Este acordo é incorporado por referência (quando aplicável e sujeito a qualquer acordo expresso em contrário) nos acordos de prestação de serviços em que a ASK4 Solutions Limited, ASK4 Business Limited ou os Centros de Dados ASK4 Limited, conforme detalhado no seu acordo ou ordem de prestação de serviços, ("ASK4") actuam como Processador.
Este acordo não se aplica nos casos em que a ASK4 Limited ou outras empresas do grupo ASK4 forneçam serviços residenciais ou de gestão da Internet actuando como Controlador.
Definições
"Controlador", "Titular", "Dados Pessoais", "Processador" e "Subprocessador" têm cada um os significados que lhes são atribuídos ao abrigo das leis de Privacidade e Protecção de Dados aplicáveis;
"Cliente" significa a pessoa contratada com a ASK4 para a prestação dos Serviços;
"Dados Pessoais do Cliente" tem o significado que lhe é dado no parágrafo 2.1 do presente acordo;
"Anexo de Processamento" significa o anexo ao presente acordo que estabelece os detalhes do Processamento envolvido na prestação dos Serviços;
"Privacy and Data Protection Laws" significa legislação aplicável que protege os dados pessoais e a privacidade das pessoas singulares, incluindo em particular a GDPR do Reino Unido, a Data Protection Act 2018, e o Privacy and Electronic Communications (EC Directive) Regulations 2003 (SI 2426/2003), juntamente com quaisquer orientações vinculativas e códigos de prática aplicáveis emitidos periodicamente pelas autoridades de supervisão relevantes;
"Incidente de Segurança" significa uma quebra da segurança da ASK4 que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos Dados Pessoais do Cliente;
"Serviços" significa o apoio informático, alojamento, colocação de centros de dados, telecomunicações ou outros serviços que são fornecidos ao Cliente pela ASK4;
"UK GDPR" tem o significado que lhe é atribuído na secção 3(10) (tal como complementada pela secção 205(4)) da Lei de Protecção de Dados de 2018; e
"Incidente de Segurança sem êxito" significa um incidente que não resulta em acesso não autorizado aos Dados Pessoais do Cliente e pode incluir, sem limitação, pings e outros ataques de transmissão em firewalls ou servidores de borda, varreduras de portas, tentativas de log-on sem êxito, ataques de negação de serviço, sniffing de pacotes (ou outro acesso não autorizado a dados de tráfego que não resulta em acesso para além dos cabeçalhos) ou incidentes semelhantes.
1. Âmbito e funções
1.1 Este acordo aplica-se apenas quando os Dados Pessoais são processados como parte da prestação dos Serviços pelo Cliente ("Dados Pessoais do Cliente").
1.2 ASK4 actuará como Processador ou Subprocessador do Cliente que poderá actuar como Controlador ou Processador no que respeita aos Dados Pessoais do Cliente.
2. Processamento de Dados
2.1 O presente acordo e o Anexo de Processamento constituem as Instruções escritas do Cliente à ASK4 para o Processamento de Dados Pessoais que, para evitar dúvidas, serão limitadas ao Processamento necessário para a prestação dos Serviços ("Instruções de Processamento").
2.2 O Cliente não deverá emitir Instruções de Processamento adicionais ou alternativas para alterar o âmbito do presente contrato, salvo acordo em contrário com a ASK4.
2.3 O Cliente garante isso: (a) as Instruções de Processamento; (b) a recolha de Dados Pessoais do Cliente; e (c) sujeito ao cumprimento do presente acordo pela ASK4, o Processamento dos Dados Pessoais do Cliente obedece, cada um deles, às Leis de Privacidade e Protecção de Dados. O Cliente é o único responsável pelo fornecimento de qualquer informação de processamento justo sobre o Processamento da ASK4 aos seus empregados ou a outros Sujeitos de Dados relevantes.
3. Confidencialidade dos Dados Pessoais do Cliente
3.1 ASK4 manterá os Dados Pessoais do Cliente confidenciais e não acederá ou utilizará, ou divulgará a terceiros, quaisquer Dados Pessoais do Cliente, excepto, em cada caso, conforme necessário para manter ou prestar os Serviços, ou conforme necessário para cumprir a lei ou uma ordem válida e vinculativa de uma entidade policial, governamental ou judicial (tal como uma intimação ou ordem judicial). Se um organismo governamental enviar à ASK4 um pedido de Dados Pessoais do Cliente, a ASK4 tentará redireccionar o organismo governamental para solicitar esses dados directamente ao Cliente. Como parte deste esforço, a ASK4 poderá fornecer as informações básicas de contacto do Cliente ao organismo governamental. Se for obrigada a revelar os Dados Pessoais do Cliente a um organismo governamental, então a ASK4 (quando legalmente autorizada a fazê-lo) dará ao Cliente um aviso razoável do pedido para permitir que o Cliente procure uma ordem de protecção ou outra solução apropriada.
4. Segurança do processamento de dados
4.1 ASK4 deve fornecer garantias suficientes de que implementou todas as medidas técnicas e organizacionais necessárias ou apropriadas para garantir um nível de segurança adequado ao risco.
4.2 As partes reconhecem e concordam que o Cliente é obrigado a cooperar com as medidas de segurança da ASK4 e não deve contornar ou deixar de seguir qualquer dos processos de segurança da ASK4.
4.3. Como a ASK4 não tem conhecimento, ou tem conhecimento limitado, dos Dados Pessoais do Cliente, o Cliente é o único responsável por qualquer deles: (a) pseudonímia e encriptação para garantir um nível de segurança adequado; (b) medidas para garantir a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e serviços de processamento que estão a ser operados pelo Cliente; (c) medidas para permitir ao Cliente fazer cópias de segurança e arquivar adequadamente, a fim de restaurar a disponibilidade e o acesso aos Dados Pessoais do Cliente de forma atempada em caso de incidente físico ou técnico; e (d) processos para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizacionais implementadas pelo Cliente (mas o ASK4 deverá assegurar-se de que testa regularmente a eficácia das suas medidas de segurança).
5. Subprocessamento
5.1 O Cliente concorda que a ASK4 pode utilizar os Subprocessadores listados no Apêndice de Processamento para cumprir as suas obrigações contratuais de prestação dos Serviços.
5.2 Se a ASK4 contratar qualquer novo Subprocessador para realizar actividades de processamento de Dados Pessoais do Cliente em nome do Cliente, a ASK4 notificará ou fornecerá ao Cliente um mecanismo para obter a notificação dessa actualização. Se o Cliente se opuser a um novo Subprocessador no prazo de 14 dias após a notificação da ASK4, então o Cliente e a ASK4 discutirão de boa-fé para responder às preocupações do Cliente, desde que o Cliente tenha motivos razoáveis de objecção que não possam ser resolvidos pela ASK4 dentro de um período razoável a partir da data da objecção, poderá rescindir o seu contrato para os Serviços mediante notificação escrita à ASK4 com 14 dias de antecedência. Excepto conforme estabelecido no presente contrato, em caso de emergência, ou conforme o Cliente possa de outra forma autorizar, a ASK4 não permitirá que qualquer Subprocessador realize actividades de processamento de Dados Pessoais do Cliente em nome do Cliente.
5.3 A ASK4 restringirá o acesso do Subprocessador aos Dados Pessoais do Cliente na medida necessária para manter os Serviços ou para prestar os Serviços ao Cliente e a ASK4 proibirá os Subprocessadores de aceder aos Dados Pessoais do Cliente para qualquer outro fim.
5.4 A ASK4 celebrará um acordo escrito com o Subprocessador e, na medida em que o Subprocessador esteja a executar os mesmos serviços de processamento de dados que estão a ser prestados pela ASK4 ao abrigo do presente acordo, a ASK4 imporá ao Subprocessador as obrigações contratuais equivalentes que a ASK4 tem ao abrigo do presente acordo e a ASK4 continuará responsável pelo seu cumprimento das obrigações do presente acordo e por quaisquer actos ou omissões dos Subprocessadores que levem a ASK4 a violar qualquer uma das obrigações da ASK4 ao abrigo do presente acordo.
6. Direitos do Sujeito dos Dados
6.1 Tendo em conta a natureza dos Serviços, a ASK4 aconselha que o Cliente deve pôr em prática os seus próprios processos para assegurar que pode cumprir as suas obrigações para com os Sujeitos dos Dados. A ASK4 deverá, mediante pedido escrito, ajudar o Cliente nas suas obrigações para com os Sujeitos dos Dados, tendo em conta a natureza do processamento e as informações disponíveis à ASK4, desde que, as obrigações da ASK para com o Cliente em relação a quaisquer pedidos de acesso aos Sujeitos dos Dados sejam limitadas ao mínimo exigido pelas Leis de Privacidade e Protecção de Dados, e toda a responsabilidade e obrigação pelos pedidos de acesso aos Sujeitos dos Dados permanece com o Cliente.
6.2 Se um Sujeito de Dados contactar a ASK4 em relação à correcção ou eliminação dos seus Dados Pessoais, a ASK4 envidará esforços comerciais razoáveis para encaminhar tais pedidos para o Cliente.
7. Notificação de Violação de Segurança
7.1 ASK4 irá: (a) notificar o Cliente de um Incidente de Segurança sem demora indevida após tomar conhecimento do Incidente de Segurança; e (b) tomar medidas razoáveis para mitigar os efeitos e minimizar quaisquer danos resultantes do Incidente de Segurança.
7.2 O Cliente concorda que um Incidente de Segurança mal sucedido não estará sujeito a este parágrafo 8.
7.3 A obrigação da ASK4 de comunicar ou responder a um Incidente de Segurança nos termos deste parágrafo 8 não é nem será interpretada como um reconhecimento pela ASK4 de qualquer falha ou responsabilidade da ASK4 no que diz respeito ao Incidente de Segurança.
7.4 Para ajudar o Cliente em relação a qualquer notificação de violação de Dados Pessoais que o Cliente seja obrigado a fazer ao abrigo das Leis de Privacidade e Protecção de Dados aplicáveis, a ASK4 incluirá na notificação ao abrigo do parágrafo 1 as informações sobre o Incidente de Segurança que a ASK4 seja razoavelmente capaz de divulgar ao Cliente, tendo em conta a natureza dos Serviços, as informações disponíveis para a ASK4, e quaisquer restrições sobre a divulgação das informações, tais como confidencialidade.
8. Certificações e auditorias ASK4
8.1 A ASK4 disponibilizará a sua certificação ISO 27001 mediante pedido.
8.2 A ASK4 utiliza auditores externos para verificar a adequação das suas medidas de segurança. Esta auditoria: (a) será realizada pelo menos anualmente; (b) será realizada de acordo com as normas ISO 27001 ou outras normas alternativas que sejam substancialmente equivalentes à ISO 27001; (c) será realizada por profissionais de segurança terceiros independentes na selecção e despesas da ASK4; e (d) resultará na geração de um relatório de auditoria ("Relatório"), que será a informação confidencial da ASK4.
8.3 A pedido escrito do Cliente, a ASK4 deverá (desde que as partes tenham em vigor um acordo de não divulgação aplicável) a seu critério: (a) fornecer ao Cliente uma cópia do Relatório para que o Cliente possa verificar razoavelmente o cumprimento das suas obrigações ao abrigo deste acordo; ou (b) mediante aviso prévio razoável e não mais do que uma vez em qualquer período de 12 meses, permitir que o Cliente realize uma auditoria supervisionada em horas.
9. Avaliação do impacto na privacidade e consulta prévia
9.1 Tendo em conta a natureza dos Serviços e as informações disponíveis para a ASK4, a ASK4 prestará assistência razoável ao Cliente, sempre que necessário, para que este cumpra quaisquer obrigações relativas a avaliações de impacto na protecção de dados e consultas prévias exigidas nos termos das leis de privacidade e protecção de dados aplicáveis.
10. Transferências
10.1 Qualquer transferência de dados para fora do Reino Unido deve ser efectuada em conformidade com o GDPR do Reino Unido, de modo a que o ASK4 garanta que o país para o qual os dados são transferidos garanta um nível de protecção adequado, ou o ASK4 utilize cláusulas contratuais padrão para garantir um nível de protecção adequado.
11. Devolução ou eliminação dos Dados Pessoais do Cliente
11.1 Os Serviços geralmente: (a) fornecem ao Cliente controlos que o Cliente pode utilizar para recuperar ou eliminar os Dados Pessoais do Cliente; ou (b) permitem ao Cliente manter o controlo sobre o seu acesso e eliminação dos Dados Pessoais do Cliente. A ASK4, mediante pedido escrito, envidará esforços comerciais razoáveis para ajudar o Cliente a recuperar ou apagar os Dados Pessoais do Cliente.
11.2 A ASK4 cessará o processamento dos Dados Pessoais do Cliente, imediatamente após a cessação ou expiração da prestação dos Serviços e (a menos que a ASK4 tenha um interesse legítimo em reter os Dados Pessoais do Cliente ou seja legalmente obrigada a reter os Dados Pessoais do Cliente) por opção do Cliente, ou devolver, ou apagar em segurança os Dados Pessoais do Cliente.
APÊNDICE DE PROCESSAMENTO
Assunto Assunto: O objecto do tratamento de dados ao abrigo do presente acordo são os Dados Pessoais do Cliente.
Duração do processamento: Como entre ASK4 e Cliente, a duração do processamento de dados é a duração para a qual os Serviços são prestados.
Objectivo: O objectivo do Processamento é a prestação dos Serviços iniciados pelo Cliente de tempos a tempos. É da responsabilidade do Cliente informar a ASK4 de quaisquer outros objectivos do Processamento e de quaisquer alterações a esta natureza ou objectivo.
Natureza do processamento: Cálculo, armazenamento, suporte informático e outros serviços, tal como descritos na encomenda do Cliente ou iniciados pelo Cliente de tempos a tempos.
Tipo de Dados Pessoais do Cliente: Nome do funcionário, informações de contacto, função (incluindo permissões) e informações técnicas (tais como informações sobre consultas de apoio que podem ou não ser dados pessoais) relacionadas com o Serviço que está a ser prestado. Os Dados Pessoais do Cliente carregados para os Serviços onde são prestados serviços de alojamento ou armazenamento. Quando tais Serviços são fornecidos, é da responsabilidade do Cliente informar a ASK4 sobre os tipos de Dados Pessoais do Cliente a serem processados e sobre quaisquer alterações a esses tipos de dados.
Categorias de Temas de Dados: Os Temas de Dados podem incluir clientes, empregados, fornecedores e utilizadores finais do Cliente. É da responsabilidade do Cliente informar a ASK4 de quaisquer outras categorias de Sujeitos de Dados a quem os Dados Pessoais do Cliente se referem, e de quaisquer alterações a estas categorias.
Subprocessadores:
- DRD Communications Ltd (como comprador da Inclarity Communications Limited (com sede no Reino Unido) - onde são fornecidos os Serviços VoiP
- Gamma Telecomm Limited (com sede no Reino Unido) - onde são prestados os Serviços VoiP
- O fornecedor grossista de linhas de telecomunicações - onde são fornecidos serviços de linhas alugadas (isto será fornecido por encomenda ou a pedido)
- A Formagrid, Inc. fornece Airtable - que utilizamos como software de processo empresarial
- Aspire Community Enterprise (Sheffield) Ltd - para a destruição segura de equipamento eléctrico
- Utopi Limited - onde fornecemos contadores inteligentes e relatórios ESG associados através da plataforma Utopi e equipamento
NOTA: A ASK4 pode revender soluções de software fornecidas por terceiros como parte dos serviços (por exemplo, produtos Microsoft). O Acordo EULA/cliente relevante (e quaisquer anexos de processamento de dados ou similares nele incorporados) entre o Cliente e o Provedor aplicar-se-á ao processamento de dados pessoais, não o presente acordo.