a) São aplicáveis as definições da Directiva 95/46/CE;

b) Entende-se por «categorias especiais de dados» os dados referidos no artigo 8.o da directiva;

c) Entende-se por «autoridade de controlo» a entidade referida no artigo 28.o da directiva;

d) Entende-se por «exportador de dados» o responsável pela transmissão de dados pessoais;

e) Entende-se por «importador de dados» o responsável pela recepção de dados pessoais que tenha acordado recebê-los do exportador para processamento nos termos da presente decisão.

1.  Limitação da finalidade do tratamento: os dados só devem ser tratados e subsequentemente usados ou comunicados para os fins específicos indicados no apêndice 1 às cláusulas contratuais-tipo. Os dados não devem ser conservados por mais tempo do que o necessário para esse mesmo fim.

2.  Proporcionalidade e qualidade dos dados: os dados devem ser exactos e, sendo necessário, actualizados. Devem ser adequados, pertinentes e não excessivos em relação às finalidades para os quais são transferidos ou posteriormente tratados.

3.  Transparência: os titulares dos dados devem ser informados da finalidade do tratamento dos dados e da identidade do responsável pelo seu tratamento no país terceiro, devendo-lhes também ser fornecida qualquer informação necessária para garantir a legitimidade do tratamento, a menos que essa informação já tenha sido prestada pelo exportador de dados.

4.  Segurança e confidencialidade: o responsável pelo tratamento dos dados deve tomar as medidas de segurança de carácter técnico e organizativo adequadas ao risco que o tratamento dos dados apresenta, como por exemplo o relativo ao acesso não permitido. Qualquer pessoa agindo sob a autoridade do responsável pelo tratamento dos dados, incluindo um subcontratante, não deve proceder ao tratamento de dados sem instruções do responsável.

5.  Direitos de acesso, rectificação, apagamento e bloqueio: tal como disposto no artigo 12.o da Directiva 95/46/CE, o titular dos dados deve ter acesso a todos os dados tratados que lhe digam respeito e, consoante o caso, obter a rectificação, o apagamento ou o bloqueio dos dados cujo tratamento não cumpra o disposto nos princípios constantes do presente apêndice, nomeadamente devido ao carácter incompleto ou inexacto desses dados. Também pode opor-se ao tratamento de dados que lhe digam respeito, por razões preponderantes e legítimas relacionadas com a sua situação particular.

6.  Restrições relativas a transferências subsequentes: as transferências subsequentes de dados pessoais do importador de dados para outro responsável estabelecido em país terceiro em que não haja garantias de protecção adequada ou não abrangido por decisão da Comissão nos termos do n.o 6 do artigo 25.o da Directiva 95/46/CE (transferências subsequentes) só podem efectuar-se se:

a) Os titulares dos dados tiverem dado o seu consentimento inequívoco à transferência subsequente, no caso de estarem envolvidas categorias especiais de dados, ou, noutros casos, tiverem tido a oportunidade de se oporem.

— o objectivo da transferência subsequente,

— a identificação do exportador de dados estabelecido na Comunidade,

— a menção das categorias de outros destinatários dos dados e dos países de destino, e

— a menção de que, depois da transferência subsequente, os dados podem ser tratados por um responsável estabelecido num país onde não haja um nível de protecção adequado da vida privada; ou

b) O exportador de dados e o importador de dados tiverem dado o seu acordo quanto à adesão de outro responsável pelo tratamento às cláusulas contratuais-tipo, tornando-se este último, assim, uma nova parte signatária das cláusulas sujeitando-se às mesmas obrigações que o importador de dados.

7.  Categorias especiais de dados: no caso do tratamento de dados que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, assim como os dados relativos à saúde e à vida sexual e de dados relativos a infracções, condenações penais ou medidas de segurança, devem ser previstas garantias adicionais nos temros da Driectiva 95/46/CE, nomeadamente, medidas de segurança adequadas tais como a utilização de uma cifragem sólida para a transmissão ou de um registo do acesso aos dados sensíveis.

8. Marketing directo: no caso de uma transferência de dados para fins de marketing directo, devem existir procedimentos eficazes para permitir que o titular dos dados se possa opor, em qualquer altura, à utilização dos seus dados para tais efeitos.

9.  Decisão individual automatizada: os titulares dos dados têm o direito de não se sujeitarem a uma decisão que se baseie unicamente num tratamento automatizado de dados, a menos que se tomem outras medidas destinadas a garantir a defesa dos seus interesses legítimos tal como disposto no n.o 2 do artigo 15.o da Directiva 95/46/CE. Quando a transferência tiver por finalidade uma decisão automatizada nos termos do artigo 15.o da Directiva 95/46/CE, que produza efeitos na sua esfera jurídica ou que a afecte de modo significativo, tomada exlcusivamente com base num tratamento automatizado de dados destinados a apreciar determinados aspectos da sua personalidade, como por exemplo capacidade profissional, credibilidade, fiabilidade, comportamento, etc., o titular dos dados tem direito a conhecer os fundamentos subjacentes a uma tal decisão.

1.  Limitação da finalidade do tratamento: os dados só devem ser tratados e subsequentemente usados ou comunicados para os fins específicos indicados no apêndice 1 às cláusulas contratuais-tipo. Os dados não devem ser conservados por mais tempo do que o necessário para esse mesmo fim.

2.  Direitos de acesso, rectificação, apagamento e bloqueio: tal como disposto no artigo 12.o da Directiva 95/46/CE, o titular dos dados deve ter acesso a todos os dados tratados que lhe digam respeito e, consoante o caso, obter a rectificação, o apagamento ou o bloqueio dos dados cujo tratamento não cumpra o disposto nos princípios constantes do presente apêndice, nomeadamente devido ao carácter incompleto ou inexacto desses dados. Também pode opor-se ao tratamento de dados que lhe digam respeito, por razões preponderantes e legítimas relacionadas com a sua situação particular.

3.  Restrições relativas a transferências subsequentes: as transferências subsequentes de dados pessoais do importador de dados para outro responsável estabelecido em país terceirto em que não haja garantias de protecção adequada ou não abrangido por decisão da Comissão nos termos do n.o 6 do artigo 25.o da Directiva 95/46/CE (transferências subsequentes) só podem efectuar-se se:

a) Os titulares dos dados tiverem dado o seu consentimento inequívoco à transferência subsequente, no caso de estarem envolvidas categorias especiais de dados, ou, noutros casos, tiverem tido a oportunidade de se oporem.

— o objectivo da transferência subsequente,

— a identificação do exportador de dados estabelecido na Comunidade,

— a menção das categorias de outros destinatários dos dados e dos países de destino, e

— a menção de que, depois da transferência subsequente, os dados podem ser tratados por um responsável estabelecido num país onde não haja um nível de protecção adequado da vida privada; ou

b) O exportador de dados e o importador de dados tiverem dado o seu acordo quanto à adesão de outro responsável pelo tratamento às cláusulas contratuais-tipo, tornando-se este último, assim, uma nova parte signatária das cláusulas sujeitando-se às mesmas obrigações que o importador de dados.

a) «Dados pessoais», «categorias específicas de dados/dados sensíveis», «tratamento», «responsável pelo tratamento», «subcontratante», «pessoa em causa» e «autoridade de controlo/autoridade» devem ser entendidos na acepção da Directiva 95/46/CE, de 24 de Outubro de 1995 (por «a autoridade» deve entender-se a autoridade competente para a protecção de dados no território em que o exportador de dados se encontrar estabelecido);

b) O «exportador de dados» é o responsável pelo tratamento que transfere os dados pessoais;

c) O «importador de dados» é o responsável pelo tratamento que aceita receber dados pessoais, provenientes do exportador de dados, para posterior tratamento nos termos das presentes cláusulas, que não se encontre sujeito a um sistema de um país terceiro que garanta protecção adequada;

d) As «cláusulas» são as presentes cláusulas contratuais, que constituem um documento independente que não inclui termos comerciais estabelecidos pelas partes em acordos comerciais separados.

a) Os dados pessoais são recolhidos, tratados e transferidos nos termos da legislação aplicável ao exportador de dados;

b) São envidados esforços razoáveis no intuito de assegurar que o importador de dados possa cumprir as obrigações legais decorrentes das presentes cláusulas;

c) A pedido do importador de dados, ser-lhe-ão enviadas cópias da legislação relevante em matéria de protecção de dados, ou referências a esta legislação (se necessário e não incluindo o aconselhamento jurídico), do país em que o exportador de dados se encontrar estabelecido;

d) Responderá às consultas das pessoas em causa ou da autoridade relativas ao tratamento dos dados por parte do importador de dados, a menos que as partes tenham acordado que será o importador de dados a dar as respostas; neste caso, se o importador de dados não quiser ou não puder responder, o exportador de dados deve responder, dentro do possível e com a informação de que razoavelmente disponha. As respostas serão dadas num prazo razoável;

e) Fornecerá uma cópia das cláusulas às pessoas em causa, a pedido destas, que constituem os terceiros beneficiários previstos na cláusula III, a menos que as cláusulas contenham informação confidencial; neste caso, pode ser suprimida esta informação. Quando for suprimida informação, o exportador de dados deve dar conhecimento às pessoas em causa, por escrito, da causa da referida supressão e do direito de comunicá-la à autoridade. No entanto, o exportador de dados deve acatar as decisões da autoridade relativas ao acesso das pessoas em causa ao texto integral das cláusulas, desde que estas pessoas tenham aceitado respeitar a confidencialidade da informação suprimida. O exportador de dados deve também fornecer uma cópia das cláusulas à autoridade, sempre que lhe seja exigido.

a) Adoptar as medidas técnicas e organizativas adequadas para proteger os dados pessoais contra a destruição acidental ou ilegal ou contra a perda acidental, a alteração, a divulgação ou o acesso não autorizados, cujo nível de segurança seja adequado ao risco decorrente do tratamento e da natureza dos dados a proteger;

b) Adoptar os procedimentos necessários para que os terceiros autorizados a aceder aos dados pessoais, incluindo os subcontratantes, respeitem e mantenham a confidencialidade e a segurança dos dados pessoais. Todas as pessoas sob a autoridade do importador de dados, incluindo os subcontratantes, devem ser obrigados a tratar os dados pessoais apenas sob a orientação do importador de dados. Esta regra não se aplica às pessoas autorizadas a aceder aos dados pessoais ou cujo acesso seja determinado por disposições legais;

c) Não existem razões para crer que, na data de subscrição das presentes cláusulas, exista legislação local que possa ter um efeito negativo substancial sobre as garantias previstas nestas cláusulas e informará o exportador de dados (que, sempre que seja exigido, notificará, por sua vez, a autoridade) assim que tiver conhecimento de legislação deste teor;

d) Tratará os dados pessoais para os fins descritos no anexo B e tem legitimidade para oferecer as garantias e cumprir as obrigações estabelecidas nas presentes cláusulas;

e) Indicará ao exportador de dados um ponto de contacto da sua organização autorizado a responder às consultas relativas ao tratamento de dados pessoais e cooperará de boa fé com o exportador de dados, as pessoas em causa e a autoridade no tocante a todas as referidas consultas num prazo razoável. Em caso de dissolução legal do exportador de dados, ou caso as partes tenham acordado neste sentido, o importador de dados assumirá a responsabilidade pelo cumprimento do disposto na alínea e) da cláusula I;

f) A pedido do exportador de dados, fornecer-lhe-á provas que demonstrem que dispõe dos recursos financeiros necessários para cumprir as suas responsabilidades nos termos da cláusula III (que podem incluir a cobertura de seguros);

g) A pedido razoável do exportador de dados, facultará o acesso às suas instalações de tratamento de dados, aos seus ficheiros de dados e a toda a documentação necessária para o tratamento para fins de revisão, auditoria ou certificação, a realizar pelo exportador de dados (ou por qualquer inspector ou auditor imparcial e independente escolhido pelo exportador de dados e a que o importador de dados não se tenha oposto em termos razoáveis), para determinar se são cumpridas as garantias e as obrigações previstas nas presentes cláusulas, mediante notificação razoável e durante as horas de trabalho habituais. O pedido será sujeito aos necessários consentimento ou aprovação de uma autoridade reguladora ou de controlo do país do importador de dados, caso sejam previstos; o importador de dados tratará de obter tempestivamente este consentimento ou esta aprovação;

h) Tratará os dados pessoais, ao seu critério, nos termos:

i) da legislação de protecção de dados do país em que o exportador de dados se encontrar estabelecido;

ii) das disposições pertinentes ( 1 ) de qualquer decisão da Comissão, nos termos do n.o 6 do artigo 25.o da Directiva 95/46/CE, das quais conste que o importador de dados cumpre o disposto na referida autorização ou decisão e se encontra estabelecido num país em que estas são aplicáveis, mas não é abrangido pelas mesmas para efeitos da transferência ou das transferências de dados pessoais ( 2 ),

iii) dos princípios relativos ao tratamento de dados fixados no anexo A.

i) Não divulgará nem transferirá dados pessoais a terceiros responsáveis pelo tratamento de dados estabelecidos fora do Espaço Económico Europeu (EEE), a menos que notifique a transferência ao exportador de dados e

i) o terceiro responsável pelo tratamento proceda ao tratamento dos dados em conformidade com a decisão da Comissão da qual conste que um país terceiro oferece protecção adequada;

ii) o terceiro responsável pelo tratamento subscreva as presentes cláusulas ou outro acordo de transferência de dados aprovado por uma autoridade competente da UE;

iii) tenha sido dada às pessoas em causa oportunidade para se opor, depois de terem sido informadas das finalidades da transferência, das categorias de destinatários e do facto de os países para os quais se exportarão os dados poderem ter normas de protecção de dados diferentes;

iv) no que se refere às transferência ulteriores de dados sensíveis, as pessoas em causa tenham dado o seu consentimento inequívoco para esse efeito.

a) Cada parte é responsável perante a outra parte pelos danos causados pela violação das presentes cláusulas. A responsabilidade entre partes limita-se aos danos efectivamente sofridos. As indemnizações punitivas (que se destinariam a castigar uma das partes por comportamento indigno) são especificamente excluídas. Cada uma das partes é responsável perante as pessoas em causa pela violação de direitos de terceiros, nos termos das presentes cláusulas. Este facto não prejudica a responsabilidade do exportador de dados, ao abrigo da respectiva legislação de protecção de dados;

b) As partes estipulam que as pessoas em causa devem ter o direito de invocar, na qualidade de terceiros beneficiários, a presente cláusula, bem como as alíneas b), d) e e) da cláusula I, as alíneas a), c), d), e), h) e i) da cláusula II, a alínea a) da cláusula III, a cláusula V, a alínea d) da cláusula VI e a cláusula VII, contra o importador de dados ou o exportador de dados, pela violação das respectivas obrigações contratuais, no que se refere ao dados pessoais que lhe digam respeito, e aceitam a jurisdição do país de estabelecimento do exportador de dados para este efeito. Nos casos de alegada infracção por parte do importador de dados, a pessoa em causa deve, antes de tudo, solicitar ao exportador de dados que tome as medidas apropriadas para executar os respectivos direitos contra o importador de dados; caso o exportador de dados não o faça num prazo razoável (que, em circunstâncias normais, é de um mês), a pessoa em causa pode então executar os seus direitos directamente contra o importador. As pessoas em causa podem agir directamente contra um exportador de dados que não tenha envidado esforços razoáveis para verificar a capacidade do importador de dados para cumprir as respectivas obrigações legais nos termos das presentes cláusulas (recai sobre o exportador de dados o ónus de provar que envidou esforços razoáveis).

a) Em caso de litígio ou queixa apresentada por uma pessoa em causa ou pela autoridade relativamente ao tratamento de dados pessoais contra uma ou ambas as partes, as partes informar-se-ão reciprocamente desses litígios ou queixas e devem cooperar com vista à sua resolução amigável de forma célere;

b) As partes comprometem-se a participar em qualquer procedimento de mediação habitualmente disponível e não vinculativo iniciado por uma pessoa em causa ou pela autoridade. Caso participem no procedimento, as partes podem escolher fazê-lo à distância (quer por telefone quer por outros meios electrónicos). As partes comprometem-se igualmente a considerar a participação em outros procedimentos de arbitragem ou mediação, desenvolvidos para os litígios em matéria de protecção de dados;

c) Cada uma das partes deve acatar a decisão de um tribunal competente do país de estabelecimento do exportador de dados ou da autoridade, que é definitiva e não admite recurso.

a) Se o importador de dados violar as respectivas obrigações decorrentes das presentes cláusulas, o exportador de dados pode suspender temporariamente a transferência de dados pessoais para o importador de dados, até que cesse o incumprimento ou o contrato chegue ao seu termo;

b) No caso de:

i) a transferência de dados pessoais para o importador de dados ter sido temporariamente suspensa pelo exportador de dados durante mais de um mês, nos termos da alínea a);

ii) ao respeitar as presentes cláusulas, o importador de dados viole as respectivas obrigações legais no país de importação;

iii) o importador de dados violar de forma substancial ou persistente as garantias previstas ou os compromissos assumidos em virtude das presentes cláusulas;

iv) uma decisão definitiva que não admita recurso de um tribunal competente do país de estabelecimento do exportador de dados ou da autoridade considerar ter havido incumprimento das cláusulas por parte do importador de dados ou do exportador de dados;

v) ter sido solicitada a administração judicial ou a liquidação do importador de dados, quer a título pessoal quer a título empresarial, e desde que esta solicitação não tenha sido indeferida nos prazos previstos na legislação aplicável, é emitida uma ordem de liquidação, é designado um liquidatário para alguns dos seus activos e um síndico de falências, se o importador de dados for um particular, se este tiver dado início a um acordo voluntário de empresa ou se se encontrar numa situação análoga perante qualquer jurisdição,

c) Cada uma das partes pode resolver as presentes cláusulas em duas circunstâncias: i) se a Comissão declarar que o país (ou um sector do mesmo) para o qual se transferem os dados e no qual o importador procede ao tratamento dos dados garante um nível de protecção adequado, nos termos do n.o 6 do artigo 25.o da Directiva 95/46/CE (ou qualquer outro texto que a substitua); ii) a Directiva 95/46/CE (ou outro texto que a substitua) passa a ser directamente aplicável no referido país;

d) As partes estipulam que a resolução das presentes cláusulas em qualquer momento, em quaisquer circunstâncias e independentemente dos motivos [salvo a resolução prevista na alínea c) da cláusula VI], não as dispensa do cumprimento das obrigações e/ou das condições previstas nas presentes cláusulas relativamente ao tratamento dos dados pessoais transferidos.

1. Limitação da finalidade — Os dados pessoais podem ser tratados e subsequentemente utilizados ou comunicados apenas para os fins descritos no anexo B ou ulteriormente autorizados pela pessoa em causa.

2. Proporcionalidade e qualidade dos dados — Os dados pessoais devem ser exactos e, se necessário, regularmente actualizados. Devem ser adequados, relevantes e proporcionais em relação às finalidades para as quais são transferidos e posteriormente tratados.

3. Transparência — As pessoas em causa devem receber as informações necessárias relativas à garantia da lealdade do tratamento (tais como informações acerca das finalidades do tratamento e da transferência), a menos que esta informação já tenha sido facultada pelo exportador de dados.

4. Segurança e confidencialidade — O responsável pelo tratamento de dados deve adoptar medidas de segurança técnicas e organizativas para garantir o nível de segurança adequado aos riscos decorrentes do tratamento, tais como a destruição acidental ou ilegal, a perda acidental ou a alteração, a divulgação ou o acesso não autorizados. Qualquer pessoa sob a autoridade do responsável pelo tratamento dos dados, incluindo um subcontratante, não deve proceder ao tratamento de dados sem instruções do referido responsável.

5. Direitos de acesso, rectificação, supressão e oposição — O artigo 12.o da Directiva 95/46/CE prevê que as pessoas em causa devem receber, directamente ou por terceiros, as informações pessoais que sobre elas possua uma organização, à excepção dos pedidos manifestamente abusivos, tanto por terem sido apresentados a intervalos desrazoáveis ou porque o seu número ou natureza são repetitivos ou sistemáticos, ou para os quais não seja necessário o consentimento do interessado nos termos da legislação do país do exportador de dados. Se a autoridade tiver dado a sua autorização prévia, não é necessária também a autorização da pessoa em causa quando este facto for de molde a prejudicar seriamente os interesses do importador de dados ou de outras organizações que com ele lidem, bem como quando estes interesses devam prevalecer sobre os interesses em matéria de direitos e liberdades fundamentais da pessoa em causa. Não é necessário identificar as fontes dos dados pessoais sempre que isso não seja possível mediante esforços razoáveis ou acarrete a violação de direitos de terceiros. As pessoas em causa devem poder rectificar, alterar ou suprimir as informações pessoais que a elas se referem, sempre que sejam inexactas ou que o seu tratamento não respeite os princípios do presente anexo. Se existir fundamento para duvidar da legitimidade do pedido, a organização pode solicitar outras justificações antes de proceder à rectificação, alteração ou supressão. Não é necessário notificar a rectificação, alteração ou supressão dos dados a terceiros a quem tenham sido divulgados, quando isso exija um esforço desproporcionado. As pessoas em causa devem poder opor-se ao tratamento de dados pessoais a elas referentes, caso existam fundamentos legítimos imperiosos relacionados com a sua situação específica. O ónus da prova para efeitos de qualquer recusa neste sentido recai sobre o importador de dados e as pessoas em causa podem sempre contestar esta recusa junto da autoridade.

6. Dados sensíveis — O importador de dados deve tomar as medidas adicionais necessárias (por exemplo, relativas à segurança) para proteger os dados sensíveis, nos termos das respectivas obrigações decorrentes da cláusula II.

7. Dados utilizados para efeitos de marketing — Caso os dados sejam tratados para efeitos de marketing directo, devem existir procedimentos eficazes para permitir que a pessoa em causa se possa opor, em qualquer momento, à utilização dos seus dados para tais efeitos.

8. Decisões automatizadas — Para efeitos do presente anexo, por «decisões automatizadas» deve entender-se decisões do exportador de dados ou do importador de dados que produzam efeitos jurídicos relativamente a uma pessoa em causa ou que a prejudiquem significativamente, que se baseiem em exclusivo no tratamento automatizado de dados pessoais destinados a avaliar determinados aspectos pessoais com ela relacionados, tal como o desempenho profissional, a idoneidade creditícia, fiabilidade, conduta, etc. O importador de dados não deve tomar decisões automatizadas relativas às pessoas em causa, a não ser que:

a)

 

b) A legislação aplicável ao exportador de dados estabeleça o contrário.