O presente acordo é incorporado por referência (quando aplicável e sujeito a qualquer acordo expresso em contrário) em acordos de prestação de serviços em que a ASK4 Solutions Limited, a ASK4 Business Limited ou a ASK4 Data Centres Limited, conforme detalhado no seu acordo ou encomenda de prestação de serviços, ("ASK4") actuam como Processador.
O presente acordo não se aplica quando a ASK4 Limited ou outras empresas do grupo ASK4 prestam serviços de Internet residenciais ou geridos, actuando como o responsável pelo tratamento.
Definições
"Responsável pelotratamento", "Titular dos dados", "Dados pessoais", "Subcontratante" e "Subcontratante" têm os significados que lhes são atribuídos ao abrigo da legislação aplicável em matéria de privacidade e proteção de dados;
Por "Cliente" entende-se a pessoa contratada pela ASK4 para a prestação dos Serviços;
"Dados pessoais do cliente" tem o significado que lhe é atribuído no ponto 2.1 do presente acordo;
"Apêndice de Processamento" significa o anexo ao presente acordo que estabelece os pormenores do Processamento envolvido na prestação dos Serviços;
"Leis de Privacidade e Proteção de Dados" significa a legislação aplicável que protege os dados pessoais e a privacidade das pessoas singulares, incluindo, em particular, o RGPD do Reino Unido, a Lei de Proteção de Dados de 2018 e os Regulamentos de Privacidade e Comunicações Eletrónicas (Diretiva CE) de 2003 (SI 2426/2003), juntamente com quaisquer orientações vinculativas aplicáveis e códigos de práticas emitidos periodicamente pelas autoridades de supervisão relevantes;
"Incidente de segurança" significa uma violação da segurança da ASK4 que conduza à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos Dados Pessoais do Cliente;
"Serviços" significa o apoio informático, o alojamento, a colocação em centros de dados, as telecomunicações ou outros serviços fornecidos ao Cliente pela ASK4;
"RGPD do Reino Unido" tem o significado que lhe é atribuído na secção 3(10) (tal como complementada pela secção 205(4)) da Lei de Proteção de Dados de 2018; e
"Incidente de segurança mal sucedido" significa um incidente que não resulta em acesso não autorizado aos Dados Pessoais do Cliente e pode incluir, sem limitação, pings e outros ataques de difusão a firewalls ou servidores de extremidade, análises de portas, tentativas de início de sessão mal sucedidas, ataques de negação de serviço, sniffing de pacotes (ou outro acesso não autorizado a dados de tráfego que não resulte em acesso para além dos cabeçalhos) ou incidentes semelhantes.
1. Âmbito e funções
1.1 Este acordo aplica-se apenas quando os Dados Pessoais são processados como parte da prestação dos Serviços pelo Cliente ("Dados Pessoais do Cliente").
1.2 A ASK4 actuará como Processador ou Subprocessador do Cliente, que poderá atuar como Controlador ou Processador relativamente aos Dados Pessoais do Cliente.
2. Processamento de dados
2.1 Este acordo e o Anexo de Processamento constituem as Instruções escritas do Cliente à ASK4 para o Processamento de Dados Pessoais que, para evitar dúvidas, se limitarão ao Processamento necessário para a prestação dos Serviços ("Instruções de Processamento").
2.2 O Cliente não emitirá Instruções de Processamento adicionais ou alternativas para alterar o âmbito deste acordo, salvo acordo em contrário com a ASK4.
2.3 O Cliente garante que: (a) as Instruções de Processamento; (b) a recolha de Dados Pessoais do Cliente; e (c) sujeito ao cumprimento deste acordo por parte da ASK4, o Processamento dos Dados Pessoais do Cliente cumpre cada uma das Leis de Privacidade e Proteção de Dados. O Cliente é o único responsável por fornecer qualquer informação de processamento justo sobre o Processamento da ASK4 aos seus funcionários ou outros Titulares de Dados relevantes.
3. Confidencialidade dos Dados Pessoais do Cliente
3.1 A ASK4 manterá a confidencialidade dos Dados Pessoais do Cliente e não acederá nem utilizará, nem divulgará a terceiros, quaisquer Dados Pessoais do Cliente, exceto, em cada caso, conforme necessário para manter ou fornecer os Serviços, ou conforme necessário para cumprir a lei ou uma ordem válida e vinculativa de um organismo de aplicação da lei, governamental ou judicial (tal como uma intimação ou ordem judicial). Se um órgão governamental enviar à ASK4 um pedido de Dados Pessoais do Cliente, a ASK4 tentará redirecionar o órgão governamental para solicitar esses dados diretamente ao Cliente. Como parte deste esforço, a ASK4 poderá fornecer as informações básicas de contacto do Cliente ao órgão governamental. Se for obrigada a divulgar os Dados Pessoais do Cliente a um organismo governamental, a ASK4 (sempre que legalmente permitido) notificará o Cliente com uma antecedência razoável da exigência, de modo a permitir que o Cliente procure obter uma ordem de proteção ou outra solução adequada.
4. Segurança do Processamento de Dados
4.1 A ASK4 fornecerá garantias suficientes de que implementou todas as medidas técnicas e organizacionais necessárias ou adequadas para assegurar um nível de segurança adequado ao risco.
4.2 As partes reconhecem e concordam que o Cliente é obrigado a cooperar com as medidas de segurança da ASK4 e não contornará ou deixará de seguir qualquer dos processos de segurança da ASK4.
4.3 Como a ASK4 não tem conhecimento, ou tem conhecimento limitado, dos Dados Pessoais do Cliente, o Cliente é o único responsável por qualquer: (a) pseudonimização e encriptação para garantir um nível de segurança adequado; (b) medidas para garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento que estão a ser operados pelo Cliente; (c) medidas que permitam ao Cliente efetuar cópias de segurança e arquivar adequadamente, de modo a restabelecer a disponibilidade e o acesso aos Dados Pessoais do Cliente de forma atempada em caso de incidente físico ou técnico; e (d) processos para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizacionais implementadas pelo Cliente (mas a ASK4 deverá garantir que testa regularmente a eficácia das suas medidas de segurança).
5. Subprocessamento
5.1 O Cliente concorda que a ASK4 pode utilizar Subprocessadores indicados no Apêndice de Processamento para cumprir as suas obrigações contratuais de prestação dos Serviços.
5.2 Se a ASK4 contratar qualquer novo Subprocessador para realizar actividades de processamento dos Dados Pessoais do Cliente em nome do Cliente, a ASK4 notificará ou fornecerá ao Cliente um mecanismo para obter notificação dessa atualização. Se o Cliente se opuser a um novo Subcontratante no prazo de 14 dias a contar da notificação pela ASK4, o Cliente e a ASK4 discutirão de boa-fé uma forma de resolver as preocupações do Cliente, desde que, se o Cliente tiver motivos razoáveis para se opor que não possam ser resolvidos pela ASK4 num prazo razoável a contar da data da objeção, poderá rescindir o contrato de prestação de serviços mediante notificação escrita à ASK4 com 14 dias de antecedência. Exceto conforme estabelecido no presente contrato, em caso de emergência, ou conforme autorizado pelo Cliente, a ASK4 não permitirá que qualquer Subcontratante efectue actividades de processamento dos Dados Pessoais do Cliente em nome do Cliente.
5.3 A ASK4 restringirá o acesso de todos os Subcontratantes aos Dados Pessoais do Cliente na medida do necessário para manter os Serviços ou para prestar os Serviços ao Cliente e proibirá os Subcontratantes de acederem aos Dados Pessoais do Cliente para qualquer outro fim.
5.4 A ASK4 celebrará um contrato por escrito com o Subcontratante e, na medida em que o Subcontratante execute os mesmos serviços de processamento de dados que são prestados pela ASK4 ao abrigo do presente contrato, a ASK4 imporá ao Subcontratante as obrigações contratuais equivalentes às que a ASK4 tem ao abrigo do presente contrato e a ASK4 continuará a ser responsável pelo cumprimento das obrigações do presente contrato e por quaisquer actos ou omissões dos Subcontratantes que levem a ASK4 a violar qualquer das obrigações da ASK4 ao abrigo do presente contrato.
6. Direitos dos Titulares dos Dados
6.1 Tendo em conta a natureza dos Serviços, a ASK4 aconselha o Cliente a implementar os seus próprios processos para garantir o cumprimento das suas obrigações para com os Titulares dos Dados. A ASK4 deverá, mediante pedido por escrito, prestar assistência ao Cliente no cumprimento das suas obrigações para com os Titulares dos Dados, tendo em conta a natureza do tratamento e as informações de que dispõe, desde que as obrigações da ASK4 para com o Cliente no que respeita a quaisquer pedidos de acesso dos Titulares dos Dados sejam limitadas ao mínimo exigido ao abrigo das Leis de Privacidade e Proteção de Dados e que toda a responsabilidade pelos pedidos de acesso dos Titulares dos Dados continue a ser do Cliente.
6.2 Se um Titular dos Dados contactar a ASK4 para corrigir ou apagar os seus Dados Pessoais, a ASK4 envidará esforços comercialmente razoáveis para encaminhar esses pedidos para o Cliente.
7. Notificação de Violação de Segurança
7.1 A ASK4 irá: (a) notificar o Cliente de um Incidente de Segurança sem atrasos indevidos após tomar conhecimento do Incidente de Segurança; e (b) tomar medidas razoáveis para mitigar os efeitos e minimizar quaisquer danos resultantes do Incidente de Segurança.
7.2 O Cliente concorda que um Incidente de Segurança mal sucedido não estará sujeito ao presente parágrafo 8.
7.3 A obrigação da ASK4 de comunicar ou responder a um Incidente de Segurança ao abrigo do presente parágrafo 8 não é e não será interpretada como um reconhecimento pela ASK4 de qualquer culpa ou responsabilidade da ASK4 relativamente ao Incidente de Segurança.
7.4 Para ajudar o Cliente em relação a quaisquer notificações de violação de Dados Pessoais que o Cliente seja obrigado a efetuar ao abrigo das Leis de Privacidade e Proteção de Dados aplicáveis, a ASK4 incluirá na notificação prevista no n.º 1 as informações sobre o Incidente de Segurança que a ASK4 possa razoavelmente divulgar ao Cliente, tendo em conta a natureza dos Serviços, as informações de que a ASK4 dispõe e quaisquer restrições à divulgação das informações, tais como a confidencialidade.
8. Certificações e auditorias ASK4
8.1 A ASK4 disponibilizará a sua certificação ISO 27001 mediante pedido.
8.2 A ASK4 recorre a auditores externos para verificar a adequação das suas medidas de segurança. Esta auditoria: (a) será realizada pelo menos uma vez por ano; (b) será realizada de acordo com as normas ISO 27001 ou outras normas alternativas que sejam substancialmente equivalentes à ISO 27001; (c) será realizada por profissionais de segurança independentes, seleccionados e pagos pela ASK4; e (d) resultará na elaboração de um relatório de auditoria ("Relatório"), que será informação confidencial da ASK4.
8.3 A pedido escrito do Cliente, a ASK4 deverá (desde que as partes tenham em vigor um acordo de não divulgação aplicável), à sua discrição: (a) fornecer ao Cliente uma cópia do Relatório para que o Cliente possa verificar, de forma razoável, o cumprimento pela ASK4 das suas obrigações ao abrigo do presente acordo; ou (b) mediante aviso prévio razoável e não mais do que uma vez num período de 12 meses, permitir que o Cliente efectue uma auditoria supervisionada em horas.
9. Avaliação de Impacto de Privacidade e Consulta Prévia
9.1 Tendo em conta a natureza dos Serviços e a informação disponível para a ASK4, a ASK4 prestará assistência razoável ao Cliente, sempre que necessário, para que o Cliente cumpra quaisquer obrigações relativas a avaliações de impacto de proteção de dados e consultas prévias exigidas nos termos das Leis de Privacidade e Proteção de Dados aplicáveis.
10. Transferências
10.1 Qualquer transferência de dados para fora do Reino Unido deverá ocorrer em conformidade com o RGPD do Reino Unido, de modo a que a ASK4 garanta que o país para onde os dados são transferidos assegura um nível de proteção adequado ou a ASK4 utilizará cláusulas contratuais-tipo para garantir um nível de proteção adequado.
11. Devolução ou eliminação dos Dados Pessoais do Cliente
11.1 Os Serviços geralmente: (a) fornecem ao Cliente controlos que o Cliente pode utilizar para recuperar ou eliminar os Dados Pessoais do Cliente; ou (b) permitem que o Cliente mantenha o controlo sobre o seu acesso e eliminação dos Dados Pessoais do Cliente. A ASK4, mediante pedido por escrito, envidará esforços comercialmente razoáveis para ajudar o Cliente a recuperar ou apagar os Dados Pessoais do Cliente.
11.2 A ASK4 cessará o tratamento dos Dados Pessoais do Cliente, imediatamente após a cessação ou expiração da prestação dos Serviços e (a menos que a ASK4 tenha um interesse legítimo em reter os Dados Pessoais do Cliente ou seja legalmente obrigada a reter os Dados Pessoais do Cliente), por opção do Cliente, devolverá ou apagará de forma segura os Dados Pessoais do Cliente.
APÊNDICE DE PROCESSAMENTO
Objeto: O objeto do tratamento de dados ao abrigo do presente acordo são os Dados Pessoais do Cliente.
Duração do tratamento: Entre a ASK4 e o Cliente, a duração do tratamento de dados é a duração da prestação dos Serviços.
Objetivo: O objetivo do Processamento é a prestação dos Serviços iniciados pelo Cliente de tempos a tempos. É da responsabilidade do Cliente informar a ASK4 de quaisquer outras finalidades do Processamento e de quaisquer alterações a esta natureza ou finalidade.
Natureza do tratamento: Computação, armazenamento, suporte informático e outros serviços descritos na encomenda do Cliente ou iniciados pelo Cliente de tempos a tempos.
Tipo de dados pessoais do cliente: Nome do funcionário, informações de contacto, função (incluindo permissões) e informações técnicas (tais como informações sobre consultas de apoio que podem ou não ser dados pessoais) relacionadas com o Serviço que está a ser fornecido. Os Dados Pessoais do Cliente carregados para os Serviços quando são fornecidos Serviços de alojamento ou armazenamento. Quando tais Serviços são fornecidos, é da responsabilidade do Cliente informar a ASK4 sobre os tipos de Dados Pessoais do Cliente a serem processados e sobre quaisquer alterações a estes tipos de dados.
Categorias de titulares de dados: Os Titulares dos Dados podem incluir os clientes, funcionários, fornecedores e utilizadores finais do Cliente. É da responsabilidade do Cliente informar a ASK4 de quaisquer outras categorias de Titulares de Dados a quem os Dados Pessoais do Cliente se referem, e de quaisquer alterações a estas categorias.
Subprocessadores:
- Zendesk, Inc - como fornecedor da nossa plataforma de emissão de bilhetes de primeira linha, onde prestamos apoio a soluções de TI
- Datto, Inc - como fornecedor da nossa plataforma de emissão de bilhetes de segunda linha, onde damos apoio às soluções de TI
- TeamViewer Germany GmbH - como fornecedor do software informático de acesso e controlo remotos que utilizamos quando prestamos apoio a soluções informáticas
- DRD Communications Ltd (como adquirente da Inclarity Communications Limited (sedeada no Reino Unido) - onde são prestados serviços VoiP
- Gamma Telecomm Limited (sedeada no Reino Unido) - onde são fornecidos os serviços VoiP
- O fornecedor grossista de linhas de telecomunicações - onde são fornecidos os serviços de linhas de aluguer (este dado será fornecido na encomenda ou a pedido)
- A Formagrid, Inc. fornece o Airtable - que utilizamos como software de processos empresariais
- Aspire Community Enterprise (Sheffield) Ltd - para a destruição segura de equipamento elétrico
- Utopi Limited - onde fornecemos contadores inteligentes e relatórios ESG associados através da plataforma e equipamento Utopi
NOTA: A ASK4 pode revender soluções de software fornecidas por terceiros como parte dos serviços (por exemplo, produtos Microsoft). O EULA/Acordo de Cliente relevante (e quaisquer anexos de processamento de dados ou similares incorporados no mesmo) entre o Cliente e o Fornecedor aplicar-se-á ao processamento de dados pessoais, e não este acordo.
Atualização: Este acordo foi atualizado em 19 de agosto de 2024 para incluir a utilização do Zendesk. Esta atualização funciona como um aviso ao abrigo da cláusula 5.2 e os Clientes têm até 2 de setembro de 2024 para exercerem os seus direitos ao abrigo da cláusula 5.2 do presente acordo.