Acordo de processamento de dados

Este Contrato de Processamento de Dados (este “DPA”) é celebrado entre a Simplenet Hosting SRL (“Simplenet”, “nós”) e o Cliente (“Cliente”, “você”), juntos denominados “As Partes”. Este acordo (“DPA”) faz parte dos Termos de Serviço, da Política de Privacidade e de outras políticas relevantes disponíveis aqui .

O Cliente que concorda com estes termos celebra este DPA em seu próprio nome, na medida exigida pelos Regulamentos e Leis de Proteção de Dados aplicáveis ​​e na medida em que a Simplenet processa os Dados do Cliente conforme instruído pelo Controlador (conforme definido na Seção 1). 

No decurso da prestação dos Serviços ao Cliente, a Simplenet poderá Processar Dados do Cliente em nome do Cliente. As Partes concordam em cumprir as seguintes disposições com relação a quaisquer Dados do Cliente, cada uma agindo de forma razoável e de boa fé. 

1. Definições. 

Salvo definição em contrário neste DPA, todos os termos em maiúsculas têm os significados descritos abaixo:

“Contrato” significa os Termos de Serviço e outras políticas relevantes anunciadas em nosso site, juntamente com o seu Pedido de compra de Serviços e a confirmação do Pedido enviada pela Simplenet.

“Pedido” significa qualquer pedido do Cliente para a compra dos respectivos serviços. 

“Site” significa o site da Simplenet e todos os serviços que oferecemos através do nosso site.

“Serviços” significa quaisquer serviços de hospedagem que oferecemos e que o Cliente tenha adquirido e que possam envolver o processamento de Dados Pessoais pela Simplenet.

“Parceiro” significa qualquer entidade que, direta ou indiretamente, controle, seja controlada ou esteja sob controle comum com a entidade objeto do Simplenet. “Controle”, para os fins desta definição, significa propriedade ou controle direto ou indireto de mais de 50% dos interesses com direito a voto da entidade em questão.

“Produtos Adicionais” significa quaisquer recursos, produtos, software, programas, complementos, plug-ins, scripts, ferramentas ou qualquer outro software ou conteúdo de terceiros que não faça parte dos Serviços, mas que possa ser acessível através da Área de Usuário Simplenet ou do Controle Painel, instalado pelo Cliente ou de outra forma para a utilização dos Serviços.

“RGPD” significa o Regulamento Geral de Proteção de Dados (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção de pessoas singulares no que diz respeito ao tratamento de dados de clientes e à livre circulação desses dados, e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).

“Controlador” significa a pessoa singular ou colectiva que, isoladamente ou em conjunto com outras, determina as finalidades e meios de tratamento dos dados dos clientes;  

“Dados do Cliente” significa quaisquer “Dados Pessoais” que são fornecidos à Simplenet por, ou em nome do Cliente através da sua utilização dos Serviços e que são armazenados na conta do Cliente (para evitar dúvidas, Dados Pessoais fazem parte do pedido do Cliente para a compra do respetivo serviço não será tratada como Dados do Cliente). Os Dados do Cliente podem incluir, entre outros, dados do cliente dentro do significado definido no GDPR.

“Dados Pessoais” tem o significado atribuído no Artigo 4 do GDPR. 

“Regulamentos e Leis de Proteção de Dados” significa todos os regulamentos e leis, incluindo leis e regulamentos da União Europeia, do Espaço Económico Europeu e dos seus estados membros, Suíça e Reino Unido, aplicáveis ​​ao Processamento de Dados do Cliente ao abrigo deste DPA.

“Titular dos Dados” significa a pessoa identificada ou identificável a quem os Dados do Cliente se referem.

“Data de vigência” significa, conforme aplicável:

1. 25 de maio de 2018, se o Cliente tiver executado Pedido(s) e aceitado os Contratos ou as Partes tiverem concordado de outra forma com este DPA em relação ao Contrato aplicável antes ou nessa data; ou
2. a data em que o Cliente clicou para aceitar o Contrato ou as Partes concordaram de outra forma com este DPA em relação ao Contrato aplicável, se essa data for posterior a 25 de maio de 2018.

“Processamento” tem o significado atribuído no Artigo 4 do RGPD.

“Processador” significa a entidade que processa os Dados do Cliente em nome do Controlador.

“Simplenet” significa a entidade Simplenet que é parte deste DPA, conforme especificado na seção, uma empresa constituída na Romênia (número de registro CIF: RO22199266), com endereço: Str. 22 de dezembro 3/B/16, 600196 Bacău, România.

“Cláusulas Contratuais Padrão” ou “CECs” significam as cláusulas padrão de proteção de dados para a transferência de Dados do Cliente, conforme descrito no Artigo 46, p.2, c) do RGPD, Anexo 1 deste DPA.

“Subprocessador” significa qualquer Processador contratado pela Simplenet.

“Autoridade de Supervisão” significa uma autoridade pública independente, estabelecida na Roménia, no território do Estado-Membro da UE, nos termos do RGPD. 

“Prazo” significa o período a partir da Data de Vigência até o final do fornecimento dos Serviços pela Simplenet sob o Contrato aplicável, incluindo, se aplicável, qualquer período durante o qual os Serviços possam ter sido suspensos e qualquer período pós-rescisão (ou seja, 60 dias corridos ) durante o qual a Simplenet poderá continuar a fornecer Serviços para fins transitórios.

“Perdas de Proteção de Dados” significa todas as responsabilidades, incluindo: 

1. custos (incluindo custos legais);
2. reclamações, demandas, ações, acordos, cobranças, procedimentos, despesas, perdas e danos (sejam materiais ou imateriais, inclusive por sofrimento emocional);
3. na medida permitida pela Lei Aplicável:
   1. multas administrativas, penalidades, sanções, responsabilidades ou outras soluções impostas por uma Autoridade Supervisora ​​de Proteção de Dados ou qualquer outra Autoridade Reguladora relevante;
   2. compensação a um Titular de Dados ordenada por uma Autoridade Supervisora ​​de Proteção de Dados;
   3. os custos razoáveis ​​de conformidade com as investigações por uma Autoridade Supervisora ​​de Proteção de Dados ou qualquer outra Autoridade Reguladora relevante; e
4. os custos de carregamento de Dados do Cliente e substituição de materiais e equipamentos do Cliente, na medida em que os mesmos sejam perdidos ou danificados, e qualquer perda ou corrupção de Dados do Cliente, incluindo o custo de retificação ou restauração de Dados do Cliente;

“Endereço de Email de Notificação” significa o endereço de email especificado pelo Cliente na seção Meus Dados da Área do Usuário para receber determinadas notificações da Simplenet.

2. Processamento de Dados. 

2.1. Escopo

Este DPA aplica-se quando e apenas na medida em que a Simplenet processa Dados Pessoais em nome do Cliente no decurso da prestação dos Serviços e esses Dados Pessoais estão sujeitos às Leis de Protecção de Dados da União Europeia, do Espaço Económico Europeu e/ou dos seus membros. estados, Suíça e/ou Reino Unido (aqui referidos como “Dados do Cliente”). 

Se o Cliente que concorda com este DPA já for um Cliente, este DPA faz parte do Contrato, da Política de Privacidade e de outras políticas e documentos relevantes anunciados em nosso site. Nesse caso, a entidade Simplenet será considerada parte deste APD.

Este DPA é válido apenas para a conta do Cliente para a qual foi acordado. Se o Cliente possuir múltiplas contas, será contratado um DPA para cada conta individual separadamente.

Este DPA será válido e juridicamente vinculativo apenas para a pessoa física/jurídica indicada na conta na Área do Utilizador e apenas para os Serviços adquiridos diretamente à Simplenet na respetiva conta. 

Se a entidade do Cliente que concorda com este DPA não for parte de um Pedido nem do Contrato, este DPA não será válido e não será juridicamente vinculativo. Essa entidade deverá solicitar que a entidade Cliente que é parte do Contrato execute este DPA.

Este DPA, incluindo seus apêndices, exceto as cláusulas da Política de Privacidade, entrará em vigor e substituirá quaisquer termos anteriormente aplicáveis ​​à privacidade, processamento de dados e/ou segurança de dados.

2.2. Cumprimento das Leis.  

Se as Leis de Proteção de Dados da União Europeia se aplicarem a este DPA, cada parte cumprirá as obrigações que lhe são aplicáveis ​​nos termos da Legislação Europeia de Proteção de Dados no que diz respeito ao processamento desses Dados do Cliente.

2.3. Assunto e detalhes do processamento de dados

2.3.1 Assunto

A Simplenet processará os Dados do Cliente conforme necessário para o fornecimento dos Serviços, suporte técnico relacionado e outras consultas de acordo com o Contrato e conforme instruções adicionais do Cliente no uso dos Serviços.

2.3.2. Duração do processamento

Sujeito à Seção 11, a duração do processamento de dados será o Prazo designado no Pedido e no Contrato aplicável. 

2.3.3. Natureza e finalidade do processamento

A Simplenet processará os Dados do Cliente para fins de fornecimento dos Serviços e suporte técnico relacionado ao Cliente de acordo com o Contrato, este DPA e outras políticas relevantes.

2.3.4. Categorias de titulares de dados

O Cliente poderá enviar Dados do Cliente durante o uso dos Serviços, cuja extensão é determinada e controlada pelo Cliente a seu exclusivo critério, e que pode incluir, entre outros, Dados Pessoais relacionados às seguintes categorias de titulares de dados :

• Prospects, clientes, parceiros de negócios e fornecedores do Cliente (que são pessoas físicas e jurídicas);
• Funcionários ou pessoas de contato de clientes potenciais, clientes, parceiros de negócios e fornecedores do Cliente;
• Colaboradores, agentes, consultores, freelancers do Cliente (que sejam pessoas singulares);
• Usuários do Cliente autorizados pelo Cliente a usar os Serviços;
• Indivíduos que transmitem dados através dos Serviços, incluindo indivíduos que colaboram e se comunicam com o Cliente ou com os usuários finais do Cliente;
• Indivíduos cujos dados são fornecidos à Simplenet através dos Serviços por ou sob orientação do Cliente ou pelos usuários finais do Cliente.

2.3.5. Categorias de dados pessoais

O Cliente poderá enviar Dados do Cliente durante o uso dos Serviços, cuja extensão é determinada e controlada pelo Cliente a seu exclusivo critério, e que pode incluir, entre outros, Dados Pessoais relacionados às seguintes categorias de Dados Pessoais :

• Nome
• Endereço
• Endereço de email
• Quaisquer dados pessoais relativos a indivíduos

2.4. Papéis das Partes

As partes reconhecem e concordam que:

1. A Simplenet é um processador dos Dados do Cliente ao abrigo da Legislação Europeia de Proteção de Dados;
2. O Cliente é um controlador ou processador, conforme aplicável, dos Dados do Cliente nos termos da Legislação Europeia de Proteção de Dados; e obteve todos os consentimentos e direitos necessários sob as Leis de Proteção de Dados para a Simplenet processar Dados do Cliente e fornecer os Serviços de acordo com o Contrato e este DPA.

2.5. Instruções para processamento de dados. 

A Simplenet processará os Dados do Cliente de acordo com este DPA, que consiste nas instruções completas e finais do Cliente à Simplenet em relação ao processamento dos Dados do Cliente. O processamento fora do âmbito deste DPA (se houver) exigirá um acordo prévio por escrito entre a Simplenet e o Cliente sobre instruções adicionais para o processamento. Ao celebrar este DPA, o Cliente instrui a Simplenet a processar os Dados do Cliente apenas de acordo com a lei aplicável:

1. fornecer os Serviços e suporte técnico relacionado e outros;
2. conforme iniciado pelo Cliente e pelos usuários finais no uso dos Serviços; 
3. conforme especificado no Contrato, Termos de Serviço, Política de Privacidade e outras políticas relevantes que regem a prestação dos Serviços e suporte técnico relacionado e outros.

2.6. Acesse ou use. 

A Simplenet não acessará ou utilizará os Dados do Cliente, exceto conforme necessário para fornecer os Serviços e suporte técnico relacionado ao Cliente de acordo com o DPA, o Contrato e outras políticas relevantes.

2.6.1. Processamento do Cliente. 

O Cliente deverá, na utilização dos Serviços, Processar os seus Dados de acordo com os requisitos das Leis e Regulamentos de Proteção de Dados que lhe são aplicáveis. O Cliente será o único responsável pela exatidão, qualidade e legalidade dos seus Dados e pelos meios pelos quais o Cliente adquiriu esses Dados.

2.6.2. Processamento de dados de clientes da Simplenet. 

A Simplenet apenas tratará os Dados do Cliente em nome e de acordo com as instruções documentadas do Cliente para os seguintes fins: 

1. Processamento para fornecer os Serviços e suporte técnico relacionado de acordo com este DPA e Pedido(s) aplicável(eis);
2. Processamento iniciado pelos Usuários na utilização dos Serviços;
3. Processamento necessário para manter e melhorar os Serviços.

2.6.3. Conformidade da Simplenet com as instruções.  

A partir da Data Efectiva, a Simplenet cumprirá as instruções descritas acima na Secção Instruções do Cliente, incluindo no que diz respeito às transferências de dados, a menos que a legislação da UE ou de um Estado-Membro da UE a que a Simplenet esteja sujeita exija outro processamento de Dados do Cliente pela Simplenet, caso em que A Simplenet informará o Cliente (a menos que a lei proíba a Simplenet de fazê-lo por motivos importantes de interesse público) através do Site ou do Endereço de Email de Notificação. 

Os Dados do Cliente podem ser acessados ​​e processados ​​pela Simplenet, Usuários Autorizados e Subprocessadores para cumprir as obrigações deste DPA e do respectivo Contrato ou para fornecer determinados serviços em nome da Simplenet. Esse processamento cumprirá as medidas descritas nas Seções 3, Seção 7 e Anexo 2, Medidas de Segurança.

2.7. Direitos dos Titulares dos Dados.

2.7.1. Acesso, Retificação, Processamento Restrito, Portabilidade.

Durante o Prazo aplicável, a Simplenet deverá, de maneira consistente com a funcionalidade dos Serviços, permitir que o Cliente acesse, retifique e restrinja o processamento dos Dados do Cliente, inclusive por meio da exclusão de todos ou alguns dos Dados do Cliente em sua conta ou exclusão do conta inteira, conforme descrito na Seção 2.6. (Devolução e Exclusão de dados de clientes), e via exportação de Dados de Clientes.

2.7.2. Solicitações de titulares de dados.

2.7.2.1. Responsabilidade do Cliente pelas Solicitações. 

Se durante o Prazo aplicável, a Simplenet receber uma solicitação de um Titular dos Dados para exercer o direito de acesso, direito de retificação, restrição do Tratamento, apagamento (“direito ao esquecimento”), portabilidade dos dados, oposição ao Tratamento, ou o seu direito de não ser sujeito a uma tomada de decisão individual automatizada (“Pedido do Titular dos Dados”), a Simplenet aconselhará o Titular dos Dados a submeter o seu pedido ao Cliente, e o Cliente será responsável por responder a qualquer pedido, incluindo, quando necessário, usando a funcionalidade do Serviços. A Simplenet deverá, na medida do legalmente permitido, tomar medidas comercialmente razoáveis ​​para notificar o Cliente sobre tais pedidos.

2.7.2.2. Assistência para solicitação de titular de dados Simplenet.  

Tendo em conta a natureza do Tratamento, o Cliente concorda que a Simplenet prestará assistência técnica e organizacional adequada, na medida do possível, para o cumprimento da obrigação do Cliente de responder aos pedidos dos Titulares dos Dados, incluindo, se aplicável, a obrigação do Cliente de responder aos pedidos para o exercício dos direitos do titular dos dados previstos no Capítulo III do RGPD, através de:

(a) fornecer recursos de documentação na forma de tutoriais e artigos da base de conhecimento, funcionalidades e/ou controles no Painel de Controle que o Cliente pode optar por usar para configurar adequadamente os Serviços e usar os Serviços de maneira segura.

(b) fornecer recursos, funcionalidades e/ou controles no Painel de Controle que o Cliente possa optar por usar para recuperar, corrigir ou excluir os Dados do Cliente dos Serviços.

(c) cumprir os compromissos estabelecidos neste DPA.

(d) Na medida em que o Cliente, ao usar os Serviços, não tenha a capacidade de atender a uma Solicitação do Titular dos Dados, a Simplenet deverá, mediante solicitação do Cliente, envidar esforços comercialmente razoáveis ​​para ajudar o Cliente a responder a essa Solicitação do Titular dos Dados, na medida A Simplenet está legalmente autorizada a fazê-lo e a resposta a tal Solicitação do Titular dos Dados é exigida pelas Leis e Regulamentos de Proteção de Dados. Na medida do legalmente permitido, o Cliente será responsável por quaisquer custos decorrentes do fornecimento de tal assistência pela Simplenet.

O Cliente cobrirá os custos razoáveis ​​da Simplenet para fornecer assistência na seção 2.7.2.2.

2.8. Devolução e exclusão de dados do cliente.

A Simplenet permitirá que o Cliente exclua os Dados do Cliente durante o Prazo aplicável de maneira consistente com a funcionalidade dos Serviços e os recursos conforme o respectivo Pedido. Se o Cliente utilizar os Serviços para recuperar ou eliminar Dados do Cliente e os Dados do Cliente não puderem ser recuperados, isto constituirá uma instrução à Simplenet para eliminar os Dados do Cliente relevantes arquivados em sistemas de backup de acordo com a lei aplicável e num período máximo de 60 dias corridos. dias.  

A desativação dos Serviços ou a expiração do Prazo aplicável constituirá uma instrução à Simplenet para eliminar os Dados do Cliente e os Dados do Cliente relevantes arquivados em sistemas de backup no prazo máximo de 60 dias corridos. 

Nada nesta Seção 2.8 varia ou modifica qualquer obrigação da Simplenet de reter alguns ou todos os Dados do Cliente conforme necessário para cumprir a lei ou ordem válida e vinculativa de uma agência de aplicação da lei (como uma intimação ou ordem judicial). 

2.9. Divulgação. 

A Simplenet não divulgará os Dados do Cliente a nenhum governo, agências de aplicação da lei e outras autoridades, exceto quando necessário para cumprir a lei ou ordem válida e vinculativa de uma agência de aplicação da lei (como uma intimação ou ordem judicial).  

2.10. Pessoal da Simplenet. 

A Simplenet restringe o seu pessoal de processar Dados do Cliente sem autorização da Simplenet. O acesso aos Dados do Cliente é limitado ao pessoal que desempenha uma função e responsabilidades de acordo com o Contrato.

A Simplenet impõe obrigações contratuais adequadas ao seu pessoal, incluindo obrigações relevantes em matéria de confidencialidade, proteção de dados e segurança de dados. A Simplenet garante que estas obrigações de confidencialidade sobreviverão ao término do contrato de pessoal.

2.11. Oficial de Proteção de Dados.

A Simplenet nomeou um Encarregado de Proteção de Dados para efeitos deste DPA e Política de Privacidade, que pode ser contatado em contact@staging.simplenet.site.

3. Subprocessadores.

3.1. Consentimento para envolvimento de subprocessadores/nomeação de subprocessadores 

O Cliente reconhece e concorda que: 

(a) Os Parceiros Simplenet podem ser contratados como Subprocessadores; e 

(b) A Simplenet e os Parceiros da Simplenet, respectivamente, podem contratar Subprocessadores em conexão com o fornecimento dos Serviços. A Simplenet celebrou um acordo por escrito com cada Subprocessador contendo obrigações de proteção de dados não menos protetoras do que aquelas neste DPA com relação à proteção dos Dados do Cliente na medida aplicável à natureza dos Serviços fornecidos por tais Subprocessadores. Se o Cliente tiver celebrado Cláusulas Contratuais Padrão (Apêndice 1), conforme descrito na Seção 5 (Transferências de Dados para Fora do EEE), as autorizações acima constituirão o consentimento prévio por escrito do Cliente para a subcontratação pela Simplenet do processamento de Dados do Cliente, se tal consentimento é exigido pelas Cláusulas Contratuais Padrão.

3.2. Informações sobre subprocessadores/Notificação de novos Subprocessadores.

3.2.1. A Simplenet compartilhará informações sobre você com Subprocessadores, como os Subprocessadores/processadores que estão envolvidos no fornecimento de Serviços sujeitos ao seu Contrato e que estão sediados no território da União Europeia e dos Estados Unidos, prestadores de serviços de Data Center que são com sede no território da União Europeia, Estados Unidos, Austrália e Singapura. Estes Subcontratantes processarão os dados fornecidos sob as instruções da Simplenet e em conformidade com a nossa Política de Privacidade e este DPA. Não autorizamos Subprocessadores a reter, compartilhar, armazenar ou usar suas informações de identificação pessoal para quaisquer fins secundários. 

3.2.2. Quando um novo Subprocessador Terceirizado for contratado para processar quaisquer Dados do Cliente em conexão com o fornecimento dos Serviços aplicáveis ​​durante o Prazo aplicável deste DPA, a Simplenet informará o Cliente desse compromisso, incluindo a categoria e localização do subprocessador relevante. -processador e as atividades que ele deverá realizar, pelo menos 10 dias corridos antes de autorizar o novo Subprocessador Terceirizado, enviando um e-mail para o Endereço de E-mail de Notificação ou através da Área do Usuário.

3.3. Requisitos para envolvimento do subprocessador.

Ao contratar qualquer Subprocessador, a Simplenet deverá:

(a) garantir, através de um contrato escrito, que:

(i) o Subprocessador somente acessa e usa os Dados do Cliente na medida necessária para cumprir as obrigações subcontratadas a ele, e o faz de acordo com o Contrato aplicável (incluindo esta Alteração de Processamento de Dados) e quaisquer Cláusulas Contratuais Padrão celebradas ou Alternativas Solução de Transferência adoptada pela Simplenet conforme descrito na Secção 5 (Transferências de Dados para Fora do EEE); e

(ii) se o GDPR se aplicar ao processamento de dados de clientes do Cliente, as obrigações de proteção de dados estabelecidas no Artigo 28(3) do GDPR, conforme descrito nesta Alteração sobre Processamento de Dados, serão impostas ao Subprocessador; e

(b) permanecerá totalmente responsável por todas as obrigações subcontratadas a ele e por todos os atos e omissões do Subprocessador.

3.4. Direito de objeção para novos subprocessadores. 

3.4.1. O Cliente poderá se opor a qualquer novo Subprocessador Terceirizado rescindindo o Contrato aplicável imediatamente mediante notificação por escrito à Simplenet, desde que o Cliente forneça tal notificação no prazo de 10 dias corridos após ser informado da contratação do subprocessador. Este direito de rescisão é o único e exclusivo recurso do Cliente caso o Cliente se oponha a qualquer novo Subprocessador Terceirizado.

3.4.2. A Simplenet reembolsará ao Cliente quaisquer taxas pré-pagas cobrindo o restante do prazo de tal(s) Pedido(s) após a data efetiva de rescisão em relação a tais Serviços rescindidos, sem impor uma penalidade por tal rescisão ao Cliente.

4. Avaliações de impacto, consultas. Armazenar. 

4.1. Avaliações de impacto e consultas. 

A pedido do Cliente, a Simplenet fornecerá ao Cliente a cooperação e assistência razoáveis ​​necessárias para cumprir a obrigação do Cliente nos termos do GDPR de realizar uma avaliação de impacto na proteção de dados relacionada ao uso dos Serviços pelo Cliente, na medida em que o Cliente não tenha acesso de outra forma a as informações relevantes e na medida em que tais informações estejam disponíveis para a Simplenet. A Simplenet prestará assistência razoável ao Cliente na cooperação ou consulta prévia à Autoridade Supervisora ​​no desempenho das suas tarefas relacionadas com este DPA, na medida exigida pelo RGPD.

5. Transferências para fora do EEE.

5.1. Data Center e armazenamento

A Simplenet armazena e trata os Dados dos Clientes em Data Centers localizados dentro e fora da União Europeia. As informações sobre as localizações dos nossos Data Centers estão disponíveis na base de conhecimento e a Simplenet reserva-se o direito de atualizá-las periodicamente.

O Cliente poderá especificar o local do Datacenter onde seus Dados do Cliente serão armazenados. O Cliente concorda que a Simplenet poderá alterar a localização dos Data Centers e mover os Dados do Cliente para outro Data Center. A Simplenet informará o Cliente pelo menos 10 dias de calendário antes de transferir os Dados do Cliente para um novo Data Center, quer através do envio de um email para o Endereço de Email de Notificação ou através da Área de Utilizador. Se a alteração do Centro de Dados resultar no armazenamento dos Dados do Cliente sob uma jurisdição diferente, o Cliente poderá opor-se a tal alteração rescindindo o Contrato imediatamente e mediante notificação por escrito à Simplenet, desde que o Cliente forneça tal notificação no prazo de 10 dias corridos a partir de sendo informado da mudança do Data Center.

O Cliente pode mover a sua conta e Dados do Cliente para outro local do Data Center a qualquer momento, desde que a funcionalidade dos Serviços o permita e em troca de taxas adicionais. Uma vez que o Cliente tenha feito a sua escolha e especificado uma localização de Centro de Dados dentro da União Europeia, a Simplenet não armazenará os Dados do Cliente fora das fronteiras da União Europeia, exceto quando necessário para cumprir a lei ou ordem válida e vinculativa de uma agência de aplicação da lei (tal como uma intimação ou ordem judicial).

5.2. Locais de processamento

Na medida em que o Cliente tenha especificado um Centro de Dados fora do Espaço Económico Europeu e na medida em que a Simplenet forneça os Serviços e suporte técnico relacionado e outro suporte, o Cliente concorda que a Simplenet poderá, sujeito à Secção 5, aceder e processar Dados do Cliente no EEE, Estados Unidos e quaisquer outros países onde a Simplenet e/ou os seus Parceiros e Subcontratantes possuam Centros de Dados, instalações ou mantenham operações de processamento de dados. Se o armazenamento e/ou processamento de Dados do Cliente envolver o processamento de Dados do Cliente fora do EEE, e a Legislação Europeia de Proteção de Dados for aplicável, o Cliente concorda que a Simplenet exige razoavelmente que o Cliente celebre Cláusulas Contratuais Modelo em relação a tais transferências de acordo com com a Seção 5.2 e o Apêndice 1 e o Cliente concorda em fazê-lo.

5.3. Mecanismo de Transferência

Na medida em que a Simplenet processa ou transfere (diretamente ou através de transferência posterior) Dados de Clientes sob este DPA da União Europeia, do Espaço Económico Europeu e/ou dos seus estados membros e da Suíça em ou para países que não garantem um nível adequado de proteção de dados dentro do significado das Leis de Proteção de Dados aplicáveis ​​dos territórios acima mencionados, as partes concordam que:

1. As Cláusulas Contratuais Padrão (Apêndice 1) serão aplicadas aos Dados do Cliente transferidos.
2. Considera-se que a Simplenet fornece salvaguardas adequadas para proteger os Dados do Cliente em virtude da disponibilização de Cláusulas Contratuais Padrão (Anexo 1) como mecanismo de transferência.
3. O Cliente autoriza por este meio qualquer transferência ou acesso aos Dados do Cliente de tais destinos fora do Espaço Económico Europeu, sujeito a qualquer uma das medidas acima;

6. Processamento de registros.

O Cliente reconhece que a Simplenet é obrigada ao abrigo do RGPD a:

(a) recolher e manter registos de determinadas informações, incluindo o nome e dados de contacto de cada subcontratante e/ou responsável pelo tratamento em nome do qual a Simplenet atua e, quando aplicável, do representante local e responsável pela proteção de dados desse subcontratante ou responsável pelo tratamento; e 

(b) Disponibilizar essas informações às autoridades de supervisão. Assim, se o RGPD se aplicar ao tratamento de dados do Cliente, o Cliente deverá, sempre que solicitado, fornecer essas informações à Simplenet através do Site ou de outros meios fornecidos pela Simplenet, e utilizará o Site ou outros meios para garantir que todas as informações fornecidas é mantido preciso e atualizado.

7. Responsabilidades de Segurança do Simplenet.

7.1. A Simplenet implementará e manterá medidas técnicas e organizacionais para proteger os Dados do Cliente contra destruição, perda, alteração, divulgação ou acesso não autorizado, acidental ou ilícito, conforme descrito no Anexo 2 (as “Medidas de Segurança”). Conforme descrito no Apêndice 2, as Medidas de Segurança incluem medidas para fornecer transmissão criptografada de dados do cliente fora do ambiente do Serviço; ajudar a garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços da Simplenet; para ajudar a restaurar o acesso oportuno aos Dados do Cliente a partir de uma cópia de backup disponível, fornecida pelos Serviços de Backup Simplenet ou pela própria cópia de backup do Cliente após um incidente; e para testes regulares de eficácia. A Simplenet poderá atualizar ou modificar as Medidas de Segurança de tempos em tempos, desde que tais atualizações e modificações não resultem na degradação da segurança geral dos Serviços.

7.2. Responsabilidades e Avaliação de Segurança do Cliente.

O Cliente concorda que, sem prejuízo das obrigações da Simplenet nos termos da Secção 7. (Responsabilidades de Segurança da Simplenet) e outras Secções relevantes deste DPA: 

1. O Cliente é o único responsável pela utilização dos Serviços, incluindo:
   1. fazer uso adequado dos Serviços para garantir um nível de segurança adequado ao risco em relação aos Dados do Cliente;
   2. proteger as credenciais de autenticação da conta, sistemas e dispositivos que o Cliente usa para acessar os Serviços; 
   3. garantir que todos os programas, scripts, complementos, plug-ins e outros softwares instalados na conta sejam seguros e que sua utilização não imponha nenhum risco de segurança em relação aos Dados do Cliente e à própria conta;
   4. proteger todos os programas instalados, scripts, complementos, plugins e outros softwares, sua configuração e sua manutenção regular;
   5. qualquer conteúdo da conta;  
   6. quaisquer ações e atividades na conta; e
   7. fazer backup de seus dados de clientes; e
2. A Simplenet não tem obrigação de proteger os Dados do Cliente que o Cliente opte por armazenar ou transferir fora dos sistemas da Simplenet e de seus Subprocessadores (por exemplo, armazenamento offline ou local), ou de proteger os Dados do Cliente implementando ou mantendo Controles de Segurança Adicionais exceto na medida em que o Cliente tenha optado por utilizá-los.
3. O Cliente é o único responsável por revisar a documentação e avaliar se os Serviços, as Medidas de Segurança, os compromissos da Simplenet sob esta Seção e os seguintes atendem às necessidades do Cliente, incluindo quaisquer obrigações de segurança do Cliente sob a Legislação Europeia de Proteção de Dados e/ou Não- Legislação Europeia de Proteção de Dados, conforme aplicável.
4. O Cliente reconhece e concorda que (tendo em conta os custos de implementação e a natureza, âmbito, contexto e finalidade do tratamento dos dados do Cliente, bem como os riscos para os indivíduos) as Medidas de Segurança implementadas e mantidas pela Simplenet conforme estabelecido na Secção 7.1 . fornecer o nível de segurança necessário e apropriado ao risco em relação aos Dados do Cliente.
5. É responsabilidade do Cliente fazer backup dos Dados do Cliente e de todos os dados e consentimentos armazenados na conta, a fim de evitar possível perda de dados.
   1. Os Serviços de Backup Simplenet são fornecidos “no estado em que se encontram” e estão sujeitos a todas as limitações de responsabilidade estabelecidas no Contrato aplicável.
   2. Mesmo que o Cliente adquira Serviços de Backup, concorda que manterá o seu próprio conjunto de backups independentes daqueles que a Simplenet mantém e que a única obrigação da Simplenet é restaurar o espaço da conta ao seu estado operacional. Em caso de incidente, falha de hardware ou software ou qualquer corrupção ou perda incidental de dados, a Simplenet poderá fornecer assistência, mas é obrigação exclusiva do Cliente restaurar os Dados do Cliente.  
   3. Em caso de perda ou corrupção parcial ou total dos dados e caso o Cliente não esteja satisfeito com o resultado da restauração pelos Serviços de Backup Simplenet ou a cópia de backup da Simplenet não seja recente ou adequada para restauração, será obrigação do Cliente restaurar os Dados do Cliente, seus arquivos e quaisquer dados da conta a partir do backup do próprio Cliente.

8. Revisão e auditorias de conformidade.

Se a Legislação Europeia de Proteção de Dados se aplicar ao processamento de Dados do Cliente:

1. O Cliente tem o direito de verificar o cumprimento por parte da Simplenet das suas obrigações ao abrigo deste DPA, através da realização de uma revisão da documentação ou de uma auditoria, incluindo inspeções, conduzida pelo Cliente ou por um auditor independente nomeado pelo Cliente, fazendo um pedido específico à Simplenet em um formulário escrito para o endereço definido nos respectivos Termos de Serviço. 
2. A Simplenet fornecerá ainda respostas por escrito a todas as solicitações razoáveis ​​do Cliente e poderá cobrar uma taxa por qualquer revisão ou auditoria. A Simplenet fornecerá detalhes de qualquer taxa aplicável antes de qualquer auditoria e o Cliente será responsável por quaisquer taxas cobradas por qualquer auditor e por quaisquer taxas associadas à execução de uma auditoria. Os relatórios de qualquer auditoria serão disponibilizados à Simplenet sem restrições de finalidade para sua posterior utilização pela Simplenet.
3. A Simplenet poderá opor-se e recusar por escrito ao Cliente ou a um auditor nomeado pelo Cliente a realização de qualquer auditoria se o Cliente ou o auditor não for, na opinião razoável da Simplenet, adequadamente qualificado ou independente, um concorrente da Simplenet, ou de outra forma manifestamente inadequado.
4. Se a Simplenet se recusar a seguir qualquer instrução solicitada pelo Cliente ou por um auditor em relação a uma auditoria ou inspeção devidamente solicitada e com escopo definido, o Cliente terá o direito de rescindir este DPA e os Termos de Serviço.

Nada nesta Seção 8 (Revisão e Auditorias de Conformidade) varia ou modifica quaisquer direitos ou obrigações do Cliente ou da Simplenet sob quaisquer Cláusulas Contratuais Modelo celebradas conforme descrito na Seção 5 (Transferências de Dados para Fora do EEE).

9. Notificação de violação de segurança. 

9.1. A Simplenet mantém políticas e procedimentos de gestão de incidentes de segurança e notificará o Cliente sem demora injustificada após tomar conhecimento da destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilegal aos Dados do Cliente, incluindo dados do Cliente transmitidos, armazenados ou de outra forma Processados ​​por A Simplenet ou os seus Subcontratantes de que a Simplenet tome conhecimento (um “Incidente de Dados do Cliente”). A Simplenet fará esforços razoáveis ​​para identificar a causa de tal Incidente de Dados do Cliente e tomará as medidas que a Simplenet considerar necessárias e razoáveis ​​para remediar a causa de tal Incidente de Dados do Cliente, na medida em que a remediação esteja dentro do controle razoável da Simplenet. As obrigações aqui contidas não se aplicam a incidentes causados ​​pelo Cliente, pelo uso dos Serviços pelo Cliente, pelas ações ou atividades do Cliente ou pelos Usuários do Cliente.

9.2. As notificações feitas de acordo com esta seção descreverão, na medida do possível, detalhes do Incidente de Dados, incluindo medidas tomadas para mitigar os riscos potenciais e medidas que a Simplenet recomenda que o Cliente tome para resolver o Incidente de Dados. 

9.3. As notificações de quaisquer incidentes de dados serão entregues ao endereço de e-mail de notificação ou, a critério da Simplenet, por comunicação direta (por exemplo, por telefone). O Cliente é o único responsável por garantir que o endereço de e-mail de notificação e as informações de contato sejam atuais e válidos.

9.4. A Simplenet não avaliará o conteúdo dos Dados do Cliente para identificar informação sujeita a quaisquer requisitos legais específicos. O Cliente é o único responsável por cumprir as leis de notificação de incidentes aplicáveis ​​ao Cliente e cumprir quaisquer obrigações de notificação de terceiros relacionadas a qualquer Incidente(s) de Dados.

9.5. A notificação ou resposta da Simplenet a um Incidente de Dados nos termos desta Seção 10 não deve ser interpretada como um reconhecimento pela Simplenet de qualquer falha ou responsabilidade com relação ao Incidente de Dados.

10. Responsabilidade e indenização.

10.1. O Cliente indemnizará e manterá a Simplenet indemnizada relativamente a todas as violações e perdas de proteção de dados sofridas ou incorridas por, decorrentes ou relacionadas com:

(a) qualquer incumprimento por parte do Cliente das leis e regulamentos de proteção de dados;

(b) qualquer violação pelo Cliente de suas obrigações de proteção de dados sob este Contrato; 

10.2. A Simplenet será responsável por violações e perdas de proteção de dados causadas pelo processamento de Dados do Cliente apenas na medida diretamente resultante do incumprimento da Simplenet das suas obrigações como Processador de Dados ao abrigo das leis e regulamentos de proteção de dados.

11. Rescisão

Este DPA entrará em vigor a partir da Data de Vigência até o final do fornecimento dos Serviços pela Simplenet sob o Contrato aplicável, incluindo, se aplicável, qualquer período durante o qual os Serviços possam ter sido suspensos e qualquer período pós-rescisão (ou seja, 60 dias corridos). durante o qual a Simplenet poderá continuar a fornecer Serviços para fins transitórios (“Prazo”). O DPA expirará automaticamente após a exclusão de todos os Dados do Cliente pela Simplenet.

12. Efeito Jurídico.

Na medida de qualquer conflito ou inconsistência entre os termos deste DPA e o restante do Contrato aplicável relacionado ao Processamento de Dados do Cliente, os termos deste DPA prevalecerão. Sujeito às alterações, se houver, neste DPA, tal Contrato permanecerá em pleno vigor e efeito. Para maior clareza, se o Cliente tiver celebrado mais de um Contrato, este DPA deverá alterar cada um dos Contratos separadamente.

---

Anexo 1

CLÁUSULAS CONTRATUAIS PADRÃO (PROCESSADORES)

Para efeitos do artigo 26.º, n.º 2, da Diretiva 95/46/CE, para a transferência de dados pessoais para processadores estabelecidos em países terceiros que não garantam um nível adequado de proteção de dados

A entidade identificada como “Cliente” no Contrato de Processamento de Dados 

(o exportador de dados)

E

Simplenet Hosting SRL

(o importador de dados)

cada um é uma 'festa'; juntos 'as partes',

ACORDARAM nas seguintes Cláusulas Contratuais (as Cláusulas), a fim de apresentar salvaguardas adequadas no que diz respeito à proteção da privacidade e dos direitos e liberdades fundamentais dos indivíduos para a transferência pelo exportador de dados para o importador de dados dos dados pessoais especificados no Apêndice 1 .

Cláusula 1

Definições

Para efeitos das Cláusulas:

(a) «dados pessoais», «categorias especiais de dados», «tratamento/tratamento», «responsável pelo tratamento», «subcontratante», «titular dos dados» e «autoridade de controlo» terão o mesmo significado que na Directiva 95/46/ CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados;

(b) «exportador de dados», o responsável pelo tratamento que transfere os dados pessoais;

(c) 'o importador de dados' significa o processador que concorda em receber do exportador de dados dados pessoais destinados ao processamento em seu nome após a transferência, de acordo com suas instruções e os termos das Cláusulas e que não está sujeito à obrigação de um país terceiro sistema que garanta uma proteção adequada na aceção do artigo 25.º, n.º 1, da Diretiva 95/46/CE;

(d) 'o subprocessador' significa qualquer processador contratado pelo importador de dados ou por qualquer outro subprocessador do importador de dados que concorde em receber do importador de dados ou de qualquer outro subprocessador do importador de dados exclusivamente dados pessoais destinado a atividades de processamento a serem realizadas em nome do exportador de dados após a transferência de acordo com suas instruções, os termos das Cláusulas e os termos do subcontrato escrito;

(e) «Lei de protecção de dados aplicável», a legislação que protege os direitos e liberdades fundamentais dos indivíduos e, em particular, o seu direito à privacidade no que diz respeito ao tratamento de dados pessoais aplicável a um responsável pelo tratamento de dados no Estado-Membro em que o o exportador de dados é estabelecido;

f) «Medidas de segurança técnicas e organizativas», as medidas destinadas a proteger os dados pessoais contra a destruição acidental ou ilícita ou a perda acidental, a alteração, a divulgação ou o acesso não autorizado, em especial quando o tratamento implique a transmissão de dados através de uma rede, e contra todas as outras formas ilegais de processamento.

Cláusula 2

Detalhes da transferência

Os detalhes da transferência e, em particular, as categorias especiais de dados pessoais, quando aplicável, estão especificados no Apêndice 1, que faz parte integrante das Cláusulas.

Cláusula 3

Cláusula de terceiro beneficiário

1. O titular dos dados pode executar contra o exportador de dados esta Cláusula, Cláusula 4 (b) a (i), Cláusula 5 (a) a (e) e (g) a (j), Cláusula 6 (1) e ( 2), Cláusula 7ª, Cláusula 8ª(2) e Cláusulas 9 a 12 como terceiro beneficiário.

2. O titular dos dados pode fazer valer contra o importador de dados a presente Cláusula, a Cláusula 5(a) a (e) e (g), a Cláusula 6, a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 a 12, nos casos em que o O exportador de dados desapareceu de facto ou deixou de existir de direito, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados por contrato ou por força da lei, pelo que assume os direitos e obrigações dos dados exportador, caso em que o titular dos dados pode aplicá-los contra essa entidade.

3. O titular dos dados pode executar contra o subprocessador esta Cláusula, Cláusula 5(a) a (e) e (g), Cláusula 6, Cláusula 7, Cláusula 8(2) e Cláusulas 9 a 12, nos casos em que tanto o exportador de dados como o importador de dados tenham desaparecido de facto ou tenham deixado de existir legalmente ou se tenham tornado insolventes, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados por contrato ou por força da lei como resultado dos quais assume os direitos e obrigações do exportador de dados, caso em que o titular dos dados pode executá-los contra essa entidade. Essa responsabilidade de terceiros do subprocessador será limitada às suas próprias operações de processamento de acordo com as Cláusulas.

4. As partes não se opõem a que o titular dos dados seja representado por uma associação ou outro organismo, se o titular dos dados assim o desejar expressamente e se a legislação nacional o permitir.

Cláusula 4

Obrigações do exportador de dados

O exportador de dados concorda e garante:

(a) que o processamento, incluindo a própria transferência, dos dados pessoais foi e continuará a ser realizado de acordo com as disposições relevantes da lei de proteção de dados aplicável (e, quando aplicável, foi notificado às autoridades relevantes do Estado-Membro onde o exportador de dados está estabelecido) e não viola as disposições relevantes desse Estado;

(b) que instruiu e durante toda a duração dos serviços de processamento de dados pessoais instruirá o importador de dados a processar os dados pessoais transferidos apenas em nome do exportador de dados e de acordo com a lei de proteção de dados aplicável e as Cláusulas;

(c) que o importador de dados fornecerá garantias suficientes em relação às medidas de segurança técnicas e organizacionais especificadas no Apêndice 2 deste contrato;

(d) que, após avaliação dos requisitos da lei de proteção de dados aplicável, as medidas de segurança são adequadas para proteger os dados pessoais contra destruição acidental ou ilícita ou perda acidental, alteração, divulgação ou acesso não autorizado, em particular quando o processamento envolve a transmissão de dados através de uma rede e contra todas as outras formas ilícitas de tratamento, e que estas medidas garantem um nível de segurança adequado aos riscos apresentados pelo tratamento e à natureza dos dados a proteger, tendo em conta o estado da técnica e as custo de sua implementação;

(e) que garantirá o cumprimento das medidas de segurança;

(f) que, se a transferência envolver categorias especiais de dados, o titular dos dados foi informado ou será informado, antes ou o mais rapidamente possível após a transferência, de que os seus dados poderão ser transmitidos para um país terceiro que não ofereça proteção adequada no âmbito o significado da Diretiva 95/46/CE;

(g) encaminhar qualquer notificação recebida do importador de dados ou de qualquer subprocessador de acordo com a Cláusula 5(b) e a Cláusula 8(3) à autoridade supervisora ​​de proteção de dados se o exportador de dados decidir continuar a transferência ou levantar a suspensão ;

(h) disponibilizar aos titulares dos dados, mediante solicitação, uma cópia das Cláusulas, com exceção do Anexo 2, e uma descrição resumida das medidas de segurança, bem como uma cópia de qualquer contrato de serviços de subprocessamento que deva ser feita de acordo com as Cláusulas, a menos que as Cláusulas ou o contrato contenham informações comerciais, caso em que poderá remover tais informações comerciais;

(i) que, em caso de subprocessamento, a atividade de processamento seja realizada de acordo com a Cláusula 11 por um subprocessador que forneça pelo menos o mesmo nível de proteção para os dados pessoais e os direitos do titular dos dados que os dados importador sob as Cláusulas; e

(j) que garantirá o cumprimento da Cláusula 4(a) a (i).

Cláusula 5

Obrigações do importador de dados [1]

O importador de dados concorda e garante:

(a) processar os dados pessoais somente em nome do exportador de dados e em conformidade com suas instruções e as Cláusulas; se não puder garantir tal conformidade por qualquer motivo, concorda em informar imediatamente o exportador de dados da sua incapacidade de cumprir, caso em que o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato;

(b) que não tem motivos para acreditar que a legislação que lhe é aplicável o impede de cumprir as instruções recebidas do exportador de dados e as suas obrigações nos termos do contrato e que, no caso de uma alteração nesta legislação que possa ter um impacto efeito adverso substancial nas garantias e obrigações previstas nas Cláusulas, notificará imediatamente a alteração ao exportador de dados assim que tiver conhecimento, caso em que o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato ;

(c) que implementou as medidas de segurança técnicas e organizacionais especificadas no Apêndice 2 antes de processar os dados pessoais transferidos;

(d) notificará imediatamente o exportador de dados sobre:

(i) qualquer pedido juridicamente vinculativo de divulgação de dados pessoais por uma autoridade responsável pela aplicação da lei, salvo proibição em contrário, tal como uma proibição ao abrigo do direito penal para preservar a confidencialidade de uma investigação policial;

(ii) qualquer acesso acidental ou não autorizado; e

(iii) qualquer pedido recebido diretamente dos titulares dos dados sem resposta a esse pedido, salvo se tiver sido autorizado de outra forma para o fazer;

(e) responder pronta e adequadamente a todas as consultas do exportador de dados relacionadas ao processamento dos dados pessoais objeto da transferência e acatar o conselho da autoridade supervisora ​​no que diz respeito ao processamento dos dados transferidos;

(f) a pedido do exportador de dados, submeter suas instalações de processamento de dados para auditoria das atividades de processamento abrangidas pelas Cláusulas, que serão realizadas pelo exportador de dados ou por um organismo de inspeção composto por membros independentes e na posse dos requisitos necessários qualificações profissionais sujeitas a um dever de confidencialidade, selecionadas pelo exportador de dados, quando aplicável, de acordo com a autoridade de controlo;

(g) disponibilizar ao titular dos dados, mediante solicitação, cópia das Cláusulas, ou de qualquer contrato de subtratamento existente, a menos que as Cláusulas ou o contrato contenham informações comerciais, caso em que poderá remover tais informações comerciais, com exceção de Apêndice 2, que será substituído por uma descrição resumida das medidas de segurança nos casos em que o titular dos dados não consiga obter uma cópia do exportador de dados;

(h) que, em caso de subtratamento, informou previamente o exportador de dados e obteve o seu consentimento prévio por escrito;

(i) que os serviços de processamento pelo subprocessador serão realizados de acordo com a Cláusula 11;

(j) enviar imediatamente uma cópia de qualquer contrato de subprocessador celebrado de acordo com as Cláusulas ao exportador de dados.

Cláusula 6

Responsabilidade

1. As partes concordam que qualquer titular de dados que tenha sofrido danos como resultado de qualquer violação das obrigações referidas na Cláusula 3 ou na Cláusula 11 por qualquer parte ou subprocessador tem direito a receber compensação do exportador de dados pela danos sofridos.

2. Se o titular dos dados não puder apresentar um pedido de indemnização nos termos do n.º 1 contra o exportador de dados, decorrente de uma violação por parte do importador de dados ou do seu subcontratante de qualquer uma das suas obrigações referidas na Cláusula 3 ou na Cláusula 11, porque o exportador de dados desapareceu de facto ou deixou de existir legalmente ou se tornou insolvente, o importador de dados concorda que o titular dos dados pode apresentar uma reclamação contra o importador de dados como se fosse o exportador de dados, a menos que qualquer entidade sucessora assumiu todas as obrigações legais do exportador de dados por contrato ou por força da lei, caso em que o titular dos dados pode fazer valer os seus direitos contra essa entidade.

O importador de dados não pode confiar na violação das suas obrigações por parte de um subcontratante, a fim de evitar as suas próprias responsabilidades.

3. Se o titular dos dados não puder apresentar uma reclamação contra o exportador de dados ou o importador de dados referido nos parágrafos 1 e 2, decorrente de uma violação pelo subprocessador de qualquer uma das suas obrigações referidas na Cláusula 3 ou na Cláusula 11, porque tanto o exportador de dados quanto o importador de dados desapareceram de fato ou deixaram de existir legalmente ou se tornaram insolventes, o subprocessador concorda que o titular dos dados pode emitir uma reclamação contra o subprocessador de dados no que diz respeito às suas próprias operações de processamento nos termos das Cláusulas, como se fosse o exportador de dados ou o importador de dados, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados ou importador de dados por contrato ou por força da lei, caso em que o titular dos dados pode fazer valer os seus direitos contra essa entidade. A responsabilidade do subprocessador será limitada às suas próprias operações de processamento de acordo com as Cláusulas.

Cláusula 7

Mediação e jurisdição

1. O importador de dados concorda que se o titular dos dados invocar contra si direitos de terceiros beneficiários e/ou exigir compensação por danos nos termos das Cláusulas, o importador de dados aceitará a decisão do titular dos dados:

a) Remeter o litígio para mediação, por uma pessoa independente ou, se for caso disso, pela autoridade de controlo;

(b) submeter o litígio aos tribunais do Estado-Membro onde o exportador de dados está estabelecido.

2. As partes concordam que a escolha feita pelo titular dos dados não prejudicará os seus direitos substantivos ou processuais de procurar soluções de acordo com outras disposições do direito nacional ou internacional.

Cláusula 8

Cooperação com autoridades de supervisão

1. O exportador de dados concorda em depositar uma cópia deste contrato junto à autoridade supervisora, se esta solicitar ou se tal depósito for exigido pela lei de proteção de dados aplicável.

2. As partes concordam que a autoridade supervisora ​​tem o direito de realizar uma auditoria do importador de dados e de qualquer subprocessador, que tenha o mesmo escopo e esteja sujeita às mesmas condições que se aplicariam a uma auditoria do exportador de dados. sob a lei de proteção de dados aplicável.

3. O importador de dados informará imediatamente o exportador de dados sobre a existência de legislação aplicável a ele ou a qualquer subprocessador que impeça a realização de uma auditoria do importador de dados, ou de qualquer subprocessador, nos termos do parágrafo 2. Nesse caso o exportador de dados terá o direito de tomar as medidas previstas na Cláusula 5(b).

Cláusula 9

Lei aplicável

As Cláusulas serão regidas pela legislação do Estado-Membro em que o exportador de dados está estabelecido.

Cláusula 10

Variação do contrato

As partes comprometem-se a não alterar ou modificar as Cláusulas. Isto não impede que as partes adicionem cláusulas sobre questões relacionadas aos negócios quando necessário, desde que não contradigam a Cláusula.

Cláusula 11

Subprocessamento

1. O importador de dados não deverá subcontratar nenhuma de suas operações de processamento realizadas em nome do exportador de dados nos termos das Cláusulas sem o consentimento prévio por escrito do exportador de dados. Quando o importador de dados subcontratar suas obrigações sob as Cláusulas, com o consentimento do exportador de dados, ele deverá fazê-lo somente por meio de um acordo escrito com o subprocessador que imponha ao subprocessador as mesmas obrigações que são impostas ao importador de dados de acordo com as Cláusulas (3). Caso o subprocessador não cumpra as suas obrigações de proteção de dados nos termos desse acordo escrito, o importador de dados permanecerá totalmente responsável perante o exportador de dados pelo cumprimento das obrigações do subprocessador nos termos de tal acordo.

2. O contrato prévio escrito entre o importador de dados e o subcontratante preverá também uma cláusula de terceiro beneficiário, conforme previsto na cláusula 3, para os casos em que o titular dos dados não consiga apresentar o pedido de indemnização referido no n.º 3. 1 da Cláusula 6 contra o exportador de dados ou o importador de dados porque eles desapareceram de fato ou deixaram de existir de direito ou se tornaram insolventes e nenhuma entidade sucessora assumiu todas as obrigações legais do exportador de dados ou importador de dados por contrato ou por funcionamento do direito. Essa responsabilidade de terceiros do subprocessador será limitada às suas próprias operações de processamento de acordo com as Cláusulas.

3. As disposições relativas aos aspectos de protecção de dados para o subtratamento do contrato referido no n.º 1 são regidas pela legislação do Estado-Membro em que o exportador de dados está estabelecido, nomeadamente…

4. O exportador de dados deverá manter uma lista dos acordos de subprocessamento celebrados nos termos das Cláusulas e notificados pelo importador de dados nos termos da Cláusula 5 (j), que será atualizada pelo menos uma vez por ano. A lista deve estar à disposição da autoridade supervisora ​​de proteção de dados do exportador de dados.

Cláusula 12

Obrigação após cessação dos serviços de tratamento de dados pessoais

1. As partes concordam que, ao término da prestação de serviços de processamento de dados, o importador de dados e o subprocessador deverão, à escolha do exportador de dados, devolver todos os dados pessoais transferidos e suas cópias ao exportador de dados ou destruirá todos os dados pessoais e certificará ao exportador de dados que o fez, a menos que a legislação imposta ao importador de dados o impeça de devolver ou destruir todos ou parte dos dados pessoais transferidos. Nesse caso, o importador de dados garante que garantirá a confidencialidade dos dados pessoais transferidos e não processará mais ativamente os dados pessoais transferidos.

2. O importador de dados e o subprocessador garantem que, a pedido do exportador de dados e/ou da autoridade de controlo, submeterá as suas instalações de processamento de dados a uma auditoria das medidas referidas no n.º 1.

[1] Requisitos obrigatórios da legislação nacional aplicável ao importador de dados que não vão além do que é necessário numa sociedade democrática com base num dos interesses enumerados no artigo 13.º, n.º 1, da Diretiva 95/46/CE, que constituem, se constituírem uma medida necessária à salvaguarda da segurança nacional, da defesa, da segurança pública, da prevenção, investigação, detecção e repressão de infracções penais ou de violações da ética das profissões regulamentadas, um importante interesse económico ou financeiro do Estado ou do proteção do titular dos dados ou os direitos e liberdades de terceiros, não estão em contradição com as cláusulas contratuais padrão. Alguns exemplos de tais requisitos obrigatórios que não vão além do que é necessário numa sociedade democrática são, entre outros, sanções internacionalmente reconhecidas, requisitos de declaração de impostos ou requisitos de declaração de combate ao branqueamento de capitais.

---

Apêndice 1 das Cláusulas Contratuais Padrão

Exportador de dados

O exportador de dados é a entidade identificada como “Cliente” no Contrato de Processamento de Dados

Importador de dados

O importador de dados é Simplenet Hosting SRL

Titulares dos dados

Os dados pessoais dizem respeito às categorias de titulares dos dados definidas na Secção 2.3.4. no Contrato de Processamento de Dados.

Categorias de dados

Os dados pessoais dizem respeito às categorias de dados definidas na Secção 2.3.5. no Contrato de Processamento de Dados.

Operações de processamento

As operações de processamento são definidas na Seção 2 do Contrato de Processamento de Dados.

---

Apêndice 2 das Cláusulas Contratuais Padrão

Este Apêndice faz parte das Cláusulas. Ao adquirir Serviços da Simplenet e concordar com o Contrato de Processamento de Dados, as partes serão consideradas como tendo aceitado e executado este Apêndice 2.

Descrição das medidas de segurança técnicas e organizacionais implementadas pelo importador de dados de acordo com as Cláusulas 4(d) e 5(c) (ou documento/legislação em anexo):

As medidas de segurança técnicas e organizacionais implementadas pelo importador de dados são as descritas no Acordo de Processamento de Dados e no Anexo 2, Medidas de Segurança.

---

Anexo 2

Medidas de segurança

A Simplenet implementa e mantém Medidas de Segurança técnicas e organizacionais adequadas ao Tratamento de Dados Pessoais, incluindo as medidas previstas neste Anexo 2 do Contrato de Tratamento de Dados. Estas medidas destinam-se a proteger os Dados Pessoais contra perda, destruição, alteração, divulgação ou acesso acidental ou não autorizado, e contra todas as outras formas ilícitas de Tratamento. Medidas adicionais e informações relativas a tais medidas, incluindo medidas e práticas de segurança específicas para os Serviços específicos solicitados pelo Cliente, podem ser especificadas no Contrato.  

A Simplenet pode atualizar ou modificar estas Medidas de Segurança de tempos em tempos, desde que tais atualizações e modificações não resultem na degradação da segurança geral dos Serviços. 

As medidas de segurança técnicas e organizacionais implementadas pela Simplenet estão de acordo com as Cláusulas 4(c) e 5(c) das Cláusulas Contratuais Padrão.

Pessoal e Confidencialidade

A Simplenet tomará medidas razoáveis ​​para garantir que nenhuma pessoa seja nomeada pela Simplenet para processar Dados Pessoais, a menos que essa pessoa:

1. seja competente e qualificado para desempenhar as tarefas específicas que lhe são atribuídas pela Simplenet;
2. foi autorizado pela Simplenet; e
3. foi instruído pela Simplenet nos requisitos relevantes para o cumprimento das obrigações da Simplenet nos termos destas Cláusulas, em particular a finalidade limitada do tratamento de dados.

O pessoal da Simplenet é obrigado a se comportar de maneira consistente com as diretrizes da empresa em relação à confidencialidade, ética empresarial, uso apropriado e padrões profissionais. A Simplenet realiza verificações de antecedentes razoavelmente apropriadas, na medida do legalmente permitido e de acordo com a legislação trabalhista local aplicável e os regulamentos estatutários. O pessoal é obrigado a assinar um acordo de confidencialidade e deve confirmar o recebimento e o cumprimento das políticas de confidencialidade e privacidade da Simplenet. Eles recebem treinamento e o pessoal que lida com os Dados do Cliente é obrigado a cumprir requisitos adicionais apropriados à sua função. 

Segurança Física 

A Simplenet utiliza datacenters distribuídos geograficamente e armazena todos os dados de produção em datacenters fisicamente seguros. Os data centers de produção do Simplenet Sub-processador empregam medidas para proteger o acesso aos sistemas de processamento de dados. Eles possuem um sistema de acesso que controla o acesso ao datacenter. Este sistema permite que apenas pessoal autorizado tenha acesso a áreas seguras. As instalações são projetadas para resistir a condições climáticas adversas e outras condições naturais razoavelmente previsíveis, são protegidas por guardas 24 horas por dia, monitoramento CCTV, triagem de acesso e acesso controlado por escolta, e também são apoiadas por geradores de backup no local no caso de falha de energia.

Os sistemas de energia elétrica do data center são projetados para serem redundantes e de fácil manutenção sem impacto nas operações contínuas 24 horas por dia, 7 dias por semana. Na maioria dos casos, uma fonte de energia primária e alternativa é fornecida para componentes críticos da infraestrutura no data center. A energia de reserva é fornecida por vários mecanismos, como baterias de fontes de alimentação ininterruptas (UPS) ou geradores a diesel, que são capazes de fornecer energia elétrica de emergência ou proteção de energia confiável durante quedas de energia, apagões, sobretensão, subtensão e fora de tolerância condições de frequência.

Os sistemas de infra-estruturas foram concebidos para eliminar pontos únicos de falha e minimizar o impacto dos riscos ambientais previstos. Os equipamentos e instalações de produção do Subprocessador Simplenet possuem procedimentos de manutenção preventiva documentados que detalham o processo e a frequência de desempenho de acordo com as especificações internas ou do fabricante. A manutenção preventiva e corretiva dos equipamentos do data center é programada através de um processo de mudança padrão de acordo com procedimentos documentados.

Controle de acesso ao sistema

Os servidores Simplenet utilizam uma implementação baseada em Linux personalizada para os Serviços. A Simplenet emprega um processo de revisão para aumentar a segurança dos sistemas operacionais usados ​​para fornecer os Serviços e aprimorar os produtos de segurança em ambientes de produção.

A Simplenet possui e mantém uma política de segurança para o pessoal. A infraestrutura, o pessoal de desenvolvimento e suporte da Simplenet são responsáveis ​​pelo monitoramento contínuo da segurança da infraestrutura da Simplenet, pela revisão dos Serviços e pela resposta a incidentes de segurança.

Os processos e políticas de acesso interno da Simplenet são concebidos para evitar que pessoas e/ou sistemas não autorizados tenham acesso aos sistemas utilizados para processar dados de clientes, incluindo dados pessoais. A Simplenet pretende conceber os seus sistemas para: (i) permitir apenas que pessoas autorizadas acedam aos dados a que estão autorizadas a aceder; e (ii) garantir que os dados pessoais não podem ser lidos, copiados, alterados ou removidos sem autorização durante o processamento, utilização e após o registo. A Simplenet emprega um sistema de gerenciamento de acesso para controlar o acesso do pessoal aos servidores de produção e fornece acesso apenas ao pessoal autorizado. O seguinte pode, entre outros controles, ser aplicado dependendo dos Serviços específicos solicitados: autenticação via senhas e/ou autenticação de dois fatores, chaves SSH, processos de autorização, processos de gerenciamento de mudanças, acesso lógico aos data centers restrito e protegido por firewall /VLAN e registro de acesso em vários níveis. A concessão ou modificação de direitos de acesso baseia-se: nas responsabilidades profissionais do pessoal autorizado; requisitos de trabalho necessários para executar tarefas autorizadas; e uma base de necessidade de saber. A concessão ou modificação de direitos de acesso deverá também estar de acordo com as políticas internas de acesso a dados da Simplenet. 

Controle de acesso a serviços

O Cliente e os Usuários Finais devem se autenticar por meio de um sistema de autenticação para usar os Serviços. Cada aplicativo verifica as credenciais para permitir a exibição de dados a um usuário final autorizado.

Os seguintes controles podem ser aplicados dependendo dos Serviços específicos solicitados: autenticação por meio de senhas e/ou autenticação de dois fatores, chaves SSH, processos de autorização, processos de gerenciamento de alterações e registro de acesso em vários níveis. Dependendo dos Serviços específicos solicitados, os seguintes controles também podem ser aplicados: identificadores exclusivos são atribuídos ao indivíduo responsável, revogação de mecanismos de acesso em tentativas consecutivas de login malsucedidas e períodos de bloqueio, expiração de senha e mecanismos de redefinição, requisitos de complexidade de senha.

Controle de acesso a dados 

A Simplenet armazena dados em um ambiente multilocatário, o que significa que as implantações de vários clientes são armazenadas no mesmo hardware físico. A Simplenet usa isolamento lógico para segregar os dados de cada Cliente e separa logicamente os dados de cada Cliente dos demais. Isso fornece escala e, ao mesmo tempo, evita rigorosamente que os clientes acessem os dados uns dos outros.

O Cliente recebe controle sobre controles específicos para compartilhar o acesso aos dados aos Usuários Finais para fins específicos, de acordo com a funcionalidade dos Serviços. O Cliente pode optar por fazer uso desses controles. Simplenet disponibiliza certos recursos de registro.

O acesso direto aos dados do cliente é restrito e, caso seja necessário, os direitos de acesso são estabelecidos e aplicados apenas ao pessoal devidamente autorizado, além das regras de controle de acesso estabelecidas nas Seções anteriores. 

Controle de Transmissão

Os data centers são normalmente conectados por meio de links privados de alta velocidade para fornecer transferência de dados rápida e segura entre data centers. Isto foi projetado para evitar que os dados sejam lidos, copiados, alterados ou removidos sem autorização durante a transferência ou transporte eletrônico ou enquanto são gravados em mídias de armazenamento de dados ou trocados dentro do data center. 

Para dados em trânsito, a Simplenet utiliza protocolos de transporte padrão da indústria, como SSL e TLS, entre os dispositivos do Cliente e os Serviços e data centers da Simplenet, e dentro dos próprios data centers. Exceto quando especificado de outra forma para os Serviços (inclusive no Pedido, no Contrato aplicável ou na documentação do Usuário dos Serviços), as transmissões de dados fora do ambiente do Serviço são criptografadas. Algumas funcionalidades dos Serviços podem permitir ao Cliente escolher comunicações não criptografadas ao usar o Serviço. O Cliente é o único responsável pelos resultados de sua decisão de usar tais comunicações ou transmissões não criptografadas. 

Controle de entrada

A fonte de Dados Pessoais está sob o controle do Cliente, e a integração dos Dados Pessoais no sistema é gerenciada por transferência segura de arquivos, via serviços da web ou inserida no aplicativo do Cliente. Conforme estabelecido na Seção Controle de Transmissão acima, algumas funcionalidades dos Serviços permitem que os Clientes usem protocolos de transferência de arquivos não criptografados. Nesses casos, o Cliente é o único responsável pela sua decisão de utilizar tais protocolos de transferência de campo não criptografados. 

Os Serviços não introduzirão vírus nos Dados do Cliente; no entanto, os Serviços não verificam vírus que possam estar incluídos em anexos ou outros Dados Pessoais carregados nos Serviços pelo Cliente. Quaisquer anexos carregados não serão executados nos Serviços e, portanto, não danificarão ou comprometerão o Serviço.

Controle de rede

A Simplenet bloqueia o tráfego não autorizado para e dentro dos data centers usando uma variedade de tecnologias, como firewalls, NATs, redes locais particionadas e separação física de servidores back-end de interfaces voltadas ao público.

Simplenet emprega múltiplas camadas de dispositivos de rede e detecção de intrusão para proteger sua superfície de ataque externo. A Simplenet considera potenciais vetores de ataque e incorpora tecnologias apropriadas desenvolvidas para fins específicos em sistemas externos.

A Simplenet e o pessoal autorizado monitorarão os Serviços em busca de invasões não autorizadas usando mecanismos de detecção de intrusões baseados em rede. A detecção de invasões tem como objetivo fornecer insights sobre atividades de ataque em andamento e fornecer informações adequadas para responder a incidentes. A detecção de intrusão da Simplenet envolve controlar rigorosamente a superfície de ataque de comunicação da rede através de medidas preventivas, como firewalls, empregando controles de detecção inteligentes em pontos de entrada de dados e empregando tecnologias que remediam automaticamente certas situações perigosas.

Resposta a Incidentes

A Simplenet mantém políticas e procedimentos de gerenciamento de incidentes de segurança e monitora uma variedade de canais de comunicação para incidentes de segurança. O pessoal da Simplenet reagirá prontamente a incidentes conhecidos e notificará imediatamente o Cliente caso a Simplenet tome conhecimento de uma divulgação não autorizada real ou razoavelmente suspeita de Dados Pessoais.

Registros do sistema

A Simplenet garante que os sistemas de processamento usados ​​para armazenar informações de registro de dados do cliente em seus respectivos recursos de registro do sistema. As entradas de log são mantidas caso haja suspeita de acesso indevido e seja necessária uma análise. O registro é mantido de forma segura para evitar adulterações.

Confiabilidade e Backup

Para os Serviços, a Simplenet garante que os backups sejam feitos regularmente. Os backups são protegidos por meio de uma combinação de controles técnicos e físicos. 

A Simplenet garante que os sistemas onde os Dados do Cliente são armazenados possuem um recurso de recuperação de desastres e são regidos pelo plano de recuperação de desastres. Caso as instalações de produção fiquem indisponíveis, a Simplenet executará planos de recuperação para restaurar a operação em tempo hábil. A Simplenet projetou e planeja e testa regularmente seus planos de recuperação de desastres.

Destruição de dados

Quando os clientes eliminam dados ou abandonam o Serviço, a Simplenet garante que os dados são eliminados de acordo com os termos do Contrato aplicável. Para determinados discos, a Simplenet segue padrões rigorosos que exigem a substituição de recursos de armazenamento antes da reutilização, bem como o descarte físico de hardware desativado. Os data centers de produção do Simplenet Sub-processador empregam procedimentos rigorosos para reutilização, reimplantação, destruição de dados e descomissionamento de discos e hardware.

Segurança do Subprocessador

Antes de integrar Subprocessadores, a Simplenet realiza uma auditoria das práticas de segurança e privacidade dos Subprocessadores para garantir que os Subprocessadores forneçam um nível de segurança e privacidade apropriado ao seu acesso aos dados e ao escopo dos serviços que estão contratados para fornecer. O Subprocessador é obrigado a celebrar termos contratuais adequados de segurança, confidencialidade e privacidade.

Mudanças e melhorias no sistema

A Simplenet poderá aprimorar e implementar alterações nos Serviços durante a vigência do Contrato. Os controles, procedimentos, políticas e recursos de segurança podem mudar ou ser adicionados. A Simplenet fornecerá controles de segurança que proporcionam um nível de proteção de segurança que não é materialmente inferior ao fornecido na Data de Vigência.

---

Anexo 3: Lista de Subprocessadores

Disponível mediante solicitação.