Acordo para Proteção e Garantia de Segurança no Tratamento de Dados Pessoais

proteção dados proteção dados

Acordo para Proteção e Garantia de Segurança no Tratamento de Dados Pessoais

Considerando que:

    1. No âmbito da Prestação de Serviços de transporte de encomendas postais celebrado entre a DPD Portugal – Transportes Expresso Internacional, S.A. (de ora em diante abreviadamente designada de DPD) - e o CLIENTE, a DPD tem acesso e trata Dados Pessoais do CLIENTE;

    2. O tratamento de Dados Pessoais efetuados pela DPD é necessário à execução da prestação acordado entre o CLIENTE e a DPD;

    3. O CLIENTE define as finalidades do tratamento dos Dados Pessoais transmitidos à DPD em consonância com o objeto da Prestação de Serviços, delegando na DPD os meios técnicos e organizativos necessários ao tratamento dos Dados Pessoais transmitidos para efetiva execução da mesma;

 

As partes celebram livremente e de boa-fé o presente acordo, que se rege pelos considerandos acima e pelas cláusulas seguintes:

 

Política de Privacidade

(I) Definições

No presente acordo, os seguintes conceitos deverão ter o seguinte significado, em conformidade com a legislação nacional e europeia aplicável:

1.1 “Dados Pessoais” informação relativa a uma pessoa singular identificada ou identificável considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;

1.2. “Tratamento de Dados Pessoais”: uma operação ou um conjunto de operações efetuadas sobre Dados Pessoais ou sobre conjuntos de Dados Pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;

1.3. “Subcontratante”: uma pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes.

1.4. “Cliente”: o Titular dos Dados Pessoais que transmite de forma livre, expressa e inequívoca, Dados Pessoais seus, disponibilizando-os à DPD para a Prestação de Serviços.

1.5. “Consentimento”: uma manifestação de vontade, livre, específica, informada e explícita, pela qual o Titular dos Dados Pessoais aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.

1.6. “Violação de dados pessoais”: uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a Dados Pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;

1.7. “Regulamento Geral de Proteção de Dados (“RGPD”)”: O Regulamento Geral de Proteção de Dados foi aprovado pela União Europeia – Regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho, de 27 de Abril, introduzindo um novo regime em matéria de proteção de dados pessoais. Foi criado para proteger o cidadão face ao tratamento de dados pessoais em larga escala por grandes empresas e serviços da sociedade de informação. Para além do reforço da proteção jurídica dos direitos dos Titulares dos dados, o RGPD define novas regras e procedimentos do ponto de vista tecnológico;

1.8. “Responsável pelo tratamento de dados”: a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro.

1.9. “Terceiro”: a pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o Titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento, estão autorizadas a tratar os Dados Pessoais;

1.10. “Prestação de Serviços”: qualquer prestação de serviços de transporte de encomendas postais, através do transporte de bens ou encomendas por estrada ou avião, contratado pelo CLIENTE;

1.11. “Prestador de Serviços”: por prestador de serviços deverá entender-se, para efeitos a DPD Portugal – Transportes Expresso Internacional, S.A..

1.12. “Titular dos Dados Pessoais”: O CLIENTE, ou seja, a pessoa singular identificada ou identificável, que através da Prestação de Serviços, entrega os seus Dados Pessoais à DPD com a finalidade de beneficiar de um serviço de transporte prestado pelo Prestador de Serviços”.

(II) Consentimento

2.1. O CLIENTE, através do presente Acordo, bem como da Prestação de Serviços de que é parte integrante, manifesta a sua de vontade, livre, específica, informada e explícita em aceitar que os Dados Pessoais que lhe dizem respeito sejam objeto de tratamento pela DPD.

2.2. Sem prejuízo, o CLIENTE reconhece que o tratamento dos seus Dados Pessoais é necessário à execução da Prestação no qual é parte, ou seja, reconhece que a transmissão dos seus Dados Pessoais é necessária à Prestação de Serviços, tendo conhecimento e aceitando que, é escolha sua a transmissão desses Dados Pessoais.

2.3. O CLIENTE poderá retirar o consentimento dado à DPD em qualquer altura, consciente de que tal não compromete a licitude do tratamento efetuado com base no consentimento que previamente deu.

2.4. O CLIENTE reconhece que, caso não pretenda transmitir os Dados Pessoais estritamente necessários para a Prestação de Serviços não poderá beneficiar da Prestação de Serviços, durante o período em que esses Dados Pessoais forem necessários.

2.5. A Prestação de Serviços implica o tratamento, por parte da DPD, das seguintes categorias de Dados Pessoais:

Identificação pessoal (nome, assinatura, email, número de identificação, número de contribuinte, data de nascimento, função, categoria profissional)

Domicílio (morada pessoal ou profissional)

Contacto(s) telefónico(s)

Dados de localização (GPS, GSM…)

Dados de Logon (endereço IP, logs…)

Dados de cookies e outra informação relacionada com a utilização de websites

(III) Objeto

3.1 Em virtude da Prestação de Serviços a executar, o CLIENTE irá transmitir à DPD, Dados Pessoais e documentos, contendo Dados Pessoais seus, na estrita medida em que tal se mostre necessário à execução da Prestação dos Serviços contratados.

3.2 Todos os Dados Pessoais transmitidos no âmbito da Prestação de Serviços têm como finalidade última a prestação do serviço de transporte pela DPD em benefício do CLIENTE, sendo protegidos desde a sua conceção e por defeito, sendo tratados os Dados Pessoais exclusivamente necessários à Prestação de Serviços.

3.3 A DPD compromete-se a não tratar os Dados Pessoais para finalidades divergentes das acordadas na Prestação de Serviços. Compromete-se ainda a transmiti-los a outras pessoas, coletivas ou singulares, na medida do necessário para a execução da Prestação de Serviços.

3.4 O CLIENTE declara dar o seu consentimento expresso e inequívoco à DPD para que esta proceda ao tratamento dos seus Dados Pessoais, recolhidos para efeitos da execução da prestação dos serviços.

(IV) Conservação e Duração do Tratamento

4.1 No que concerne aos Dados Pessoais que lhe sejam transmitidos pelo CLIENTE, a DPD obriga-se a:

  • Proceder ao tratamento e aceder aos Dados Pessoais exclusivamente para as finalidades previstas no âmbito da Prestação de Serviços, pelo período estritamente necessário para a finalidade para a qual foram recolhidos, mediante instruções do CLIENTE, salvo se pela lei for previsto o contrário;
  • Assegurar que todas as pessoas autorizadas a tratar os Dados Pessoais assumiram um compromisso de confidencialidade ou estão sujeitas, à data da Prestação de Serviços, a obrigações de confidencialidade adequadas para a proteção dos Dados Pessoais transmitidos;
  • Implementar as medidas técnicas e organizativas apropriadas à proteção dos Dados Pessoais contra a destruição acidental ou dolosa, perda, alteração, acesso ou divulgação não autorizados;
  • Eliminar ou devolver, em função da opção do CLIENTE, de forma segura e permanente, todos os Dados Pessoais transmitidos para tratamento da DPD, sem demora injustificada, após a cessação dos serviços, exceto se por força de disposição legal, tiver que os conservar por período superior;
  • Abster-se do uso ou do tratamento de Dados Pessoais que não estejam de acordo com as instruções do CLIENTE ou fora da execução da prestação de serviços e, em particular, não fazer qualquer uso, incluindo o comercial, em nome próprio ou de terceiros, de Dados Pessoais do CLIENTE ou por ele disponibilizados durante a execução da prestação de serviços;
  • Cumprir rigorosamente o disposto na legislação e regulamentação interna e europeia, aplicável em matéria de tratamento de Dados Pessoais e que lhe seja aplicável;
  • Tratar e conservar os Dados Pessoais transmitidos estritamente confidenciais, utilizando-os única e exclusivamente no âmbito da Prestação de Serviços, para as finalidades legalmente admissíveis, durante o período necessário à vigência da prestação de serviços.

(V) Obrigações de confidencialidade

5.1 A DPD deverá tomar todas as medidas necessárias para preservar a integridade, disponibilidade e confidencialidade dos Dados Pessoais disponibilizados pelo CLIENTE.

5.2 Em particular, a DPD compromete-se a estabelecer as medidas organizacionais e técnicas convenientes às melhores práticas, para assegurar um nível apropriado de segurança e confidencialidade em relação aos riscos apresentados pelo tratamento e à natureza dos Dados Pessoais disponibilizados pelo

5.3 Todas as pessoas que, agindo, ou não, sob a autoridade da DPD e no exercício das suas funções, independentemente da sua natureza, tenham conhecimento ou acesso aos Dados Pessoais tratados, ficam obrigadas a um dever de confidencialidade mesmo após o termo da Prestação de Serviços.

5.4 A DPD garante o cumprimento do dever de confidencialidade relativamente a todos os Dados Pessoais a que tenha tido acesso ou que lhe tenham sido transmitidos e a permitir o acesso aos Dados Pessoais pelos seus funcionários ou colaboradores apenas na medida em que tal se revele necessário ao desempenho das funções que lhes sejam cometidas no âmbito da Prestação de Serviços acordada e abster-se de os transmitir a terceiros não autorizados, nem a usá-los para fins diversos, em benefício próprio ou alheio.

(VI) Direitos do Titular dos Dados

6.1 A DPD compromete-se a cooperar com o CLIENTE para que este exerça os seus dos direitos legalmente previstos na legislação europeia e interna sobre proteção de Dados Pessoais, designadamente:

  • Direito a reclamar do tratamento de Dados Pessoais feito pela DPD junto da Comissão Nacional para a Proteção de Dados, o que poderá, em todo o caso, ser feita no seguinte sítio na internet - https://www.cnpd.pt/bin/duvidas/queixas_frm.aspx;
  • Direito de acesso a todos os Dados Pessoais que lhe digam respeito, através de solicitação à DPD;
  • Direito de oposição ao tratamento de Dados Pessoais pela DPD, a qualquer momento, em qualquer dos casos legalmente previstos, designadamente, quando os Dados Pessoais forem tratados para finalidades de comercialização direta;
  • Direito à retificação e à limitação do tratamento de Dados Pessoais nas situações legalmente previstas, após o que, qualquer tratamento, com exceção da conservação, apenas poderá ser realizado pela DPD com o consentimento do Titular dos Dados Pessoais;
  • Direito ao apagamento dos Dados Pessoais em qualquer dos casos legalmente previstos, designadamente, por deixarem de ser necessários para a finalidade que motivou a sua recolha ou tratamento, comprometendo-se a DPD a, por instrução do CLIENTE/ Titular dos Dados pessoais, devolver ou destruir os Dados Pessoais, de acordo com a instrução e no prazo estipulado pelo CLIENTE/ Titular dos Dados Pessoais;
  • Direito expresso de apresentar, junto da CNPD, reclamações ou queixas relativas ao procedimento adotado pela DPD no tratamento, recolha e acesso aos seus Dados Pessoais;
  • Direito à portabilidade dos Dados Pessoais, pela solicitação dos Dados Pessoais que lhe digam respeito num formato estruturado e de uso corrente;
  • Direito a não ficar sujeito a decisões individuais automatizadas que lhe produzam efeitos na sua esfera jurídica.

(VII) Procedimentos de Segurança

7.1 Serão adoptados procedimentos que garantam a utilização de medidas técnicas e organizativas adequadas para proteger os Dados Pessoais, oferecendo um nível de segurança adequado em relação aos riscos que o tratamento apresenta, tendo em atenção o estado da técnica, a natureza dos Dados Pessoais a ser protegidos, e os princípios da proteção de Dados Pessoais desde a conceção e por defeito.

7.2 As medidas técnicas e organizativas devem permitir a proteção dos Dados Pessoais contra a destruição, acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizados e contra qualquer outra forma de tratamento ilícito.

7.3 O Prestador de Serviços assegura um nível de segurança da informação garantindo, nomeadamente:

  • A confidencialidade, integridade, disponibilidade constante dos sistemas e dos serviços de tratamento;

  • A resiliência permanente dos sistemas e dos serviços de tratamento;

  • A capacidade de restabelecer a disponibilidade e o acesso aos Dados Pessoais de forma atempada no caso de um incidente físico ou técnico;

  • Um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento;

  • A possibilidade de pseudonimização e/ou a cifragem dos Dados Pessoais.

7.4 Entre as medidas técnicas e organizativas aplicadas às operações de tratamento dos Dados Pessoais, incluem-se, nomeadamente, aquelas destinadas a:

  • Efetuar o controlo dos suportes de Dados Pessoais, através de medidas que impeçam a leitura, cópia, alteração ou retirada dos suportes por pessoa não autorizada;

  • Impedir a introdução não autorizada, bem como a tomada de conhecimento, a alteração ou a eliminação não autorizadas de Dados Pessoais informáticos inseridos;

  • Efetuar o controlo da utilização, impedindo que os sistemas informáticos possam ser utilizados por pessoas não autorizadas;

  • Implementar medidas que garantam que só as pessoas autorizadas possam ter acesso aos Dados Pessoais abrangidos pela autorização que lhes foi concedida;

  • Garantir a verificação das pessoas ou entidades a quem possam ser transmitidos os Dados Pessoais informáticos.

7.5 O Prestador de Serviços tomará as necessárias medidas técnicas destinadas à efetiva proteção dos sistemas informáticos e respetivo hardware, nomeadamente, no que respeita a regras de definição e utilização de passwords, atualização de sistemas, proteção contra vírus, worms, cavalos de troia e spywares e outro software malicioso.

(VIII) Registo das Atividades de Tratamento

8.1 A DPD compromete-se a conservar um registo de todas as categorias de atividades de tratamento realizadas em nome do CLIENTE, do qual constarão:

  • O nome e os contactos do responsável pelo tratamento e, sendo caso disso, de qualquer responsável conjunto pelo tratamento, do representante do responsável pelo tratamento e do encarregado da proteção de dados;
  • As finalidades do tratamento dos dados;
  • A descrição das categorias de titulares de dados e das categorias de dados pessoais;
  • As categorias de Destinatários a quem os dados pessoais foram ou serão divulgados, incluindo os Destinatários estabelecidos em países terceiros ou organizações internacionais;
  • Se for aplicável, as transferências de dados pessoais para países terceiros ou organizações internacionais, incluindo a identificação desses países terceiros ou organizações internacionais.

(IX) Violações de Dados Pessoais

9.1 A DPD compromete-se a notificar o CLIENTE de qualquer violação no tratamento dos Dados Pessoais que por este lhe foram transmitidos, sem demoras injustificadas.

9.2 A DPD informa o CLIENTE dos direitos que lhe assistem perante a violação dos seus Dados Pessoais, em conformidade com os direitos previstos na cláusula 6 do presente Acordo.

(X) Encarregado de Proteção de Dados

Para qualquer efeito ou esclarecimento necessário à compreensão do presente Acordo ou ao exercício de qualquer direito previsto no presente acordo ou na legislação europeia ou interna aplicável à Prestação de Serviços, o CLIENTE poderá contatar a DPD através para o endereço electrónico [email protected].

myDPD