Acordo de tratamento de dados pessoais

Grupo UF Sp. z o. ó. Sociedade de responsabilidade limitada, com sede em ul. Brzoski 8/10 91-315
Łódź, KRS: 0001027769, NIP: 7262697810, REGON: 525141010,
(doravante designadas coletivamente: “Partes”)

preenchendo o formulário fornecido pelo Administrador no sistema informático do Subcontratante.

As partes celebram o presente acordo para confiar o tratamento de dados pessoais em relação
com o contrato principal, nos termos do qual o Subcontratante presta ao Administrador serviços
relacionadas com o tratamento de dados pessoais pelo Subcontratante, no âmbito e sob a
condições estabelecidas no contrato principal.

§1. Definições

  1. RGPD – Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016. relativo à proteção das pessoas singulares no que respeita ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/ 46/CE (Regulamento Geral de Proteção de Dados).
  2. Administrador – administrador na acepção do art. 4 pontos 7 RGPD.
  3. Dados pessoais – dados pessoais na acepção do art. 4 pontos 1 RGPD.
  4. Dados pessoais confiados – Dados pessoais especificados no §2, secção 2 Contratos de atribuição.
  5. Entidade de processamento – Entidade de processamento na aceção do art. 4 pontos 8 RGPD.
  6. Tratamento – tratamento de dados pessoais na acepção do art. 4 pontos 2 RGPD.
  7. Subatribuição – atribuição adicional do tratamento de dados pessoais pelo Subcontratante a um subcontratante adicional.
  8. Violação da protecção de dados pessoais – violação da protecção de dados pessoais na aceção do art. 4 pontos 12 RGPD.
  9. Contrato principal – contrato de prestação de Serviços celebrado com base no Regulamento de utilização do site ultrasfactory.pt
  10. Contrato de atribuição – este contrato de atribuição do tratamento de dados pessoais, constituindo, de acordo com a vontade das Partes, parte integrante do contrato principal.

§2. Assunto do contrato

  1. Este acordo especifica as condições para o Processamento pela Entidade Processante em nome doAdministrador dos dados pessoais confiados especificados abaixo no §2 secção 2, na medida do necessário
  2. executar os serviços especificados com base no contrato principal.
  3. O Administrador confia ao Subcontratante o tratamento dos seguintes dados pessoais:
    2.1. Tipo de dados pessoais abrangidos pelo Acordo:
    a) dados de identificação e morada dos destinatários dos envios postais (nome e apelido, país, cidade, rua, número da casa, número do apartamento, código postal, número de telefone);
    b) dados de identificação e morada dos remetentes dos envios postais (nome e apelido, país, cidade, rua, número da casa, número do apartamento, código postal, número de telefone);
    c) Dados não estruturados – conteúdos com conteúdo potencial e provável de dados pessoais (dados relativos ao conteúdo da correspondência, como documentos de texto, imagens).
    d) Caso seja necessário acrescentar um tipo adicional de dados pessoais não indicados na lista acima, o Administrador informará o Subcontratante por escrito, sendo que cada modificação dos dados pessoais indicados na lista não requer um anexo ao presente acordo, mas apenas uma declaração escrita do Administrador submetida ao Subcontratante com uma indicação precisa do tipo de dados pessoais que são adicionalmente introduzidos.
    2.2. Categories of persons to whom personal data concern:
  • Destinatários e remetentes de envios postais:
  • colaboradores da Administradora e afiliadas da Administradora;
  • clientes ou potenciais clientes do Administrador;
  • pessoas com quem o Administrador interage socialmente; • contratantes (destinatários e fornecedores) e parceiros comerciais da Gestora;
  • Assinantes do administrador.
  1. A entidade de tratamento tratará os dados pessoais confiados no âmbito dos serviços prestados no âmbito do contrato principal.
  2. O Administrador confia o tratamento dos dados pessoais para efeitos de execução da página principal do contrato.

§3. Tratamento de dados pessoais confiados pelo Processador

  1. O transformador tratará os dados pessoais confiados apenas para a finalidade, dentro do âmbito e nas condições especificadas no contrato de atribuição.
  2. As Partes acordam que os dados pessoais confiados serão tratados de acordo com as instruções do Administrador, que deverão ser enviadas por escrito à Entidade Subcontratante. Instruções fornecidos sob qualquer outra forma não são vinculativos até que sejam enviados na forma acordada. O prazo para a implementação de cada pedido deverá ser acordado entre as Partes. Uma ordem que diga respeito a uma alteração do âmbito ou do método de prestação de serviços ou à prestação de um serviço adicional é tratada como uma ordem ao Subcontratante para um serviço adicional, pela prestação do qual pode solicitar uma remuneração adicional. Tal ordem só poderá ser apresentada após ambas as Partes terem celebrado um acordo adequado e pela remuneração acordada.
  1. A Entidade de Processamento informará o Administrador se a instrução que lhe foi dada de acordo com o §3, secção 2, reconhecer deve ser considerada inconsistente com o RGPD ou outros regulamentos de proteção de dados pessoais.

§4. Período de processamento

  1. Os dados pessoais confiados serão tratados pelo Subcontratante durante a vigência do contrato principal, sujeito ao §4 secção 2 e secção 3.
  2. Dados especificados no §2 secção 2.1 lit. c) serão processados ​​durante um período de 3 meses, enquanto os dados especificados no §2 secção 2.1 lit. a) pelo prazo de 3 anos a contar da prestação do serviço resultante do contrato principal relativo ao tratamento dos dados pessoais confiados.
  3. Após a cessação do contrato principal ou após a conclusão da prestação do serviço relacionado com o tratamento de dados pessoais confiados, sujeito ao disposto na secção 2. A entidade transformadora é obrigada a apagar ou devolver ao Administrador – dependendo da decisão do Administrador – os dados pessoais confiados dados, bem como excluir todas as cópias existentes dos mesmos, a menos que regulamentos geralmente aplicáveis ​​​​exijam o armazenamento de tais dados pessoais. Na falta de decisão do Gestor tomada o mais tardar na data de resolução do contrato ou cessação da prestação do serviço, considera-se que este tomou a decisão de eliminar os dados.
  4. Se o âmbito dos dados pessoais confiados for alterado ou limitado, a secção 3 aplicar-se-á em conformidade aos dados pessoais que, em resultado desta alteração ou restrição, deixarão de ser confiados à Entidade de Tratamento.

§5. Obrigações do Processador

  1. A entidade de tratamento compromete-se a cumprir o contrato de atribuição e as disposições legais relevantes aplicáveis ​​ao tratamento dos dados pessoais objeto do contrato de atribuição, nomeadamente, compromete-se a cumprir as obrigações do Subcontratante decorrentes do RGPD.
  2. A entidade de tratamento garante que as pessoas por si autorizadas a tratar dados pessoais se comprometeram a manter o sigilo ou estão sujeitas a uma obrigação legal adequada de manter o sigilo.
  3. A entidade de tratamento declara que fornece as garantias necessárias para implementar medidas técnicas e organizacionais adequadas para garantir o cumprimento do RGPD e proteger os direitos dos titulares dos dados.
  4. Em termos de assistência ao Gestor no cumprimento da obrigação de comunicar uma violação de dados pessoais à autoridade de controlo e de notificar a violação de dados pessoais dos titulares dos dados referidos no artigo 28.º, n.º 1, 3, alínea f) , do RGPD, tendo em conta a natureza do tratamento e da informação disponível, o Subcontratante é obrigado a:
  5. 4.1. comunicar ao Administrador, sem demora injustificada, para o endereço de correio eletrónico fornecido pelo Administrador, quaisquer violações de proteção de dados detetadas pelo Subcontratante no âmbito da execução do Contrato de Atribuição;
  6. 4.2. fornecer ao Controlador, se possível, informações adicionais sobre a violação da proteção de dados pessoais identificada e comunicada pelo Subcontratante, na medida necessária para que o Controlador determine a probabilidade de risco de violação dos direitos e liberdades das pessoas cujos dados pessoais estão sujeitos a violação e na medida necessária para denunciar de acordo com a piada. 33.º e 34.º do RGPD, violações da proteção de dados pessoais à autoridade de controlo ou notificação de violações de dados pessoais do titular dos dados – mediante pedido escrito do Administrador.
  7. Em caso de violação da proteção de dados pessoais causada por culpa da Entidade de Tratamento ou por culpa de um subcontratante da Entidade de Tratamento, a Entidade de Tratamento irá rever as medidas técnicas e organizacionais utilizadas e, se necessário e se possível, introduzirá alterações adequadas , a fim de evitar a reincidência de tal violação da proteção de dados pessoais. no futuro.
  8. O Subcontratante compromete-se a enviar ao Administrador qualquer pedido ou correspondência de uma pessoa cujos dados o Subcontratante trate ao abrigo do contrato de atribuição, incluindo um pedido para exercer os direitos do titular dos dados especificados no Capítulo III do RGPD, para posterior processamento pelo Administrador . , salvo disposição em contrário da lei aplicável.

§6. Direitos de administrador

  1. Durante a vigência do contrato principal, o Gestor tem o direito de enviar consultas para obter informações especificadas no §5 e solicitar – na medida em que não exceda os limites razoáveis ​​dessas atividades – que o Subcontratante forneça informações sobre a forma de executar o contrato para confiar o tratamento de dados pessoais.
  2. O Gestor tem o direito de apresentar pedidos de informação relativos a violações da proteção de dados pessoais referidas no §5, secção 4, por correspondência escrita.
  3. A Entidade de Processamento permite ao Gestor realizar auditorias para determinar se as medidas utilizadas pela Entidade de Processamento no tratamento e proteção dos dados pessoais confiados cumprem as disposições do contrato, mediante as seguintes condições:
    3.1. O Administrador notificará o Subcontratante na forma tradicional por escrito da intenção de realizar uma auditoria.
    3.2. O auditor do Controlador não pode ser uma entidade que exerça uma atividade empresarial competitiva à Entidade de Processamento, nem uma entidade com ela relacionada, o seu funcionário ou uma entidade/pessoa que com ela coopere, independentemente da base de emprego ou cooperação.

3.3. O Subcontratante poderá condicionar a participação de um auditor ou de um funcionário designado do Administrador na auditoria à conclusão prévia de um acordo de confidencialidade adequado.
3.4. Durante a auditoria, o Administrador e o auditor são obrigados a cumprir os procedimentos e as políticas internas do Subcontratante ou do subcontratado do Subcontratante em matéria de segurança e confidencialidade.
3.5. A auditoria não pode incluir informações ou documentos relativos a outros clientes da Entidade de Tratamento, nem pode ter como objetivo ou resultar no acesso do Administrador a dados pessoais que não sejam os dados pessoais confiados.
3.6. A auditoria não deve ser realizada mais do que uma vez por ano civil e não deve durar mais de 3 dias.
3.7. O Administrador suporta todos os custos relacionados com auditorias realizadas a seu pedido, incluindo os custos totais do auditor.

  1. O Administrador deverá utilizar os direitos especificados no presente Contrato de Atribuição de forma a não perturbar a execução do contrato principal e as operações contínuas do Processador e dos seus subcontratados. Em caso de interrupção das operações em curso do Processador, este poderá interromper o processo de auditoria enquanto este estiver em curso.
  2. O transformador é obrigado a participar ativamente na auditoria e a cooperar adequadamente com o Administrador e o auditor;

§7. Declarações e obrigações do administrador

  1. O Administrador declara que trata os dados pessoais em seu próprio nome, bem como em nome de outro Administrador ou de outros Administradores com base num contrato adequado, e garante que os mesmos são por si tratados nos termos da lei.
  2. O Administrador declara que tem o direito de confiar o tratamento dos dados pessoais e compromete-se a garantir que no momento da transferência dos dados pessoais para a Entidade de Tratamento, existirá uma base legal válida para o seu tratamento, na medida em que cada consentimento é dado expressamente, de forma voluntária, inequívoca e com base nas informações obtidas a esse respeito. A pedido do Subcontratante, o Administrador compromete-se por escrito a indicar e/ou documentar a base para o tratamento dos dados pessoais.
  3. By concluding this agreement, the Administrator instructs the processing of personal data to the Processing Entity, as well as to any person acting under the authorization of the Processing Entity who has access to the entrusted personal data, which constitutes a documented instruction within the meaning of Arte. 28 secção 3 carta e em ligação com piada. 29.º do RGPD.
  4. O Administrador compromete-se a cumprir o contrato de atribuição e as disposições legais relevantes aplicáveis ​​ao tratamento de dados pessoais, nomeadamente compromete-se a cumprir as obrigações do Administrador decorrentes do RGPD.

§8. Subconfiança de dados

  1. O Administrador concede o consentimento geral para subconfiar ainda mais os dados pessoais confiados a entidades através das quais o Subcontratante presta o serviço (os chamados subcontratantes adicionais). O Processador manterá uma lista completa e completa de subprocessadores, que estará disponível para inspeção na sede social do Processador.
  2. O Administrador autoriza o Processador a conceder autorizações, emitir instruções e comandos na acepção do Art. 29 RGPD em relação a outros processadores.
  3. A Entidade de Processamento informará o Administrador sobre quaisquer alterações pretendidas relativas à adição ou substituição de outras entidades de processamento o mais tardar 7 dias antes da sua introdução,
  4. e o Administrador poderá opor-se a tais alterações dentro deste prazo, explicando os motivos da não concessão da aceitação à nova entidade. Devido à natureza do serviço prestado ao abrigo do contrato principal, em caso de oposição, o Gestor aceita que o Subcontratante terá o direito de rescindir o contrato principal com efeitos imediatos.
  5. O transformador só pode utilizar os serviços de outros subcontratantes que forneçam uma garantia suficiente de implementação de medidas técnicas e organizacionais adequadas para que o tratamento cumpra os requisitos do RGPD e proteja os direitos dos titulares dos dados.
  6. O Administrador consente ainda que os dados pessoais confiados sejam disponibilizados a outras entidades que se tornarão administradoras desses dados, na medida em que tal divulgação seja necessária para a execução do serviço encomendado pelo Administrador. Isto aplica-se, nomeadamente, ao fornecimento de dados pessoais confiados a operadores postais que, nos termos das disposições legais, estão habilitados a tratar os dados dos remetentes e destinatários de encomendas no âmbito do serviço prestado, de liquidações entre operadores ou de outras obrigações impostas por lei.
  7. Se um subcontratante da Entidade de Processamento não cumprir as suas obrigações de proteção dos dados pessoais confiados, a Entidade de Processamento será responsável perante o Administrador pelo incumprimento do subcontratante das suas obrigações, bem como pelas suas próprias ações e omissões.

§9. Responsabilidade das Partes do Acordo

  1. O Administrador é responsável pelo bom desempenho das funções do Administrador de Dados Pessoais de acordo com o RGPD, outros regulamentos de proteção de dados pessoais aplicáveis ​​e o presente contrato de atribuição.
  2. A entidade de processamento é responsável pelo bom desempenho das suas obrigações de acordo com o RGPD, outros regulamentos de proteção de dados pessoais aplicáveis ​​e este acordo de atribuição.
  3. Nenhuma das partes será responsável perante a outra por quaisquer danos acidentais que não poderiam ter sido previstos através do exercício de um cuidado razoável.
  4. Nenhuma das partes será responsável perante a outra parte por:
    4.1. erros ou atrasos fora do controlo razoável da parte em incumprimento, incluindo atrasos gerais no acesso à rede, falhas de energia ou falhas de máquinas;
    4.2. erros causados ​​pelos sistemas ou atos da outra parte, omissões ou negligência pelos quais essa parte é a única responsável.

  1. A responsabilidade total e máxima de qualquer das partes perante a outra parte em reclamações relacionadas com a execução do contrato principal e do presente contrato ou em relação a qualquer transação contemplada pelo contrato em qualquer período de doze (12) meses não deverá, em caso algum , exceder um montante igual ao montante total pago pelos serviços do contrato principal durante o período de 12 (doze) meses que antecede o evento que deu origem à responsabilidade.
  2. As limitações acima referidas não se aplicam a danos causados ​​por fraude, negligência grave ou dolo.
  3. A responsabilidade do Subcontratante pela execução das instruções do Administrador que sejam inconsistentes com o RGPD ou outras disposições sobre a proteção de dados pessoais e em relação às instruções do Administrador que não tenham sido enviadas de acordo com o §3, secção 2, está excluída.
  4. O disposto no n.º 9 manter-se-á em vigor após a cessação ou expiração do contrato de atribuição.

§10 Obrigação de informação

  1. Para cumprir a obrigação de informação da Entidade de Tratamento para com os colaboradores do Administrador, cujos dados como o nome e apelido serão tratados no âmbito da execução do contrato principal, o Administrador compromete-se a familiarizar os colaboradores designados para contactar a Entidade de Tratamento com a seguinte cláusula informativa:
  2. Cláusula de informação
  3. Nos termos do artigo 13.º do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016. (doravante designado por RGPD) informamos que:
  4. Grupo UF Sp. z o. ó. Sociedade por quotas, com sede em ul. Brzóski 8/10 91-315 Łódź, (doravante designado por Ultrasfactory.com).
  5. Os seus dados pessoais, como o nome e apelido, serão tratados pela Ultrasfactory.coml para a execução do contrato celebrado com a sua entidade empregadora.
  6. Os dados pessoais serão tratados de acordo com o art. 6 secção 1 alínea f do RGPD.
  7. Os dados pessoais serão conservados durante a vigência do contrato referido no ponto 2.
  8. A ultrasfactory.pt poderá transferir os seus dados pessoais para terceiros no âmbito da execução do contrato referido no ponto 2.
  9. Tem o direito de aceder aos seus dados pessoais, solicitar a retificação, eliminação, restrição de tratamento, o direito de oposição e o direito de transferir dados de acordo com as disposições do RGPD.
  10. Tem o direito de apresentar queixa à autoridade de controlo – o Presidente do Gabinete de Proteção de Dados Pessoais.O tratamento dos seus dados de forma automatizada só poderá ocorrer para efeitos de execução do contrato referido no ponto 2.
  11. Utilize os direitos indicados no ponto. 6 pode ser enviado através do envio de um pedido adequado para o endereço de correio eletrónico suporte@ultrasfactory.pt com a nota RGPD.
  12. Contacto com o Inspetor de Proteção de Dados: suporte@ultrasfactory.pt

§11. Disposições Finais

  1. O contrato de atribuição entra em vigor a partir da data de entrada em vigor do contrato principal, constitui parte integrante do contrato principal e é celebrado pelo período de execução do contrato principal.
  2. Em matérias não regulamentadas neste acordo de atribuição, serão aplicadas as disposições do RGPD e as disposições relevantes da lei polaca.
  3. Cada Parte tem o direito de rescindir o presente Contrato imediatamente no caso de violação das disposições do Contrato pela outra Parte.
  4. A cessação ou caducidade do contrato principal resulta na cessação ou caducidade do contrato de atribuição, respetivamente, sem necessidade de apresentação de declarações adicionais. A cessação do contrato de atribuição antes do termo do período para o qual o contrato principal foi celebrado constitui a base para a cessação do contrato principal sem aviso prévio.
  5. As Partes acordam que o tratamento dos dados pessoais confiados será efetuado apenas dentro do território da União Europeia. A transferência de dados pessoais confiados pelo Subcontratante para um país terceiro requer o consentimento prévio do Administrador, sob forma escrita ou documental, a menos que tal obrigação seja imposta pela legislação da União Europeia ou pela legislação do Estado-Membro a que está sujeito.
  6. Todas as obrigações de informação e atualizações das categorias de dados processados ​​ou da lista de outros Processadores podem ser realizadas em formato eletrónico, por ex. por e-mail.
  7. O acordo de atribuição e o acordo principal regulam integralmente as condições acordadas pelas partes para o tratamento de dados pessoais confiados pelo Subcontratante no âmbito da prestação de serviços e revogam quaisquer acordos anteriores feitos pelas Partes a este respeito. Em caso de discrepâncias entre as disposições do contrato de atribuição e o contrato principal, prevalecerão as disposições do contrato de atribuição.