a) Utilizar os dados pessoais em tratamento, ou recolhidos para inclusão, apenas para efeitos da presente encomenda. O utilizador não pode, em caso algum, utilizar os dados para os seus próprios fins.
(b) Tratar os dados pessoais apenas mediante instruções documentadas do responsável pelo tratamento, incluindo no que respeita às transferências de dados pessoais para um país terceiro ou uma organização internacional, a menos que seja obrigado a fazê-lo por força da legislação da União ou de um Estado-Membro aplicável ao subcontratante; nesse caso, o subcontratante informará o responsável pelo tratamento desse requisito legal antes de proceder ao tratamento, exceto se essa legislação o proibir por importantes razões de interesse público. Se o responsável pelo tratamento considerar que quaisquer instruções violam o RGPD ou quaisquer outras disposições de proteção de dados da União ou dos Estados-Membros, o responsável pelo tratamento informará imediatamente o responsável pelo tratamento de dados.
c) Garantir que as pessoas autorizadas a tratar os dados pessoais se comprometem a respeitar a confidencialidade ou estão sujeitas a uma obrigação de confidencialidade de natureza legal, bem como se comprometem a cumprir rigorosamente as medidas de segurança previstas para a prestação do serviço previsto no OBJECTO do presente contrato.
(d) Assegurar a formação necessária em matéria de proteção de dados pessoais às pessoas autorizadas a tratar dados pessoais.
(e) Tomar todas as medidas técnicas e organizativas adequadas para garantir um nível de segurança adequado ao risco do tratamento. Em qualquer caso, deve criar mecanismos para:
a. Assegurar a confidencialidade, a integridade, a disponibilidade e a resiliência permanentes dos sistemas e serviços de tratamento.
b. Restabelecer rapidamente a disponibilidade e o acesso aos dados pessoais, em caso de incidente físico ou técnico.
c. Verificar, avaliar e apreciar regularmente a eficácia das medidas técnicas e organizativas aplicadas para garantir a segurança do tratamento.
d. Pseudonimizar e cifrar os dados pessoais, se for caso disso.
f) Não comunicar os dados a terceiros, exceto com autorização prévia do responsável pelo tratamento, nos casos legalmente admissíveis. O responsável pelo tratamento de dados pode comunicar os dados a outros subcontratantes do mesmo responsável pelo tratamento de dados, de acordo com as instruções do responsável pelo tratamento de dados. Neste caso, o responsável pelo tratamento identifica, previamente e por escrito, a entidade a quem os dados devem ser comunicados, os dados a comunicar e as medidas de segurança a aplicar para proceder à comunicação. Se o subcontratante tiver de transferir dados pessoais para um país terceiro ou para uma organização internacional ao abrigo da legislação da União ou de um Estado-Membro que lhe seja aplicável, deve informar previamente o responsável pelo tratamento desse requisito legal, exceto se essa legislação o proibir por importantes razões de interesse público.
g) Respeitar as condições de recurso a outro Subcontratante, conforme estabelecido na regulamentação em vigor e aplicável à Proteção de Dados Pessoais. O Subcontratante não pode subcontratar nenhum dos serviços que fazem parte do objeto do presente contrato e que implicam o tratamento de dados pessoais, com exceção dos serviços auxiliares necessários ao normal funcionamento dos serviços do Subcontratante. Se for necessário subcontratar um tratamento, esse facto deve ser comunicado por escrito ao responsável pelo tratamento, com um pré-aviso de 15 dias úteis, indicando as operações de tratamento a subcontratar e identificando clara e inequivocamente a empresa subcontratante e os respectivos contactos. A subcontratação pode ser efectuada se o responsável não manifestar a sua oposição no prazo previsto. O subcontratante, que também terá o estatuto de subcontratante, é igualmente obrigado a cumprir as obrigações estabelecidas no presente documento para o subcontratante e as instruções emitidas pelo responsável pelo tratamento. É da responsabilidade do Subcontratante inicial regular a nova relação contratual de modo a que o novo Subcontratante fique sujeito às mesmas condições (instruções, obrigações, medidas de segurança), previstas na cláusula SIX do presente contrato, e com os mesmos requisitos formais que o Subcontratante inicial, no que respeita ao tratamento adequado dos dados pessoais e à garantia dos direitos dos titulares dos dados. Em caso de incumprimento por parte do subcontratante ulterior, o subcontratante inicial continua a ser plenamente responsável perante o responsável pelo tratamento pelo cumprimento das obrigações.
h) Apoiar o responsável pelo tratamento na realização de avaliações de impacto sobre a proteção de dados, se for caso disso. Bem como na realização de consultas prévias à autoridade de controlo, se for caso disso.
(i) Colocar à disposição do responsável pelo tratamento todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no presente artigo e permitir e prestar assistência às auditorias, incluindo inspecções, efectuadas pelo responsável pelo tratamento ou por outro auditor autorizado por este.
j) Para ajudar o Responsável pelo Tratamento na deteção de violações da segurança dos dados, o Subcontratante notificará o Responsável pelo Tratamento, sem demora injustificada, no prazo máximo de 24 horas, através dos meios de contacto indicados entre ambas as partes, de quaisquer violações da segurança dos dados pessoais sob a sua responsabilidade de que tenha conhecimento, para além do disposto no n.º 3 do artigo 33. Se e na medida em que não for possível fornecer as informações simultaneamente, estas devem ser fornecidas gradualmente e sem atrasos indevidos.
k) Tratar os dados pessoais colocados à disposição do responsável pelo tratamento de forma a garantir que o pessoal sob a sua responsabilidade siga as instruções do responsável pelo tratamento
(l) Assegurar que o responsável pela proteção de dados ou, na sua ausência, o responsável pela proteção da vida privada, seja envolvido de forma adequada e atempada em todas as questões relacionadas com a proteção de dados pessoais.
(m) Conservar um registo, sempre que o tratamento de dados pessoais apresentar um risco para os direitos e liberdades da pessoa em causa ou não for ocasional, ou implicar o tratamento de categorias especiais de dados e/ou de dados relativos a condenações e infracções, de todas as categorias de actividades de tratamento efectuadas por conta do responsável pelo tratamento ou, se for caso disso, sempre que o responsável pelo tratamento tiver mais de 250 trabalhadores.
n) Assistir o responsável pelo tratamento no exercício dos direitos da pessoa em causa e no cumprimento das disposições do contrato. Quando as pessoas em causa exercerem algum destes direitos perante o Responsável pelo tratamento de dados, em relação às operações de tratamento previstas no objeto do presente contrato, o Responsável pelo tratamento de dados deve comunicá-lo através do canal de comunicação acordado aquando da assinatura do contrato. A comunicação deve ser feita imediatamente e, em qualquer caso, o mais tardar no dia útil seguinte ao da receção do pedido, acompanhada, se for caso disso, de quaisquer outras informações que possam ser relevantes para a resolução do pedido.