Lei de Privacidade do Consumidor da Califórnia de 2018 (“CCPA”), e a Lei de Direitos de Privacidade da Califórnia de 2020 (“CPRA”).

(c) Um “Titular de Dados” em relação a Dados Pessoais é a pessoa singular identificada ou identificável a quem os Dados Pessoais se referem.(c) O “Titular de Dados” em relação a Dados Pessoais é a pessoa singular identificada ou identificável a quem os Dados Pessoais se referem.(c) Um “Titular de Dados” em relação aos Dados Pessoais é a pessoa singular identificada ou identificável a que os Dados Pessoais se referem.

(d) “Dados Pessoais do EEE” significa Dados Pessoais Abrangidos cujos Titulares de Dados se encontram no EEE.(d) “Dados Pessoais do EEE” significa Dados Pessoais Abrangidos cujos Titulares dos Dados estão no EEE.(d) “Dados Pessoais do EEE” significa Dados Pessoais Abrangidos cujos Titulares de Dados se encontram no EEE.

(e) A “União Europeia,” ou “UE,” significa os estados-membros dessa união conforme estabelecido no Tratado da União Europeia, no Tratado sobre o Funcionamento da União Europeia e em tratados relacionados, à medida que tais estados-membros possam aderir ou sair.(e) A “União Europeia,” ou “UE,” significa os estados membros dessa união, conforme estabelecido no Tratado da União Europeia, no Tratado sobre o Funcionamento da União Europeia e em tratados relacionados, conforme tais estados membros possam aderir ou sair.(e) A “União Europeia” ou “UE” significa os estados-membros dessa união, conforme estabelecido no Tratado da União Europeia, no Tratado sobre o Funcionamento da União Europeia e em tratados relacionados, conforme tais estados-membros possam aderir ou sair.

(f) O “Espaço Económico Europeu” ou “EEE” significa os estados-membros aderentes ao Acordo sobre o Espaço Económico Europeu, conforme tais estados-membros possam aderir ou sair.(f) O “Espaço Económico Europeu” ou “EEE” significa os estados membros aderentes ao Acordo sobre o Espaço Económico Europeu, conforme tais estados membros possam aderir ou sair.

(g) “Dados Pessoais” significa qualquer informação relativa a uma pessoa singular identificada ou identificável, sendo uma “pessoa singular identificável” aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador como um nome, um número de identificação, dados de localização, um identificador online ou a um ou mais fatores específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.(g) “Dados Pessoais” significa qualquer informação relativa a uma pessoa singular identificada ou identificável, sendo uma “pessoa singular identificável” aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador como um nome, um número de identificação, dados de localização, um identificador online ou a um ou mais fatores específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.

(h) “Tratamento” de Dados Pessoais significa qualquer operação ou conjunto de operações realizadas sobre Dados Pessoais ou sobre conjuntos de Dados Pessoais, por meios automatizados ou não, tais como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou qualquer outra forma de disponibilização, alinhamento ou combinação, restrição, apagamento ou destruição.(h) “Processamento” de Dados Pessoais significa qualquer operação ou conjunto de operações que é realizada sobre Dados Pessoais ou sobre conjuntos de Dados Pessoais, quer por meios automatizados ou não, tais como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou outra forma de disponibilização, alinhamento ou combinação, restrição, apagamento ou destruição.

2. Geralmente.2. Geralmente.

(a) O Cliente não fornecerá à Ripple Treasury quaisquer Dados Pessoais que não sejam necessários para o cumprimento das obrigações da Ripple Treasury nos termos do Acordo.(a) O Cliente não fornecerá à Ripple Treasury quaisquer Dados Pessoais que não sejam necessários para o cumprimento pela Ripple Treasury das suas obrigações sob o Contrato.

(b) As obrigações da Ripple Treasury nos termos deste DPA aplicam-se na medida em que a Lei de Proteção de Dados aplicável ao Cliente exija que o Cliente imponha tais obrigações aos processadores de Dados Pessoais Abrangidos.(b) As obrigações da Ripple Treasury sob este DPA aplicam-se na medida em que a Lei de Proteção de Dados aplicável ao Cliente exija que o Cliente imponha tais obrigações aos processadores de Dados Pessoais Abrangidos.

(c) A Ripple Treasury não contratará outro processador sem autorização prévia específica ou geral por escrito do Cliente. No caso de autorização geral por escrito, a Ripple Treasury informará o Cliente sobre quaisquer alterações pretendidas relativas à adição ou substituição de outros processadores e dará ao Cliente a oportunidade de se opor a tais alterações.(c) A Ripple Treasury não contratará outro processador sem autorização prévia específica ou geral por escrito do Cliente. No caso de autorização geral por escrito, a Ripple Treasury informará o Cliente sobre quaisquer alterações pretendidas relativas à adição ou substituição de outros processadores e dará ao Cliente a oportunidade de se opor a tais alterações.

(d) O objeto, a natureza e a finalidade do Tratamento pela Ripple Treasury é a entrega dos bens, serviços e/ou software identificados no Acordo.(d) O objeto, a natureza e a finalidade do Processamento pela Ripple Treasury são a entrega dos bens, serviços e/ou software identificados no Contrato.

(e) O tipo de Dados Pessoais e as categorias de Titulares dos Dados são os tipos e categorias previstos no Acordo.(e) O tipo de Dados Pessoais e as categorias de Titulares de Dados são os tipos e categorias previstos no Contrato.

(f) A Ripple Treasury tratará os Dados Pessoais Abrangidos apenas mediante instruções documentadas do Cliente, incluindo no que diz respeito a transferências de dados pessoais para um país terceiro ou uma organização internacional, a menos que seja exigido pela Lei de Proteção de Dados à qual a Ripple Treasury está sujeita. Nesse caso, a Ripple Treasury informará o Cliente sobre essa exigência legal antes do Tratamento, a menos que essa lei proíba tal informação por motivos importantes de interesse público previstos na Lei de Proteção de Dados. Para evitar dúvidas, o Acordo constitui as instruções documentadas do Cliente à Ripple Treasury para realizar o Tratamento que for necessário para que a Ripple Treasury cumpra o Acordo.(f) A Ripple Treasury processará Dados Pessoais Abrangidos apenas mediante instruções documentadas do Cliente, incluindo no que diz respeito a transferências de dados pessoais para um país terceiro ou uma organização internacional, a menos que seja exigido pela Lei de Proteção de Dados à qual a Ripple Treasury está sujeita. Nesse caso, a Ripple Treasury informará o Cliente sobre essa exigência legal antes do Processamento, a menos que essa lei proíba tal informação por motivos importantes de interesse público previstos na Lei de Proteção de Dados. Para evitar dúvidas, o Contrato constitui as instruções documentadas do Cliente à Ripple Treasury para realizar o Processamento que for necessário para a Ripple Treasury cumprir o Contrato.

(g) A Ripple Treasury garantirá que os seus agentes autorizados a tratar os Dados Pessoais Abrangidos se comprometeram com a confidencialidade ou estão sujeitos a uma obrigação legal ou profissional de confidencialidade adequada.(g) A Ripple Treasury garantirá que os seus agentes autorizados a tratar os Dados Pessoais Abrangidos se comprometeram com a confidencialidade ou estão sujeitos a uma obrigação legal ou profissional de confidencialidade adequada.

(h) Segurança.(h) Segurança.

(i) Tendo em conta o estado da arte, os custos de implementação e a natureza, o âmbito, o contexto e as finalidades do Tratamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas singulares, a Ripple Treasury implementará medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco, incluindo, na medida do necessário e adequado:(i) Tendo em conta o estado da arte, os custos de implementação e a natureza, o âmbito, o contexto e as finalidades do Tratamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas singulares, a Ripple Treasury implementará medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco, incluindo, na medida do necessário e adequado:

(A) Pseudonimização e cifragem de Dados Pessoais Abrangidos;(A) Pseudonimização e cifragem dos Dados Pessoais Abrangidos;

(B) A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de Tratamento;(B) A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de Tratamento;

(C) A capacidade de restaurar a disponibilidade e o acesso aos Dados Pessoais Abrangidos em tempo útil, em caso de incidente físico ou técnico; e/ou(C) A capacidade de restaurar a disponibilidade e o acesso aos Dados Pessoais Abrangidos em tempo útil, em caso de incidente físico ou técnico; e/ou

(D) Um processo para testar, avaliar e analisar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do Tratamento.(D) Um processo para testar, avaliar e analisar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do Tratamento.

(ii) Ao avaliar o nível de segurança adequado, a Ripple Treasury terá em conta os riscos apresentados pelo Tratamento, em particular os decorrentes da destruição acidental ou ilícita, perda, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados ou de outra forma tratados.(ii) Ao avaliar o nível de segurança adequado, a Ripple Treasury terá em conta os riscos apresentados pelo Tratamento, em particular, decorrentes da destruição acidental ou ilícita, perda, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados ou de outra forma tratados.

(iii) A Ripple Treasury poderá utilizar a adesão a um código de conduta aprovado, previsto no Artigo 40 do RGPD, ou a um mecanismo de certificação aprovado, previsto no Artigo 42 do RGPD, como um elemento para demonstrar a conformidade com os requisitos identificados na Secção 2(h)(i).(iii) A Ripple Treasury poderá utilizar a adesão a um código de conduta aprovado previsto no Artigo 40 do RGPD ou um mecanismo de certificação aprovado previsto no Artigo 42 do RGPD como um elemento para demonstrar a conformidade com os requisitos identificados na Secção 2(h)(i).

(iv) A Ripple Treasury tomará medidas para garantir que qualquer pessoa singular que atue sob a autoridade do processador da Ripple Treasury e que tenha acesso a Dados Pessoais Abrangidos não trate Dados Pessoais Abrangidos, exceto mediante instruções do Cliente, a menos que seja obrigado a fazê-lo pela Lei de Proteção de Dados aplicável.(iv) A Ripple Treasury tomará medidas para garantir que qualquer pessoa singular que atue sob a autoridade do processador da Ripple Treasury e que tenha acesso a Dados Pessoais Abrangidos não trate Dados Pessoais Abrangidos, exceto mediante instruções do Cliente, a menos que seja obrigado a fazê-lo pela Lei de Proteção de Dados aplicável.

(i) A Ripple Treasury não contratará nem utilizará terceiros para realizar qualquer Tratamento que não seja o previsto neste DPA. Para evitar dúvidas, a Ripple Treasury poderá utilizar serviços de alojamento fornecidos pela Microsoft Corporation, Amazon Web Services, Inc., Rackspace, Inc., e/ou as suas afiliadas, desde que a Ripple Treasury obtenha de tal(is) fornecedor(es) obrigações contratuais consistentes com o cumprimento das obrigações da Ripple Treasury nos termos deste DPA.(i) A Ripple Treasury não contratará nem utilizará qualquer terceiro para realizar qualquer Tratamento que não seja o previsto neste DPA. Para evitar dúvidas, a Ripple Treasury poderá utilizar serviços de alojamento fornecidos pela Microsoft Corporation, Amazon Web Services, Inc., Rackspace, Inc., e/ou as suas afiliadas, desde que a Ripple Treasury obtenha de tal(is) fornecedor(es) obrigações contratuais consistentes com o cumprimento das obrigações da Ripple Treasury nos termos deste DPA.

(j) Tendo em conta a natureza do Tratamento, a Ripple Treasury auxiliará o Cliente através de medidas técnicas e organizacionais adequadas, na medida do possível, para o cumprimento das obrigações do Cliente ou do responsável pelo tratamento do Cliente de responder a pedidos de exercício dos direitos do titular dos dados estabelecidos em:(j) Tendo em conta a natureza do Tratamento, a Ripple Treasury auxiliará o Cliente através de medidas técnicas e organizacionais adequadas, na medida do possível, para o cumprimento das obrigações do Cliente ou do responsável pelo tratamento do Cliente de responder a pedidos de exercício dos direitos do titular dos dados estabelecidos em:

(i) Capítulo III do RGPD, em particular os Artigos 12 (Informação, comunicação e modalidades transparentes para o exercício dos direitos do titular dos dados), 13 (Informações a fornecer quando os dados pessoais são recolhidos junto do titular dos dados), 14 (Informações a fornecer quando os dados pessoais não tiverem sido obtidos junto do titular dos dados), 15 (Direito de acesso do titular dos dados), 16 (Direito de retificação), 17 (Direito ao apagamento («direito a ser esquecido»)), 18 (Direito à limitação do tratamento), 19 (Obrigação de notificação da retificação ou apagamento de dados pessoais ou da limitação do tratamento), 20 (Direito à portabilidade dos dados), 21 (Direito de oposição e decisões individuais automatizadas), 22 (Decisões individuais automatizadas, incluindo a definição de perfis), e 23 (Restrições); e/ou(i) Capítulo III do RGPD, em particular os Artigos 12 (Transparência das informações, das comunicações e das modalidades de exercício dos direitos do titular dos dados), 13 (Informações a facultar quando os dados pessoais são recolhidos junto do titular dos dados), 14 (Informações a facultar quando os dados pessoais não são recolhidos junto do titular dos dados), 15 (Direito de acesso do titular dos dados), 16 (Direito de retificação), 17 (Direito ao apagamento («direito a ser esquecido»)), 18 (Direito à limitação do tratamento), 19 (Obrigação de notificação em caso de retificação ou apagamento de dados pessoais ou limitação do tratamento), 20 (Direito à portabilidade dos dados), 21 (Direito de oposição e decisões individuais automatizadas), 22 (Decisões individuais automatizadas, incluindo a definição de perfis) e 23 (Limitações); e/ou

(ii) Outras Leis de Proteção de Dados aplicáveis.(ii) Outras Leis de Proteção de Dados aplicáveis.

(k) A Ripple Treasury auxiliará o Cliente a garantir a conformidade com as obrigações dos Artigos 32 (Segurança do processamento), 33 (Notificação de uma violação de dados pessoais à autoridade de supervisão), 34 (Comunicação de uma violação de dados pessoais ao titular dos dados), 35 (Avaliação de impacto da proteção de dados) e 36 (Consulta prévia) do GDPR, e outras Leis de Proteção de Dados aplicáveis; levando em consideração a natureza do Processamento e as informações disponíveis à Ripple Treasury.(k) A Ripple Treasury auxiliará o Cliente a garantir a conformidade com as obrigações dos Artigos 32 (Segurança do tratamento), 33 (Notificação de uma violação de dados pessoais à autoridade de controlo), 34 (Comunicação de uma violação de dados pessoais ao titular dos dados), 35 (Avaliação de impacto sobre a proteção de dados) e 36 (Consulta prévia) do RGPD, e outras Leis de Proteção de Dados aplicáveis; tendo em conta a natureza do Tratamento e as informações disponíveis para a Ripple Treasury.

(l) A critério do Cliente, a Ripple Treasury excluirá ou devolverá todos os Dados Pessoais Abrangidos ao Cliente após o término da prestação de serviços relacionados ao Processamento e excluirá as cópias existentes, a menos que a lei aplicável exija a retenção contínua pela Ripple Treasury dos Dados Pessoais Abrangidos.(l) A critério do Cliente, a Ripple Treasury eliminará ou devolverá todos os Dados Pessoais Abrangidos ao Cliente após o término da prestação de serviços relacionados ao Tratamento e eliminará as cópias existentes, a menos que a lei aplicável exija a retenção contínua dos Dados Pessoais Abrangidos pela Ripple Treasury.

(m) A Ripple Treasury disponibilizará ao Cliente todas as informações necessárias para demonstrar a conformidade com as obrigações do Artigo 28 do GDPR e obrigações semelhantes sob outras Leis de Proteção de Dados, e permitirá e contribuirá para auditorias, incluindo inspeções, realizadas pelo Cliente ou por outro auditor mandatado pelo Cliente. A Ripple Treasury informará imediatamente o Cliente se, na opinião da Ripple Treasury, uma instrução violar a Lei de Proteção de Dados.(m) A Ripple Treasury disponibilizará ao Cliente todas as informações necessárias para demonstrar a conformidade com as obrigações do Artigo 28 do RGPD e obrigações semelhantes sob outras Leis de Proteção de Dados, e permitirá e contribuirá para auditorias, incluindo inspeções, realizadas pelo Cliente ou por outro auditor mandatado pelo Cliente. A Ripple Treasury informará imediatamente o Cliente se, na opinião da Ripple Treasury, uma instrução violar a Lei de Proteção de Dados.

(n) Se a Ripple Treasury contratar um terceiro para realizar atividades de Processamento específicas em nome ou em benefício do Cliente, obrigações de proteção de dados consistentes com o cumprimento das obrigações da Ripple Treasury estabelecidas neste DPA e no Acordo Principal serão impostas a esse terceiro por meio de um contrato, em particular fornecendo garantias suficientes para implementar medidas técnicas e organizacionais apropriadas de forma que o Processamento atenda aos requisitos da Lei de Proteção de Dados aplicável. Caso esse terceiro não cumpra suas obrigações de proteção de dados, a Ripple Treasury permanecerá totalmente responsável perante o Cliente pelo cumprimento de tais obrigações.(n) Se a Ripple Treasury contratar um terceiro para realizar atividades de Tratamento específicas em nome ou em benefício do Cliente, serão impostas a esse terceiro, por meio de um contrato, obrigações de proteção de dados consistentes com o cumprimento das obrigações da Ripple Treasury estabelecidas neste DPA e no Contrato Principal, em particular, fornecendo garantias suficientes para implementar medidas técnicas e organizacionais adequadas de forma que o Tratamento cumpra os requisitos da Lei de Proteção de Dados aplicável. Se esse terceiro não cumprir as suas obrigações de proteção de dados, a Ripple Treasury permanecerá totalmente responsável perante o Cliente pelo cumprimento de tais obrigações.

3. Disposições Específicas dos Estados Unidos.3. Disposições Específicas dos Estados Unidos.

(a) Califórnia. As seguintes disposições aplicam-se às transferências do Cliente para a Ripple Treasury de Dados Pessoais Abrangidos que estão sujeitos à Lei de Privacidade do Consumidor da Califórnia de 2018 (Cal. Civ. Code § Seção 1798.100 et. seq.) (“CCPA”) e à Lei de Direitos de Privacidade da Califórnia de 2020 (Cal. Civ. Code § 1798.100 et. seq.) (“CPRA”), cada uma conforme alterada (“Dados Pessoais Abrangidos da Califórnia”), na medida em que o Cliente seja uma “empresa” e a Ripple Treasury atue como um “provedor de serviços” em relação aos Dados Pessoais Abrangidos da Califórnia.(a) Califórnia. As seguintes disposições aplicam-se às transferências do Cliente para a Ripple Treasury de Dados Pessoais Abrangidos que estão sujeitos à California Consumer Privacy Act de 2018 (Cal. Civ. Code § Secção 1798.100 et. seq.) (“CCPA”) e à California Privacy Rights Act de 2020 (Cal. Civ. Code § 1798.100 et. seq.) (“CPRA”), cada uma conforme alterada (“Dados Pessoais Abrangidos da Califórnia”), na medida em que o Cliente seja uma “empresa” e a Ripple Treasury atue como um “prestador de serviços” em relação aos Dados Pessoais Abrangidos da Califórnia.

(i) A Ripple Treasury Processa Dados Pessoais Abrangidos da Califórnia como um provedor de serviços.(i) A Ripple Treasury Processa Dados Pessoais Abrangidos da Califórnia como um provedor de serviços.

(ii) O Cliente está divulgando Dados Pessoais Abrangidos da Califórnia à Ripple Treasury em conexão com o Acordo apenas para os propósitos limitados e especificados de receber os serviços sob o Acordo.(ii) O Cliente está divulgando Dados Pessoais Abrangidos da Califórnia à Ripple Treasury em conexão com o Contrato apenas para os propósitos limitados e especificados de receber os serviços nos termos do Contrato.

(iii) A Ripple Treasury reterá, usará, divulgará ou de outra forma Processará Dados Pessoais Abrangidos da Califórnia exclusivamente para o propósito específico de fornecer os serviços sob o Acordo ou conforme exigido por lei.(iii) A Ripple Treasury reterá, usará, divulgará ou, de outra forma, Processará Dados Pessoais Abrangidos da Califórnia exclusivamente para o propósito específico de fornecer os serviços nos termos do Contrato ou conforme exigido por lei.

(iv) A Ripple Treasury não irá:(iv) A Ripple Treasury não irá:

(A) Reter, usar, divulgar ou de outra forma Processar Dados Pessoais Abrangidos da Califórnia, exceto conforme necessário para fornecer serviços sob o Acordo ou conforme exigido por lei;(A) Reter, usar, divulgar ou, de outra forma, Processar Dados Pessoais Abrangidos da Califórnia exceto conforme necessário para fornecer serviços nos termos do Contrato ou conforme exigido por lei;

(B) Vender Dados Pessoais Abrangidos da Califórnia; ou(B) Vender Dados Pessoais Abrangidos da Califórnia; ou

(C) Compartilhar Dados Pessoais Abrangidos da Califórnia de forma diferente do exigido para cumprir o Acordo.(C) Compartilhar Dados Pessoais Abrangidos da Califórnia exceto conforme exigido para cumprir o Contrato.

(v) A Ripple Treasury cooperará com quaisquer auditorias, inspeções ou outras medidas razoáveis e apropriadas que o Cliente seja obrigado pela lei da Califórnia a realizar para confirmar que a Ripple Treasury Processa Dados Pessoais Abrangidos da Califórnia de forma consistente com as obrigações da Ripple Treasury sob este DPA.(v) A Ripple Treasury cooperará com quaisquer auditorias, inspeções ou outras medidas razoáveis e apropriadas que o Cliente é obrigado pela lei da Califórnia a realizar para confirmar que a Ripple Treasury Processa Dados Pessoais Abrangidos da Califórnia de forma consistente com as obrigações da Ripple Treasury nos termos deste DPA.

(vi) A Ripple Treasury notificará prontamente o Cliente se a Ripple Treasury não puder mais cumprir as obrigações da Ripple Treasury sob este DPA.(vi) A Ripple Treasury notificará prontamente o Cliente se a Ripple Treasury não puder mais cumprir as obrigações da Ripple Treasury nos termos deste DPA.

(vii) A Ripple Treasury cooperará com o Cliente na resposta e implementação de solicitações verificáveis de consumidores para exercer os direitos concedidos aos consumidores pela lei da Califórnia, inclusive auxiliando com medidas técnicas e organizacionais apropriadas. A Ripple Treasury entregará ao Cliente, no prazo de cinco dias úteis, quaisquer solicitações de consumidores para exercer um direito sob a lei da Califórnia, seja recebida de um consumidor ou de um agente autorizado, se os Dados Pessoais do solicitante forem encontrados nos Dados Pessoais Abrangidos da Califórnia.(vii) A Ripple Treasury cooperará com o Cliente na resposta e implementação de solicitações verificáveis de consumidores para exercer os direitos concedidos aos consumidores pela lei da Califórnia, inclusive auxiliando com medidas técnicas e organizacionais apropriadas. A Ripple Treasury entregará ao Cliente, dentro de cinco dias úteis, quaisquer solicitações de consumidores para exercer um direito nos termos da lei da Califórnia, seja recebida de um consumidor ou de um agente autorizado, se os Dados Pessoais do solicitante forem encontrados nos Dados Pessoais Abrangidos da Califórnia.

(viii) Mediante solicitação por escrito do Cliente ou rescisão do Acordo, a Ripple Treasury excluirá prontamente todos os Dados Pessoais Abrangidos da Califórnia.(viii) Mediante solicitação por escrito do Cliente ou rescisão do Contrato, a Ripple Treasury excluirá prontamente todos os Dados Pessoais Abrangidos da Califórnia.

(ix) A Ripple Treasury não Processará Dados Pessoais Abrangidos da Califórnia para criar dados desidentificados sem primeiro obter autorização do Cliente. Caso a Ripple Treasury seja devidamente autorizada, a Ripple Treasury irá:(ix) A Ripple Treasury não Processará Dados Pessoais Abrangidos da Califórnia para criar dados desidentificados sem primeiro obter autorização do Cliente. Caso a Ripple Treasury seja devidamente autorizada, a Ripple Treasury irá:

(A) Adotar medidas razoáveis para impedir que dados desidentificados sejam usados para inferir informações sobre, ou de outra forma serem vinculados a, uma pessoa singular ou agregado familiar específico;(A) Adotar medidas razoáveis para evitar que dados desidentificados sejam usados para inferir informações sobre, ou de outra forma serem vinculados a, uma pessoa natural ou domicílio específico;

(B) Manter e usar dados desidentificados em formato desidentificado e não tentar reidentificar os dados desidentificados, exceto que a Ripple Treasury pode tentar reidentificar as informações exclusivamente para o propósito de determinar se seus processos de desidentificação satisfazem os requisitos da lei da Califórnia; e(B) Manter e usar dados desidentificados em formato desidentificado e não tentar reidentificar os dados desidentificados, exceto que a Ripple Treasury pode tentar reidentificar as informações unicamente para o propósito de determinar se seus processos de desidentificação satisfazem os requisitos da lei da Califórnia; e

(C) Exigir contratualmente que quaisquer destinatários dos dados desidentificados, incluindo subprocessadores, contratados e outros terceiros, cumpram as obrigações consistentes com as obrigações da Ripple Treasury sob este DPA.(C) Exigir contratualmente que quaisquer destinatários dos dados desidentificados, incluindo subprocessadores, contratados e outros terceiros, cumpram obrigações consistentes com as obrigações da Ripple Treasury nos termos deste DPA.

(D) Permanecer totalmente responsável por qualquer falha da Ripple Treasury ou de seus funcionários, agentes ou contratados em cumprir as obrigações da Ripple Treasury em relação aos dados desidentificados.(D) Permanecerá totalmente responsável por qualquer falha da Ripple Treasury ou de seus funcionários, agentes ou contratados em cumprir as obrigações da Ripple Treasury com relação aos dados desidentificados.

(b) Colorado. A partir de 1º de julho de 2023, as seguintes disposições aplicam-se às transferências do Cliente para a Ripple Treasury de Dados Pessoais Abrangidos e ao Processamento de Dados Pessoais Abrangidos pela Ripple Treasury que estão sujeitos à Lei de Privacidade do Colorado (Col. Rev. Stat. § 6-1-1301 et seq.), conforme alterada (“Dados Pessoais Abrangidos do Colorado”), na medida em que o Cliente atua como controlador de Dados Pessoais Abrangidos do Colorado e a Ripple Treasury atua como Processador dos Dados Pessoais Abrangidos do Colorado:(b) Colorado. A partir de 1º de julho de 2023, as seguintes disposições aplicam-se às transferências do Cliente para a Ripple Treasury de Dados Pessoais Abrangidos e ao Processamento de Dados Pessoais Abrangidos pela Ripple Treasury que estão sujeitos à Lei de Privacidade do Colorado, (Col. Rev. Stat. § 6-1-1301 et seq.), conforme alterada (“Dados Pessoais Abrangidos do Colorado”) na medida em que o Cliente atua como controlador dos Dados Pessoais Abrangidos do Colorado e a Ripple Treasury atua como Processador dos Dados Pessoais Abrangidos do Colorado:

(i) A Ripple Treasury Processa Dados Pessoais Abrangidos do Colorado como processador ao fornecer os serviços sob o Contrato.(i) A Ripple Treasury Processa Dados Pessoais Abrangidos do Colorado como um processador ao fornecer os serviços nos termos do Contrato.

(ii) A Ripple Treasury irá:(ii) A Ripple Treasury irá:

(A) Reter, usar, divulgar ou, de outra forma, Processar Dados Pessoais Abrangidos do Colorado exclusivamente para o propósito específico de fornecer os serviços sob o Contrato ou conforme exigido por lei;(A) Reter, usar, divulgar ou, de outra forma, Processar Dados Pessoais Abrangidos do Colorado exclusivamente para o propósito específico de fornecer os serviços nos termos do Contrato ou conforme exigido por lei;

(iii) Garantir que cada agente da Ripple Treasury que Processa Dados Pessoais Abrangidos do Colorado esteja sujeito a um dever de confidencialidade em relação aos Dados Pessoais Abrangidos do Colorado; e(iii) Garantir que cada agente da Ripple Treasury que Processa Dados Pessoais Abrangidos do Colorado esteja sujeito a um dever de confidencialidade em relação aos Dados Pessoais Abrangidos do Colorado; e

(iv) Na medida em que o Cliente seja obrigado pela lei do Colorado a exigir o seguinte da Ripple Treasury:(iv) Na medida em que o Cliente seja obrigado pela lei do Colorado a exigir o seguinte da Ripple Treasury:

(A) A Ripple Treasury permitirá e cooperará com avaliações razoáveis do Cliente ou do avaliador designado pelo Cliente; ou(A) A Ripple Treasury permitirá e cooperará com avaliações razoáveis realizadas pelo Cliente ou pelo avaliador designado do Cliente; ou

(B) A Ripple Treasury pode providenciar para que um avaliador qualificado e independente realize uma avaliação das políticas e medidas técnicas e organizacionais da Ripple Treasury usando um padrão ou estrutura de controle e procedimento de avaliação apropriados e aceitos para tais avaliações, e a Ripple Treasury fornecerá um relatório de tal avaliação ao Cliente mediante solicitação.(B) A Ripple Treasury poderá providenciar que um avaliador qualificado e independente realize uma avaliação das políticas e medidas técnicas e organizacionais da Ripple Treasury, utilizando um padrão ou estrutura de controle e procedimento de avaliação apropriados e aceitos para tais avaliações, e a Ripple Treasury fornecerá um relatório de tal avaliação ao Cliente mediante solicitação.

(v) Conforme instrução do Cliente, a Ripple Treasury excluirá ou devolverá todos os Dados Pessoais Abrangidos do Colorado ao Cliente, conforme solicitado ao final da prestação dos serviços, a menos que a retenção dos Dados Pessoais Abrangidos do Colorado seja exigida por lei;(v) Conforme orientação do Cliente, a Ripple Treasury excluirá ou devolverá todos os Dados Pessoais Abrangidos do Colorado ao Cliente, conforme solicitado, ao final da prestação dos serviços, a menos que a retenção dos Dados Pessoais Abrangidos do Colorado seja exigida por lei;

(vi) Mediante solicitação razoável do Cliente, a Ripple Treasury disponibilizará ao Cliente todas as informações em sua posse razoavelmente necessárias para demonstrar a conformidade da Ripple Treasury com este DPA;(vi) Mediante solicitação razoável do Cliente, a Ripple Treasury disponibilizará ao Cliente todas as informações em sua posse razoavelmente necessárias para demonstrar a conformidade da Ripple Treasury com este DPA;

(vii) A Ripple Treasury cooperará com o Cliente por meio de medidas técnicas e organizacionais apropriadas, na medida em que isso seja razoavelmente praticável, no cumprimento da obrigação do Cliente de responder a solicitações de direitos do consumidor. A Ripple Treasury entregará ao Cliente, dentro de cinco dias úteis, qualquer solicitação de um Titular de Dados para exercer um direito sob a lei do Colorado, seja recebida de um Titular de Dados ou de um agente autorizado, se os Dados Pessoais Abrangidos do solicitante forem encontrados dentro dos Dados Pessoais Abrangidos do Colorado.(vii) A Ripple Treasury cooperará com o Cliente, por meio de medidas técnicas e organizacionais apropriadas, na medida em que isso seja razoavelmente praticável, no cumprimento da obrigação do Cliente de responder a solicitações de direitos do consumidor. A Ripple Treasury entregará ao Cliente, dentro de cinco dias úteis, qualquer solicitação de um Titular de Dados para exercer um direito sob a lei do Colorado, seja recebida de um Titular de Dados ou de um agente autorizado, se os Dados Pessoais Abrangidos do solicitante forem encontrados nos Dados Pessoais Abrangidos do Colorado.

(viii) A Ripple Treasury auxiliará o Cliente no cumprimento de suas obrigações relacionadas à segurança do processamento de Dados Pessoais Abrangidos do Colorado e à notificação de uma violação de segurança do sistema da Ripple Treasury, de acordo com a lei aplicável.(viii) A Ripple Treasury auxiliará o Cliente no cumprimento de suas obrigações em relação à segurança do processamento de Dados Pessoais Abrangidos do Colorado e em relação à notificação de uma violação de segurança do sistema da Ripple Treasury, de acordo com a lei aplicável.

(ix) A Ripple Treasury não Processará Dados Pessoais Abrangidos do Colorado para criar dados desidentificados sem primeiro obter autorização do Cliente. Caso a Ripple Treasury seja devidamente autorizada, a Ripple Treasury irá:(ix) A Ripple Treasury não Processará Dados Pessoais Abrangidos do Colorado para criar dados desidentificados sem primeiro obter autorização do Cliente. Caso a Ripple Treasury seja devidamente autorizada, a Ripple Treasury deverá:

(A) Adotar medidas razoáveis para evitar que dados desidentificados sejam usados para inferir informações sobre, ou de outra forma serem vinculados a, uma pessoa natural ou domicílio específico; e(A) Adotar medidas razoáveis para evitar que dados desidentificados sejam usados para inferir informações sobre, ou de outra forma serem vinculados a, uma pessoa natural ou domicílio específico; e

(B) Exigir contratualmente que quaisquer destinatários dos dados desidentificados, incluindo subprocessadores, contratados e outros terceiros, cumpram as obrigações consistentes com as obrigações da Ripple Treasury sob este DPA.(B) Exigir contratualmente que quaisquer destinatários dos dados desidentificados, incluindo subprocessadores, contratados e outros terceiros, cumpram obrigações consistentes com as obrigações da Ripple Treasury sob este DPA.

(c) Virgínia. As seguintes disposições aplicam-se a todas as transferências do Cliente para a Ripple Treasury de Dados Pessoais Abrangidos e ao Processamento de Dados Pessoais Abrangidos pela Ripple Treasury que estão sujeitos à Lei de Proteção de Dados do Consumidor da Virgínia (Va. Code § 59.1-571 et seq.), conforme alterada (“VCDPA”) (“Dados Pessoais Abrangidos da Virgínia”), na medida em que o Cliente atua como Controlador de Dados Pessoais Abrangidos da Virgínia e a Ripple Treasury atua como Processador dos Dados Pessoais Abrangidos da Virgínia.(c) Virgínia. As seguintes disposições aplicam-se a todas as transferências do Cliente para a Ripple Treasury de Dados Pessoais Abrangidos e ao Processamento de Dados Pessoais Abrangidos pela Ripple Treasury que estão sujeitos à Lei de Proteção de Dados do Consumidor da Virgínia (Va. Code § 59.1-571 et seq.), conforme alterada (“VCDPA”) (“Dados Pessoais Abrangidos da Virgínia”), na medida em que o Cliente atue como Controlador de Dados Pessoais Abrangidos da Virgínia e a Ripple Treasury atue como Processador dos Dados Pessoais Abrangidos da Virgínia.

(i) A Ripple Treasury Processa Dados Pessoais Abrangidos da Virgínia como Processador ao fornecer os serviços sob o Contrato.(i) A Ripple Treasury Processa Dados Pessoais Abrangidos da Virgínia como um Processador ao fornecer os serviços sob o Contrato.

(ii) A Ripple Treasury reterá, usará, divulgará ou, de outra forma, Processará Dados Pessoais Abrangidos da Virgínia exclusivamente para o propósito específico de fornecer os serviços sob o Contrato ou conforme exigido por lei.(ii) A Ripple Treasury reterá, usará, divulgará ou, de outra forma, Processará Dados Pessoais Abrangidos da Virgínia exclusivamente para o propósito específico de fornecer os serviços sob o Contrato ou conforme exigido por lei.

(iii) A Ripple Treasury Garantirá que cada agente da Ripple Treasury que processa Dados Pessoais Abrangidos da Virgínia esteja sujeito a um dever de confidencialidade em relação aos dados.(iii) A Ripple Treasury garantirá que cada agente da Ripple Treasury que processa Dados Pessoais Abrangidos da Virgínia esteja sujeito a um dever de confidencialidade em relação aos dados.

(iv) Na medida em que o Cliente seja exigido pela lei da Virgínia a exigir o seguinte da Ripple Treasury:(iv) Na medida em que o Cliente seja obrigado pela lei da Virgínia a exigir o seguinte da Ripple Treasury:

(A) A Ripple Treasury permitirá e cooperará com avaliações razoáveis pelo Cliente ou pelo avaliador designado do Cliente; ou(A) A Ripple Treasury permitirá e cooperará com avaliações razoáveis realizadas pelo Cliente ou pelo avaliador designado do Cliente; ou

(B) A Ripple Treasury pode providenciar que um avaliador qualificado e independente realize uma avaliação das políticas e medidas técnicas e organizacionais da Ripple Treasury utilizando um padrão ou estrutura de controle e procedimento de avaliação apropriado e aceito para tais avaliações, e a Ripple Treasury fornecerá um relatório de tal avaliação ao Cliente mediante solicitação.(B) A Ripple Treasury poderá providenciar que um avaliador qualificado e independente realize uma avaliação das políticas e medidas técnicas e organizacionais da Ripple Treasury, utilizando um padrão ou estrutura de controle e procedimento de avaliação apropriados e aceitos para tais avaliações, e a Ripple Treasury fornecerá um relatório de tal avaliação ao Cliente mediante solicitação.

(v) Sob a direção do Cliente, a Ripple Treasury excluirá ou devolverá todos os Dados Pessoais Abrangidos da Virgínia ao Cliente, conforme solicitado ao final da prestação dos serviços, a menos que a retenção dos Dados Pessoais Abrangidos da Virgínia seja exigida por lei.(v) Conforme orientação do Cliente, a Ripple Treasury excluirá ou devolverá todos os Dados Pessoais Abrangidos da Virgínia ao Cliente, conforme solicitado, ao final da prestação dos serviços, a menos que a retenção dos Dados Pessoais Abrangidos da Virgínia seja exigida por lei.

(vi) Mediante solicitação razoável do Cliente, a Ripple Treasury disponibilizará ao Cliente todas as informações em sua posse necessárias para demonstrar a conformidade da Ripple Treasury com as obrigações da Ripple Treasury sob este DPA.(vi) Mediante solicitação razoável do Cliente, a Ripple Treasury disponibilizará ao Cliente todas as informações em sua posse necessárias para demonstrar a conformidade da Ripple Treasury com as obrigações da Ripple Treasury sob este DPA.

(vii) A Ripple Treasury cooperará com o Cliente, por meio de medidas técnicas e organizacionais apropriadas, na medida em que isso seja razoavelmente praticável, no cumprimento da obrigação do Cliente de responder a solicitações de direitos do Titular dos Dados. A Ripple Treasury entregará ao Cliente, dentro de cinco dias úteis, quaisquer solicitações para exercer um direito sob a Lei de Proteção de Dados da Virgínia, seja recebida de um Titular dos Dados ou de um agente autorizado, se os Dados Pessoais do solicitante forem encontrados nos Dados Pessoais Abrangidos da Virgínia.(vii) A Ripple Treasury cooperará com o Cliente, por meio de medidas técnicas e organizacionais apropriadas, na medida em que isso seja razoavelmente praticável, no cumprimento da obrigação do Cliente de responder a solicitações de direitos dos Titulares de Dados. A Ripple Treasury entregará ao Cliente, dentro de cinco dias úteis, quaisquer solicitações para exercer um direito sob a Lei de Proteção de Dados da Virgínia, seja recebida de um Titular de Dados ou de um agente autorizado, se os Dados Pessoais do solicitante forem encontrados dentro dos Dados Pessoais Abrangidos da Virgínia.

(viii) A Ripple Treasury auxiliará o Cliente no cumprimento de suas obrigações em relação à segurança do Processamento dos Dados Pessoais Abrangidos da Virgínia e em relação à notificação de uma violação de segurança do sistema da Ripple Treasury, na medida exigida pela lei da Virgínia.(viii) A Ripple Treasury auxiliará o Cliente no cumprimento de suas obrigações em relação à segurança do Processamento dos Dados Pessoais Abrangidos da Virgínia e em relação à notificação de uma violação de segurança do sistema da Ripple Treasury na medida exigida pela lei da Virgínia.

(ix) A Ripple Treasury não Processará Dados Pessoais Abrangidos da Virgínia para criar dados desidentificados sem primeiro obter autorização do Cliente. Caso a Ripple Treasury seja devidamente autorizada, a Ripple Treasury irá:(ix) A Ripple Treasury não Processará Dados Pessoais Abrangidos da Virgínia para criar dados desidentificados sem primeiro obter autorização do Cliente. No caso de a Ripple Treasury ser devidamente autorizada, a Ripple Treasury irá:

(A) Adotar medidas razoáveis para evitar que dados desidentificados sejam usados para inferir informações sobre, ou de outra forma serem vinculados a, uma pessoa natural ou domicílio específico;(A) Adotar medidas razoáveis para evitar que dados desidentificados sejam usados para inferir informações sobre, ou de outra forma serem vinculados a, uma pessoa natural ou domicílio específico;

(B) Manter e usar dados desidentificados em formato desidentificado e não tentar reidentificar os dados desidentificados, exceto que a Ripple Treasury pode tentar reidentificar as informações unicamente para o propósito de determinar se seus processos de desidentificação satisfazem os requisitos da lei da Virgínia; e(B) Manter e usar dados desidentificados em formato desidentificado e não tentar reidentificar os dados desidentificados, exceto que a Ripple Treasury pode tentar reidentificar as informações unicamente para o propósito de determinar se seus processos de desidentificação satisfazem os requisitos da lei da Virgínia; e

(C) Exigir contratualmente que quaisquer destinatários dos dados desidentificados, incluindo subprocessadores, contratados e outros terceiros, cumpram obrigações consistentes com as obrigações da Ripple Treasury sob este DPA.(C) Exigir contratualmente que quaisquer destinatários dos dados desidentificados, incluindo subprocessadores, contratados e outros terceiros, cumpram obrigações consistentes com as obrigações da Ripple Treasury sob este DPA.

4. Disposições Específicas do Canadá.4. Disposições Específicas do Canadá.

As seguintes disposições aplicam-se a todas as transferências do Cliente para a Ripple Treasury de Dados Pessoais Abrangidos, cujo Processamento está sujeito à Lei de Proteção de Informações Pessoais e Documentos Eletrônicos, conforme alterada (“PIPEDA”) e a qualquer legislação federal ou provincial canadense similar que rege a proteção de Dados Pessoais (“Dados Pessoais Canadenses Abrangidos”).As seguintes disposições aplicam-se a todas as transferências do Cliente para a Ripple Treasury de Dados Pessoais Abrangidos, cujo Processamento está sujeito à Lei de Proteção de Informações Pessoais e Documentos Eletrônicos, conforme alterada (“PIPEDA”) e a qualquer legislação federal ou provincial canadense similar que rege a proteção de Dados Pessoais (“Dados Pessoais Canadenses Abrangidos”).

(a) O Cliente atuará como controlador dos Dados Pessoais Canadenses Abrangidos e a Ripple Treasury atuará como Processador dos Dados Pessoais Canadenses Abrangidos.(a) O Cliente atuará como controlador dos Dados Pessoais Canadenses Abrangidos e a Ripple Treasury atuará como Processador dos Dados Pessoais Canadenses Abrangidos.

(b) O Cliente fornecerá aviso adequado e obterá os consentimentos apropriados, conforme exigido, conforme aplicável, pela PIPEDA e outras leis canadenses aplicáveis.(b) O Cliente fornecerá aviso adequado e obterá os consentimentos apropriados conforme exigido, conforme aplicável, pela PIPEDA e outras leis canadenses aplicáveis.

(c) A Ripple Treasury deverá implementar medidas de segurança para proteger os Dados Pessoais do Canadá, conforme exigido pelo Acordo.(c) A Ripple Treasury deverá implementar medidas de segurança para proteger os Dados Pessoais do Canadá conforme exigido pelo Contrato.

(d) Tanto o Cliente quanto a Ripple Treasury deverão cumprir todas as solicitações válidas feitas por autoridades legais competentes.(d) Tanto o Cliente quanto a Ripple Treasury deverão cumprir todas as solicitações válidas feitas por autoridades legais competentes.

(e) Mediante solicitação do Cliente, a Ripple Treasury deverá fornecer ao Cliente a oportunidade de recuperar os Dados Pessoais do Canadá.(e) Mediante solicitação do Cliente, a Ripple Treasury deverá fornecer ao Cliente a oportunidade de recuperar os Dados Pessoais do Canadá.

5. Direitos sobre Dados Pessoais;5. Direitos sobre Dados Pessoais;

Direito de Processar. O Cliente declara e garante à Ripple Treasury e às Afiliadas e subcontratados da Ripple Treasury que o Cliente possui todos os direitos (seja por consentimento dos Titulares dos Dados Pessoais, por ter um interesse legítimo conforme previsto no Artigo 6 do GDPR, uma ou mais derrogações nos termos do Artigo 49 do GDPR, ou de outra forma nos termos da Lei de Proteção de Dados aplicável) em relação aos Dados Pessoais Abrangidos necessários para transferi-los para a Ripple Treasury, fazer com que ou instruir a Ripple Treasury a possuir e Processar tais Dados Pessoais conforme exigido por este DPA e/ou pelo Contrato, e permitir que a Ripple Treasury possua e processe, e subcontrate o processamento de, tais Dados Pessoais conforme exigido por este DPA e/ou pelo Contrato. O Cliente indenizará, defenderá e isentará a Ripple Treasury e suas Afiliadas e subcontratados de e contra qualquer reclamação por ou em benefício de qualquer Titular de Dados, ou autoridade governamental, alegando fatos que, se verdadeiros, constituiriam uma violação das declarações e garantias nesta Seção 5.Direito de Processar. O Cliente declara e garante à Ripple Treasury e às Afiliadas e subprocessadores da Ripple Treasury que o Cliente possui todos os direitos (seja por consentimento dos Titulares dos Dados Pessoais, por ter um interesse legítimo conforme previsto no Artigo 6 do GDPR, uma ou mais derrogações nos termos do Artigo 49 do GDPR, ou de outra forma nos termos da Lei de Proteção de Dados aplicável) em relação aos Dados Pessoais Abrangidos necessários para transferir os mesmos para a Ripple Treasury, fazer com que ou instruir a Ripple Treasury a possuir e Processar tais Dados Pessoais conforme exigido por este DPA e/ou pelo Contrato, e permitir que a Ripple Treasury possua e processe, e tenha subprocessado, tais Dados Pessoais conforme exigido por este DPA e/ou pelo Contrato. O Cliente indenizará, defenderá e isentará a Ripple Treasury e suas Afiliadas e subprocessadores de e contra qualquer reclamação por ou em benefício de qualquer Titular de Dados, ou autoridade governamental, alegando fatos que, se verdadeiros, constituiriam uma violação das declarações e garantias nesta Seção 5.

6. Disposições Específicas do EEE.6. Disposições Específicas do EEE.

O Cliente, como exportador de dados, e a Ripple Treasury, como importador de dados, concordam com as Cláusulas Contratuais Padrão anexadas como Anexo 1 como se o Cliente e a Ripple Treasury as tivessem executado e entregue. Tais Cláusulas Contratuais Padrão aplicam-se exclusivamente aos Dados Pessoais Abrangidos de Titulares de Dados que se encontram no EEE.O Cliente, como exportador de dados, e a Ripple Treasury, como importador de dados, concordam com as Cláusulas Contratuais Padrão anexadas como Anexo 1 como se o Cliente e a Ripple Treasury as tivessem executado e entregue. Tais Cláusulas Contratuais Padrão aplicam-se exclusivamente aos Dados Pessoais Abrangidos de Titulares de Dados que se encontram no EEE.

(a) No caso de transferências de Dados Pessoais Abrangidos pelo Cliente para a Ripple Treasury, apenas o Módulo Dois (abrangendo transferências de Controlador para Processador) será aplicável.(a) No caso de transferências de Dados Pessoais Abrangidos pelo Cliente para a Ripple Treasury, apenas o Módulo Dois (que abrange transferências de Controlador para Processador) será aplicável.

(b) No caso de transferências de Dados Pessoais Abrangidos pela Ripple Treasury para o Cliente, apenas o Módulo Quatro (abrangendo transferências de Processador para Controlador) será aplicável.(b) No caso de transferências de Dados Pessoais Abrangidos pela Ripple Treasury para o Cliente, apenas o Módulo Quatro (que abrange transferências de Processador para Controlador) será aplicável.

(c) Os Módulos Um e Três não serão aplicáveis e nenhuma das Partes fará qualquer transferência para a outra que seja abrangida por qualquer um desses módulos.(c) Os Módulos Um e Três não se aplicarão e nenhuma das Partes fará qualquer transferência à outra que seja abrangida por qualquer um desses módulos.

(d) Para os fins da Cláusula 17, a lei dos Países Baixos regerá as Cláusulas Contratuais Padrão.(d) Para os fins da Cláusula 17, a lei dos Países Baixos regerá as Cláusulas Contratuais Padrão.

(e) Para os fins da Cláusula 18, qualquer disputa decorrente das Cláusulas Contratuais Padrão será resolvida pelos tribunais dos Países Baixos.(e) Para os fins da Cláusula 18, qualquer litígio decorrente das Cláusulas Contratuais Padrão será resolvido pelos tribunais dos Países Baixos.

7. Disposições Específicas do Reino Unido.7. Disposições Específicas do Reino Unido.

As seguintes disposições aplicam-se no que diz respeito aos Dados Pessoais Abrangidos que são abrangidos pela Lei de Proteção de Dados do Reino Unido de 2018, conforme alterada (a “Lei do Reino Unido”) (tais Dados Pessoais sendo “Dados Pessoais Abrangidos do Reino Unido”).As seguintes disposições aplicam-se no que diz respeito aos Dados Pessoais Abrangidos que são abrangidos pela Lei de Proteção de Dados do Reino Unido de 2018, conforme alterada (a "Lei do Reino Unido") (tais Dados Pessoais sendo "Dados Pessoais Abrangidos do Reino Unido").

(a) O Cliente atua como controlador e exportador dos Dados Pessoais Abrangidos do Reino Unido e a Ripple Treasury atua como processador e importador dos Dados Pessoais do Reino Unido.(a) O Cliente atua como controlador e exportador dos Dados Pessoais Abrangidos do Reino Unido e a Ripple Treasury atua como processador e importador dos Dados Pessoais do Reino Unido.

(b) “Adendo do Reino Unido” significa o Adendo Aprovado B.1.0 emitido pelo Gabinete do Comissário de Informação do Reino Unido (“ICO”) e apresentado ao Parlamento em conformidade com a s119A da Lei do Reino Unido, conforme revisado nos termos da Seção 18 dessas Cláusulas Obrigatórias. Na data da última revisão do formulário deste DPA, a versão atual do Adendo do Reino Unido está disponível em https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.(b) "Adendo do Reino Unido" significa o Adendo Aprovado B.1.0 emitido pelo Gabinete do Comissário de Informação do Reino Unido ("ICO") e apresentado ao Parlamento em conformidade com a s119A da Lei do Reino Unido, conforme revisto nos termos da Secção 18 dessas Cláusulas Obrigatórias. A partir da data da última revisão do formulário deste DPA, a versão atual do Adendo do Reino Unido está disponível em https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.

(c) As Partes cumprirão os termos da Parte 2: Cláusulas Obrigatórias do Adendo do Reino Unido, conforme revisado nos termos da Seção 18 dessas Cláusulas Obrigatórias;(c) As Partes cumprirão os termos da Parte 2: Cláusulas Obrigatórias do Adendo do Reino Unido, conforme revisto nos termos da Secção 18 dessas Cláusulas Obrigatórias;

(d) Ao assinar este DPA, as Partes são consideradas como tendo assinado o Adendo do Reino Unido;(d) Ao assinar este DPA, as Partes são consideradas como tendo assinado o Adendo do Reino Unido;

(e) No que diz respeito à Parte 1, Tabela 2 do Adendo do Reino Unido:(e) No que diz respeito à Parte 1, Tabela 2 do Adendo do Reino Unido:

(i) A Cláusula 7 (a Cláusula de Adesão) está excluída;(i) A Cláusula 7 (a Cláusula de Adesão) está excluída;

(ii) A autorização prévia nos termos da Cláusula 9(a) (Autorização Prévia ou Autorização Geral) não será aplicável;(ii) A autorização prévia nos termos da Cláusula 9(a) (Autorização Prévia ou Autorização Geral) não será aplicável;

(iii) A opção prevista na Cláusula 11 (Reparação) não será aplicável;(iii) A opção prevista na Cláusula 11 (Reparação) não será aplicável;

(iv) As informações exigidas pela Parte 1, Tabelas 1 e 2 do Adendo do Reino Unido estão estabelecidas no Anexo I a este DPA (conforme aplicável);(iv) As informações exigidas pela Parte 1, Tabelas 1 e 2 do Adendo do Reino Unido estão estabelecidas no Anexo I a este DPA (conforme aplicável);

(f) No que diz respeito à Tabela 4 Parte 1 do Adendo do Reino Unido, qualquer Parte pode rescindir o Adendo do Reino Unido conforme estabelecido na Seção 19 do Adendo do Reino Unido (mas, para evitar dúvidas, se o Cliente rescindir o Adendo do Reino Unido conforme permitido por esta Seção 7(f), tal rescisão não terá efeito sobre as obrigações do Cliente sob o Contrato, exceto este DPA; e(f) No que diz respeito à Tabela 4 Parte 1 do Adendo do Reino Unido, qualquer Parte pode rescindir o Adendo do Reino Unido conforme estabelecido na Secção 19 do Adendo do Reino Unido (mas, para evitar dúvidas, se o Cliente rescindir o Adendo do Reino Unido conforme permitido por esta Secção 7(f), tal rescisão não terá qualquer efeito nas obrigações do Cliente nos termos do Acordo que não este DPA; e

(g) Quaisquer referências às “Cláusulas” nas Cláusulas Contratuais-Tipo deverão incluir as alterações estabelecidas nesta Secção(g) Quaisquer referências às "Cláusulas" nas Cláusulas Contratuais Padrão incluirão as alterações estabelecidas nesta Secção

8. Transferências para Terceiros Iniciadas pelo Cliente Utilizando os Serviços da Ripple Treasury.8. Transferências para Terceiros Iniciadas pelo Cliente Utilizando os Serviços da Ripple Treasury.

Para evitar dúvidas, quando a funcionalidade ordinária dos bens, serviços e/ou software da Ripple Treasury permite ao Cliente iniciar transações ou, de outra forma, utilizar os bens, serviços e/ou software para enviar e/ou receber informações que incluam Dados Pessoais, qualquer transferência resultante de tal atividade iniciada pelo Cliente é uma transferência feita pelo Cliente e não pela Ripple Treasury.Para evitar dúvidas, quando a funcionalidade ordinária dos bens, serviços e/ou software da Ripple Treasury permite ao Cliente iniciar transações ou, de outra forma, utilizar os bens, serviços e/ou software para enviar e/ou receber informações que incluam Dados Pessoais, qualquer transferência resultante de tal atividade iniciada pelo Cliente é uma transferência feita pelo Cliente e não pela Ripple Treasury.

9. Titulares de Dados como Beneficiários.9. Titulares de Dados como Beneficiários.

Quando, mas apenas na medida em que, a Lei de Proteção de Dados exija que o Cliente faça com que a Ripple Treasury torne um ou mais Titulares de Dados Pessoais Abrangidos um beneficiário terceiro de uma ou mais obrigações neste DPA, cada um desses Titulares de Dados Pessoais Abrangidos é um beneficiário terceiro expresso das obrigações da Ripple Treasury ao abrigo deste DPA.Quando, mas apenas na medida em que, a Lei de Proteção de Dados exija que o Cliente faça com que a Ripple Treasury torne um ou mais Titulares de Dados Pessoais Abrangidos um beneficiário terceiro de uma ou mais obrigações neste DPA, cada um desses Titulares de Dados Pessoais Abrangidos é um beneficiário terceiro expresso das obrigações da Ripple Treasury nos termos deste DPA.

10. Serviços Não Cobertos pelo Acordo, exceto este DPA.10. Serviços Não Abrangidos pelo Acordo que não este DPA.

Quando uma obrigação da Ripple Treasury ao abrigo deste DPA ou das Cláusulas Contratuais-Tipo não estiver coberta pelo Acordo, exceto este DPA, o Cliente pagará à Ripple Treasury pelos serviços associados a tal obrigação às taxas então vigentes da Ripple Treasury (mas, em qualquer caso, comercialmente razoáveis). Por exemplo, se o Cliente exigir serviços administrativos ou similares para atender a exigências de Titulares de Dados ou a uma avaliação de impacto na proteção de dados e tais serviços não estiverem cobertos pelo Acordo, exceto este DPA, o Cliente pagará à Ripple Treasury por tais serviços.Se uma obrigação da Ripple Treasury ao abrigo deste DPA ou das Cláusulas Contratuais-Tipo não estiver coberta pelo Acordo que não seja este DPA, o Cliente pagará à Ripple Treasury pelos serviços associados a essa obrigação às taxas então em vigor da Ripple Treasury (mas, em qualquer caso, comercialmente razoáveis). Por exemplo, se o Cliente exigir serviços administrativos ou semelhantes para satisfazer as exigências de um Titular de Dados ou uma avaliação de impacto na proteção de dados e tais serviços não estiverem cobertos pelo Acordo que não seja este DPA, o Cliente pagará à Ripple Treasury por esses serviços.

Anexo 1Anexo 1

CLÁUSULAS CONTRATUAIS-TIPOCLÁUSULAS CONTRATUAIS-TIPO

SECÇÃO ISECÇÃO I

Cláusula 1 – Objeto e âmbito de aplicaçãoCláusula 1 – Objetivo e âmbito

(a) O objetivo destas cláusulas contratuais-tipo é assegurar a conformidade com os requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados), para a transferência de dados pessoais para um país terceiro.(a) O objetivo das presentes cláusulas contratuais-tipo é assegurar o cumprimento dos requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados), para a transferência de dados pessoais para um país terceiro.

(b) As Partes:(b) As Partes:

(i) a(s) pessoa(s) singular(es) ou coletiva(s), autoridade(s) pública(s), agência(s) ou outro(s) organismo(s) (doravante ‘entidade(s)’) que transfere(m) os dados pessoais, conforme listado no Anexo I.A (doravante, cada um, ‘exportador de dados’), e(i) a(s) pessoa(s) singular(es) ou coletiva(s), autoridade(s) pública(s), agência(s) ou outro(s) organismo(s) (doravante «entidade(s)») que transfere(m) os dados pessoais, conforme listado no Anexo I.A (doravante, cada uma, «exportador de dados»), e

(ii) a(s) entidade(s) num país terceiro que recebe(m) os dados pessoais do exportador de dados, direta ou indiretamente através de outra entidade também Parte nestas Cláusulas, conforme listado no Anexo I.A (doravante, cada um, ‘importador de dados’)(ii) a(s) entidade(s) num país terceiro que recebe(m) os dados pessoais do exportador de dados, direta ou indiretamente através de outra entidade também Parte nestas Cláusulas, conforme listado no Anexo I.A (doravante, cada uma, «importador de dados»)

concordaram com estas cláusulas contratuais-tipo (doravante: ‘Cláusulas’).acordaram nas presentes cláusulas contratuais-tipo (doravante: «Cláusulas»).

(c) Estas Cláusulas aplicam-se à transferência de dados pessoais conforme especificado no Anexo I.B.(c) Estas Cláusulas aplicam-se no que diz respeito à transferência de dados pessoais, conforme especificado no Anexo I.B.

(d) O Apêndice a estas Cláusulas, que contém os Anexos nelas referidos, faz parte integrante destas Cláusulas.(d) O Apêndice a estas Cláusulas, que contém os Anexos nelas referidos, faz parte integrante destas Cláusulas.

Cláusula 2 – Efeito e invariabilidade das CláusulasCláusula 2 – Efeito e invariabilidade das Cláusulas

(a) Estas Cláusulas estabelecem salvaguardas adequadas, incluindo direitos dos titulares dos dados aplicáveis e vias de recurso legais eficazes, nos termos do Artigo 46.º, n.º 1, e do Artigo 46.º, n.º 2, alínea c), do Regulamento (UE) 2016/679 e, no que diz respeito às transferências de dados de responsáveis pelo tratamento para subcontratantes e/ou de subcontratantes para subcontratantes, cláusulas contratuais-tipo nos termos do Artigo 28.º, n.º 7, do Regulamento (UE) 2016/679, desde que não sejam modificadas, exceto para selecionar o(s) Módulo(s) apropriado(s) ou para adicionar ou atualizar informações no Apêndice. Isto não impede as Partes de incluírem as cláusulas contratuais-tipo estabelecidas nestas Cláusulas num contrato mais abrangente e/ou de adicionarem outras cláusulas ou salvaguardas adicionais, desde que não contradigam, direta ou indiretamente, estas Cláusulas ou prejudiquem os direitos e liberdades fundamentais dos titulares dos dados.(a) Estas Cláusulas estabelecem salvaguardas adequadas, incluindo direitos dos titulares dos dados aplicáveis e vias de recurso legais eficazes, nos termos do Artigo 46.º, n.º 1, e do Artigo 46.º, n.º 2, alínea c), do Regulamento (UE) 2016/679 e, no que diz respeito às transferências de dados de responsáveis pelo tratamento para subcontratantes e/ou de subcontratantes para subcontratantes, cláusulas contratuais-tipo nos termos do Artigo 28.º, n.º 7, do Regulamento (UE) 2016/679, desde que não sejam modificadas, exceto para selecionar o(s) Módulo(s) apropriado(s) ou para adicionar ou atualizar informações no Apêndice. Isto não impede as Partes de incluírem as cláusulas contratuais-tipo estabelecidas nestas Cláusulas num contrato mais abrangente e/ou de adicionarem outras cláusulas ou salvaguardas adicionais, desde que não contradigam, direta ou indiretamente, estas Cláusulas ou prejudiquem os direitos e liberdades fundamentais dos titulares dos dados.

(b) Estas Cláusulas não prejudicam as obrigações a que o exportador de dados está sujeito por força do Regulamento (UE) 2016/679.(b) Estas Cláusulas não prejudicam as obrigações a que o exportador de dados está sujeito por força do Regulamento (UE) 2016/679.

Cláusula 3 – Beneficiários terceirosCláusula 3 – Beneficiários terceiros

(a) Os titulares dos dados podem invocar e fazer cumprir estas Cláusulas, como beneficiários terceiros, contra o exportador de dados e/ou o importador de dados, com as seguintes exceções:(a) Os titulares dos dados podem invocar e fazer cumprir estas Cláusulas, como beneficiários terceiros, contra o exportador de dados e/ou importador de dados, com as seguintes exceções:

(i) Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;(i) Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;

(ii) Cláusula 8 – Módulo Um: Cláusula 8.5 (e) e Cláusula 8.9(b); Módulo Dois: Cláusula 8.1(b), 8.9(a), (c), (d) e (e); Módulo Três: Cláusula 8.1(a), (c) e (d) e Cláusula 8.9(a), (c), (d), (e), (f) e (g); Módulo Quatro: Cláusula 8.1 (b) e Cláusula 8.3(b);(ii) Cláusula 8 – Módulo Um: Cláusula 8.5 (e) e Cláusula 8.9(b); Módulo Dois: Cláusula 8.1(b), 8.9(a), (c), (d) e (e); Módulo Três: Cláusula 8.1(a), (c) e (d) e Cláusula 8.9(a), (c), (d), (e), (f) e (g); Módulo Quatro: Cláusula 8.1 (b) e Cláusula 8.3(b);

(iii) Cláusula 9 – Módulo Dois: Cláusula 9(a), (c), (d) e (e); Módulo Três: Cláusula 9(a), (c), (d) e (e);(iii) Cláusula 9 – Módulo Dois: Cláusula 9(a), (c), (d) e (e); Módulo Três: Cláusula 9(a), (c), (d) e (e);

(iv) Cláusula 12 – Módulo Um: Cláusula 12(a) e (d); Módulos Dois e Três: Cláusula 12(a), (d) e (f);(iv) Cláusula 12 – Módulo Um: Cláusula 12(a) e (d); Módulos Dois e Três: Cláusula 12(a), (d) e (f);

(v) Cláusula 13;(v) Cláusula 13;

(vi) Cláusula 15.1(c), (d) e (e);(vi) Cláusula 15.1(c), (d) e (e);

(vii) Cláusula 16(e);(vii) Cláusula 16(e);

(viii) Cláusula 18 – Módulos Um, Dois e Três: Cláusula 18(a) e (b); Módulo Quatro: Cláusula 18.(viii) Cláusula 18 – Módulos Um, Dois e Três: Cláusula 18(a) e (b); Módulo Quatro: Cláusula 18.

(b) O parágrafo (a) não prejudica os direitos dos titulares dos dados ao abrigo do Regulamento (UE) 2016/679.(b) O parágrafo (a) não prejudica os direitos dos titulares dos dados nos termos do Regulamento (UE) 2016/679.

Cláusula 4 – InterpretaçãoCláusula 4 – Interpretação

(a) Quando estas Cláusulas utilizarem termos definidos no Regulamento (UE) 2016/679, esses termos terão o mesmo significado que nesse Regulamento.(a) Sempre que estas Cláusulas utilizem termos definidos no Regulamento (UE) 2016/679, esses termos terão o mesmo significado que no referido Regulamento.

(b) Estas Cláusulas devem ser lidas e interpretadas à luz das disposições do Regulamento (UE) 2016/679.(b) Estas Cláusulas devem ser lidas e interpretadas à luz das disposições do Regulamento (UE) 2016/679.

(c) Estas Cláusulas não devem ser interpretadas de forma a conflitar com os direitos e obrigações previstos no Regulamento (UE) 2016/679.(c) Estas Cláusulas não devem ser interpretadas de forma a conflitar com os direitos e obrigações previstos no Regulamento (UE) 2016/679.

Cláusula 5 – HierarquiaCláusula 5 – Hierarquia

Em caso de contradição entre estas Cláusulas e as disposições de acordos relacionados entre as Partes, existentes no momento em que estas Cláusulas são acordadas ou celebradas posteriormente, estas Cláusulas prevalecerão.Em caso de contradição entre estas Cláusulas e as disposições de acordos relacionados entre as Partes, existentes no momento em que estas Cláusulas são acordadas ou celebrados posteriormente, estas Cláusulas prevalecerão.

Cláusula 6 – Descrição da(s) transferência(s)Cláusula 6 – Descrição da(s) transferência(s)

Os detalhes da(s) transferência(s), e em particular as categorias de dados pessoais que são transferidos e a(s) finalidade(s) para a(s) qual(is) são transferidos, são especificados no Anexo I.B.Os detalhes da(s) transferência(s), e em particular as categorias de dados pessoais que são transferidos e o(s) propósito(s) para o(s) qual(is) são transferidos, são especificados no Anexo I.B.

Cláusula 7 – OpcionalCláusula 7 – Opcional

[Omitido intencionalmente.][Omitido intencionalmente.]

SECÇÃO II – OBRIGAÇÕES DAS PARTESSECÇÃO II – OBRIGAÇÕES DAS PARTES

Cláusula 8 – Salvaguardas de proteção de dadosCláusula 8 – Salvaguardas de proteção de dados

O exportador de dados garante que envidou esforços razoáveis para determinar que o importador de dados é capaz, através da implementação de medidas técnicas e organizacionais adequadas, de cumprir as suas obrigações nos termos destas Cláusulas.O exportador de dados garante que envidou esforços razoáveis para determinar que o importador de dados é capaz, através da implementação de medidas técnicas e organizacionais adequadas, de cumprir as suas obrigações nos termos destas Cláusulas.

MÓDULO UM: Transferência de responsável pelo tratamento para responsável pelo tratamentoMÓDULO UM: Transferência de responsável pelo tratamento para responsável pelo tratamento

8.1 Limitação da finalidade8.1 Limitação da finalidade

O importador de dados deve tratar os dados pessoais apenas para a(s) finalidade(s) específica(s) da transferência, conforme estabelecido no Anexo I.B. Só pode tratar os dados pessoais para outra finalidade:O importador de dados deve tratar os dados pessoais apenas para a(s) finalidade(s) específica(s) da transferência, conforme estabelecido no Anexo I.B. Só pode tratar os dados pessoais para outra finalidade:

(i) quando tiver obtido o consentimento prévio do titular dos dados;(i) quando tiver obtido o consentimento prévio do titular dos dados;

(ii) quando necessário para o estabelecimento, exercício ou defesa de ações judiciais no contexto de processos administrativos, regulamentares ou judiciais específicos; ou(ii) quando necessário para a declaração, o exercício ou a defesa de um direito num processo judicial, administrativo ou regulamentar específico; ou

(iii) quando necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa singular.(iii) quando necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa singular.

8.2 Transparência8.2 Transparência

(a) A fim de permitir que os titulares dos dados exerçam efetivamente os seus direitos nos termos da Cláusula 10, o importador de dados deve informá-los, diretamente ou através do exportador de dados:(a) A fim de permitir que os titulares dos dados exerçam efetivamente os seus direitos nos termos da Cláusula 10, o importador de dados deve informá-los, diretamente ou através do exportador de dados:

(i) da sua identidade e dados de contacto;(i) da sua identidade e dados de contacto;

(ii) das categorias de dados pessoais tratados;(ii) das categorias de dados pessoais tratados;

(iii) do direito de obter uma cópia destas Cláusulas;(iii) do direito de obter uma cópia destas Cláusulas;

(iv) quando pretenda transferir os dados pessoais para terceiros, do destinatário ou categorias de destinatários (conforme apropriado para fornecer informações significativas), a finalidade dessa transferência e o fundamento para tal, nos termos da Cláusula 8.7.(iv) quando pretender transferir os dados pessoais para terceiros, do destinatário ou categorias de destinatários (conforme apropriado para fornecer informações significativas), a finalidade dessa transferência posterior e o fundamento para tal, nos termos da Cláusula 8.7.

(b) O parágrafo (a) não se aplica quando o titular dos dados já possui a informação, incluindo quando essa informação já tiver sido fornecida pelo exportador de dados, ou quando o fornecimento da informação se revele impossível ou implicaria um esforço desproporcionado para o importador de dados. Neste último caso, o importador de dados deve, na medida do possível, tornar a informação publicamente disponível.(b) O parágrafo (a) não se aplica quando o titular dos dados já dispõe da informação, incluindo quando essa informação já tiver sido fornecida pelo exportador de dados, ou quando a prestação da informação se revelar impossível ou implicar um esforço desproporcionado para o importador de dados. Neste último caso, o importador de dados deve, na medida do possível, tornar a informação publicamente disponível.

(c) Mediante pedido, as Partes disponibilizarão ao titular dos dados, gratuitamente, uma cópia destas Cláusulas, incluindo o Apêndice preenchido por elas. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, as Partes podem redigir parte do texto do Apêndice antes de partilhar uma cópia, mas devem fornecer um resumo significativo caso o titular dos dados não consiga, de outra forma, compreender o seu conteúdo ou exercer os seus direitos. Mediante pedido, as Partes devem fornecer ao titular dos dados as razões para as redações, na medida do possível sem revelar as informações redigidas.(c) Mediante pedido, as Partes devem disponibilizar ao titular dos dados, gratuitamente, uma cópia destas Cláusulas, incluindo o Apêndice preenchido por elas. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, as Partes podem redigir parte do texto do Apêndice antes de partilhar uma cópia, mas devem fornecer um resumo significativo quando o titular dos dados não conseguir, de outra forma, compreender o seu conteúdo ou exercer os seus direitos. Mediante pedido, as Partes devem fornecer ao titular dos dados os motivos das redações, na medida do possível sem revelar as informações redigidas.

(d) Os parágrafos (a) a (c) não prejudicam as obrigações do exportador de dados nos termos dos artigos 13.º e 14.º do Regulamento (UE) 2016/679.(d) Os parágrafos (a) a (c) não prejudicam as obrigações do exportador de dados nos termos dos artigos 13.º e 14.º do Regulamento (UE) 2016/679.

8.3 Exatidão e minimização dos dados8.3 Exatidão e minimização dos dados

(a) Cada Parte assegurará que os dados pessoais são exatos e, se necessário, mantidos atualizados. O importador de dados tomará todas as medidas razoáveis para garantir que os dados pessoais inexatos, tendo em conta a(s) finalidade(s) do tratamento, sejam apagados ou retificados sem demora.(a) Cada Parte deve assegurar que os dados pessoais são exatos e, se necessário, mantidos atualizados. O importador de dados deve tomar todas as medidas razoáveis para assegurar que os dados pessoais inexatos, tendo em conta a(s) finalidade(s) do tratamento, sejam apagados ou retificados sem demora.

(b) Se uma das Partes tomar conhecimento de que os dados pessoais que transferiu ou recebeu são inexatos ou se tornaram desatualizados, informará a outra Parte sem demora injustificada.(b) Se uma das Partes tomar conhecimento de que os dados pessoais que transferiu ou recebeu são inexatos ou se tornaram desatualizados, informará a outra Parte sem demora injustificada.

(c) O importador de dados assegurará que os dados pessoais são adequados, pertinentes e limitados ao que é necessário em relação à(s) finalidade(s) do tratamento.(c) O importador de dados deve assegurar que os dados pessoais são adequados, pertinentes e limitados ao que é necessário em relação à(s) finalidade(s) do tratamento.

8.4 Limitação da conservação8.4 Limitação da conservação

O importador de dados conservará os dados pessoais apenas durante o tempo necessário para a(s) finalidade(s) para a(s) qual(is) são tratados. Implementará medidas técnicas ou organizacionais adequadas para garantir o cumprimento desta obrigação, incluindo a eliminação ou anonimização dos dados e de todas as cópias de segurança no final do período de conservação.O importador de dados não reterá os dados pessoais por mais tempo do que o necessário para a(s) finalidade(s) para a(s) qual(is) são tratados. Implementará medidas técnicas ou organizacionais adequadas para garantir o cumprimento desta obrigação, incluindo a eliminação ou anonimização dos dados e de todas as cópias de segurança no final do período de retenção.

8.5 Segurança do tratamento8.5 Segurança do tratamento

(a) O importador de dados e, durante a transmissão, também o exportador de dados, implementarão medidas técnicas e organizacionais adequadas para garantir a segurança dos dados pessoais, incluindo a proteção contra uma violação de segurança que leve à destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilícito (doravante ‘violação de dados pessoais’). Ao avaliar o nível de segurança adequado, terão devidamente em conta o estado da arte, os custos de implementação, a natureza, o âmbito, o contexto e a(s) finalidade(s) do tratamento e os riscos envolvidos no tratamento para o titular dos dados. As Partes considerarão, em particular, recorrer à cifragem ou pseudonimização, incluindo durante a transmissão, sempre que a finalidade do tratamento possa ser cumprida dessa forma.(a) O importador de dados e, durante a transmissão, também o exportador de dados devem implementar medidas técnicas e organizativas adequadas para garantir a segurança dos dados pessoais, incluindo a proteção contra uma violação de segurança que leve à destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilícito (doravante designada por «violação de dados pessoais»). Ao avaliar o nível de segurança adequado, devem ter devidamente em conta o estado da técnica, os custos de implementação, a natureza, o âmbito, o contexto e a(s) finalidade(s) do tratamento e os riscos envolvidos no tratamento para o titular dos dados. As Partes devem, em particular, considerar o recurso à cifragem ou pseudonimização, incluindo durante a transmissão, quando a finalidade do tratamento puder ser cumprida dessa forma.

(b) As Partes acordaram nas medidas técnicas e organizacionais estabelecidas no Anexo II. O importador de dados realizará verificações regulares para garantir que estas medidas continuam a proporcionar um nível de segurança adequado.(b) As Partes acordaram nas medidas técnicas e organizativas estabelecidas no Anexo II. O importador de dados deve realizar verificações regulares para garantir que estas medidas continuam a proporcionar um nível de segurança adequado.

(c) O importador de dados assegurará que as pessoas autorizadas a tratar os dados pessoais se comprometeram a manter a confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade adequada.(c) O importador de dados deve garantir que as pessoas autorizadas a tratar os dados pessoais se comprometeram a manter a confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade adequada.

(d) Em caso de violação de dados pessoais relativos a dados pessoais tratados pelo importador de dados ao abrigo destas Cláusulas, o importador de dados tomará as medidas adequadas para resolver a violação de dados pessoais, incluindo medidas para mitigar os seus possíveis efeitos adversos.(d) Em caso de violação de dados pessoais relativos a dados pessoais tratados pelo importador de dados ao abrigo destas Cláusulas, o importador de dados deve tomar as medidas adequadas para resolver a violação de dados pessoais, incluindo medidas para mitigar os seus possíveis efeitos adversos.

(e) Em caso de violação de dados pessoais suscetível de implicar um risco para os direitos e liberdades das pessoas singulares, o importador de dados notificará, sem demora injustificada, tanto o exportador de dados como a autoridade de controlo competente nos termos da Cláusula 13. Essa notificação deverá conter i) uma descrição da natureza da violação (incluindo, sempre que possível, as categorias e o número aproximado de titulares de dados e registos de dados pessoais afetados), ii) as suas prováveis consequências, iii) as medidas tomadas ou propostas para resolver a violação, e iv) os detalhes de um ponto de contacto onde se pode obter mais informações. Na medida em que não seja possível ao importador de dados fornecer todas as informações ao mesmo tempo, poderá fazê-lo por fases, sem demora adicional indevida.(e) Em caso de violação de dados pessoais suscetível de implicar um risco para os direitos e liberdades das pessoas singulares, o importador de dados deve notificar sem demora injustificada tanto o exportador de dados como a autoridade de controlo competente nos termos da Cláusula 13. Essa notificação deve conter i) uma descrição da natureza da violação (incluindo, se possível, as categorias e o número aproximado de titulares de dados e de registos de dados pessoais em causa), ii) as suas prováveis consequências, iii) as medidas tomadas ou propostas para resolver a violação, e iv) os detalhes de um ponto de contacto a partir do qual se pode obter mais informações. Na medida em que não seja possível ao importador de dados fornecer todas as informações ao mesmo tempo, pode fazê-lo por fases, sem demora adicional indevida.

(f) Em caso de violação de dados pessoais suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o importador de dados notificará também, sem demora injustificada, os titulares dos dados em causa da violação de dados pessoais e da sua natureza, se necessário em cooperação com o exportador de dados, juntamente com as informações referidas no parágrafo (e), pontos ii) a iv), a menos que o importador de dados tenha implementado medidas para reduzir significativamente o risco para os direitos ou liberdades das pessoas singulares, ou que a notificação implique esforços desproporcionados. Neste último caso, o importador de dados emitirá, em vez disso, uma comunicação pública ou tomará uma medida semelhante para informar o público sobre a violação de dados pessoais.(f) Em caso de violação de dados pessoais suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o importador de dados deve também notificar sem demora injustificada os titulares dos dados em causa da violação de dados pessoais e da sua natureza, se necessário em cooperação com o exportador de dados, juntamente com as informações referidas no parágrafo (e), pontos ii) a iv), a menos que o importador de dados tenha implementado medidas para reduzir significativamente o risco para os direitos ou liberdades das pessoas singulares, ou que a notificação implique esforços desproporcionados. Neste último caso, o importador de dados deve, em vez disso, emitir uma comunicação pública ou tomar uma medida semelhante para informar o público sobre a violação de dados pessoais.

(g) O importador de dados documentará todos os factos relevantes relativos à violação de dados pessoais, incluindo os seus efeitos e quaisquer medidas corretivas tomadas, e manterá um registo dos mesmos.(g) O importador de dados deve documentar todos os factos relevantes relacionados com a violação de dados pessoais, incluindo os seus efeitos e quaisquer medidas corretivas tomadas, e manter um registo dos mesmos.

8.6 Dados sensíveis8.6 Dados sensíveis

Sempre que a transferência envolva dados pessoais que revelem a origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, ou a filiação sindical, dados genéticos, ou dados biométricos para identificar de forma inequívoca uma pessoa singular, dados relativos à saúde ou à vida sexual ou orientação sexual de uma pessoa, ou dados relativos a condenações penais ou infrações (doravante ‘dados sensíveis’), o importador de dados aplicará restrições específicas e/ou salvaguardas adicionais adaptadas à natureza específica dos dados e aos riscos envolvidos. Isto pode incluir a restrição do pessoal autorizado a aceder aos dados pessoais, medidas de segurança adicionais (como a pseudonimização) e/ou restrições adicionais no que diz respeito a divulgações posteriores.Sempre que a transferência envolver dados pessoais que revelem a origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, ou a filiação sindical, dados genéticos, ou dados biométricos para identificar de forma inequívoca uma pessoa singular, dados relativos à saúde ou à vida sexual ou orientação sexual de uma pessoa, ou dados relativos a condenações penais ou infrações (doravante designados por «dados sensíveis»), o importador de dados deve aplicar restrições específicas e/ou salvaguardas adicionais adaptadas à natureza específica dos dados e aos riscos envolvidos. Isto pode incluir a restrição do pessoal autorizado a aceder aos dados pessoais, medidas de segurança adicionais (como a pseudonimização) e/ou restrições adicionais no que diz respeito a divulgações posteriores.

8.7 Transferências posteriores8.7 Transferências posteriores

O importador de dados não divulgará os dados pessoais a um terceiro localizado fora da União Europeia (no mesmo país que o importador de dados ou noutro país terceiro, doravante ‘transferência posterior’) a menos que o terceiro esteja ou concorde em ficar vinculado por estas Cláusulas, ao abrigo do Módulo apropriado. Caso contrário, uma transferência posterior pelo importador de dados só pode ocorrer se:O importador de dados não deve divulgar os dados pessoais a um terceiro localizado fora da União Europeia (no mesmo país que o importador de dados ou noutro país terceiro, doravante designada por «transferência posterior») a menos que o terceiro esteja ou concorde em ficar vinculado por estas Cláusulas, ao abrigo do Módulo adequado. Caso contrário, uma transferência posterior pelo importador de dados só pode ocorrer se:

(i) seja para um país que beneficie de uma decisão de adequação nos termos do artigo 45.º do Regulamento (UE) 2016/679 que abranja a transferência posterior;(i) for para um país que beneficie de uma decisão de adequação nos termos do artigo 45.º do Regulamento (UE) 2016/679 que abranja a transferência posterior;

(ii) o terceiro garanta de outra forma salvaguardas adequadas nos termos dos artigos 46.º ou 47.º do Regulamento (UE) 2016/679 no que diz respeito ao tratamento em questão;(ii) o terceiro garantir de outra forma salvaguardas adequadas nos termos dos artigos 46.º ou 47.º do Regulamento (UE) 2016/679 no que diz respeito ao tratamento em questão;

(iii) o terceiro celebrar um instrumento vinculativo com o importador de dados que garanta o mesmo nível de proteção de dados que o previsto nestas Cláusulas, e o importador de dados fornecer uma cópia dessas salvaguardas ao exportador de dados;(iii) o terceiro celebrar um instrumento vinculativo com o importador de dados garantindo o mesmo nível de proteção de dados que o previsto nestas Cláusulas, e o importador de dados fornecer uma cópia destas salvaguardas ao exportador de dados;

(iv) for necessário para a declaração, o exercício ou a defesa de um direito num processo judicial, administrativo ou regulamentar específico;(iv) for necessário para a declaração, o exercício ou a defesa de um direito num processo judicial no contexto de processos administrativos, regulamentares ou judiciais específicos;

(v) for necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa singular; ou(v) for necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa singular; ou

(vi) quando nenhuma das outras condições se aplicar, o importador de dados obteve o consentimento explícito do titular dos dados para uma transferência posterior numa situação específica, após o ter informado da(s) sua(s) finalidade(s), da identidade do destinatário e dos possíveis riscos de tal transferência para o mesmo devido à falta de salvaguardas adequadas de proteção de dados. Neste caso, o importador de dados informará o exportador de dados e, a pedido deste último, transmitir-lhe-á uma cópia das informações fornecidas ao titular dos dados. Qualquer transferência posterior está sujeita ao cumprimento, por parte do importador de dados, de todas as outras salvaguardas previstas nestas Cláusulas, em particular a limitação da finalidade.(vi) quando nenhuma das outras condições se aplicar, o importador de dados tiver obtido o consentimento explícito do titular dos dados para uma transferência posterior numa situação específica, após o(a) ter informado do(s) seu(s) objetivo(s), da identidade do destinatário e dos possíveis riscos de tal transferência para o(a) mesmo(a) devido à falta de salvaguardas de proteção de dados adequadas. Neste caso, o importador de dados deve informar o exportador de dados e, a pedido deste último, deve transmitir-lhe uma cópia das informações fornecidas ao titular dos dados. Qualquer transferência posterior está sujeita ao cumprimento, por parte do importador de dados, de todas as outras salvaguardas previstas nestas Cláusulas, em particular a limitação da finalidade.

8.8 Tratamento sob a autoridade do importador de dados8.8 Tratamento sob a autoridade do importador de dados

O importador de dados assegurará que qualquer pessoa que atue sob a sua autoridade, incluindo um subcontratante, trate os dados apenas de acordo com as suas instruções.O importador de dados deve garantir que qualquer pessoa que atue sob a sua autoridade, incluindo um subcontratante, trate os dados apenas de acordo com as suas instruções.

8.9 Documentação e conformidade8.9 Documentação e conformidade

(a) Cada Parte deverá ser capaz de demonstrar o cumprimento das suas obrigações nos termos destas Cláusulas. Em particular, o importador de dados deverá manter documentação adequada das atividades de tratamento realizadas sob a sua responsabilidade.(a) Cada Parte deve ser capaz de demonstrar o cumprimento das suas obrigações nos termos destas Cláusulas. Em particular, o importador de dados deve manter documentação adequada das atividades de tratamento realizadas sob a sua responsabilidade.

(b) O importador de dados disponibilizará essa documentação à autoridade de controlo competente, mediante pedido.(b) O importador de dados deve disponibilizar essa documentação à autoridade de controlo competente, mediante pedido.

MÓDULO DOIS: Transferência de responsável pelo tratamento para subcontratanteMÓDULO DOIS: Transferência de responsável pelo tratamento para subcontratante

8.1 Instruções8.1 Instruções

(a) O importador de dados tratará os dados pessoais apenas com base em instruções documentadas do exportador de dados. O exportador de dados pode dar tais instruções durante toda a duração do contrato.(a) O importador de dados deve tratar os dados pessoais apenas com base em instruções documentadas do exportador de dados. O exportador de dados pode dar essas instruções durante toda a duração do contrato.

(b) O importador de dados informará imediatamente o exportador de dados se não conseguir seguir essas instruções.(b) O importador de dados deve informar imediatamente o exportador de dados se não conseguir seguir essas instruções.

8.2 Limitação da finalidade8.2 Limitação da finalidade

O importador de dados tratará os dados pessoais apenas para a(s) finalidade(s) específica(s) da transferência, conforme estabelecido no Anexo I.B, salvo se houver instruções adicionais do exportador de dados.O importador de dados deve tratar os dados pessoais apenas para a(s) finalidade(s) específica(s) da transferência, conforme estabelecido no Anexo I.B, salvo instruções adicionais do exportador de dados.

8.3 Transparência8.3 Transparência

Mediante pedido, o exportador de dados disponibilizará gratuitamente ao titular dos dados uma cópia destas Cláusulas, incluindo o Apêndice preenchido pelas Partes. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo as medidas descritas no Anexo II e os dados pessoais, o exportador de dados pode redigir parte do texto do Apêndice a estas Cláusulas antes de partilhar uma cópia, mas deverá fornecer um resumo significativo quando o titular dos dados não conseguir, de outra forma, compreender o seu conteúdo ou exercer os seus direitos. Mediante pedido, as Partes fornecerão ao titular dos dados os motivos das redações, na medida do possível sem revelar as informações redigidas. Esta Cláusula não prejudica as obrigações do exportador de dados nos termos dos artigos 13.º e 14.º do Regulamento (UE) 2016/679.Mediante pedido, o exportador de dados deve disponibilizar gratuitamente ao titular dos dados uma cópia destas Cláusulas, incluindo o Apêndice preenchido pelas Partes. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo as medidas descritas no Anexo II e os dados pessoais, o exportador de dados pode redigir parte do texto do Apêndice a estas Cláusulas antes de partilhar uma cópia, mas deve fornecer um resumo significativo onde o titular dos dados, de outra forma, não seria capaz de compreender o seu conteúdo ou exercer os seus direitos. Mediante pedido, as Partes devem fornecer ao titular dos dados os motivos das redações, na medida do possível sem revelar as informações redigidas. Esta Cláusula não prejudica as obrigações do exportador de dados nos termos dos Artigos 13 e 14 do Regulamento (UE) 2016/679.

8.4 Exatidão8.4 Exatidão

Se o importador de dados tomar conhecimento de que os dados pessoais que recebeu são inexatos ou se tornaram desatualizados, deverá informar o exportador de dados sem demora injustificada. Neste caso, o importador de dados cooperará com o exportador de dados para apagar ou retificar os dados.Se o importador de dados tomar conhecimento de que os dados pessoais que recebeu são inexatos ou se tornaram desatualizados, deve informar o exportador de dados sem demora injustificada. Neste caso, o importador de dados deve cooperar com o exportador de dados para apagar ou retificar os dados.

8.5 Duração do tratamento e apagamento ou devolução dos dados8.5 Duração do tratamento e apagamento ou devolução dos dados

O tratamento pelo importador de dados só deve ocorrer durante o período especificado no Anexo I.B. Após o fim da prestação dos serviços de tratamento, o importador de dados deve, por escolha do exportador de dados, apagar todos os dados pessoais tratados em nome do exportador de dados e certificar ao exportador de dados que o fez, ou devolver ao exportador de dados todos os dados pessoais tratados em seu nome e apagar as cópias existentes. Até que os dados sejam apagados ou devolvidos, o importador de dados deve continuar a garantir o cumprimento destas Cláusulas. Em caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou eliminação dos dados pessoais, o importador de dados garante que continuará a assegurar o cumprimento destas Cláusulas e só os tratará na medida e pelo tempo exigidos por essa lei local. Isto não prejudica a Cláusula 14, em particular a exigência para o importador de dados, ao abrigo da Cláusula 14(e), de notificar o exportador de dados durante toda a duração do contrato se tiver motivos para crer que está ou passou a estar sujeito a leis ou práticas que não estão em conformidade com os requisitos da Cláusula 14(a).O tratamento pelo importador de dados só deve ocorrer durante o período especificado no Anexo I.B. Após o fim da prestação dos serviços de tratamento, o importador de dados deve, por escolha do exportador de dados, apagar todos os dados pessoais tratados em nome do exportador de dados e certificar ao exportador de dados que o fez, ou devolver ao exportador de dados todos os dados pessoais tratados em seu nome e apagar as cópias existentes. Até que os dados sejam apagados ou devolvidos, o importador de dados deve continuar a assegurar o cumprimento destas Cláusulas. Em caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou eliminação dos dados pessoais, o importador de dados garante que continuará a assegurar o cumprimento destas Cláusulas e só os tratará na medida e durante o tempo exigido por essa lei local. Isto não prejudica a Cláusula 14, em particular a exigência para o importador de dados, nos termos da Cláusula 14(e), de notificar o exportador de dados durante toda a duração do contrato se tiver motivos para crer que está ou se tornou sujeito a leis ou práticas que não estão em conformidade com os requisitos da Cláusula 14(a).

8.6 Segurança do tratamento8.6 Segurança do tratamento

(a) O importador de dados e, durante a transmissão, também o exportador de dados devem implementar medidas técnicas e organizacionais adequadas para garantir a segurança dos dados, incluindo a proteção contra uma violação de segurança que leve à destruição acidental ou ilícita, perda, alteração, divulgação não autorizada ou acesso a esses dados (doravante "violação de dados pessoais"). Ao avaliar o nível de segurança adequado, as Partes devem ter devidamente em conta o estado da arte, os custos de implementação, a natureza, o âmbito, o contexto e a(s) finalidade(s) do tratamento e os riscos envolvidos no tratamento para os titulares dos dados. As Partes devem, em particular, considerar recorrer à cifragem ou pseudonimização, incluindo durante a transmissão, quando a finalidade do tratamento puder ser cumprida dessa forma. Em caso de pseudonimização, as informações adicionais para atribuir os dados pessoais a um titular de dados específico devem, sempre que possível, permanecer sob o controlo exclusivo do exportador de dados. No cumprimento das suas obrigações ao abrigo deste parágrafo, o importador de dados deve implementar, no mínimo, as medidas técnicas e organizacionais especificadas no Anexo II. O importador de dados deve realizar verificações regulares para garantir que estas medidas continuam a proporcionar um nível de segurança adequado.(a) O importador de dados e, durante a transmissão, também o exportador de dados devem implementar medidas técnicas e organizacionais adequadas para garantir a segurança dos dados, incluindo a proteção contra uma violação de segurança que leve à destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilícito a esses dados (doravante "violação de dados pessoais"). Ao avaliar o nível de segurança adequado, as Partes devem ter devidamente em conta o estado da arte, os custos de implementação, a natureza, o âmbito, o contexto e a(s) finalidade(s) do tratamento e os riscos envolvidos no tratamento para os titulares dos dados. As Partes devem, em particular, considerar recorrer à cifragem ou pseudonimização, inclusive durante a transmissão, quando a finalidade do tratamento puder ser cumprida dessa forma. Em caso de pseudonimização, as informações adicionais para atribuir os dados pessoais a um titular de dados específico devem, sempre que possível, permanecer sob o controlo exclusivo do exportador de dados. No cumprimento das suas obrigações nos termos deste parágrafo, o importador de dados deve implementar, no mínimo, as medidas técnicas e organizacionais especificadas no Anexo II. O importador de dados deve realizar verificações regulares para garantir que estas medidas continuam a fornecer um nível de segurança adequado.

(b) O importador de dados deve conceder acesso aos dados pessoais aos membros do seu pessoal apenas na medida estritamente necessária para a execução, gestão e monitorização do contrato. Deve assegurar que as pessoas autorizadas a tratar os dados pessoais se comprometeram com a confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade adequada.(b) O importador de dados deve conceder acesso aos dados pessoais aos membros do seu pessoal apenas na medida estritamente necessária para a implementação, gestão e monitorização do contrato. Deve assegurar que as pessoas autorizadas a tratar os dados pessoais se comprometeram com a confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade adequada.

(c) Em caso de violação de dados pessoais relativos a dados pessoais tratados pelo importador de dados ao abrigo destas Cláusulas, o importador de dados deve tomar as medidas adequadas para resolver a violação, incluindo medidas para mitigar os seus efeitos adversos. O importador de dados deve também notificar o exportador de dados sem demora injustificada após ter tido conhecimento da violação. Essa notificação deve conter os detalhes de um ponto de contacto onde mais informações podem ser obtidas, uma descrição da natureza da violação (incluindo, sempre que possível, categorias e número aproximado de titulares de dados e registos de dados pessoais afetados), as suas prováveis consequências e as medidas tomadas ou propostas para resolver a violação, incluindo, quando adequado, medidas para mitigar os seus possíveis efeitos adversos. Quando, e na medida em que, não for possível fornecer todas as informações ao mesmo tempo, a notificação inicial deve conter as informações então disponíveis e as informações adicionais devem, à medida que se tornarem disponíveis, ser posteriormente fornecidas sem demora injustificada.(c) Em caso de violação de dados pessoais relativos a dados pessoais tratados pelo importador de dados ao abrigo destas Cláusulas, o importador de dados deve tomar as medidas adequadas para resolver a violação, incluindo medidas para mitigar os seus efeitos adversos. O importador de dados deve também notificar o exportador de dados sem demora injustificada após ter tomado conhecimento da violação. Essa notificação deve conter os detalhes de um ponto de contacto onde mais informações podem ser obtidas, uma descrição da natureza da violação (incluindo, sempre que possível, categorias e número aproximado de titulares de dados e registos de dados pessoais afetados), as suas prováveis consequências e as medidas tomadas ou propostas para resolver a violação, incluindo, se for caso disso, medidas para mitigar os seus possíveis efeitos adversos. Quando, e na medida em que, não for possível fornecer todas as informações ao mesmo tempo, a notificação inicial deve conter as informações então disponíveis e as informações adicionais devem, à medida que se tornarem disponíveis, ser posteriormente fornecidas sem demora injustificada.

(d) O importador de dados deve cooperar e assistir o exportador de dados para permitir que este cumpra as suas obrigações ao abrigo do Regulamento (UE) 2016/679, em particular para notificar a autoridade de controlo competente e os titulares dos dados afetados, tendo em conta a natureza do tratamento e as informações disponíveis para o importador de dados.(d) O importador de dados deve cooperar e auxiliar o exportador de dados para permitir que este cumpra as suas obrigações nos termos do Regulamento (UE) 2016/679, em particular para notificar a autoridade de controlo competente e os titulares dos dados afetados, tendo em conta a natureza do tratamento e as informações disponíveis para o importador de dados.

8.7 Dados sensíveis8.7 Dados sensíveis

Sempre que a transferência envolva dados pessoais que revelem a origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, ou a filiação sindical, dados genéticos, ou dados biométricos para identificar de forma inequívoca uma pessoa singular, dados relativos à saúde ou à vida sexual ou orientação sexual de uma pessoa, ou dados relativos a condenações penais e infrações (doravante "dados sensíveis"), o importador de dados deve aplicar as restrições específicas e/ou salvaguardas adicionais descritas no Anexo I.B.Quando a transferência envolver dados pessoais que revelem a origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, ou a filiação sindical, dados genéticos, ou dados biométricos para identificar de forma inequívoca uma pessoa singular, dados relativos à saúde ou à vida sexual ou orientação sexual de uma pessoa, ou dados relativos a condenações penais e infrações (doravante "dados sensíveis"), o importador de dados deve aplicar as restrições específicas e/ou salvaguardas adicionais descritas no Anexo I.B.

8.8 Transferências posteriores8.8 Transferências posteriores

O importador de dados só pode divulgar os dados pessoais a um terceiro mediante instruções documentadas do exportador de dados. Além disso, os dados só podem ser divulgados a um terceiro localizado fora da União Europeia (no mesmo país que o importador de dados ou noutro país terceiro, doravante "transferência posterior") se o terceiro estiver ou concordar em ficar vinculado por estas Cláusulas, ao abrigo do Módulo apropriado, ou se:O importador de dados só deve divulgar os dados pessoais a um terceiro mediante instruções documentadas do exportador de dados. Além disso, os dados só podem ser divulgados a um terceiro localizado fora da União Europeia (no mesmo país que o importador de dados ou noutro país terceiro, doravante "transferência posterior") se o terceiro estiver ou concordar em estar vinculado por estas Cláusulas, ao abrigo do Módulo apropriado, ou se:

(i) a transferência posterior é para um país que beneficia de uma decisão de adequação nos termos do artigo 45.º do Regulamento (UE) 2016/679 que abrange a transferência posterior;(i) a transferência posterior é para um país que beneficia de uma decisão de adequação nos termos do artigo 45.º do Regulamento (UE) 2016/679 que abrange a transferência posterior;

(ii) o terceiro garante, de outra forma, salvaguardas adequadas nos termos dos artigos 46.º ou 47.º do Regulamento (UE) 2016/679 no que diz respeito ao tratamento em questão;(ii) o terceiro garante de outra forma salvaguardas adequadas nos termos dos artigos 46.º ou 47.º do Regulamento (UE) 2016/679 no que diz respeito ao tratamento em questão;

(iii) a transferência posterior é necessária para a declaração, o exercício ou a defesa de um direito num processo judicial, administrativo ou regulamentar específico; ou(iii) a transferência posterior é necessária para o estabelecimento, exercício ou defesa de ações judiciais no contexto de processos administrativos, regulamentares ou judiciais específicos; ou

(iv) a transferência posterior é necessária para proteger os interesses vitais do titular dos dados ou de outra pessoa singular.(iv) a transferência posterior é necessária para proteger os interesses vitais do titular dos dados ou de outra pessoa singular.

Qualquer transferência posterior está sujeita ao cumprimento, por parte do importador de dados, de todas as outras salvaguardas previstas nestas Cláusulas, em particular a limitação da finalidade.Qualquer transferência posterior está sujeita à conformidade do importador de dados com todas as outras salvaguardas ao abrigo destas Cláusulas, em particular a limitação da finalidade.

8.9 Documentação e conformidade8.9 Documentação e conformidade

(a) O importador de dados deve responder prontamente e de forma adequada às questões do exportador de dados relacionadas com o tratamento ao abrigo destas Cláusulas.(a) O importador de dados deve lidar de forma pronta e adequada com as questões do exportador de dados relacionadas com o tratamento ao abrigo destas Cláusulas.

(b) As Partes devem ser capazes de demonstrar o cumprimento destas Cláusulas. Em particular, o importador de dados deve manter documentação adequada sobre as atividades de tratamento realizadas em nome do exportador de dados.(b) As Partes devem ser capazes de demonstrar a conformidade com estas Cláusulas. Em particular, o importador de dados deve manter documentação adequada sobre as atividades de tratamento realizadas em nome do exportador de dados.

(c) O importador de dados deve disponibilizar ao exportador de dados todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas nestas Cláusulas e, a pedido do exportador de dados, permitir e contribuir para auditorias das atividades de tratamento abrangidas por estas Cláusulas, em intervalos razoáveis ou se houver indícios de incumprimento. Ao decidir sobre uma revisão ou auditoria, o exportador de dados pode ter em conta as certificações relevantes detidas pelo importador de dados.(c) O importador de dados deve disponibilizar ao exportador de dados todas as informações necessárias para demonstrar a conformidade com as obrigações estabelecidas nestas Cláusulas e, a pedido do exportador de dados, permitir e contribuir para auditorias das atividades de tratamento abrangidas por estas Cláusulas, em intervalos razoáveis ou se houver indícios de não conformidade. Ao decidir sobre uma revisão ou auditoria, o exportador de dados pode ter em conta as certificações relevantes detidas pelo importador de dados.

(d) O exportador de dados pode optar por realizar a auditoria por si próprio ou por nomear um auditor independente. As auditorias podem incluir inspeções nas instalações ou infraestruturas físicas do importador de dados e devem, quando adequado, ser realizadas com um aviso razoável.(d) O exportador de dados pode optar por realizar a auditoria por si mesmo ou nomear um auditor independente. As auditorias podem incluir inspeções nas instalações ou infraestruturas físicas do importador de dados e devem, quando apropriado, ser realizadas com aviso prévio razoável.

(e) As Partes devem disponibilizar as informações referidas nos parágrafos (b) e (c), incluindo os resultados de quaisquer auditorias, à autoridade de controlo competente, mediante pedido.(e) As Partes devem disponibilizar as informações referidas nos parágrafos (b) e (c), incluindo os resultados de quaisquer auditorias, à autoridade de controlo competente, mediante pedido.

MÓDULO TRÊS: Transferência de subcontratante para subcontratanteMÓDULO TRÊS: Transferência de subcontratante para subcontratante

8.1 Instruções8.1 Instruções

(a) O exportador de dados informou o importador de dados de que atua como subcontratante sob as instruções do(s) seu(s) responsável(is) pelo tratamento, as quais o exportador de dados deve disponibilizar ao importador de dados antes do tratamento.(a) O exportador de dados informou o importador de dados que atua como subcontratante sob as instruções do(s) seu(s) responsável(is) pelo tratamento, as quais o exportador de dados deve disponibilizar ao importador de dados antes do tratamento.

(b) O importador de dados deve tratar os dados pessoais apenas com base em instruções documentadas do responsável pelo tratamento, conforme comunicadas ao importador de dados pelo exportador de dados, e quaisquer instruções documentadas adicionais do exportador de dados. Tais instruções adicionais não devem entrar em conflito com as instruções do responsável pelo tratamento. O responsável pelo tratamento ou o exportador de dados podem dar instruções documentadas adicionais relativas ao tratamento de dados durante toda a duração do contrato.(b) O importador de dados deve tratar os dados pessoais apenas com base em instruções documentadas do responsável pelo tratamento, conforme comunicadas ao importador de dados pelo exportador de dados, e quaisquer instruções documentadas adicionais do exportador de dados. Tais instruções adicionais não devem entrar em conflito com as instruções do responsável pelo tratamento. O responsável pelo tratamento ou o exportador de dados podem dar mais instruções documentadas relativas ao tratamento de dados durante toda a duração do contrato.

(c) O importador de dados deve informar imediatamente o exportador de dados se não conseguir seguir essas instruções. Se o importador de dados não conseguir seguir as instruções do responsável pelo tratamento, o exportador de dados deve notificar imediatamente o responsável pelo tratamento.(c) O importador de dados deve informar imediatamente o exportador de dados se não conseguir seguir essas instruções. Se o importador de dados não conseguir seguir as instruções do responsável pelo tratamento, o exportador de dados deve notificar imediatamente o responsável pelo tratamento.

(d) O exportador de dados garante que impôs ao importador de dados as mesmas obrigações de proteção de dados estabelecidas no contrato ou noutro ato jurídico ao abrigo do direito da União ou do Estado-Membro entre o responsável pelo tratamento e o exportador de dados.(d) O exportador de dados garante que impôs ao importador de dados as mesmas obrigações de proteção de dados estabelecidas no contrato ou noutro ato jurídico ao abrigo do direito da União ou do Estado-Membro entre o responsável pelo tratamento e o exportador de dados.

8.2 Limitação da finalidade8.2 Limitação da finalidade

O importador de dados deve tratar os dados pessoais apenas para a(s) finalidade(s) específica(s) da transferência, conforme estabelecido no Anexo I.B., a menos que haja instruções adicionais do responsável pelo tratamento, conforme comunicadas ao importador de dados pelo exportador de dados, ou do exportador de dados.O importador de dados tratará os dados pessoais apenas para a(s) finalidade(s) específica(s) da transferência, conforme estabelecido no Anexo I.B., salvo mediante instruções adicionais do responsável pelo tratamento, conforme comunicadas ao importador de dados pelo exportador de dados, ou do exportador de dados.

8.3 Transparência8.3 Transparência

Mediante pedido, o exportador de dados deve disponibilizar ao titular dos dados, gratuitamente, uma cópia destas Cláusulas, incluindo o Apêndice preenchido pelas Partes. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o exportador de dados pode redigir parte do texto do Apêndice antes de partilhar uma cópia, mas deve fornecer um resumo significativo onde o titular dos dados, de outra forma, não seria capaz de compreender o seu conteúdo ou exercer os seus direitos. Mediante pedido, as Partes devem fornecer ao titular dos dados as razões para as redações, na medida do possível sem revelar as informações redigidas.Mediante pedido, o exportador de dados disponibilizará gratuitamente ao titular dos dados uma cópia destas Cláusulas, incluindo o Apêndice preenchido pelas Partes. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o exportador de dados pode redigir parte do texto do Apêndice antes de partilhar uma cópia, mas deverá fornecer um resumo significativo onde o titular dos dados, de outra forma, não seria capaz de compreender o seu conteúdo ou exercer os seus direitos. Mediante pedido, as Partes deverão fornecer ao titular dos dados as razões para as redações, na medida do possível sem revelar as informações redigidas.

8.4 Exatidão8.4 Exatidão

Se o importador de dados tomar conhecimento de que os dados pessoais que recebeu são imprecisos ou se tornaram desatualizados, deve informar o exportador de dados sem demora injustificada. Neste caso, o importador de dados deve cooperar com o exportador de dados para retificar ou apagar os dados.Se o importador de dados tomar conhecimento de que os dados pessoais que recebeu são imprecisos ou se tornaram desatualizados, deverá informar o exportador de dados sem demora injustificada. Neste caso, o importador de dados cooperará com o exportador de dados para retificar ou apagar os dados.

8.5 Duração do tratamento e apagamento ou devolução dos dados8.5 Duração do tratamento e eliminação ou devolução dos dados

O tratamento pelo importador de dados só deve ocorrer durante o período especificado no Anexo I.B. Após o fim da prestação dos serviços de tratamento, o importador de dados deve, por escolha do exportador de dados, apagar todos os dados pessoais tratados em nome do responsável pelo tratamento e certificar ao exportador de dados que o fez, ou devolver ao exportador de dados todos os dados pessoais tratados em seu nome e apagar as cópias existentes. Até que os dados sejam apagados ou devolvidos, o importador de dados deve continuar a assegurar o cumprimento destas Cláusulas. Em caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou eliminação dos dados pessoais, o importador de dados garante que continuará a assegurar o cumprimento destas Cláusulas e só os tratará na medida e pelo tempo exigido por essa lei local. Isto não prejudica a Cláusula 14, em particular a exigência de o importador de dados, ao abrigo da Cláusula 14(e), notificar o exportador de dados durante toda a duração do contrato se tiver motivos para crer que está ou se tornou sujeito a leis ou práticas que não estão em conformidade com os requisitos da Cláusula 14(a).O tratamento pelo importador de dados só ocorrerá durante o período especificado no Anexo I.B. Após o término da prestação dos serviços de tratamento, o importador de dados deverá, por opção do exportador de dados, apagar todos os dados pessoais tratados em nome do responsável pelo tratamento e certificar ao exportador de dados que o fez, ou devolver ao exportador de dados todos os dados pessoais tratados em seu nome e apagar as cópias existentes. Até que os dados sejam apagados ou devolvidos, o importador de dados continuará a garantir o cumprimento destas Cláusulas. Em caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou eliminação dos dados pessoais, o importador de dados garante que continuará a assegurar o cumprimento destas Cláusulas e só os tratará na medida e pelo tempo exigido por essa lei local. Isto não prejudica a Cláusula 14, em particular a exigência de o importador de dados, nos termos da Cláusula 14(e), notificar o exportador de dados durante toda a duração do contrato se tiver motivos para crer que está ou se tornou sujeito a leis ou práticas que não estão em conformidade com os requisitos da Cláusula 14(a).

8.6 Segurança do tratamento8.6 Segurança do tratamento

(a) O importador de dados e, durante a transmissão, também o exportador de dados devem implementar medidas técnicas e organizacionais adequadas para garantir a segurança dos dados, incluindo a proteção contra uma violação de segurança que leve à destruição acidental ou ilícita, perda, alteração, divulgação não autorizada ou acesso a esses dados (doravante "violação de dados pessoais"). Ao avaliar o nível adequado de segurança, devem ter devidamente em conta o estado da arte, os custos de implementação, a natureza, o âmbito, o contexto e a(s) finalidade(s) do tratamento e os riscos envolvidos no tratamento para o titular dos dados. As Partes devem, em particular, considerar o recurso à cifragem ou pseudonimização, inclusive durante a transmissão, quando a finalidade do tratamento puder ser cumprida dessa forma. Em caso de pseudonimização, as informações adicionais para atribuir os dados pessoais a um titular de dados específico devem, sempre que possível, permanecer sob o controlo exclusivo do exportador de dados ou do responsável pelo tratamento. No cumprimento das suas obrigações ao abrigo deste parágrafo, o importador de dados deve implementar, no mínimo, as medidas técnicas e organizacionais especificadas no Anexo II. O importador de dados deve realizar verificações regulares para garantir que estas medidas continuam a fornecer um nível adequado de segurança.(a) O importador de dados e, durante a transmissão, também o exportador de dados, implementarão medidas técnicas e organizacionais adequadas para garantir a segurança dos dados, incluindo a proteção contra uma violação de segurança que leve à destruição acidental ou ilícita, perda, alteração, divulgação não autorizada ou acesso a esses dados (doravante "violação de dados pessoais"). Ao avaliar o nível adequado de segurança, deverão ter devidamente em conta o estado da arte, os custos de implementação, a natureza, o âmbito, o contexto e a(s) finalidade(s) do tratamento e os riscos envolvidos no tratamento para o titular dos dados. As Partes deverão, em particular, considerar o recurso à cifragem ou pseudonimização, incluindo durante a transmissão, sempre que a finalidade do tratamento possa ser cumprida dessa forma. Em caso de pseudonimização, as informações adicionais para atribuir os dados pessoais a um titular de dados específico deverão, sempre que possível, permanecer sob o controlo exclusivo do exportador de dados ou do responsável pelo tratamento. No cumprimento das suas obrigações nos termos deste parágrafo, o importador de dados deverá, no mínimo, implementar as medidas técnicas e organizacionais especificadas no Anexo II. O importador de dados deverá realizar verificações regulares para garantir que estas medidas continuam a proporcionar um nível adequado de segurança.

(b) O importador de dados deve conceder acesso aos dados aos membros do seu pessoal apenas na medida estritamente necessária para a implementação, gestão e monitorização do contrato. Deve assegurar que as pessoas autorizadas a tratar os dados pessoais se comprometeram com a confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade adequada.(b) O importador de dados concederá acesso aos dados aos membros do seu pessoal apenas na medida estritamente necessária para a implementação, gestão e monitorização do contrato. Assegurará que as pessoas autorizadas a tratar os dados pessoais se comprometeram a manter a confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade adequada.

(c) Em caso de violação de dados pessoais relativos a dados pessoais tratados pelo importador de dados ao abrigo destas Cláusulas, o importador de dados deve tomar as medidas adequadas para resolver a violação, incluindo medidas para mitigar os seus efeitos adversos. O importador de dados deve também notificar, sem demora injustificada, o exportador de dados e, quando adequado e viável, o responsável pelo tratamento, após ter tomado conhecimento da violação. Essa notificação deve conter os detalhes de um ponto de contacto onde mais informações podem ser obtidas, uma descrição da natureza da violação (incluindo, sempre que possível, categorias e número aproximado de titulares de dados e registos de dados pessoais afetados), as suas prováveis consequências e as medidas tomadas ou propostas para resolver a violação de dados, incluindo medidas para mitigar os seus possíveis efeitos adversos. Quando, e na medida em que, não for possível fornecer todas as informações ao mesmo tempo, a notificação inicial deve conter as informações então disponíveis e informações adicionais devem, à medida que se tornem disponíveis, ser subsequentemente fornecidas sem demora injustificada.(c) Em caso de violação de dados pessoais relativos a dados pessoais tratados pelo importador de dados ao abrigo destas Cláusulas, o importador de dados tomará as medidas adequadas para resolver a violação, incluindo medidas para mitigar os seus efeitos adversos. O importador de dados notificará também, sem demora injustificada, o exportador de dados e, quando adequado e viável, o responsável pelo tratamento após ter tomado conhecimento da violação. Essa notificação deverá conter os detalhes de um ponto de contacto onde mais informações possam ser obtidas, uma descrição da natureza da violação (incluindo, sempre que possível, categorias e número aproximado de titulares de dados e registos de dados pessoais afetados), as suas prováveis consequências e as medidas tomadas ou propostas para resolver a violação de dados, incluindo medidas para mitigar os seus possíveis efeitos adversos. Quando, e na medida em que, não for possível fornecer todas as informações ao mesmo tempo, a notificação inicial deverá conter as informações então disponíveis e informações adicionais deverão, à medida que se tornarem disponíveis, ser posteriormente fornecidas sem demora injustificada.

(d) O importador de dados deve cooperar e auxiliar o exportador de dados para permitir que o exportador de dados cumpra as suas(d) O importador de dados cooperará e assistirá o exportador de dados para permitir que este cumpra as suas

obrigações ao abrigo do Regulamento (UE) 2016/679, em particular para notificar o seu controlador para que este possa, por sua vez, notificar a autoridade de controlo competente e os titulares dos dados afetados, tendo em conta a natureza do tratamento e as informações disponíveis ao importador de dados.obrigações nos termos do Regulamento (UE) 2016/679, em particular para notificar o seu responsável pelo tratamento para que este possa, por sua vez, notificar a autoridade de controlo competente e os titulares dos dados afetados, tendo em conta a natureza do tratamento e as informações disponíveis para o importador de dados.

8.7 Dados sensíveis8.7 Dados sensíveis

Quando a transferência envolver dados pessoais que revelem origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, ou filiação sindical, dados genéticos, ou dados biométricos para identificar de forma inequívoca uma pessoa singular, dados relativos à saúde ou à vida sexual ou orientação sexual de uma pessoa, ou dados relativos a condenações penais e infrações (doravante "dados sensíveis"), o importador de dados aplicará as restrições específicas e/ou salvaguardas adicionais estabelecidas no Anexo I.B.Quando a transferência envolver dados pessoais que revelem origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, ou filiação sindical, dados genéticos, ou dados biométricos para identificar de forma única uma pessoa singular, dados relativos à saúde ou à vida sexual ou orientação sexual de uma pessoa, ou dados relativos a condenações penais e infrações (doravante "dados sensíveis"), o importador de dados aplicará as restrições específicas e/ou salvaguardas adicionais estabelecidas no Anexo I.B.

8.8 Transferências posteriores8.8 Transferências posteriores

O importador de dados só pode divulgar os dados pessoais a um terceiro mediante instruções documentadas do controlador, conforme comunicadas ao importador de dados pelo exportador de dados. Além disso, os dados só podem ser divulgados a um terceiro localizado fora da União Europeia (no mesmo país que o importador de dados ou noutro país terceiro, doravante "transferência posterior") se o terceiro estiver ou concordar em estar vinculado por estas Cláusulas, ao abrigo do Módulo apropriado, ou se:O importador de dados só pode divulgar os dados pessoais a terceiros mediante instruções documentadas do responsável pelo tratamento, conforme comunicadas ao importador de dados pelo exportador de dados. Além disso, os dados só podem ser divulgados a terceiros localizados fora da União Europeia (no mesmo país que o importador de dados ou noutro país terceiro, doravante "transferência posterior") se o terceiro estiver ou concordar em estar vinculado por estas Cláusulas, ao abrigo do Módulo apropriado, ou se:

(i) a transferência posterior é para um país que beneficia de uma decisão de adequação nos termos do artigo 45.º do Regulamento (UE) 2016/679 que abrange a transferência posterior;(i) a transferência posterior é para um país que beneficia de uma decisão de adequação nos termos do artigo 45.º do Regulamento (UE) 2016/679 que abrange a transferência posterior;

(ii) o terceiro garante, de outra forma, salvaguardas adequadas nos termos dos artigos 46.º ou 47.º do Regulamento (UE) 2016/679;(ii) o terceiro garante, de outra forma, salvaguardas adequadas nos termos dos artigos 46.º ou 47.º do Regulamento (UE) 2016/679;

(iii) a transferência posterior é necessária para o estabelecimento, exercício ou defesa de ações judiciais no contexto de processos administrativos, regulamentares ou judiciais específicos; ou(iii) a transferência posterior é necessária para a declaração, o exercício ou a defesa de um direito num processo judicial, administrativo ou regulamentar específico; ou

(iv) a transferência posterior é necessária para proteger os interesses vitais do titular dos dados ou de outra pessoa singular.(iv) a transferência posterior é necessária para proteger os interesses vitais do titular dos dados ou de outra pessoa singular.

Qualquer transferência posterior está sujeita ao cumprimento, por parte do importador de dados, de todas as outras salvaguardas previstas nestas Cláusulas, em particular a limitação da finalidade.Qualquer transferência posterior está sujeita ao cumprimento, por parte do importador de dados, de todas as outras salvaguardas previstas nestas Cláusulas, em particular a limitação da finalidade.

8.9 Documentação e conformidade8.9 Documentação e conformidade

(a) O importador de dados deve lidar prontamente e adequadamente com as questões do exportador de dados ou do controlador que se relacionem com o tratamento ao abrigo destas Cláusulas.(a) O importador de dados deve tratar de forma pronta e adequada os pedidos de informação do exportador de dados ou do responsável pelo tratamento relacionados com o tratamento ao abrigo destas Cláusulas.

(b) As Partes devem ser capazes de demonstrar o cumprimento destas Cláusulas. Em particular, o importador de dados deve manter documentação adequada sobre as atividades de tratamento realizadas em nome do controlador.(b) As Partes devem ser capazes de demonstrar o cumprimento destas Cláusulas. Em particular, o importador de dados deve manter documentação adequada sobre as atividades de tratamento realizadas em nome do responsável pelo tratamento.

(c) O importador de dados disponibilizará ao exportador de dados todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas nestas Cláusulas, que as fornecerá ao controlador.(c) O importador de dados deve disponibilizar ao exportador de dados todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas nestas Cláusulas, que as fornecerá ao responsável pelo tratamento.

(d) O importador de dados permitirá e contribuirá para auditorias realizadas pelo exportador de dados às atividades de tratamento abrangidas por estas Cláusulas, em intervalos razoáveis ou se houver indícios de incumprimento. O mesmo se aplica quando o exportador de dados solicitar uma auditoria sob as instruções do controlador. Ao decidir sobre uma auditoria, o exportador de dados pode ter em conta as certificações relevantes detidas pelo importador de dados.(d) O importador de dados deve permitir e contribuir para auditorias do exportador de dados às atividades de tratamento abrangidas por estas Cláusulas, em intervalos razoáveis ou se houver indícios de incumprimento. O mesmo se aplica quando o exportador de dados solicitar uma auditoria sob as instruções do responsável pelo tratamento. Ao decidir sobre uma auditoria, o exportador de dados pode ter em conta as certificações relevantes detidas pelo importador de dados.

(e) Quando a auditoria for realizada sob as instruções do controlador, o exportador de dados disponibilizará os resultados ao controlador.(e) Quando a auditoria for realizada sob as instruções do responsável pelo tratamento, o exportador de dados deve disponibilizar os resultados ao responsável pelo tratamento.

(f) O exportador de dados pode optar por realizar a auditoria por si próprio ou por nomear um auditor independente. As auditorias podem incluir inspeções nas instalações ou infraestruturas físicas do importador de dados e devem, quando apropriado, ser realizadas com um aviso razoável.(f) O exportador de dados pode optar por realizar a auditoria por si próprio ou por nomear um auditor independente. As auditorias podem incluir inspeções nas instalações ou infraestruturas físicas do importador de dados e devem, quando adequado, ser realizadas com um aviso razoável.

(g) As Partes disponibilizarão à autoridade de controlo competente, mediante pedido, as informações referidas nas alíneas (b) e (c), incluindo os resultados de quaisquer auditorias.(g) As Partes devem disponibilizar as informações referidas nas alíneas (b) e (c), incluindo os resultados de quaisquer auditorias, à autoridade de controlo competente, mediante pedido.

MÓDULO QUATRO: Transferência do processador para o controladorMÓDULO QUATRO: Transferência de processador para responsável pelo tratamento

8.1 Instruções8.1 Instruções

(a) O exportador de dados deve tratar os dados pessoais apenas mediante instruções documentadas do importador de dados que atua como seu responsável pelo tratamento.(a) O exportador de dados deve tratar os dados pessoais apenas mediante instruções documentadas do importador de dados que atua como seu responsável pelo tratamento.

(b) O exportador de dados deve informar imediatamente o importador de dados se não conseguir seguir essas instruções, incluindo se tais instruções violarem o Regulamento (UE) 2016/679 ou outra legislação de proteção de dados da União ou de um Estado-Membro.(b) O exportador de dados deve informar imediatamente o importador de dados se não conseguir seguir essas instruções, incluindo se tais instruções infringirem o Regulamento (UE) 2016/679 ou outra legislação de proteção de dados da União ou de um Estado-Membro.

(c) O importador de dados deve abster-se de qualquer ação que impeça o exportador de dados de cumprir as suas obrigações ao abrigo do Regulamento (UE) 2016/679, incluindo no contexto da subcontratação ou no que diz respeito à cooperação com as autoridades de controlo competentes.(c) O importador de dados deve abster-se de qualquer ação que impeça o exportador de dados de cumprir as suas obrigações nos termos do Regulamento (UE) 2016/679, incluindo no contexto do subtratamento ou no que diz respeito à cooperação com as autoridades de controlo competentes.

(d) Após o termo da prestação dos serviços de tratamento, o exportador de dados deve, por opção do importador de dados, apagar todos os dados pessoais tratados em nome do importador de dados e certificar ao importador de dados que o fez, ou devolver ao importador de dados todos os dados pessoais tratados em seu nome e apagar as cópias existentes.(d) Após o termo da prestação dos serviços de tratamento, o exportador de dados deve, por opção do importador de dados, apagar todos os dados pessoais tratados em nome do importador de dados e certificar ao importador de dados que o fez, ou devolver ao importador de dados todos os dados pessoais tratados em seu nome e apagar as cópias existentes.

8.2 Segurança do tratamento8.2 Segurança do tratamento

(a) As Partes devem implementar medidas técnicas e organizacionais adequadas para assegurar a segurança dos dados, incluindo durante a transmissão, e a proteção contra uma violação de segurança que conduza à destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilícito (doravante ‘violação de dados pessoais’). Ao avaliar o nível de segurança adequado, devem ter devidamente em conta o estado da técnica, os custos de implementação, a natureza dos dados pessoais, a natureza, o âmbito, o contexto e a(s) finalidade(s) do tratamento e os riscos envolvidos no tratamento para os titulares dos dados, e em particular considerar o recurso à cifragem ou pseudonimização, incluindo durante a transmissão, quando a finalidade do tratamento puder ser cumprida dessa forma.(a) As Partes devem implementar medidas técnicas e organizacionais adequadas para garantir a segurança dos dados, incluindo durante a transmissão, e a proteção contra uma violação de segurança que leve à destruição acidental ou ilícita, perda, alteração, divulgação ou acesso não autorizado (doravante "violação de dados pessoais"). Ao avaliar o nível de segurança adequado, devem ter devidamente em conta o estado da arte, os custos de implementação, a natureza dos dados pessoais, a natureza, o âmbito, o contexto e a(s) finalidade(s) do tratamento e os riscos envolvidos no tratamento para os titulares dos dados, e, em particular, considerar o recurso à cifragem ou pseudonimização, incluindo durante a transmissão, quando a finalidade do tratamento puder ser cumprida dessa forma.

(b) O exportador de dados deve auxiliar o importador de dados a assegurar a segurança adequada dos dados, em conformidade com o parágrafo (a). Em caso de violação de dados pessoais relativa aos dados pessoais tratados pelo exportador de dados ao abrigo destas Cláusulas, o exportador de dados deve notificar o importador de dados sem demora injustificada após tomar conhecimento da mesma e auxiliar o importador de dados a resolver a violação.(b) O exportador de dados deverá auxiliar o importador de dados a assegurar a segurança adequada dos dados em conformidade com o parágrafo (a). Em caso de violação de dados pessoais relativos aos dados pessoais tratados pelo exportador de dados nos termos destas Cláusulas, o exportador de dados deverá notificar o importador de dados sem demora indevida após tomar conhecimento e auxiliar o importador de dados a resolver a violação.

(c) O exportador de dados deve assegurar que as pessoas autorizadas a tratar os dados pessoais se comprometeram com a confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade adequada.(c) O exportador de dados deverá assegurar que as pessoas autorizadas a tratar os dados pessoais se comprometeram com a confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade adequada.

8.3 Documentação e conformidade8.3 Documentação e conformidade

(a) As Partes devem ser capazes de demonstrar o cumprimento destas Cláusulas.(a) As Partes deverão ser capazes de demonstrar o cumprimento destas Cláusulas.

(b) O exportador de dados deve disponibilizar ao importador de dados todas as informações necessárias para demonstrar o cumprimento das suas obrigações ao abrigo destas Cláusulas e permitir e contribuir para auditorias.(b) O exportador de dados deverá disponibilizar ao importador de dados todas as informações necessárias para demonstrar o cumprimento das suas obrigações nos termos destas Cláusulas e permitir e contribuir para auditorias.

Cláusula 9 – Utilização de subcontratantesCláusula 9 – Utilização de subcontratantes

MÓDULO DOIS: Transferência de responsável pelo tratamento para processadorMÓDULO DOIS: Transferência de responsável pelo tratamento para processador

(a) O importador de dados tem a autorização geral do exportador de dados para a contratação de subcontratante(s) de uma lista acordada. O importador de dados deve informar especificamente o exportador de dados, por escrito, sobre quaisquer alterações pretendidas a essa lista, através da adição ou substituição de subcontratantes, com pelo menos 30 dias de antecedência, dando assim ao exportador de dados tempo suficiente para poder opor-se a tais alterações antes da contratação do(s) subcontratante(s). O importador de dados deve fornecer ao exportador de dados as informações necessárias para lhe permitir exercer o seu direito de oposição.(a) O importador de dados tem a autorização geral do exportador de dados para a contratação de subcontratante(s) a partir de uma lista acordada. O importador de dados deverá informar especificamente o exportador de dados, por escrito, sobre quaisquer alterações pretendidas a essa lista através da adição ou substituição de subcontratantes com pelo menos 30 dias de antecedência, dando assim ao exportador de dados tempo suficiente para poder opor-se a tais alterações antes da contratação do(s) subcontratante(s). O importador de dados deverá fornecer ao exportador de dados as informações necessárias para permitir que este exerça o seu direito de oposição.

(b) Quando o importador de dados contrata um subcontratante para realizar atividades de tratamento específicas (em nome do exportador de dados), deve fazê-lo através de um contrato escrito que preveja, em substância, as mesmas obrigações de proteção de dados que vinculam o importador de dados ao abrigo destas Cláusulas, incluindo em termos de direitos de beneficiário terceiro para os titulares dos dados. As Partes concordam que, ao cumprir esta Cláusula, o importador de dados cumpre as suas obrigações ao abrigo da Cláusula 8.8. O importador de dados deve assegurar que o subcontratante cumpre as obrigações a que o importador de dados está sujeito nos termos destas Cláusulas.(b) Quando o importador de dados contratar um subcontratante para realizar atividades de tratamento específicas (em nome do exportador de dados), fá-lo-á através de um contrato escrito que preveja, em substância, as mesmas obrigações de proteção de dados que vinculam o importador de dados nos termos destas Cláusulas, incluindo em termos de direitos de beneficiário terceiro para os titulares dos dados. As Partes concordam que, ao cumprir esta Cláusula, o importador de dados cumpre as suas obrigações nos termos da Cláusula 8.8. O importador de dados deverá assegurar que o subcontratante cumpre as obrigações a que o importador de dados está sujeito nos termos destas Cláusulas.

(c) O importador de dados deve fornecer, a pedido do exportador de dados, uma cópia de tal acordo de subcontratação e quaisquer alterações subsequentes ao exportador de dados. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o importador de dados pode expurgar o texto do acordo antes de partilhar uma cópia.(c) O importador de dados deverá fornecer, a pedido do exportador de dados, uma cópia de tal acordo de subcontratação e quaisquer alterações subsequentes ao exportador de dados. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o importador de dados poderá redigir o texto do acordo antes de partilhar uma cópia.

(d) O importador de dados permanecerá totalmente responsável perante o exportador de dados pelo cumprimento das obrigações do subcontratante ao abrigo do seu contrato com o importador de dados. O importador de dados deve notificar o exportador de dados sobre qualquer incumprimento das obrigações do subcontratante ao abrigo desse contrato.(d) O importador de dados permanecerá totalmente responsável perante o exportador de dados pelo cumprimento das obrigações do subcontratante nos termos do seu contrato com o importador de dados. O importador de dados notificará o exportador de dados sobre qualquer falha do subcontratante no cumprimento das suas obrigações nos termos desse contrato.

(e) O importador de dados deve acordar uma cláusula de beneficiário terceiro com o subcontratante, segundo a qual – no caso de o importador de dados ter desaparecido de facto, deixado de existir legalmente ou se ter tornado insolvente – o exportador de dados terá o direito de rescindir o contrato com o subcontratante e de instruir o subcontratante a apagar ou devolver os dados pessoais.(e) O importador de dados deverá acordar uma cláusula de beneficiário terceiro com o subcontratante, pela qual – no caso de o importador de dados ter desaparecido de facto, deixado de existir legalmente ou se ter tornado insolvente – o exportador de dados terá o direito de rescindir o contrato com o subcontratante e de instruir o subcontratante a apagar ou devolver os dados pessoais.

MÓDULO TRÊS: Transferência de processador para processadorMÓDULO TRÊS: Transferência de processador para processador

(a) O importador de dados tem a autorização geral do responsável pelo tratamento para a contratação de subcontratante(s) de uma lista acordada. O importador de dados deve informar especificamente o responsável pelo tratamento, por escrito, sobre quaisquer alterações pretendidas a essa lista, através da adição ou substituição de subcontratantes, com pelo menos 30 dias de antecedência, dando assim ao responsável pelo tratamento tempo suficiente para poder opor-se a tais alterações antes da contratação do(s) subcontratante(s). O importador de dados deve fornecer ao responsável pelo tratamento as informações necessárias para lhe permitir exercer o seu direito de oposição. O importador de dados deve informar o exportador de dados sobre a contratação do(s) subcontratante(s).(a) O importador de dados tem a autorização geral do responsável pelo tratamento para a contratação de subcontratante(s) a partir de uma lista acordada. O importador de dados deverá informar especificamente o responsável pelo tratamento, por escrito, sobre quaisquer alterações pretendidas a essa lista através da adição ou substituição de subcontratantes com pelo menos 30 dias de antecedência, dando assim ao responsável pelo tratamento tempo suficiente para poder opor-se a tais alterações antes da contratação do(s) subcontratante(s). O importador de dados deverá fornecer ao responsável pelo tratamento as informações necessárias para permitir que este exerça o seu direito de oposição. O importador de dados deverá informar o exportador de dados sobre a contratação do(s) subcontratante(s).

(b) Quando o importador de dados contratar um subcontratante para realizar atividades de tratamento específicas (em nome do responsável pelo tratamento), fá-lo-á através de um contrato escrito que preveja, em substância, as mesmas obrigações de proteção de dados que vinculam o importador de dados ao abrigo destas Cláusulas, incluindo em termos de direitos de terceiros beneficiários para os titulares dos dados. As Partes concordam que, ao cumprir esta Cláusula, o importador de dados cumpre as suas obrig(b) Quando o importador de dados contratar um subcontratante para realizar atividades de tratamento específicas (em nome do responsável pelo tratamento), fá-lo-á através de um contrato escrito que preveja, em substância, as mesmas obrigações de proteção de dados que vinculam o importador de dados nos termos destas Cláusulas, incluindo em termos de direitos de beneficiário terceiro para os titulares dos dados. As Partes concordam que, ao cumprir esta Cláusula, o importador de dados cumpre as suas obrig

ações nos termos da Cláusula 8.8. O importador de dados deve assegurar que o subcontratante cumpre as obrigações a que o importador de dados está sujeito nos termos destas Cláusulas.ações nos termos da Cláusula 8.8. O importador de dados deverá assegurar que o subcontratante cumpre as obrigações a que o importador de dados está sujeito nos termos destas Cláusulas.

(c) O importador de dados fornecerá, a pedido do exportador de dados ou do responsável pelo tratamento, uma cópia de tal acordo de subcontratação e quaisquer alterações subsequentes. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o importador de dados pode expurgar o texto do acordo antes de partilhar uma cópia.(c) O importador de dados deverá fornecer, a pedido do exportador de dados ou do responsável pelo tratamento, uma cópia de tal acordo de subcontratação e quaisquer alterações subsequentes. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o importador de dados poderá redigir o texto do acordo antes de partilhar uma cópia.

(d) O importador de dados permanecerá totalmente responsável perante o exportador de dados pelo cumprimento das obrigações do subcontratante ao abrigo do seu contrato com o importador de dados. O importador de dados notificará o exportador de dados de qualquer incumprimento das obrigações do subcontratante ao abrigo desse contrato.(d) O importador de dados permanecerá totalmente responsável perante o exportador de dados pelo cumprimento das obrigações do subcontratante nos termos do seu contrato com o importador de dados. O importador de dados notificará o exportador de dados sobre qualquer falha do subcontratante no cumprimento das suas obrigações nos termos desse contrato.

(e) O importador de dados acordará uma cláusula de terceiro beneficiário com o subcontratante, segundo a qual – no caso de o importador de dados ter desaparecido de facto, deixado de existir legalmente ou se ter tornado insolvente – o exportador de dados terá o direito de rescindir o contrato com o subcontratante e de instruir o subcontratante a apagar ou devolver os dados pessoais.(e) O importador de dados deverá acordar uma cláusula de beneficiário terceiro com o subcontratante, pela qual – no caso de o importador de dados ter desaparecido de facto, deixado de existir legalmente ou se ter tornado insolvente – o exportador de dados terá o direito de rescindir o contrato com o subcontratante e de instruir o subcontratante a apagar ou devolver os dados pessoais.

Cláusula 10 – Direitos do titular dos dadosCláusula 10 – Direitos do titular dos dados

MÓDULO UM: Transferência de responsável pelo tratamento para responsável pelo tratamentoMÓDULO UM: Transferência de responsável pelo tratamento para responsável pelo tratamento

(a) O importador de dados, se relevante com a assistência do exportador de dados, tratará de quaisquer questões e pedidos que receba de um titular dos dados relativos ao tratamento dos seus dados pessoais e ao exercício dos seus direitos ao abrigo destas Cláusulas sem demora injustificada e, o mais tardar, no prazo de um mês a contar da receção da questão ou pedido. O importador de dados tomará as medidas adequadas para facilitar tais questões, pedidos e o exercício dos direitos do titular dos dados. Qualquer informação fornecida ao titular dos dados deverá ser apresentada de forma inteligível e de fácil acesso, utilizando uma linguagem clara e simples.(a) O importador de dados, quando relevante com a assistência do exportador de dados, deve tratar quaisquer questões e pedidos que receba de um titular de dados relativos ao tratamento dos seus dados pessoais e ao exercício dos seus direitos ao abrigo destas Cláusulas sem demora indevida e, o mais tardar, no prazo de um mês a contar da receção da questão ou pedido. O importador de dados deve tomar as medidas adequadas para facilitar tais questões, pedidos e o exercício dos direitos dos titulares de dados. Qualquer informação fornecida ao titular de dados deve ser apresentada de forma inteligível e facilmente acessível, utilizando linguagem clara e simples.

(b) Em particular, a pedido do titular dos dados o importador de dados deverá, gratuitamente:(b) Em particular, a pedido do titular de dados, o importador de dados deve, gratuitamente:

(i) fornecer ao titular dos dados a confirmação de que os dados pessoais que lhe dizem respeito estão a ser tratados e, se for esse o caso, uma cópia dos dados que lhe dizem respeito e as informações constantes do Anexo I; se os dados pessoais tiverem sido ou forem transferidos para terceiros, fornecer informações sobre os destinatários ou categorias de destinatários (conforme adequado para fornecer informações significativas) a quem os dados pessoais foram ou serão transferidos para terceiros, a finalidade de tais transferências para terceiros e o seu fundamento nos termos da Cláusula 8.7; e fornecer informações sobre o direito de apresentar uma reclamação junto de uma autoridade de controlo, em conformidade com a Cláusula 12, alínea c), subalínea i);(i) fornecer confirmação ao titular de dados sobre se os dados pessoais que lhe dizem respeito estão a ser tratados e, se for esse o caso, uma cópia dos dados que lhe dizem respeito e as informações do Anexo I; se os dados pessoais tiverem sido ou forem ser transferidos subsequentemente, fornecer informações sobre os destinatários ou categorias de destinatários (conforme apropriado para fornecer informações significativas) para os quais os dados pessoais foram ou serão transferidos subsequentemente, a finalidade de tais transferências subsequentes e o seu fundamento nos termos da Cláusula 8.7; e fornecer informações sobre o direito de apresentar uma reclamação junto de uma autoridade de controlo em conformidade com a Cláusula 12(c)(i);

(ii) retificar dados inexatos ou incompletos relativos ao titular dos dados;(ii) retificar dados inexatos ou incompletos relativos ao titular de dados;

(iii) apagar os dados pessoais relativos ao titular dos dados se esses dados estiverem a ser ou tiverem sido tratados em violação de qualquer uma destas Cláusulas que garantem direitos de terceiros beneficiários, ou se o titular dos dados retirar o consentimento em que se baseia o tratamento.(iii) apagar os dados pessoais relativos ao titular de dados se tais dados estiverem a ser ou tiverem sido tratados em violação de qualquer uma destas Cláusulas que garantem direitos de terceiros beneficiários, ou se o titular de dados retirar o consentimento em que o tratamento se baseia.

(c) Quando o importador de dados tratar os dados pessoais para fins de marketing direto, cessará o tratamento para esses fins se o titular dos dados se opuser a tal.(c) Quando o importador de dados tratar os dados pessoais para fins de marketing direto, deve cessar o tratamento para esses fins se o titular de dados se opuser a tal.

(d) O importador de dados não tomará uma decisão baseada unicamente no tratamento automatizado dos dados pessoais transferidos (doravante designada por «decisão automatizada»), que produza efeitos jurídicos que o afetem ou o afete de modo similar e significativo, salvo com o consentimento explícito do titular dos dados ou se for autorizado a fazê-lo ao abrigo da legislação do país de destino, desde que essa legislação estabeleça medidas adequadas para salvaguardar os direitos e interesses legítimos do titular dos dados. Nesse caso, o importador de dados, se necessário em cooperação com o exportador de dados, deverá:(d) O importador de dados não deve tomar uma decisão baseada unicamente no tratamento automatizado dos dados pessoais transferidos (doravante "decisão automatizada"), que produza efeitos jurídicos relativamente ao titular de dados ou que o afete de forma similarmente significativa, a menos que com o consentimento explícito do titular de dados ou se autorizado a fazê-lo ao abrigo das leis do país de destino, desde que tais leis estabeleçam medidas adequadas para salvaguardar os direitos e interesses legítimos do titular de dados. Neste caso, o importador de dados deve, quando necessário em cooperação com o exportador de dados:

(i) informar o titular dos dados sobre a decisão automatizada prevista, as consequências previstas e a lógica envolvida; e(i) informar o titular de dados sobre a decisão automatizada prevista, as consequências previstas e a lógica envolvida; e

(ii) aplicar salvaguardas adequadas, pelo menos, permitindo ao titular dos dados contestar a decisão, expressar o seu ponto de vista e obter uma revisão por um ser humano.(ii) implementar salvaguardas adequadas, pelo menos permitindo ao titular de dados contestar a decisão, expressar o seu ponto de vista e obter uma revisão por um ser humano.

(e) Quando os pedidos de um titular dos dados forem excessivos, em particular devido ao seu caráter repetitivo, o importador de dados pode cobrar uma taxa razoável tendo em conta os custos administrativos de satisfazer o pedido ou recusar dar seguimento ao pedido.(e) Quando os pedidos de um titular de dados forem excessivos, em particular devido ao seu caráter repetitivo, o importador de dados pode cobrar uma taxa razoável, tendo em conta os custos administrativos de deferimento do pedido, ou recusar-se a dar seguimento ao pedido.

(f) O importador de dados pode recusar um pedido do titular dos dados se tal recusa for permitida ao abrigo da legislação do país de destino e for necessária e proporcional numa sociedade democrática para proteger um dos objetivos enumerados no artigo 23.º, n.º 1, do Regulamento (UE) 2016/679.(f) O importador de dados pode recusar um pedido de um titular de dados se tal recusa for permitida pelas leis do país de destino e for necessária e proporcional numa sociedade democrática para proteger um dos objetivos enumerados no artigo 23.º, n.º 1, do Regulamento (UE) 2016/679.

(g) Se o importador de dados tencionar recusar um pedido do titular dos dados, deve informar o titular dos dados dos motivos da recusa e da possibilidade de apresentar uma reclamação junto da autoridade de controlo competente e/ou de recorrer a via judicial.(g) Se o importador de dados pretender recusar um pedido de um titular de dados, deve informar o titular de dados das razões da recusa e da possibilidade de apresentar uma reclamação junto da autoridade de controlo competente e/ou de procurar reparação judicial.

MÓDULO DOIS: Transferência de responsável pelo tratamento para subcontratanteMÓDULO DOIS: Transferência de responsável pelo tratamento para subcontratante

(a) O importador de dados deverá notificar prontamente o exportador de dados de qualquer pedido que tenha recebido de um titular de dados. Não deverá responder a esse pedido por si mesmo, a menos que tenha sido autorizado a fazê-lo pelo exportador de dados.(a) O importador de dados deve notificar prontamente o exportador de dados de qualquer pedido que tenha recebido de um titular de dados. Não deve responder a esse pedido por si mesmo, a menos que tenha sido autorizado a fazê-lo pelo exportador de dados.

(b) O importador de dados deverá auxiliar o exportador de dados no cumprimento das suas obrigações de responder aos pedidos dos titulares dos dados para o exercício dos seus direitos ao abrigo do Regulamento (UE) 2016/679. A este respeito, as Partes deverão estabelecer no Anexo II as medidas técnicas e organizacionais adequadas, tendo em conta a natureza do tratamento, através das quais a assistência será prestada, bem como o âmbito e a extensão da assistência exigida.(b) O importador de dados deve auxiliar o exportador de dados no cumprimento das suas obrigações de responder aos pedidos dos titulares dos dados para o exercício dos seus direitos ao abrigo do Regulamento (UE) 2016/679. A este respeito, as Partes devem estabelecer no Anexo II as medidas técnicas e organizacionais adequadas, tendo em conta a natureza do tratamento, através das quais a assistência será prestada, bem como o âmbito e a extensão da assistência necessária.

(c) No cumprimento das suas obrigações nos termos dos parágrafos (a) e (b), o importador de dados deverá cumprir as instruções do exportador de dados.(c) No cumprimento das suas obrigações nos termos dos parágrafos (a) e (b), o importador de dados deve cumprir as instruções do exportador de dados.

MÓDULO TRÊS: Transferência de subcontratante para subcontratanteMÓDULO TRÊS: Transferência de subcontratante para subcontratante

(a) O importador de dados deverá notificar prontamente o exportador de dados e, quando apropriado, o responsável pelo tratamento de qualquer pedido que tenha recebido de um titular de dados, sem responder a esse pedido, a menos que tenha sido autorizado a fazê-lo pelo responsável pelo tratamento.(a) O importador de dados deve notificar prontamente o exportador de dados e, quando apropriado, o responsável pelo tratamento de qualquer pedido que tenha recebido de um titular de dados, sem responder a esse pedido, a menos que tenha sido autorizado a fazê-lo pelo responsável pelo tratamento.

(b) O importador de dados deverá auxiliar, quando apropriado em cooperação com o exportador de dados, o responsável pelo tratamento no cumprimento das suas obrigações de responder aos pedidos dos titulares dos dados para o exercício dos seus direitos ao abrigo do Regulamento (UE) 2016/679 ou do Regulamento (UE) 2018/1725, conforme aplicável. A este respeito, as Partes deverão estabelecer no Anexo II as medidas técnicas e organizacionais adequadas, tendo em conta a natureza do tratamento, através das quais a assistência será prestada, bem como o âmbito e a extensão da assistência exigida.(b) O importador de dados deve auxiliar, quando apropriado em cooperação com o exportador de dados, o responsável pelo tratamento no cumprimento das suas obrigações de responder aos pedidos dos titulares dos dados para o exercício dos seus direitos ao abrigo do Regulamento (UE) 2016/679 ou do Regulamento (UE) 2018/1725, consoante aplicável. A este respeito, as Partes devem estabelecer no Anexo II as medidas técnicas e organizacionais adequadas, tendo em conta a natureza do tratamento, através das quais a assistência será prestada, bem como o âmbito e a extensão da assistência necessária.

(c) No cumprimento das suas obrigações nos termos dos parágrafos (a) e (b), o importador de dados deverá cumprir as instruções do responsável pelo tratamento, conforme comunicadas pelo exportador de dados.(c) No cumprimento das suas obrigações ao abrigo dos parágrafos (a) e (b), o importador de dados deve cumprir as instruções do responsável pelo tratamento, conforme comunicadas pelo exportador de dados.

MÓDULO QUATRO: Transferência de subcontratante para responsável pelo tratamentoMÓDULO QUATRO: Transferência de subcontratante para responsável pelo tratamento

As Partes deverão auxiliar-se mutuamente na resposta a questões e pedidos apresentados pelos titulares dos dados ao abrigo da lei local aplicável ao importador de dados ou, para o tratamento de dados pelo exportador de dados na UE, ao abrigo do Regulamento (UE) 2016/679.As Partes devem auxiliar-se mutuamente na resposta a questões e pedidos apresentados pelos titulares de dados ao abrigo da legislação local aplicável ao importador de dados ou, para o tratamento de dados pelo exportador de dados na UE, ao abrigo do Regulamento (UE) 2016/679.

Cláusula 10 – Direitos do titular dos dadosCláusula 10 – Direitos do titular de dados

MÓDULO UM: Transferência de responsável pelo tratamento para responsável pelo tratamentoMÓDULO UM: Transferência de responsável pelo tratamento para responsável pelo tratamento

(a) O importador de dados, quando relevante com a assistência do exportador de dados, tratará quaisquer questões e pedidos que receba de um titular de dados relativos ao tratamento dos seus dados pessoais e ao exercício dos seus direitos ao abrigo destas Cláusulas sem demora indevida e, o mais tardar, no prazo de um mês a contar da receção da questão ou pedido. (10) O importador de dados tomará as medidas adequadas para facilitar tais questões, pedidos e o exercício dos direitos do titular dos dados. Qualquer informação fornecida ao titular dos dados deverá ser apresentada de forma inteligível e facilmente acessível, utilizando linguagem clara e simples.(a) O importador de dados, quando relevante com a assistência do exportador de dados, deve tratar quaisquer questões e pedidos que receba de um titular de dados relativos ao tratamento dos seus dados pessoais e ao exercício dos seus direitos ao abrigo destas Cláusulas sem demora injustificada e, o mais tardar, no prazo de um mês a contar da receção da questão ou pedido. (10) O importador de dados deve tomar as medidas adequadas para facilitar tais questões, pedidos e o exercício dos direitos dos titulares de dados. Qualquer informação fornecida ao titular de dados deve ser apresentada de forma inteligível e de fácil acesso, utilizando linguagem clara e simples.

(b) Em particular, a pedido do titular dos dados, o importador de dados deverá, gratuitamente:(b) Em particular, a pedido do titular de dados, o importador de dados deve, gratuitamente:

(i) fornecer ao titular dos dados a confirmação de que os dados pessoais que lhe dizem respeito estão a ser tratados e, se for esse o caso, uma cópia dos dados que lhe dizem respeito e as informações constantes do Anexo I; se os dados pessoais tiverem sido ou forem ser transferidos subsequentemente, fornecer informações sobre os destinatários ou categorias de destinatários (conforme apropriado para fornecer informações significativas) para os quais os dados pessoais foram ou serão transferidos subsequentemente, a finalidade de tais transferências subsequentes e o seu fundamento nos termos da Cláusula 8.7; e fornecer informações sobre o direito de apresentar uma reclamação a uma autoridade de controlo em conformidade com a Cláusula 12(c)(i);(i) fornecer ao titular de dados a confirmação de que os dados pessoais que lhe dizem respeito estão a ser tratados e, se for esse o caso, uma cópia dos dados que lhe dizem respeito e as informações constantes do Anexo I; se os dados pessoais tiverem sido ou forem ser transferidos para terceiros, fornecer informações sobre os destinatários ou categorias de destinatários (conforme apropriado para fornecer informações significativas) aos quais os dados pessoais foram ou serão transferidos para terceiros, a finalidade de tais transferências para terceiros e o seu fundamento nos termos da Cláusula 8.7; e fornecer informações sobre o direito de apresentar uma reclamação junto de uma autoridade de controlo, em conformidade com a Cláusula 12, alínea c), subalínea i);

(ii) retificar dados inexatos ou incompletos relativos ao titular dos dados;(ii) retificar dados inexatos ou incompletos relativos ao titular de dados;

(iii) apagar os dados pessoais relativos ao titular dos dados se tais dados estiverem a ser ou tiverem sido tratados em violação de qualquer uma destas Cláusulas que asseguram direitos de terceiros beneficiários, ou se o titular dos dados retirar o consentimento em que o tratamento se baseia.(iii) apagar dados pessoais relativos ao titular de dados se tais dados estiverem a ser ou tiverem sido tratados em violação de qualquer uma destas Cláusulas que asseguram direitos de terceiros beneficiários, ou se o titular de dados retirar o consentimento em que o tratamento se baseia.

(c) Se o importador de dados tratar os dados pessoais para fins de marketing direto, cessará o tratamento para tais fins se o titular dos dados se opuser a tal.(c) Quando o importador de dados tratar os dados pessoais para fins de marketing direto, deve cessar o tratamento para tais fins se o titular de dados se opuser a ele.

(d) O importador de dados não tomará uma decisão baseada unicamente no tratamento automatizado dos dados pessoais transferidos (doravante "decisão automatizada"), que produza efeitos jurídicos relativamente ao titular dos dados ou que o afete de forma similarmente significativa, a menos que com o consentimento explícito do titular dos dados ou se autorizado a fazê-lo ao abrigo das leis do país de destino, desde que tais leis estabeleçam medidas adequadas para salvaguardar os direitos e interesses legítimos do titular dos dados. Neste caso, o importador de dados deverá, quando necessário em cooperação com o exportador de dados:(d) O importador de dados não deve tomar uma decisão baseada unicamente no tratamento automatizado dos dados pessoais transferidos (doravante "decisão automatizada"), que produza efeitos jurídicos relativamente ao titular de dados ou que o afete de forma similarmente significativa, a menos que com o consentimento explícito do titular de dados ou se autorizado a fazê-lo ao abrigo das leis do país de destino, desde que tais leis estabeleçam medidas adequadas para salvaguardar os direitos e interesses legítimos do titular de dados. Neste caso, o importador de dados deve, quando necessário em cooperação com o exportador de dados:

(i) informar o titular dos dados sobre a decisão automatizada prevista, as consequências previstas e a lógica envolvida; e(i) informar o titular de dados sobre a decisão automatizada prevista, as consequências previstas e a lógica envolvida; e

(ii) implementar salvaguardas adequadas, pelo menos permitindo que o titular dos dados conteste a decisão, expresse o seu ponto de vista e obtenha uma revisão por um ser humano.(ii) implementar salvaguardas adequadas, pelo menos permitindo ao titular de dados contestar a decisão, expressar o seu ponto de vista e obter uma revisão por um ser humano.

(e) Quando os pedidos de um titular de dados forem excessivos, em particular devido ao seu caráter repetitivo, o importador de dados pode cobrar uma taxa razoável, tendo em conta os custos administrativos de deferimento do pedido, ou recusar-se a dar seguimento ao pedido.(e) Quando os pedidos de um titular de dados forem excessivos, em particular devido ao seu caráter repetitivo, o importador de dados pode cobrar uma taxa razoável, tendo em conta os custos administrativos de deferimento do pedido, ou recusar-se a dar seguimento ao pedido.

(f) O importador de dados pode recusar um pedido de um titular de dados se tal recusa for permitida pelas leis do país de destino e for necessária e proporcional numa sociedade democrática para proteger um dos objetivos enumerados no artigo 23.º, n.º 1, do Regulamento (UE) 2016/679.(f) O importador de dados pode recusar um pedido de um titular de dados se tal recusa for permitida ao abrigo das leis do país de destino e for necessária e proporcional numa sociedade democrática para proteger um dos objetivos enumerados no artigo 23.º, n.º 1, do Regulamento (UE) 2016/679.

(g) Se o importador de dados pretender recusar um pedido de um titular de dados, deve informar o titular dos dados dos motivos da recusa e da possibilidade de apresentar uma reclamação junto da autoridade de controlo competente e/ou de procurar reparação judicial.(g) Se o importador de dados tencionar recusar um pedido de um titular de dados, deve informar o titular de dados das razões da recusa e da possibilidade de apresentar uma reclamação junto da autoridade de controlo competente e/ou de procurar reparação judicial.

MÓDULO DOIS: Transferência de responsável pelo tratamento para processadorMÓDULO DOIS: Transferência de responsável pelo tratamento para subcontratante

(a) O importador de dados deve notificar prontamente o exportador de dados de qualquer pedido que tenha recebido de um titular de dados. Não deve responder a esse pedido por si mesmo, a menos que tenha sido autorizado a fazê-lo pelo exportador de dados.(a) O importador de dados deve notificar prontamente o exportador de dados de qualquer pedido que tenha recebido de um titular de dados. Não deve responder a esse pedido por si mesmo, a menos que tenha sido autorizado a fazê-lo pelo exportador de dados.

(b) O importador de dados deve auxiliar o exportador de dados no cumprimento das suas obrigações de responder aos pedidos dos titulares dos dados para o exercício dos seus direitos ao abrigo do Regulamento (UE) 2016/679. A este respeito, as Partes devem estabelecer no Anexo II as medidas técnicas e organizacionais adequadas, tendo em conta a natureza do tratamento, através das quais a assistência será prestada, bem como o âmbito e a extensão da assistência exigida.(b) O importador de dados deve auxiliar o exportador de dados no cumprimento das suas obrigações de responder aos pedidos dos titulares dos dados para o exercício dos seus direitos ao abrigo do Regulamento (UE) 2016/679. A este respeito, as Partes devem definir no Anexo II as medidas técnicas e organizacionais adequadas, tendo em conta a natureza do tratamento, através das quais a assistência será prestada, bem como o âmbito e a extensão da assistência necessária.

(c) No cumprimento das suas obrigações nos termos dos parágrafos (a) e (b), o importador de dados deve cumprir as instruções do exportador de dados.(c) No cumprimento das suas obrigações ao abrigo dos parágrafos (a) e (b), o importador de dados deve cumprir as instruções do exportador de dados.

MÓDULO TRÊS: Transferência de processador para processadorMÓDULO TRÊS: Transferência de processador para processador

(a) O importador de dados deve notificar prontamente o exportador de dados e, se for caso disso, o responsável pelo tratamento de qualquer pedido que tenha recebido de um titular de dados, sem responder a esse pedido, a menos que tenha sido autorizado a fazê-lo pelo responsável pelo tratamento.(a) O importador de dados deve notificar prontamente o exportador de dados e, se for caso disso, o responsável pelo tratamento de qualquer pedido que tenha recebido de um titular dos dados, sem responder a esse pedido, a menos que tenha sido autorizado a fazê-lo pelo responsável pelo tratamento.

(b) O importador de dados deve auxiliar, se for caso disso em cooperação com o exportador de dados, o responsável pelo tratamento no cumprimento das suas obrigações de responder aos pedidos dos titulares dos dados para o exercício dos seus direitos ao abrigo do Regulamento (UE) 2016/679 ou do Regulamento (UE) 2018/1725, conforme aplicável. A este respeito, as Partes devem estabelecer no Anexo II as medidas técnicas e organizacionais adequadas, tendo em conta a natureza do tratamento, através das quais a assistência será prestada, bem como o âmbito e a extensão da assistência exigida.(b) O importador de dados deve auxiliar, se for caso disso em cooperação com o exportador de dados, o responsável pelo tratamento no cumprimento das suas obrigações de responder aos pedidos dos titulares dos dados para o exercício dos seus direitos ao abrigo do Regulamento (UE) 2016/679 ou do Regulamento (UE) 2018/1725, consoante o caso. A este respeito, as Partes devem estabelecer no Anexo II as medidas técnicas e organizativas adequadas, tendo em conta a natureza do tratamento, pelas quais a assistência deve ser prestada, bem como o âmbito e a extensão da assistência exigida.

(c) No cumprimento das suas obrigações nos termos dos parágrafos (a) e (b), o importador de dados deve cumprir as instruções do responsável pelo tratamento, conforme comunicadas pelo exportador de dados.(c) No cumprimento das suas obrigações ao abrigo dos parágrafos (a) e (b), o importador de dados deve cumprir as instruções do responsável pelo tratamento, conforme comunicadas pelo exportador de dados.

MÓDULO QUATRO: Transferência de processador para responsável pelo tratamentoMÓDULO QUATRO: Transferência de processador para responsável pelo tratamento

As Partes devem auxiliar-se mutuamente na resposta a pedidos de informação e solicitações apresentados pelos titulares dos dados ao abrigo da legislação local aplicável ao importador de dados ou, para o tratamento de dados pelo exportador de dados na UE, ao abrigo do Regulamento (UE) 2016/679.As Partes devem auxiliar-se mutuamente na resposta a pedidos de informação e solicitações apresentados pelos titulares dos dados ao abrigo da legislação local aplicável ao importador de dados ou, no caso de tratamento de dados pelo exportador de dados na UE, ao abrigo do Regulamento (UE) 2016/679.

Cláusula 11 – ReparaçãoCláusula 11 – Recurso

(a) O importador de dados deve informar os titulares dos dados, num formato transparente e de fácil acesso, através de notificação individual ou no seu sítio web, de um ponto de contacto autorizado a tratar reclamações. Deve tratar prontamente quaisquer reclamações que receba de um titular de dados.(a) O importador de dados deve informar os titulares dos dados, num formato transparente e de fácil acesso, através de notificação individual ou no seu sítio web, de um ponto de contacto autorizado a tratar reclamações. Deve tratar prontamente quaisquer reclamações que receba de um titular dos dados.

MÓDULO UM: Transferência de responsável pelo tratamento para responsável pelo tratamentoMÓDULO UM: Transferência de responsável pelo tratamento para responsável pelo tratamento

MÓDULO DOIS: Transferência de responsável pelo tratamento para processadorMÓDULO DOIS: Transferência de responsável pelo tratamento para processador

MÓDULO TRÊS: Transferência de processador para processadorMÓDULO TRÊS: Transferência de processador para processador

(b) Em caso de litígio entre um titular de dados e uma das Partes relativamente ao cumprimento destas Cláusulas, essa Parte envidará os seus melhores esforços para resolver a questão amigavelmente e em tempo útil. As Partes devem manter-se mutuamente informadas sobre tais litígios e, se for caso disso, cooperar na sua resolução.(b) Em caso de litígio entre um titular dos dados e uma das Partes relativamente ao cumprimento destas Cláusulas, essa Parte deve envidar os seus melhores esforços para resolver a questão amigavelmente e em tempo útil. As Partes devem manter-se mutuamente informadas sobre tais litígios e, se for caso disso, cooperar na sua resolução.

(c) Quando o titular dos dados invocar um direito de beneficiário terceiro nos termos da Cláusula 3, o importador de dados deve aceitar a decisão do titular dos dados de:(c) Quando o titular dos dados invocar um direito de terceiro beneficiário nos termos da Cláusula 3, o importador de dados deve aceitar a decisão do titular dos dados de:

(i) apresentar uma reclamação à autoridade de controlo do Estado-Membro da sua residência habitual ou local de trabalho, ou à autoridade de controlo competente nos termos da Cláusula 13;(i) apresentar uma reclamação junto da autoridade de controlo no Estado-Membro da sua residência habitual ou local de trabalho, ou da autoridade de controlo competente nos termos da Cláusula 13;

(ii) remeter o litígio para os tribunais competentes na aceção da Cláusula 18.(ii) submeter o litígio aos tribunais competentes na aceção da Cláusula 18.

(d) As Partes aceitam que o titular dos dados pode ser representado por um organismo, organização ou associação sem fins lucrativos nas condições estabelecidas no artigo 80.º, n.º 1, do Regulamento (UE) 2016/679.(d) As Partes aceitam que o titular dos dados pode ser representado por um organismo, organização ou associação sem fins lucrativos nas condições estabelecidas no artigo 80.º, n.º 1, do Regulamento (UE) 2016/679.

(e) O importador de dados cumprirá uma decisão que seja vinculativa nos termos da legislação aplicável da UE ou do Estado-Membro.(e) O importador de dados deve cumprir uma decisão que seja vinculativa ao abrigo da legislação aplicável da UE ou do Estado-Membro.

(f) O importador de dados concorda que a escolha feita pelo titular dos dados não prejudicará os seus direitos substantivos e processuais de procurar soluções em conformidade com as leis aplicáveis.(f) O importador de dados concorda que a escolha feita pelo titular dos dados não prejudicará os seus direitos substantivos e processuais de procurar recursos em conformidade com as leis aplicáveis.

Cláusula 12 – ResponsabilidadeCláusula 12 – Responsabilidade

MÓDULO UM: Transferência de responsável pelo tratamento para responsável pelo tratamentoMÓDULO UM: Transferência de controlador para controlador

MÓDULO QUATRO: Transferência de subcontratante para responsável pelo tratamentoMÓDULO QUATRO: Transferência de processador para controlador

(a) Cada Parte será responsável perante a(s) outra(s) Parte(s) por quaisquer danos que cause à(s) outra(s) Parte(s) por qualquer violação destas Cláusulas.(a) Cada Parte será responsável perante a(s) outra(s) Parte(s) por quaisquer danos que cause à(s) outra(s) Parte(s) por qualquer violação destas Cláusulas.

(b) Cada Parte será responsável perante o titular dos dados, e o titular dos dados terá direito a receber compensação, por quaisquer danos materiais ou não materiais que a Parte cause ao titular dos dados ao violar os direitos de beneficiário terceiro nos termos destas Cláusulas. Isto não prejudica a responsabilidade do exportador de dados nos termos do Regulamento (UE) 2016/679.(b) Cada Parte será responsável perante o titular dos dados, e o titular dos dados terá o direito de receber compensação, por quaisquer danos materiais ou não materiais que a Parte cause ao titular dos dados ao violar os direitos de terceiros beneficiários nos termos destas Cláusulas. Isto não prejudica a responsabilidade do exportador de dados nos termos do Regulamento (UE) 2016/679.

(c) Se mais de uma Parte for responsável por qualquer dano causado ao titular dos dados em resultado de uma violação destas Cláusulas, todas as Partes responsáveis serão solidariamente responsáveis e o titular dos dados tem o direito de intentar uma ação judicial contra qualquer uma destas Partes.(c) Se mais de uma Parte for responsável por qualquer dano causado ao titular dos dados em resultado de uma violação destas Cláusulas, todas as Partes responsáveis serão solidariamente responsáveis e o titular dos dados terá o direito de intentar uma ação judicial contra qualquer uma dessas Partes.

(d) As Partes acordam que, se uma Parte for considerada responsável nos termos do parágrafo (c), terá o direito de reclamar da(s) outra(s) Parte(s) a parte da compensação correspondente à sua/sua(s) responsabilidade(s) pelo dano.(d) As Partes acordam que, se uma Parte for responsabilizada nos termos do parágrafo (c), terá o direito de reclamar da(s) outra(s) Parte(s) a parte da compensação correspondente à sua responsabilidade pelo dano.

(e) O importador de dados não pode invocar a conduta de um subcontratante ou subcontratante para evitar a sua própria responsabilidade.(e) O importador de dados não pode invocar a conduta de um processador ou subcontratante para se eximir da sua própria responsabilidade.

MÓDULO DOIS: Transferência de responsável pelo tratamento para subcontratanteMÓDULO DOIS: Transferência de controlador para processador

MÓDULO TRÊS: Transferência de subcontratante para subcontratanteMÓDULO TRÊS: Transferência de processador para processador

(a) Cada Parte será responsável perante a(s) outra(s) Parte(s) por quaisquer danos que cause à(s) outra(s) Parte(s) por qualquer violação destas Cláusulas.(a) Cada Parte será responsável perante a(s) outra(s) Parte(s) por quaisquer danos que cause à(s) outra(s) Parte(s) por qualquer violação destas Cláusulas.

(b) O importador de dados será responsável perante o titular dos dados, e o titular dos dados terá direito a receber compensação, por quaisquer danos materiais ou não materiais que o importador de dados ou o seu subcontratante cause ao titular dos dados ao violar os direitos de beneficiário terceiro nos termos destas Cláusulas.(b) O importador de dados será responsável perante o titular dos dados, e o titular dos dados terá o direito de receber compensação, por quaisquer danos materiais ou não materiais que o importador de dados ou o seu subcontratante cause ao titular dos dados ao violar os direitos de terceiros beneficiários nos termos destas Cláusulas.

(c) Não obstante o parágrafo (b), o exportador de dados será responsável perante o titular dos dados, e o titular dos dados terá direito a receber compensação, por quaisquer danos materiais ou não materiais que o exportador de dados ou o importador de dados (ou o seu subcontratante) cause ao titular dos dados ao violar os direitos de beneficiário terceiro nos termos destas Cláusulas. Isto não prejudica a responsabilidade do exportador de dados e, quando o exportador de dados for um subcontratante que atua em nome de um responsável pelo tratamento, a responsabilidade do responsável pelo tratamento nos termos do Regulamento (UE) 2016/679 ou do Regulamento (UE) 2018/1725, consoante aplicável.(c) Não obstante o parágrafo (b), o exportador de dados será responsável perante o titular dos dados, e o titular dos dados terá o direito de receber compensação, por quaisquer danos materiais ou não materiais que o exportador de dados ou o importador de dados (ou o seu subcontratante) cause ao titular dos dados ao violar os direitos de terceiros beneficiários nos termos destas Cláusulas. Isto não prejudica a responsabilidade do exportador de dados e, quando o exportador de dados for um processador que atua em nome de um controlador, a responsabilidade do controlador nos termos do Regulamento (UE) 2016/679 ou do Regulamento (UE) 2018/1725, conforme aplicável.

(d) As Partes acordam que, se o exportador de dados for considerado responsável nos termos do parágrafo (c) por danos causados pelo importador de dados (ou pelo seu subcontratante), terá o direito de reclamar do importador de dados a parte da compensação correspondente à responsabilidade do importador de dados pelo dano.(d) As Partes acordam que, se o exportador de dados for responsabilizado nos termos do parágrafo (c) por danos causados pelo importador de dados (ou pelo seu subcontratante), terá o direito de reclamar do importador de dados a parte da compensação correspondente à responsabilidade do importador de dados pelo dano.

(e) Se mais de uma Parte for responsável por qualquer dano causado ao titular dos dados em resultado de uma violação destas Cláusulas, todas as Partes responsáveis serão solidariamente responsáveis e o titular dos dados tem o direito de intentar uma ação judicial contra qualquer uma destas Partes.(e) Se mais de uma Parte for responsável por qualquer dano causado ao titular dos dados em resultado de uma violação destas Cláusulas, todas as Partes responsáveis serão solidariamente responsáveis e o titular dos dados terá o direito de intentar uma ação judicial contra qualquer uma dessas Partes.

(f) As Partes acordam que, se uma Parte for responsabilizada nos termos do parágrafo (e), terá o direito de reclamar da(s) outra(s) Parte(s) a parte da compensação correspondente à sua responsabilidade pelo dano.(f) As Partes acordam que, se uma Parte for considerada responsável nos termos do parágrafo (e), terá o direito de reclamar da(s) outra(s) Parte(s) a parte da compensação correspondente à sua/sua responsabilidade pelo dano.

(g) O importador de dados não pode invocar a conduta de um subcontratante para se eximir da sua própria responsabilidade.(g) O importador de dados não pode invocar a conduta de um subcontratante para evitar a sua própria responsabilidade.

Cláusula 13 – SupervisãoCláusula 13 – Supervisão

MÓDULO UM: Transferência de controlador para controladorMÓDULO UM: Transferência de responsável pelo tratamento para responsável pelo tratamento

MÓDULO DOIS: Transferência de controlador para processadorMÓDULO DOIS: Transferência de responsável pelo tratamento para processador

MÓDULO TRÊS: Transferência de processador para processadorMÓDULO TRÊS: Transferência de processador para processador

(a) Quando o exportador de dados está estabelecido num Estado-Membro da UE: A autoridade de controlo responsável por assegurar o cumprimento pelo exportador de dados do Regulamento (UE) 2016/679 no que diz respeito à transferência de dados, conforme indicado no Anexo I.C, atuará como autoridade de controlo competente.(a) Quando o exportador de dados estiver estabelecido num Estado-Membro da UE: A autoridade de controlo responsável por garantir o cumprimento pelo exportador de dados do Regulamento (UE) 2016/679 no que diz respeito à transferência de dados, conforme indicado no Anexo I.C, atuará como autoridade de controlo competente.

(b) Quando o exportador de dados não está estabelecido num Estado-Membro da UE, mas se enquadra no âmbito de aplicação territorial do Regulamento (UE) 2016/679, em conformidade com o seu artigo 3.º, n.º 2, e nomeou um representante nos termos do artigo 27.º, n.º 1, do Regulamento (UE) 2016/679: A autoridade de controlo do Estado-Membro em que o representante, na aceção do artigo 27.º, n.º 1, do Regulamento (UE) 2016/679, está estabelecido, conforme indicado no Anexo I.C, atuará como autoridade de controlo competente.(b) Quando o exportador de dados não estiver estabelecido num Estado-Membro da UE, mas se enquadrar no âmbito de aplicação territorial do Regulamento (UE) 2016/679, em conformidade com o seu artigo 3.º, n.º 2, e tiver nomeado um representante nos termos do artigo 27.º, n.º 1, do Regulamento (UE) 2016/679: A autoridade de controlo do Estado-Membro em que o representante, na aceção do artigo 27.º, n.º 1, do Regulamento (UE) 2016/679, está estabelecido, conforme indicado no Anexo I.C, atuará como autoridade de controlo competente.

(c) Quando o exportador de dados não está estabelecido num Estado-Membro da UE, mas se enquadra no âmbito de aplicação territorial do Regulamento (UE) 2016/679, em conformidade com o seu artigo 3.º, n.º 2, sem, contudo, ter de nomear um representante nos termos do artigo 27.º, n.º 2, do Regulamento (UE) 2016/679: A autoridade de controlo de um dos Estados-Membros em que se encontram os titulares dos dados cujos dados pessoais são transferidos ao abrigo destas Cláusulas em relação à oferta de bens ou serviços a estes, ou cujo comportamento é monitorizado, conforme indicado no Anexo I.C, atuará como autoridade de controlo competente.(c) Quando o exportador de dados não estiver estabelecido num Estado-Membro da UE, mas se enquadrar no âmbito de aplicação territorial do Regulamento (UE) 2016/679, em conformidade com o seu artigo 3.º, n.º 2, sem, contudo, ter de nomear um representante nos termos do artigo 27.º, n.º 2, do Regulamento (UE) 2016/679: A autoridade de controlo de um dos Estados-Membros em que se encontram os titulares dos dados cujos dados pessoais são transferidos nos termos das presentes Cláusulas em relação à oferta de bens ou serviços a estes, ou cujo comportamento é monitorizado, conforme indicado no Anexo I.C, atuará como autoridade de controlo competente.

(b) O importador de dados concorda em submeter-se à jurisdição e cooperar com a autoridade de controlo competente em quaisquer procedimentos destinados a assegurar o cumprimento destas Cláusulas. Em particular, o importador de dados concorda em responder a inquéritos, submeter-se a auditorias e cumprir as medidas adotadas pela autoridade de controlo, incluindo medidas corretivas e compensatórias. Deve fornecer à autoridade de controlo uma confirmação por escrito de que as ações necessárias foram tomadas.(b) O importador de dados concorda em submeter-se à jurisdição e cooperar com a autoridade de controlo competente em quaisquer procedimentos destinados a garantir o cumprimento das presentes Cláusulas. Em particular, o importador de dados concorda em responder a inquéritos, submeter-se a auditorias e cumprir as medidas adotadas pela autoridade de controlo, incluindo medidas corretivas e compensatórias. Deve fornecer à autoridade de controlo uma confirmação por escrito de que as ações necessárias foram tomadas.

SECÇÃO III – LEIS E OBRIGAÇÕES LOCAIS EM CASO DE ACESSO POR AUTORIDADES PÚBLICASSECÇÃO III – LEIS E OBRIGAÇÕES LOCAIS EM CASO DE ACESSO POR AUTORIDADES PÚBLICAS

Cláusula 14 – Leis e práticas locais que afetam o cumprimento das CláusulasCláusula 14 – Leis e práticas locais que afetam o cumprimento das Cláusulas

MÓDULO UM: Transferência de responsável pelo tratamento para responsável pelo tratamentoMÓDULO UM: Transferência de controlador para controlador

MÓDULO DOIS: Transferência de responsável pelo tratamento para processadorMÓDULO DOIS: Transferência de controlador para processador

MÓDULO TRÊS: Transferência de processador para processadorMÓDULO TRÊS: Transferência de processador para processador

MÓDULO QUATRO: Transferência de processador para responsável pelo tratamento (quando o processador da UE combina os dados pessoais recebidos do responsável pelo tratamento de país terceiro com dados pessoais recolhidos pelo processador na UE)MÓDULO QUATRO: Transferência de processador para controlador (onde o processador da UE combina os dados pessoais recebidos do controlador do país terceiro com os dados pessoais recolhidos pelo processador na UE)

(a) As Partes garantem que não têm razões para crer que as leis e práticas do país terceiro de destino aplicáveis ao tratamento dos dados pessoais pelo importador de dados, incluindo quaisquer requisitos de divulgação de dados pessoais ou medidas que autorizem o acesso por autoridades públicas, impeçam o importador de dados de cumprir as suas obrigações ao abrigo destas Cláusulas. Isto baseia-se no entendimento de que as leis e práticas que respeitam a essência dos direitos e liberdades fundamentais e não excedem o que é necessário e proporcional numa sociedade democrática para salvaguardar um dos objetivos enumerados no artigo 23.º, n.º 1, do Regulamento (UE) 2016/679, não estão em contradição com estas Cláusulas.(a) As Partes garantem que não têm motivos para crer que as leis e práticas no país terceiro de destino aplicáveis ao tratamento dos dados pessoais pelo importador de dados, incluindo quaisquer requisitos para divulgar dados pessoais ou medidas que autorizem o acesso por autoridades públicas, impedem o importador de dados de cumprir as suas obrigações nos termos das presentes Cláusulas. Isto baseia-se no entendimento de que as leis e práticas que respeitam a essência dos direitos e liberdades fundamentais e não excedem o que é necessário e proporcional numa sociedade democrática para salvaguardar um dos objetivos enumerados no artigo 23.º, n.º 1, do Regulamento (UE) 2016/679, não estão em contradição com as presentes Cláusulas.

(b) As Partes declaram que, ao fornecerem a garantia prevista no parágrafo (a), tiveram devidamente em conta, em particular, os seguintes elementos:(b) As Partes declaram que, ao fornecer a garantia no parágrafo (a), tiveram devidamente em conta, em particular, os seguintes elementos:

(i) as circunstâncias específicas da transferência, incluindo a duração da cadeia de tratamento, o número de intervenientes envolvidos e os canais de transmissão utilizados; as transferências subsequentes previstas; o tipo de destinatário; a finalidade do tratamento; as categorias e o formato dos dados pessoais transferidos; o setor económico em que a transferência ocorre; o local de armazenamento dos dados transferidos;(i) as circunstâncias específicas da transferência, incluindo a duração da cadeia de tratamento, o número de intervenientes envolvidos e os canais de transmissão utilizados; transferências subsequentes previstas; o tipo de destinatário; a finalidade do tratamento; as categorias e o formato dos dados pessoais transferidos; o setor económico em que a transferência ocorre; o local de armazenamento dos dados transferidos;

(ii) as leis e práticas do país terceiro de destino – incluindo as que exigem a divulgação de dados a autoridades públicas ou que autorizam o acesso por essas autoridades – relevantes à luz das circunstâncias específicas da transferência, e as limitações e salvaguardas aplicáveis;(ii) as leis e práticas do país terceiro de destino – incluindo as que exigem a divulgação de dados a autoridades públicas ou que autorizam o acesso por tais autoridades – relevantes à luz das circunstâncias específicas da transferência, e as limitações e salvaguardas aplicáveis;

(iii) quaisquer salvaguardas contratuais, técnicas ou organizacionais relevantes implementadas para complementar as salvaguardas ao abrigo destas Cláusulas, incluindo medidas aplicadas durante a transmissão e ao tratamento dos dados pessoais no país de destino.(iii) quaisquer salvaguardas contratuais, técnicas ou organizacionais relevantes implementadas para complementar as salvaguardas nos termos das presentes Cláusulas, incluindo medidas aplicadas durante a transmissão e ao tratamento dos dados pessoais no país de destino.

(c) O importador de dados garante que, ao realizar a avaliação nos termos do parágrafo (b), envidou os seus melhores esforços para fornecer ao exportador de dados informações relevantes e concorda que continuará a cooperar com o exportador de dados para garantir o cumprimento destas Cláusulas.(c) O importador de dados garante que, ao realizar a avaliação nos termos do parágrafo (b), envidou os seus melhores esforços para fornecer ao exportador de dados informações relevantes e concorda que continuará a cooperar com o exportador de dados para garantir o cumprimento das presentes Cláusulas.

(d) As Partes concordam em documentar a avaliação nos termos do parágrafo (b) e em a disponibilizar à autoridade de controlo competente, mediante pedido.(d) As Partes concordam em documentar a avaliação nos termos do parágrafo (b) e disponibilizá-la à autoridade de controlo competente, mediante pedido.

(e) O importador de dados concorda em notificar o exportador de dados prontamente se, após ter acordado com estas Cláusulas e durante a vigência do contrato, tiver motivos para crer que está ou se tornou sujeito a leis ou práticas que não estão em conformidade com os requisitos do parágrafo (a), incluindo na sequência de uma alteração nas leis do país terceiro ou de uma medida (como um pedido de divulgação) que indique uma aplicação de tais leis na prática que não esteja em conformidade com os requisitos do parágrafo (a).(e) O importador de dados concorda em notificar o exportador de dados prontamente se, após ter concordado com as presentes Cláusulas e durante a vigência do contrato, tiver motivos para crer que está ou passou a estar sujeito a leis ou práticas que não estão em conformidade com os requisitos do parágrafo (a), incluindo na sequência de uma alteração nas leis do país terceiro ou de uma medida (como um pedido de divulgação) que indique uma aplicação de tais leis na prática que não esteja em conformidade com os requisitos do parágrafo (a).

(f) Após uma notificação nos termos do parágrafo (e), ou se o exportador de dados tiver de outra forma motivos para crer que o importador de dados já não pode cumprir as suas obrigações ao abrigo destas Cláusulas, o exportador de dados deverá identificar prontamente medidas apropriadas (por exemplo, medidas técnicas ou organizacionais para garantir a segurança e a confidencialidade) a serem adotadas pelo exportador de dados e/ou importador de dados para resolver a situação. O exportador de dados deverá suspender a transferência de dados se considerar que não podem ser asseguradas salvaguardas adequadas para tal transferência, ou se for instruído a fazê-lo pela autoridade de controlo competente. Neste caso, o exportador de dados terá o direito de rescindir o contrato, na medida em que este diga respeito ao tratamento de dados pessoais ao abrigo destas Cláusulas. Se o contrato envolver mais de duas Partes, o exportador de dados poderá exercer este direito de rescisão apenas em relação à Parte relevante, a menos que as Partes tenham acordado de outra forma. Quando o contrato for rescindido nos termos desta Cláusula, aplicar-se-ão as Cláusulas 16(d) e (e).(f) Na sequência de uma notificação nos termos do parágrafo (e), ou se o exportador de dados tiver, de outra forma, motivos para crer que o importador de dados já não pode cumprir as suas obrigações nos termos das presentes Cláusulas, o exportador de dados deve identificar prontamente medidas adequadas (por exemplo, medidas técnicas ou organizacionais para garantir a segurança e a confidencialidade) a serem adotadas pelo exportador de dados e/ou importador de dados para resolver a situação. O exportador de dados deve suspender a transferência de dados se considerar que não podem ser asseguradas salvaguardas adequadas para essa transferência, ou se for instruído a fazê-lo pela autoridade de controlo competente. Nesse caso, o exportador de dados terá o direito de rescindir o contrato, na medida em que este diga respeito ao tratamento de dados pessoais nos termos das presentes Cláusulas. Se o contrato envolver mais de duas Partes, o exportador de dados pode exercer este direito de rescisão apenas em relação à Parte relevante, a menos que as Partes tenham acordado de outra forma. Quando o contrato for rescindido nos termos da presente Cláusula, aplicar-se-ão a Cláusula 16(d) e (e).

Cláusula 15 – Obrigações do importador de dados em caso de acesso por autoridades públicasCláusula 15 – Obrigações do importador de dados em caso de acesso por autoridades públicas

MÓDULO UM: Transferência de responsável pelo tratamento para responsável pelo tratamentoMÓDULO UM: Transferência de responsável pelo tratamento para responsável pelo tratamento

MÓDULO DOIS: Transferência de responsável pelo tratamento para processadorMÓDULO DOIS: Transferência de responsável pelo tratamento para processador

MÓDULO TRÊS: Transferência de processador para processadorMÓDULO TRÊS: Transferência de processador para processador

MÓDULO QUATRO: Transferência de processador para responsável pelo tratamento (onde o processador da UE combina os dados pessoais recebidos do responsável pelo tratamento de país terceiro com dados pessoais recolhidos pelo processador na UE)MÓDULO QUATRO: Transferência de processador para responsável pelo tratamento (onde o processador da UE combina os dados pessoais recebidos do responsável pelo tratamento de país terceiro com dados pessoais recolhidos pelo processador na UE)

15.1 Notificação15.1 Notificação

(a) O importador de dados concorda em notificar o exportador de dados e, sempre que possível, o titular dos dados prontamente (se necessário com a ajuda do exportador de dados) se:(a) O importador de dados concorda em notificar o exportador de dados e, sempre que possível, o titular dos dados prontamente (se necessário com a ajuda do exportador de dados) se:

(i) receber um pedido legalmente vinculativo de uma autoridade pública, incluindo autoridades judiciais, ao abrigo das leis do país de destino para a divulgação de dados pessoais transferidos nos termos destas Cláusulas; tal notificação deverá incluir informações sobre os dados pessoais solicitados, a autoridade requerente, a base legal para o pedido e a resposta fornecida; ou(i) receber um pedido legalmente vinculativo de uma autoridade pública, incluindo autoridades judiciais, ao abrigo das leis do país de destino para a divulgação de dados pessoais transferidos nos termos destas Cláusulas; tal notificação deverá incluir informações sobre os dados pessoais solicitados, a autoridade requerente, a base legal para o pedido e a resposta fornecida; ou

(ii) tomar conhecimento de qualquer acesso direto por autoridades públicas a dados pessoais transferidos nos termos destas Cláusulas, em conformidade com as leis do país de destino; tal notificação deverá incluir todas as informações disponíveis ao importador.(ii) tomar conhecimento de qualquer acesso direto por autoridades públicas a dados pessoais transferidos nos termos destas Cláusulas, em conformidade com as leis do país de destino; tal notificação deverá incluir todas as informações disponíveis ao importador.

(b) Se o importador de dados for proibido de notificar o exportador de dados e/ou o titular dos dados ao abrigo das leis do país de destino, o importador de dados concorda em envidar os seus melhores esforços para obter uma dispensa da proibição, com vista a comunicar o máximo de informações possível, o mais rapidamente possível. O importador de dados concorda em documentar os seus melhores esforços para poder demonstrá-los a pedido do exportador de dados.(b) Se o importador de dados for proibido de notificar o exportador de dados e/ou o titular dos dados ao abrigo das leis do país de destino, o importador de dados concorda em envidar os seus melhores esforços para obter uma dispensa da proibição, com vista a comunicar o máximo de informações possível, o mais rapidamente possível. O importador de dados concorda em documentar os seus melhores esforços para poder demonstrá-los a pedido do exportador de dados.

(c) Quando permitido pelas leis do país de destino, o importador de dados concorda em fornecer ao exportador de dados, em intervalos regulares durante a vigência do contrato, o máximo de informações relevantes possível sobre os pedidos recebidos (em particular, número de pedidos, tipo de dados solicitados, autoridade(s) requerente(s), se os pedidos foram contestados e o resultado de tais contestações, etc.).(c) Quando permitido pelas leis do país de destino, o importador de dados concorda em fornecer ao exportador de dados, em intervalos regulares durante a vigência do contrato, o máximo de informações relevantes possível sobre os pedidos recebidos (em particular, número de pedidos, tipo de dados solicitados, autoridade(s) requerente(s), se os pedidos foram contestados e o resultado de tais contestações, etc.).

(d) O importador de dados concorda em preservar as informações nos termos dos parágrafos (a) a (c) durante a vigência do contrato e em as disponibilizar à autoridade de controlo competente, mediante pedido.(d) O importador de dados concorda em preservar as informações nos termos dos parágrafos (a) a (c) durante a vigência do contrato e disponibilizá-las à autoridade de controlo competente, mediante pedido.

(e) Os parágrafos (a) a (c) não prejudicam a obrigação do importador de dados, nos termos da Cláusula 14(e) e da Cláusula 16, de informar prontamente o exportador de dados caso não consiga cumprir estas Cláusulas.(e) Os parágrafos (a) a (c) não prejudicam a obrigação do importador de dados, nos termos da Cláusula 14(e) e da Cláusula 16, de informar prontamente o exportador de dados caso não consiga cumprir estas Cláusulas.

15.2 Revisão da legalidade e minimização de dados15.2 Revisão da legalidade e minimização de dados

(a) O importador de dados concorda em rever a legalidade do pedido de divulgação, em particular se este se mantém dentro dos poderes concedidos à autoridade pública requerente, e em contestar o pedido se, após avaliação cuidadosa, concluir que existem motivos razoáveis para considerar que o pedido é ilegal ao abrigo das leis do país de destino, das obrigações aplicáveis ao abrigo do direito internacional e dos princípios de cortesia internacional. O importador de dados deverá, nas mesmas condições, procurar possibilidades de recurso. Ao contestar um pedido, o importador de dados deverá procurar medidas provisórias com vista a suspender os efeitos do pedido até que a autoridade judicial competente decida sobre o seu mérito. Não deverá divulgar os dados pessoais solicitados até que seja obrigado a fazê-lo ao abrigo das regras processuais aplicáveis. Estes requisitos não prejudicam as obrigações do importador de dados ao abrigo da Cláusula 14(e).(a) O importador de dados concorda em rever a legalidade do pedido de divulgação, em particular se este se mantém dentro dos poderes concedidos à autoridade pública requerente, e em contestar o pedido se, após avaliação cuidadosa, concluir que existem motivos razoáveis para considerar que o pedido é ilegal ao abrigo das leis do país de destino, das obrigações aplicáveis ao abrigo do direito internacional e dos princípios de cortesia internacional. O importador de dados deverá, nas mesmas condições, procurar possibilidades de recurso. Ao contestar um pedido, o importador de dados deverá procurar medidas provisórias com vista a suspender os efeitos do pedido até que a autoridade judicial competente decida sobre o seu mérito. Não deverá divulgar os dados pessoais solicitados até que seja obrigado a fazê-lo ao abrigo das regras processuais aplicáveis. Estes requisitos não prejudicam as obrigações do importador de dados ao abrigo da Cláusula 14(e).

(b) O importador de dados concorda em documentar a sua avaliação jurídica e qualquer contestação ao pedido de divulgação e, na medida do permitido pelas leis do país de destino, disponibilizar a documentação ao exportador de dados. Deve também disponibilizá-la à autoridade de controlo competente, mediante pedido.(b) O importador de dados concorda em documentar a sua avaliação jurídica e qualquer contestação ao pedido de divulgação e, na medida do permitido pelas leis do país de destino, disponibilizar a documentação ao exportador de dados. Deverá também disponibilizá-la à autoridade de controlo competente, mediante pedido.

(c) O importador de dados concorda em fornecer a quantidade mínima de informações permitida ao responder a um pedido de divulgação, com base numa interpretação razoável do pedido.(c) O importador de dados concorda em fornecer a quantidade mínima de informações permitida ao responder a um pedido de divulgação, com base numa interpretação razoável do pedido.

SECÇÃO IV – DISPOSIÇÕES FINAISSECÇÃO IV – DISPOSIÇÕES FINAIS

Cláusula 16 – Incumprimento das Cláusulas e rescisãoCláusula 16 – Não cumprimento das Cláusulas e rescisão

(a) O importador de dados deve informar prontamente o exportador de dados se for incapaz de cumprir estas Cláusulas, por qualquer motivo.(a) O importador de dados deverá informar prontamente o exportador de dados caso não consiga cumprir estas Cláusulas, por qualquer motivo.

(b) No caso de o importador de dados estar em incumprimento destas Cláusulas ou incapaz de as cumprir, o exportador de dados deve suspender a transferência de dados pessoais para o importador de dados até que o cumprimento seja novamente assegurado ou o contrato seja rescindido. Isto não prejudica a Cláusula 14(f).(b) Caso o importador de dados viole estas Cláusulas ou não consiga cumpri-las, o exportador de dados suspenderá a transferência de dados pessoais para o importador de dados até que o cumprimento seja novamente assegurado ou o contrato seja rescindido. Isto não prejudica a Cláusula 14(f).

(c) O exportador de dados terá o direito de rescindir o contrato, na medida em que este diga respeito ao tratamento de dados pessoais nos termos destas Cláusulas, quando:(c) O exportador de dados terá o direito de rescindir o contrato, na medida em que este diga respeito ao tratamento de dados pessoais nos termos destas Cláusulas, quando:

(i) o exportador de dados suspendeu a transferência de dados pessoais para o importador de dados nos termos do parágrafo (b) e o cumprimento destas Cláusulas não é restabelecido num prazo razoável e, em qualquer caso, no prazo de um mês após a suspensão;(i) o exportador de dados suspendeu a transferência de dados pessoais para o importador de dados nos termos do parágrafo (b) e a conformidade com estas Cláusulas não é restabelecida num prazo razoável e, em qualquer caso, no prazo de um mês após a suspensão;

(ii) o importador de dados está em incumprimento substancial ou persistente destas Cláusulas; ou(ii) o importador de dados está em incumprimento substancial ou persistente destas Cláusulas; ou

(iii) o importador de dados não cumpre uma decisão vinculativa de um tribunal competente ou de uma autoridade de controlo relativamente às suas obrigações nos termos destas Cláusulas. Nestes casos, deve informar a autoridade de controlo competente sobre tal incumprimento. Quando o contrato envolver mais de duas Partes, o exportador de dados pode exercer este direito de rescisão apenas em relação à Parte relevante, a menos que as Partes tenham acordado de outra forma.(iii) o importador de dados não cumpre uma decisão vinculativa de um tribunal competente ou de uma autoridade de controlo relativamente às suas obrigações nos termos destas Cláusulas. Nestes casos, deve informar a autoridade de controlo competente sobre tal incumprimento. Quando o contrato envolver mais de duas Partes, o exportador de dados pode exercer este direito de rescisão apenas em relação à Parte relevante, a menos que as Partes tenham acordado de outra forma.

(d) Para o Módulo Dois: Os dados pessoais que tenham sido transferidos antes da rescisão do contrato nos termos do parágrafo (c) devem, por opção do exportador de dados, ser imediatamente devolvidos ao exportador de dados ou eliminados na sua totalidade. O mesmo se aplica a quaisquer cópias dos dados. Para o Módulo Quatro: Os dados pessoais recolhidos pelo exportador de dados na UE que tenham sido transferidos antes da rescisão do contrato nos termos do parágrafo (c) devem ser imediatamente eliminados na sua totalidade, incluindo qualquer cópia dos mesmos. O importador de dados deve certificar a eliminação dos dados ao exportador de dados. Até que os dados sejam eliminados ou devolvidos, o importador de dados deve continuar a assegurar o cumprimento destas Cláusulas. No caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou eliminação dos dados pessoais transferidos, o importador de dados garante que continuará a assegurar o cumprimento destas Cláusulas e apenas tratará os dados na medida e pelo tempo exigidos por essa lei local.(d) Para o Módulo Dois: Os dados pessoais que tenham sido transferidos antes da rescisão do contrato nos termos do parágrafo (c) devem, por opção do exportador de dados, ser imediatamente devolvidos ao exportador de dados ou eliminados na sua totalidade. O mesmo se aplica a quaisquer cópias dos dados. Para o Módulo Quatro: Os dados pessoais recolhidos pelo exportador de dados na UE que tenham sido transferidos antes da rescisão do contrato nos termos do parágrafo (c) devem ser imediatamente eliminados na sua totalidade, incluindo qualquer cópia dos mesmos. O importador de dados deve certificar a eliminação dos dados ao exportador de dados. Até que os dados sejam eliminados ou devolvidos, o importador de dados deve continuar a assegurar a conformidade com estas Cláusulas. No caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou eliminação dos dados pessoais transferidos, o importador de dados garante que continuará a assegurar a conformidade com estas Cláusulas e apenas tratará os dados na medida e pelo tempo exigidos por essa lei local.

(e) Qualquer das Partes pode revogar o seu acordo de vinculação a estas Cláusulas quando (i) a Comissão Europeia adote uma decisão nos termos do artigo 45.º, n.º 3, do Regulamento (UE) 2016/679 que abranja a transferência de dados pessoais a que estas Cláusulas se aplicam; ou(e) Qualquer das Partes pode revogar o seu acordo de vinculação a estas Cláusulas quando (i) a Comissão Europeia adote uma decisão nos termos do artigo 45.º, n.º 3, do Regulamento (UE) 2016/679 que abranja a transferência de dados pessoais a que estas Cláusulas se aplicam; ou

(ii) o Regulamento (UE) 2016/679 se torna parte do quadro jurídico do país para o qual os dados pessoais são transferidos. Isto não prejudica outras obrigações aplicáveis ao tratamento em questão nos termos do Regulamento (UE) 2016/679.(ii) o Regulamento (UE) 2016/679 se torna parte do quadro jurídico do país para o qual os dados pessoais são transferidos. Isto não prejudica outras obrigações aplicáveis ao tratamento em questão nos termos do Regulamento (UE) 2016/679.

Cláusula 17 – Lei aplicávelCláusula 17 – Lei aplicável

MÓDULO UM: Transferência de controlador para controladorMÓDULO UM: Transferência de responsável pelo tratamento para responsável pelo tratamento

MÓDULO DOIS: Transferência de controlador para processadorMÓDULO DOIS: Transferência de responsável pelo tratamento para processador

MÓDULO TRÊS: Transferência de processador para processadorMÓDULO TRÊS: Transferência de processador para processador

Estas Cláusulas serão regidas pela lei de um dos Estados-Membros da UE, desde que tal lei permita direitos de terceiros beneficiários. As Partes concordam que esta será a lei do Estado-Membro identificado no Acordo de Proteção de Dados ao qual estas cláusulas estão anexadas.Estas Cláusulas serão regidas pela lei de um dos Estados-Membros da UE, desde que tal lei permita direitos de terceiros beneficiários. As Partes acordam que esta será a lei do Estado-Membro identificado no Acordo de Proteção de Dados ao qual estas cláusulas estão anexadas.

MÓDULO QUATRO: Transferência de processador para controladorMÓDULO QUATRO: Transferência de processador para responsável pelo tratamento

Estas Cláusulas serão regidas pela lei de um país que permita direitos de terceiros beneficiários. As Partes concordam que esta será a lei identificada no Acordo de Proteção de Dados ao qual estas cláusulas estão anexadas.Estas Cláusulas serão regidas pela lei de um país que permita direitos de terceiros beneficiários. As Partes acordam que esta será a lei identificada no Acordo de Proteção de Dados ao qual estas cláusulas estão anexadas.

Cláusula 18 – Escolha de foro e jurisdiçãoCláusula 18 – Escolha do foro e da jurisdição

MÓDULO UM: Transferência de controlador para controladorMÓDULO UM: Transferência de responsável pelo tratamento para responsável pelo tratamento

MÓDULO DOIS: Transferência de controlador para processadorMÓDULO DOIS: Transferência de responsável pelo tratamento para processador

MÓDULO TRÊS: Transferência de processador para processadorMÓDULO TRÊS: Transferência de processador para processador

(a) Qualquer litígio decorrente destas Cláusulas será resolvido pelos tribunais de um Estado-Membro da UE.(a) Qualquer litígio decorrente destas Cláusulas será resolvido pelos tribunais de um Estado-Membro da UE.

(b) As Partes concordam que esses serão os tribunais do Estado-Membro identificado no Acordo de Proteção de Dados ao qual estas cláusulas estão anexadas.(b) As Partes acordam que esses serão os tribunais do Estado-Membro identificado no Acordo de Proteção de Dados ao qual estas cláusulas estão anexadas.

(c) O titular dos dados pode também intentar ações judiciais contra o exportador de dados e/ou o importador de dados perante os tribunais do Estado-Membro em que tem a sua residência habitual.(c) O titular dos dados pode também intentar ações judiciais contra o exportador de dados e/ou o importador de dados perante os tribunais do Estado-Membro em que tem a sua residência habitual.

(d) As Partes concordam em submeter-se à jurisdição de tais tribunais.(d) As Partes concordam em submeter-se à jurisdição de tais tribunais.

MÓDULO QUATRO: Transferência de processador para controladorMÓDULO QUATRO: Transferência de processador para responsável pelo tratamento

Qualquer litígio decorrente destas Cláusulas será resolvido pelos tribunais do Estado-Membro identificado no Acordo de Proteção de Dados ao qual estas cláusulas estão anexadas.Qualquer litígio decorrente destas Cláusulas será resolvido pelos tribunais do Estado-Membro identificado no Acordo de Proteção de Dados ao qual estas cláusulas estão anexadas.

APÊNDICEAPÊNDICE

ANEXO IANEXO I

A. LISTA DE PARTESA. LISTA DE PARTES

MÓDULO UM: Transferência de controlador para controladorMÓDULO UM: Transferência de responsável pelo tratamento para responsável pelo tratamento

MÓDULO DOIS: Transferência de controlador para processadorMÓDULO DOIS: Transferência de responsável pelo tratamento para processador

MÓDULO TRÊS: Transferência de processador para processadorMÓDULO TRÊS: Transferência de processador para processador

MÓDULO QUATRO: Transferência de processador para controladorMÓDULO QUATRO: Transferência de processador para responsável pelo tratamento

Exportador(es) de dados: Cliente, conforme identificado no Acordo de Processamento de Dados ao qual as Cláusulas Contratuais Padrão estão anexadas.Exportador(es) de dados: Cliente, conforme identificado no Acordo de Processamento de Dados ao qual as Cláusulas Contratuais Padrão estão anexadas.

1. Nome:1. Nome:

Cliente, conforme identificado no Contrato Principal.Cliente, conforme identificado no Contrato Principal.

Endereço:Endereço:

Conforme identificado no Contrato Principal.Conforme identificado no Contrato Principal.

Nome, cargo e detalhes de contato da pessoa de contato:Nome, cargo e dados de contacto da pessoa de contacto:

Conforme identificado no Contrato Principal.Conforme identificado no Contrato Principal.

Atividades relevantes para os dados transferidos sob estas Cláusulas:Atividades relevantes para os dados transferidos nos termos destas Cláusulas:

Recebimento e uso dos bens, serviços e/ou software sob o Acordo.Recebimento e uso dos bens, serviços e/ou software nos termos do Contrato.

Assinatura e data:Assinatura e data:

Ver página de assinatura do Contrato Principal.Ver página de assinatura do Contrato Principal.

Por: [counterpartySignerSignature_EQfX7Ot]Por: [counterpartySignerSignature_EQfX7Ot]

(Assinatura)(Assinatura)

[counterpartySignerName_pZT2SXq]_[counterpartySignerName_pZT2SXq]_

(Nome impresso)(Nome completo)

Seu: [counterpartySignerTitle_z1IeB0y]_Cargo: [counterpartySignerTitle_z1IeB0y]_

(Cargo)(Cargo)

Função (controlador/processador):Função (responsável pelo tratamento/processador):

ControladorResponsável pelo tratamento

Importador(es) de dados: Ripple Treasury, conforme identificado no Acordo de Processamento de Dados ao qual as Cláusulas Contratuais Padrão estão anexadasImportador(es) de dados: Ripple Treasury, conforme identificado no Acordo de Processamento de Dados ao qual as Cláusulas Contratuais Padrão estão anexadas

1. Nome:1. Nome:

Ripple Treasury, conforme identificado no Contrato Principal.Ripple Treasury, conforme identificado no Contrato Principal.

Endereço:Endereço:

Conforme estabelecido no Contrato Principal.Conforme estabelecido no Contrato Principal.

Nome, cargo e dados de contacto da pessoa de contacto:Nome, cargo e dados de contacto da pessoa de contacto:

Conforme estabelecido no Contrato Principal.Conforme estabelecido no Contrato Principal.

Atividades relevantes para os dados transferidos ao abrigo destas Cláusulas:Atividades relevantes para os dados transferidos nos termos destas Cláusulas:

Execução do Contrato.Cumprimento do Contrato.

Assinatura e data:Assinatura e data:

Ver página de assinatura do Contrato Principal.Consultar a página de assinaturas do Acordo Principal.

Por: [counterpartySignerSignature_01PXzlP]Por: [counterpartySignerSignature_01PXzlP]

(Assinatura)(Assinatura)

[counterpartySignerName_2Li13B0][counterpartySignerName_2Li13B0]

(Nome por extenso)(Nome impresso)

Cargo: [counterpartySignerTitle_l33M0Ml]Cargo: [counterpartySignerTitle_l33M0Ml]

(Cargo)(Cargo)

Função (controlador/processador):Função (controlador/processador):

ProcessadorProcessador

B. DESCRIÇÃO DA TRANSFERÊNCIAB. DESCRIÇÃO DA TRANSFERÊNCIA

MÓDULO UM: Transferência de controlador para controladorMÓDULO UM: Transferência de controlador para controlador

MÓDULO DOIS: Transferência de controlador para processadorMÓDULO DOIS: Transferência de controlador para processador

MÓDULO TRÊS: Transferência de processador para processadorMÓDULO TRÊS: Transferência de processador para processador

MÓDULO QUATRO: Transferência de processador para controladorMÓDULO QUATRO: Transferência de processador para controlador

Categorias de titulares de dados cujos dados pessoais são transferidos.Categorias de titulares de dados cujos dados pessoais são transferidos.

Funcionários, contratados e outros que recebem e usam o software e/ou serviços da Ripple Treasury e/ou que administram o relacionamento entre a Ripple Treasury e o Cliente.Funcionários, contratados e outros que recebem e utilizam o software e/ou serviços da Ripple Treasury e/ou que administram a relação entre a Ripple Treasury e o Cliente.

Pessoas cujos dados pessoais o Cliente inclui em registros nos sistemas da Ripple Treasury na medida do necessário para que a Ripple Treasury execute o Acordo.Pessoas cujos dados pessoais o Cliente inclui nos registos dos sistemas da Ripple Treasury na medida do necessário para que a Ripple Treasury cumpra o Acordo.

Categorias de dados pessoais transferidosCategorias de dados pessoais transferidos

Informações geralmente contidas em um ticket de suporte (por exemplo, nome, número de telefone comercial, endereço de e-mail comercial e função organizacional).Informações habitualmente contidas num ticket de suporte (por exemplo, nome, número de telefone comercial, endereço de e-mail comercial e função organizacional).

Informações necessárias para fornecer e manter credenciais de login e tickets semelhantes (por exemplo, nome, número de telefone comercial, endereço de e-mail comercial e função organizacional) ou para faturar e receber pagamentos.Informações necessárias para fornecer e manter credenciais de login e similares, e para um ticket (por exemplo, nome, número de telefone comercial, endereço de e-mail comercial e função organizacional) ou para faturar e receber pagamentos.

Informações necessárias para fornecer serviços de treinamento e/ou consultoria (por exemplo, nome, número de telefone comercial, endereço de e-mail comercial, função organizacional, localização, treinamento tentado e treinamento recebido).Informações necessárias para fornecer serviços de formação e/ou consultoria (por exemplo, nome, número de telefone comercial, endereço de e-mail comercial, função organizacional, localização, formação tentada e formação recebida).

Dados sensíveis transferidos (se aplicável) e restrições ou salvaguardas aplicadas que considerem plenamente a natureza dos dados e os riscos envolvidos, como, por exemplo, limitação estrita da finalidade, restrições de acesso (incluindo acesso apenas para funcionários que tenham recebido treinamento especializado), manutenção de um registro de acesso aos dados, restrições para transferências posteriores ou medidas de segurança adicionais.Dados sensíveis transferidos (se aplicável) e restrições ou salvaguardas aplicadas que considerem plenamente a natureza dos dados e os riscos envolvidos, tais como, por exemplo, limitação estrita da finalidade, restrições de acesso (incluindo acesso apenas para pessoal que tenha recebido formação especializada), manutenção de um registo de acesso aos dados, restrições para transferências posteriores ou medidas de segurança adicionais.

Nenhuma.Nenhuma.

A frequência da transferência (por exemplo, se os dados são transferidos de forma única ou contínua).A frequência da transferência (por exemplo, se os dados são transferidos de forma pontual ou contínua).

Contínua.Contínuo.

Natureza do processamentoNatureza do tratamento

Coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou outra forma de disponibilização, alinhamento ou combinação, restrição, apagamento e/ou destruição, tudo na medida do necessário para a execução do Acordo.Recolha, registo, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, utilização, divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, alinhamento ou combinação, restrição, apagamento e/ou destruição, tudo na medida do necessário para a execução do Acordo.

Finalidade(s) da transferência de dados e processamento posteriorFinalidade(s) da transferência de dados e do tratamento posterior

Execução e/ou usufruto dos benefícios do Acordo.Execução e/ou usufruto dos benefícios do Acordo.

O período durante o qual os dados pessoais serão retidos ou, se isso não for possível, os critérios utilizados para determinar esse períodoO período durante o qual os dados pessoais serão conservados ou, se tal não for possível, os critérios utilizados para determinar esse período

O prazo do Acordo, bem como qualquer período adicional que tal Acordo exija que a Ripple Treasury retenha essas informações e, em qualquer caso, o tempo, utilizando práticas padrão da indústria, necessário para excluir essas informações.O prazo do Acordo, bem como qualquer tempo adicional que tal Acordo exija que a Ripple Treasury retenha essas informações e, em qualquer caso, o tempo, utilizando práticas padrão da indústria, necessário para eliminar essas informações.

Para transferências para (sub-)processadores, especifique também o objeto, a natureza e a duração do processamento.Para transferências para (sub-)processadores, especificar também o objeto, a natureza e a duração do tratamento.

O prazo do Acordo, bem como qualquer período adicional que tal Acordo exija que a Ripple Treasury retenha essas informações e, em qualquer caso, o tempo, utilizando práticas padrão da indústria, necessário para excluir essas informações.O prazo do Acordo, bem como qualquer tempo adicional que tal Acordo exija que a Ripple Treasury retenha essas informações e, em qualquer caso, o tempo, utilizando práticas padrão da indústria, necessário para eliminar essas informações.

C. AUTORIDADE SUPERVISORA COMPETENTEC. AUTORIDADE DE CONTROLO COMPETENTE

MÓDULO UM: Transferência de responsável pelo tratamento para responsável pelo tratamentoMÓDULO UM: Transferência de responsável pelo tratamento para responsável pelo tratamento

MÓDULO DOIS: Transferência de responsável pelo tratamento para subcontratanteMÓDULO DOIS: Transferência de responsável pelo tratamento para processador

MÓDULO TRÊS: Transferência de subcontratante para subcontratanteMÓDULO TRÊS: Transferência de processador para processador

Identificar a(s) autoridade(s) de controlo competente(s) de acordo com a Cláusula 13.Identificar a(s) autoridade(s) de controlo competente(s) de acordo com a Cláusula 13.

Conforme descrito na Cláusula 13.Conforme descrito na Cláusula 13.

ANEXO IIANEXO II

MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOSMEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS

MÓDULO UM: Transferência de responsável pelo tratamento para responsável pelo tratamentoMÓDULO UM: Transferência de responsável pelo tratamento para responsável pelo tratamento

MÓDULO DOIS: Transferência de responsável pelo tratamento para subcontratanteMÓDULO DOIS: Transferência de responsável pelo tratamento para subcontratante

MÓDULO TRÊS: Transferência de subcontratante para subcontratanteMÓDULO TRÊS: Transferência de subcontratante para subcontratante

As medidas técnicas e organizacionais exigidas pelo Acordo que não esta DPA.As medidas técnicas e organizacionais exigidas pelo Acordo que não esta DPA.

ANEXO IIIANEXO III

LISTA DE SUBCONTRATANTESLISTA DE SUBCONTRATANTES

MÓDULO DOIS: Transferência de responsável pelo tratamento para subcontratanteMÓDULO DOIS: Transferência de responsável pelo tratamento para subcontratante

MÓDULO TRÊS: Transferência de subcontratante para subcontratanteMÓDULO TRÊS: Transferência de subcontratante para subcontratante

O responsável pelo tratamento autorizou a utilização dos seguintes subcontratantes:O responsável pelo tratamento autorizou a utilização dos seguintes subcontratantes:

1. Nome1. Nome

Microsoft Corp. (e/ou as suas afiliadas que fornecem serviços Azure)Microsoft Corp. (e/ou as suas afiliadas que fornecem serviços Azure)

EndereçoEndereço

One Microsoft WayOne Microsoft Way

Redmond, Washington 98052-6399Redmond, Washington 98052-6399

+1425-882-8080+1425-882-8080

Nome, cargo e dados de contato da pessoa de contato:Nome, cargo e dados de contacto da pessoa de contacto:

Encarregado de Proteção de Dados da UE da MicrosoftEncarregado de Proteção de Dados da Microsoft na UE

One Microsoft PlaceOne Microsoft Place

South County Business ParkSouth County Business Park

LeopardstownLeopardstown

Dublin 18Dublin 18

D18 P521D18 P521

IrlandaIrlanda

Telefone: +353 (1) 706-3117Telefone: +353 (1) 706-3117

Descrição do processamento (incluindo uma clara delimitação de responsabilidades no caso de vários sub-processadores serem autorizados):Descrição do processamento (incluindo uma delimitação clara de responsabilidades caso vários sub-processadores sejam autorizados):

Serviços de hospedagem necessários para a prestação dos serviços nos termos do Contrato.Serviços de hospedagem necessários para a prestação dos serviços nos termos do Contrato.

2. Nome2. Nome

Amazon Web Services, Inc. (e/ou suas afiliadas que fornecem serviços de hospedagem AWS, incluindo, mas não se limitando a, Amazon Web Services EMEA SARL e Amazon Internet Services Private Limited)Amazon Web Services, Inc. (e/ou as suas afiliadas que prestam serviços de hospedagem AWS, incluindo, mas não se limitando a, Amazon Web Services EMEA SARL e Amazon Internet Services Private Limited)

EndereçoEndereço

410 Terry Avenue North410 Terry Avenida Norte

Seattle, Washington 98109-5210,Seattle, Washington 98109-5210,

+1425-882-8080+1425-882-8080

Nome, cargo e dados de contato da pessoa de contato:Nome, cargo e dados de contacto da pessoa de contacto:

Encarregado de Proteção de Dados da Amazon Web Services EMEA SARLEncarregado de Proteção de Dados da Amazon Web Services EMEA SARL

38 Avenue John F. Kennedy38 Avenida John F. Kennedy

L-1855, Luxemburgo,L-1855, Luxemburgo,

A/C: AWS EMEA LegalA/C: AWS EMEA Legal

Descrição do processamento (incluindo uma clara delimitação de responsabilidades no caso de vários sub-processadores serem autorizados):Descrição do processamento (incluindo uma delimitação clara de responsabilidades caso vários sub-processadores sejam autorizados):

Serviços de hospedagem necessários para a prestação dos serviços nos termos do Contrato.Serviços de hospedagem necessários para a prestação dos serviços nos termos do Contrato.

3. Nome3. Nome

Rackspace Technology, Inc. (e/ou as suas afiliadas que prestam serviços de hospedagem)Rackspace Technology, Inc. (e/ou suas afiliadas que fornecem serviços de hospedagem)

EndereçoEndereço

1 Fanatical Place1 Fanatical Place

Windcrest, Texas 78218Windcrest, Texas 78218

+1 210-312-4000+1 210-312-4000

Nome, cargo e detalhes de contato da pessoa de contato:Nome, cargo e dados de contato da pessoa de contato:

Diretor de PrivacidadeDiretor de Privacidade

Rackspace Technology, Inc.Rackspace Technology, Inc.

1 Fanatical Place1 Fanatical Place

Windcrest, Texas 78218Windcrest, Texas 78218

Descrição do processamento (incluindo uma clara delimitação de responsabilidades no caso de vários sub-processadores serem autorizados):Descrição do processamento (incluindo uma clara delimitação de responsabilidades caso vários sub-processadores sejam autorizados):

Serviços de hospedagem necessários para a prestação dos serviços nos termos do Contrato.Serviços de hospedagem necessários para a prestação dos serviços nos termos do Contrato.

Veja Ripple Treasury


Em Ação

Conecte-se hoje com especialistas prestativos, soluções abrangentes e possibilidades inexploradas.

Solicitar uma Demonstração