Contrato de processamento de dados

Contrato de processamento de dados

 

 
O controlador de dados
K.V. Stampe E filho
CVR 40493719
Ringvejen 60
7900 NYKøbing Mors
Dinamarca

 

 

 

1 Contrato de processamento de dados preâmbulo

  1. Esse contrato de processamento de dados define os direitos e obrigações que se aplicam ao manuseio de dados pessoais pelo processador de dados em nome do controlador de dados.

 

  1. Este Contrato foi projetado para garantir a conformidade das partes com o artigo 28, subseção 3 de Regulamento 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção de pessoas naturais em relação ao processamento de dados pessoais e à livre circulação desses dados e diretiva de revogação 95/46/CE (Proteção geral de dados Regulamento), que define requisitos específicos para o conteúdo dos contratos de processamento de dados.

 

  1. O processamento de dados pessoais do processador de dados deve ocorrer para fins de cumprimento do 'contrato mestre' das partes. Processamento de dados pessoais começando em 01/04/18.

  2. O Contrato de Processamento de Dados e o "Contrato Mestre" serão interdependentes e não podem ser rescindidos separadamente. O Contrato de Processamento de Dados pode, no entanto, sem rescisão do 'Contrato Mestre' - ser substituído por um Contrato Alternativo de Processamento de Dados Válido.

 

  1. Este contrato de processamento de dados terá prioridade sobre quaisquer disposições semelhantes contidas em outros acordos entre as partes, incluindo o "contrato mestre".

 

  1. Quatro apêndices estão anexados a esse contrato de processamento de dados. Os apêndices fazem parte integrante desse contrato de processamento de dados.

 

  1. Apêndice ado contrato de processamento de dados contém detalhes sobre o processamento, bem como o objetivo e a natureza do processamento, tipo de dados pessoais, categorias de dados de dados e duração do processamento.

 

  1. Apêndice bdo contrato de processamento de dados contém os termos e condições do controlador de dados que se aplicam ao uso de subprocessadores pelo processador de dados e uma lista de subprocessadores aprovados pelo controlador de dados.

 

  1. Apêndice cdo contrato de processamento de dados contém instruções sobre o processamento de que o processador de dados deve executar em nome do controlador de dados (o sujeito do processamento), as medidas mínimas de segurança que devem ser implementadas e como a inspeção com o processador de dados e qualquer sub submarino -Processadores devem ser realizados.

 

  1. Apêndice ddo contrato de processamento de dados contém as disposições das partes para atividades que não estão contidas neste contrato de processamento de dados ou no 'contrato mestre' das partes.

 

  1. O contrato de processamento de dados e seus apêndices associados devem ser mantidos por escrito e eletronicamente por ambas as partes.

 

  1. Este contrato de processamento de dados não deve isentar o processador de dados das obrigações às quais o processador de dados está sujeito ao regulamento geral de proteção de dados ou outra legislação.

2 Os direitos e obrigações do controlador de dados

  1. O controlador de dados deve ser responsável pelo mundo exterior (incluindo o titular dos dados) por garantir que o processamento de dados pessoais ocorra dentro da estrutura do regulamento geral de proteção de dados e da Lei de Proteção de Dados Dinamarquesa.

 

  1. O controlador de dados deve, portanto, ter o direito e a obrigação de tomar decisões sobre os propósitos e os meios do processamento de dados pessoais.

 

  1. O controlador de dados deve ser responsável por garantir que o processamento de que o processador de dados seja instruído a executar está autorizado por lei.

3 O processador de dados age de acordo com as instruções

  1. O processador de dados deve apenas ter permissão para processar dados pessoais sobre instruções documentadas do controlador de dados, a menos que o processamento seja exigido pela Lei da UE ou do Estado membro à qual o processador de dados esteja sujeito; Nesse caso, o processador de dados deve informar o controlador de dados sobre esse requisito legal antes do processamento, a menos que essa lei proíba essas informações por motivos importantes de interesse público, cf. Artigo 28, subseção 3, parágrafo a.

 

  1. O processador de dados deve informar imediatamente o controlador de dados se as instruções, na opinião do processador de dados, violarem o regulamento geral de proteção de dados ou as disposições de proteção de dados contidas em outras leis da UE ou membro do Estado.

4 confidencialidade

  1. O processador de dados deve garantir que apenas as pessoas que estão atualmente autorizadas a fazê -lo possam acessar os dados pessoais que estão sendo processados ​​em nome do controlador de dados. O acesso aos dados deve, sem demora, ser negado se essa autorização for removida ou expirar.

 

  1. Somente pessoas que exigem acesso aos dados pessoais para cumprir as obrigações do processador de dados ao controlador de dados devem receber autorização.

 

  1. O processador de dados deve garantir que as pessoas autorizadas a processar dados pessoais em nome do controlador de dados tenham se comprometendo a observar a confidencialidade ou estejam sujeitos a uma obrigação estatutária adequada de confidencialidade.

 

  1. O processador de dados deve, a pedido do controlador de dados, poder demonstrar que os funcionários envolvidos estão sujeitos à confidencialidade acima.

5 Segurança do processamento

  1. O processador de dados deve tomar todas as medidas necessárias de acordo com o artigo 32 do Regulamento Geral de Proteção de Dadosque estipula isso, com consideração para o nível atual, custos de implementação e natureza, escopo, contexto e propósitos de processamento e o risco de variar a probabilidade e a gravidade dos direitos e liberdades das pessoas naturais, o controlador de dados e o processador deve implementar Medidas organizacionais para garantir um nível de segurança apropriado ao risco.

 

  1. A obrigação acima significa que o processador de dados deve executar uma avaliação de risco e, posteriormente, implementar medidas para combater o risco identificado. Dependendo de sua relevância, as medidas podem incluir o seguinte:

 

  1. Pseudonimização e criptografia de dados pessoais
  2. A capacidade de garantir confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento.
  3. A capacidade de restaurar a disponibilidade e o acesso a dados pessoais em tempo hábil no caso de um incidente físico ou técnico.
  4. Um processo para testar regularmente, avaliar e avaliar a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento.

 

  1. O processador de dados deve garantir o exposto - em todos os casos - no mínimo implementar o nível de segurança e as medidas especificadas no Apêndice C a esse contrato de processamento de dados.

 

  1. A possível regulamentação/contrato das partes sobre remuneração etc. para o requisito subsequente do controlador de dados ou do processador de dados para estabelecer medidas adicionais de segurança deve ser especificado no 'contrato mestre' das partes ou no Apêndice D para esse contrato de processamento de dados.

6 Uso de subprocessadores

  1. O processador de dados deve atender aos requisitos especificados no artigo 28, subseção 2 e 4, da regulamentação geral de proteção de dados, a fim de envolver outro processador (subprocessador).

 

  1. O processador de dados não deve, portanto, envolver outro processador (subprocessador) para o cumprimento desse contrato de processamento de dados sem o consentimento escrito específico ou geral anterior do controlador de dados.

 

  1. No caso de consentimento geral por escrito, o processador de dados deve informar o controlador de dados sobre quaisquer alterações planejadas em relação às adições ou substituição de outros processadores de dados e, assim, dar ao controlador de dados a oportunidade de se opor a essas alterações.

 

  1. Os requisitos do controlador de dados para o envolvimento do processador de dados de outros subprocessadores devem ser especificados em Apêndice bpara este contrato de processamento de dados.

 

  1. O consentimento do controlador de dados para o envolvimento de subprocessadores específicos, se aplicável, deve ser especificado em Apêndice bpara este contrato de processamento de dados.

 

  1. Quando o processador de dados tiver a autorização do controlador de dados para usar um subprocessador, o processador de dados deve garantir que o subprocessador esteja sujeito às mesmas obrigações de proteção de dados que as especificadas nesse contrato de processamento de dados com base em um contrato ou outro Documento legal sob a lei da UE ou a lei nacional dos Estados-Membros, em particular, fornecendo as garantias necessárias de que o subprocessador implementará as medidas técnicas e organizacionais apropriadas de tal maneira que o processamento atenda aos requisitos do regulamento geral de proteção de dados.

 

O processador de dados deve, portanto, ser responsável-com base em um contrato de subprocessador-por exigir que o subprocessador cumpra pelo menos as obrigações às quais o processador de dados está sujeito aos requisitos da regulamentação geral de proteção de dados e this Contrato de processamento de dados e seus apêndices associados.

 

  1. Uma cópia desse contrato de subprocessador e emendas subsequentes-a pedido do controlador de dados-serão submetidas ao controlador de dados que, portanto, terão a oportunidade de garantir que um contrato válido tenha sido inserido entre o processador de dados e o sub- Processador. Termos e condições comerciais, como preços, que não afetam o conteúdo legal de proteção de dados do Contrato do Subprocessador, não exigirão o envio ao controlador de dados.

 

  1. O processador de dados deve, em seu contrato, com o subprocessador incluir o controlador de dados como terceiros no caso de falência do processador de dados para permitir que o controlador de dados assuma os direitos do processador de dados e os invocem no que diz respeito ao subprocessador , por exemplo para que o controlador de dados seja capaz de instruir o subprocessador a executar o apagamento ou o retorno dos dados.

 

  1. Se o subprocessador não cumprir suas obrigações de proteção de dados, o processador de dados permanecerá totalmente responsável pelo controlador de dados no que diz respeito ao cumprimento das obrigações do subprocessador.

7 Transferência de dados para países terceiros ou organizações internacionais

  1. O processador de dados deve apenas ter permissão para processar dados pessoais sobre instruções documentadas do controlador de dados, inclusive no que diz respeito à transferência(atribuição, divulgação e uso interno) de dados pessoais para países terceiros ou organizações internacionais, a menos que o processamento seja exigido pela Lei da UE ou do Estado membro à qual o processador de dados esteja sujeito; Nesse caso, o processador de dados deve informar o controlador de dados desse requisito legal antes do processamento, a menos que essa lei proíba essas informações por motivos importantes de interesse público, cf. Artigo 28, subseção 3, parágrafo a.

 

  1. Sem as instruções ou aprovação do controlador de dados, o processador de dados não pode - não pode - dentro da estrutura desse contrato de processamento de dados:

 

  1. divulgar dados pessoais a um controlador de dados em um terceiro país ou em uma organização internacional
  2. atribuir o processamento de dados pessoais a um subprocessador em um terceiro país
  3. Tenha os dados processados ​​em outra das divisões do processador de dados, localizado em um país terceiro

 

  1. As instruções do controlador de dados ou a aprovação da transferência de dados pessoais para um país terceiro, se aplicável, devem ser estabelecidos em Apêndice cpara este contrato de processamento de dados.

8 Assistência ao controlador de dados

  1. O processador de dados, levando em consideração a natureza do processamento, deve, o máximo possível, ajudar o controlador de dados com medidas técnicas e organizacionais apropriadas, no cumprimento das obrigações do controlador de dados de responder aos pedidos de exercício dos titulares de dados Direitos de acordo com o Capítulo 3 do Regulamento Geral de Proteção de Dados.


Isso implica que o processador de dados deve, na medida do possível, ajudar o controlador de dados no cumprimento do controlador de dados:

 

  1. obrigação de notificação ao coletar dados pessoais do titular dos dados
  2. obrigação de notificação se os dados pessoais não tiverem sido obtidos do titular dos dados
  3. direito de acesso pelo titular dos dados
  4. o direito à retificação
  5. o direito de apagar ("o direito de ser esquecido")
  6. o direito de restringir o processamento
  7. obrigação de notificação em relação à retificação ou apagamento de dados pessoais ou restrição de processamento
  8. o direito à portabilidade de dados
  9. o direito de objetar
  10. o direito de se opor ao resultado da tomada de decisão individual automatizada, incluindo perfil

 

  1. O processador de dados deve ajudar o controlador de dados a garantir a conformidade com as obrigações do controlador de dados, de acordo com os artigos 32-36 do regulamento geral de proteção de dados, levando em consideração a natureza do processamento e os dados disponibilizados ao processador de dados, cf. Artigo 28, subseção 3, parágrafo f.

 

Isso implica que o processador de dados deve, levando em consideração a natureza do processamento, na medida do possível, ajude o controlador de dados no cumprimento do controlador de dados com:

 

  1. A obrigação de implementar medidas técnicas e organizacionais apropriadas para garantir um nível de segurança apropriado ao risco associado ao processamento
  2. A obrigação de relatar dados pessoais violações à autoridade de supervisão (Agência de Proteção de Dados Dinamarquesa) sem atraso indevido e, se possível, dentro de 72 horas após o controlador de dados descobrir essa violação, a menos que a violação de dados pessoais seja improvável que resulte em um risco para os direitos e liberdades de pessoas naturais
  3. A obrigação - sem atraso indevido - de comunicar a violação dos dados pessoais ao titular dos dados quando essa violação provavelmente resultará em um alto risco aos direitos e liberdades das pessoas naturais
  4. A obrigação de realizar uma avaliação de impacto de proteção de dados se um tipo de processamento provavelmente resultar em um alto risco para os direitos e liberdades de pessoas naturais
  5. A obrigação de consultar a autoridade de supervisão (agência dinamarquesa de proteção de dados) antes do processamento se uma avaliação de impacto de proteção de dados mostrar que o processamento levará a um alto risco na falta de medidas tomadas pelo controlador de dados para limitar o risco

 

  1. O possível regulamento/contrato das partes sobre remuneração etc. para a assistência do processador de dados ao controlador de dados deve ser especificado no 'contrato mestre' das partes ou no Apêndice D a este Contrato de Processamento de Dados.

9 Notificação de violação de dados pessoais

  1. Na descoberta de violação de dados pessoais nas instalações do processador de dados ou nas instalações de um subprocessador, o processador de dados deve, sem atraso indevido, notificar o controlador de dados.

 

A notificação do processador de dados ao controlador de dados deve, se possível, ocorrer dentro de 24 horas após o processador de dados descobrir a violação para permitir que o controlador de dados cumpra sua obrigação, se aplicável, de relatar a violação à autoridade de supervisão dentro de 72 horas.

 

  1. De acordo com a cláusula 9.2., Parágrafo B, deste contrato de processamento de dados, o processador de dados deve - levando em consideração a natureza do processamento e os dados disponíveis - ajude o controlador de dados no relatório da violação à autoridade de supervisão.

Isso pode significar que o processador de dados é necessário para ajudar na obtenção das informações listadas abaixo, que, de acordo com o artigo 33, subseção 3, do regulamento geral de proteção de dados, devem ser declaradas no relatório do controlador de dados à autoridade de supervisão:

 

  1. A natureza da violação de dados pessoais, incluindo, se possível, as categorias e o número aproximado de indivíduos afetados e as categorias e o número aproximado de registros de dados pessoais afetados
  2. Conseqüências prováveis ​​de uma violação de dados pessoais
  3. Medidas que foram tomadas ou propostas para gerenciar a violação de dados pessoais, incluindo, se aplicável, medidas para limitar seus possíveis danos

10 apagar e retorno dos dados

  1. Após o término dos serviços de processamento, o processador de dados deve estar sob obrigação, a critério do controlador de dados, apagar ou retornar todos os dados pessoais ao controlador de dados e apagar cópias existentes, a menos que a lei da UE ou a lei do Estado membro exija o armazenamento do pessoal dados.

11 Inspeção e auditoria

  1. O processador de dados deve disponibilizar ao controlador de dados todas as informações necessárias para demonstrar conformidade com o artigo 28 do regulamento geral de proteção de dados e este contrato de processamento de dados, e permitir e contribuir com auditorias, incluindo inspeções executadas pelo controlador de dados ou outro auditor exigido pelo controlador de dados.

 

  1. Os procedimentos aplicáveis ​​à inspeção do controlador de dados do processador de dados são especificados em Apêndice cpara este contrato de processamento de dados.

 

  1. A inspeção do controlador de dados dos subprocessadores, se aplicável, deve, em regra, será executada através do processador de dados. Os procedimentos para essa inspeção são especificados emApêndice cpara este contrato de processamento de dados.

 

  1. O processador de dados deve ser obrigado a fornecer às autoridades de supervisão, que, de acordo com a legislação aplicável, têm acesso às instalações do controlador de dados e do processador de dados, ou representantes que atuam em nome de tais autoridades de supervisão, com acesso às instalações físicas do processador de dados na apresentação de apropriado identificação.

12 O acordo das partes sobre outros termos

  1. (Separado) Termos relacionados às conseqüências da violação das partes desse contrato de processamento de dados, se aplicável, devem ser especificados no 'contrato mestre' das partes ou em Apêndice dpara este contrato de processamento de dados.

 

  1. A regulamentação de outros termos entre as partes deve ser especificada no 'contrato mestre' das partes ou emApêndice dpara este contrato de processamento de dados.

13 Início e rescisão

  1. Este contrato de processamento de dados entrará em vigor na data da assinatura de ambas as partes no contrato.

 

  1. Ambas as partes terão o direito de exigir que esse contrato de processamento de dados renegociado se alterações na lei ou indisponibilidade das disposições aqui contidas deverão dar origem a essa renegociação.

 

  1. O Contrato das Partes sobre Remuneração, Termos etc. em conexão com as emendas a este Contrato de Processamento de Dados, se aplicável, deve ser especificado no 'Contrato Mestre' das Partes ou no Apêndice D a este Contrato de Processamento de Dados.

 

  1. Esse contrato de processamento de dados pode ser rescindido de acordo com os termos e condições de rescisão, incl. Aviso de rescisão, especificado no 'contrato mestre'.

 

  1. Este contrato de processamento de dados deve ser aplicado enquanto o processamento for realizado. Independentemente do término do 'Contrato Mestre' e/ou deste Contrato de Processamento de Dados, o Contrato de Processamento de Dados permanecerá em vigor até o término do processamento e o apagamento dos dados pelo processador de dados e por qualquer subprocessador.

 

  1. Assinatura

 


Em nome do controlador de dados

Nome:

 

Michael Stampe

 

Posição:

 

CEO

 

Data:

 

 

01/04/18

  

 

14 Controlador de dados e contatos do processador de dados/pontos de contato

 

  1. As partes podem entrar em contato usando os seguintes contatos/pontos de contato:

 

  1. As partes devem ter obrigação continuamente de informar -se sobre alterações nos contatos/pontos de contato.

 

 


Nome:

Microfone Stampe

 

Posição:

CEO

 

Número de telefone:

+45 52137210

 

E-mail:

stampe@kv-stampe.dk

 


 

Apêndice uma informação sobre o processamento

 

O objetivo do processamento de dados pessoais pelo processador de dados em nome do controlador de dados é:

  • O controlador de dados pode usar o Google Analytics, que pertence e gerenciado pelo processador de dados para coletar e processar dados sobre os membros do controlador de dados.

 

O processamento de dados pessoais pelo processador de dados em nome do controlador de dados deve pertencer principalmente (a natureza do processamento):

  • O processador de dados disponibiliza o System Shopify para o controlador de dados e, por meio deste, armazena dados pessoais sobre os membros do controlador de dados nos servidores da empresa. ”

 

O processamento inclui os seguintes tipos de dados pessoais sobre os titulares de dados:

  • Nome, endereço de e-mail, número de telefone, endereço, detalhes de pagamento e países

 

O processamento inclui as seguintes categorias de titular de dados:

 Pessoas que compraram algum produto no site ou se registraram como membro

 

O processamento de dados pessoais do processador de dados em nome do controlador de dados pode ser executado quando esse contrato de processamento de dados começar. O processamento tem a seguinte duração:

  • O processamento não deve ser limitado e deve ser realizado até que esse contrato de processamento de dados seja rescindido ou cancelado por uma das partes.

 

 

Apêndice B Instruções referentes ao uso de dados pessoais

 

 

B.1 Período de armazenamento/Procedimentos de apagamento

  • Os dados pessoais são armazenados por 3 anos, após o que são apagados pelo processador de dados.

 

B.2 Localização de processamento

O processamento dos dados pessoais sob esse contrato de processamento de dados não pode ser realizado em outros locais além do seguinte sem o consentimento prévio por escrito do controlador de dados:

  • Indique o processador de dados ou subprocessador usando o endereço Ringvejen 60, 7900 Nykøbing Mors