ATENÇÃO: PUBLICAMOS OS TERMOS ABAIXO EM CONFORMIDADE COM AS NOVAS CLÁUSULAS CONTRATUAIS PADRÃO APROVADAS PELA COMISSÃO EUROPEIA, EM VIGOR A 27 DE SETEMBRO DE 2021

(a)  O objetivo destas cláusulas contratuais padrão é garantir a conformidade com os requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção de pessoas singulares no que diz respeito ao processamento de dados pessoais e ao livre arbítrio de tais dados (Regulamento Geral da Proteção de Dados) (1) para a transferência de dados pessoais para um país terceiro.

(b) As Partes:

(i)   a(s) pessoa(s) singular(es) ou coletiva(s), autoridade(s) pública(s), agência(s) ou outro(s) organismo(s) (a seguir designado «entidade/es») que transfere os dados pessoais, conforme listados no Anexo I.A (a seguir designado «exportador de dados»), e

(ii) a entidade num país terceiro que recebe os dados pessoais do exportador de dados, direta ou indiretamente através de outra entidade também Parte nestas Cláusulas, conforme listado no Anexo I.A (a seguir designado por “importador de dados”)

concordaram com estas cláusulas contratuais padrão (a seguir designadas: “Cláusulas”).

(c)  Estas Cláusulas aplicam-se no que diz respeito à transferência de dados pessoais conforme especificado no Anexo I.B.

(d) O Apêndice a estas Cláusulas que contêm os Anexos aí referidos faz parte integrante destas Cláusulas.

(a)  Estas Cláusulas estabelecem salvaguardas adequadas, incluindo direitos aplicáveis do titular dos dados e soluções legais eficazes, de acordo com o artigo 46.º, n.º 1, e o artigo 46.º, n.º 2, alínea c) do Regulamento (UE) 2016/679 e, no que diz respeito às transferências de dados de controladores para processadores e/ou processadores para processadores, cláusulas contratuais padrão de acordo com o artigo 28.º, n.º 7, do Regulamento (UE) 2016/679, desde que não sejam modificadas, exceto para selecionar o(s) Módulo(s) adequado(s) ou para adicionar ou atualizar informações no Apêndice. Tal não impede as Partes de incluir as cláusulas contratuais padrão estabelecidas nestas Cláusulas num contrato mais amplo e/ou de adicionar outras cláusulas ou salvaguardas adicionais, desde que não contradigam, direta ou indiretamente, estas Cláusulas ou prejudiquem os direitos, ou liberdades fundamentais dos titulares de dados.

(b) Estas Cláusulas não prejudicam as obrigações a que o exportador de dados está sujeito por força do Regulamento (UE) 2016/679.

(a)  Os titulares de dados podem invocar e aplicar estas Cláusulas, como beneficiários de terceiros, contra o exportador de dados e/ou o importador de dados, com as seguintes exceções:

(i)   Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;

(ii) Cláusula 8.1(b), 8.9(a), (c), (d) e (e);

(iii) Cláusula 9 – Cláusula 9(a), (c), (d) e (e);

(iv) Cláusula 12 – Cláusula 12(a), (d) e (f);

(v) Cláusula 13;

(vi) Cláusula 15.1(c), (d) e (e);

(vii) Cláusula 16(e);

(viii) Cláusula 18 – Cláusula 18(a) e (b);

(b) O parágrafo (a) não prejudica os direitos dos titulares de dados ao abrigo do Regulamento (UE) 2016/679.

(a)  Quando estas Cláusulas usam termos definidos no Regulamento (UE) 2016/679, esses termos devem ter o mesmo significado que nesse Regulamento.

(b) Estas Cláusulas devem ser lidas e interpretadas à luz das disposições do Regulamento (UE) 2016/679.

(c)  Estas Cláusulas não devem ser interpretadas de forma a entrar em conflito com os direitos e obrigações previstos no Regulamento (UE) 2016/679.

Em caso de contradição entre estas Cláusulas e as disposições de acordos relacionados entre as Partes, existentes no momento em que estas Cláusulas são acordadas ou celebradas a partir de então, estas Cláusulas prevalecem.

Os detalhes da(s) transferência(s), e em especial as categorias de dados pessoais transferidos e a(s) finalidade(s) para a qual são transferidos, são especificados no Anexo I.B.

(a)  Uma entidade que não constitua Parte nestas Cláusulas pode, com o acordo das Partes, aderir a estas Cláusulas a qualquer momento, seja como exportador de dados ou como importador de dados, completando o Apêndice e assinando o Anexo I.A.

(b) Uma vez concluído o Apêndice e assinado o Anexo I.A, a entidade aderente deve tornar-se Parte nestas Cláusulas e ter os direitos e obrigações de um exportador de dados ou importador de dados de acordo com a sua designação no Anexo I.A.

(c)  A entidade aderente não deve ter direitos ou obrigações decorrentes destas Cláusulas relativamente ao período antes de se tornar uma Parte.

O exportador de dados garante que usou os esforços razoáveis para determinar que o importador de dados pode, através da implementação de medidas técnicas e organizacionais adequadas, satisfazer as suas obrigações ao abrigo destas Cláusulas.

(a)  O importador de dados deve processar os dados pessoais apenas de acordo com instruções documentadas do exportador de dados. O exportador de dados pode dar tais instruções ao longo da duração do contrato.

(b) O importador de dados deve informar imediatamente o exportador de dados se não puder seguir essas instruções.

O importador de dados deve processar os dados pessoais apenas para a finalidade específica da transferência, conforme estabelecido no Anexo I.B, a menos que seja por instruções adicionais do exportador de dados.

A pedido, o exportador de dados deve fazer uma cópia destas Cláusulas, incluindo o Apêndice conforme completado pelas Partes, disponível gratuitamente para o titular dos dados. Na medida do necessário para proteger o sigilo empresarial ou outra informação confidencial, incluindo as medidas descritas no Anexo II e os dados pessoais, o exportador de dados pode redigir parte do texto do Apêndice para estas Cláusulas antes de partilhar uma cópia, mas deve fornecer um resumo significativo sempre que o titular dos dados não possa, de outro modo, compreender o seu conteúdo ou exercer os seus direitos. A pedido, as Partes devem fornecer ao titular dos dados os motivos das redações, na medida do possível sem revelar a informação redigida. A presente Cláusula não prejudica as obrigações do exportador de dados ao abrigo dos artigos 13 e 14 do Regulamento (UE) 2016/679.

Se o importador de dados tomar conhecimento de que os dados pessoais que recebeu são incorretos ou se encontram desatualizados, deve informar o exportador de dados sem demora injustificada. Neste caso, o importador de dados deve cooperar com o exportador de dados para apagar ou retificar os dados.

O processamento pelo importador de dados só deve ter lugar pela duração especificada no Anexo I.B. Após o fim da prestação dos serviços de processamento, o importador de dados deve, à escolha do exportador de dados, eliminar todos os dados pessoais tratados em nome do exportador de dados e certificar ao exportador de dados que o fez, ou devolver ao exportador de dados todos os dados pessoais tratados em seu nome e eliminar as cópias existentes. Até que os dados sejam eliminados ou devolvidos, o importador de dados deve continuar a garantir a conformidade com estas Cláusulas. No caso de leis locais aplicáveis ao importador de dados que proíbem o retorno ou a eliminação dos dados pessoais, o importador de dados garante que continuará a garantir a conformidade com estas Cláusulas e só irá processá-las na medida e pelo tempo que for exigido por essa lei local. Isto não prejudica a Cláusula 14, em especial o requisito para o importador de dados ao abrigo da Cláusula 14(e) notificar o exportador de dados ao longo da duração do contrato se tiver motivos para acreditar que está ou se encontra sujeito a leis ou práticas que não estão em conformidade com os requisitos da Cláusula 14(a).

(a)  O importador de dados e, durante a transmissão, também o exportador de dados devem implementar medidas técnicas e organizacionais adequadas para garantir a segurança dos dados, incluindo a proteção contra uma violação da segurança que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a esses dados (a seguir designada «violação de dados pessoais»). Ao avaliar o nível adequado de segurança, as Partes terão devidamente em conta o estado da técnica, os custos de implementação, a natureza, o âmbito, o contexto e a(s) finalidade(s) do tratamento e os riscos envolvidos no tratamento para os titulares dos dados. As Partes devem, especialmente, considerar recorrer à encriptação ou à pseudonimização, incluindo durante a transmissão, onde a finalidade do processamento pode ser alcançada dessa forma. Em caso de pseudonimização, as informações adicionais para atribuir os dados pessoais a um titular de dados específico devem, sempre que possível, permanecer sob o controlo exclusivo do exportador de dados. Ao respeitar as suas obrigações ao abrigo do presente parágrafo, o importador de dados deve, pelo menos, implementar as medidas técnicas e organizacionais especificadas no Anexo II. O importador de dados deve realizar verificações regulares para garantir que estas medidas continuam a fornecer um nível adequado de segurança.

(b) O importador de dados deve conceder acesso aos dados pessoais aos membros do seu pessoal apenas na medida do estritamente necessário para a implementação, gestão e monitorização do contrato. O mesmo deve garantir que as pessoas autorizadas a processar os dados pessoais se comprometeram a manter a confidencialidade ou estão sob uma obrigação legal de confidencialidade adequada.

(c)  No caso de uma violação de dados pessoais relacionada com dados pessoais processados pelo importador de dados ao abrigo destas Cláusulas, o importador de dados deve tomar medidas adequadas para resolver a violação, incluindo medidas para mitigar os seus efeitos adversos. O importador de dados também deve notificar o exportador de dados sem demora injustificada após ter tomado conhecimento da violação. Essa notificação deve conter os detalhes de um ponto de contacto onde podem ser obtidas mais informações, uma descrição da natureza da violação (incluindo, quando possível, categorias e número aproximado de titulares de dados e registos de dados pessoais em causa), as suas prováveis consequências e as medidas tomadas ou propostas para resolver a violação, incluindo, se adequado, medidas para mitigar os seus possíveis efeitos adversos. Caso, e na medida em que não seja possível fornecer todas as informações ao mesmo tempo, a notificação inicial deve conter as informações então disponíveis e outras informações devem, à medida que se tornam disponíveis, ser subsequentemente fornecidas sem demora injustificada.

(d) O importador de dados deve cooperar e ajudar o exportador de dados para permitir que o exportador de dados respeite as suas obrigações ao abrigo do Regulamento (UE) 2016/679, em especial para notificar a autoridade de supervisão competente e os titulares de dados afetados, tendo em conta a natureza do processamento e as informações disponíveis para o importador de dados.

Quando a transferência envolver dados pessoais que revelam a origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, ou filiação a sindicatos, dados genéticos ou dados biométricos para efeitos de identificação única de uma pessoa singular, dados relativos à saúde ou à vida sexual de uma pessoa, ou dados relacionados com condenações e ofensas criminais (a seguir designados “dados sensíveis”), o importador de dados deve aplicar as restrições específicas e/ou salvaguardas adicionais descritas no Anexo I.B.

O importador de dados só deve divulgar os dados pessoais a terceiros de acordo com instruções documentadas do exportador de dados. Além disso, os dados só podem ser divulgados a terceiros localizados fora da União Europeia (4) (no mesmo país que o importador de dados ou noutro país terceiro, a seguir designado “transferência subsequente”) se o terceiro estiver ou concordar em sujeitar-se a estas Cláusulas, ao abrigo do Módulo adequado, ou se:

(a)  a transferência subsequente for para um país que beneficia de uma decisão de adequação nos termos do artigo 45 do Regulamento (UE) 2016/679 que abrange a transferência subsequente;

(b) o terceiro garante de outra forma salvaguardas adequadas ao abrigo dos artigos 46 ou 47 do Regulamento (UE) 2016/679 no que diz respeito ao processamento em questão;

(c)  a transferência subsequente for necessária para o estabelecimento, exercício ou defesa de ações legais no contexto de processos administrativos, reguladores ou judiciais específicos; ou

(d) a transferência subsequente for necessária para proteger os interesses vitais do titular dos dados ou de outra pessoa singular.

Qualquer transferência subsequente está sujeita à conformidade pelo importador de dados com todas as outras salvaguardas ao abrigo destas Cláusulas, em especial a limitação da finalidade.

(a)  O importador de dados deve lidar pronta e adequadamente com consultas do exportador de dados que se relacionam com o processamento ao abrigo destas Cláusulas.

(b) As Partes devem poder demonstrar a conformidade com estas Cláusulas. Em especial, o importador de dados deve manter a documentação adequada nas atividades de processamento realizadas em nome do exportador de dados.

(c)  O importador de dados deve disponibilizar ao exportador de dados todas as informações necessárias para demonstrar a conformidade com as obrigações estabelecidas nestas Cláusulas e, a pedido do exportador de dados, permitir e contribuir para auditorias das atividades de processamento abrangidas por estas Cláusulas, a intervalos razoáveis ou se existirem indicações de não conformidade. Ao decidir sobre uma análise ou auditoria, o exportador de dados pode levar em conta certificações relevantes detidas pelo importador de dados.

(d) O exportador de dados pode optar por conduzir a auditoria por si só ou mandatar um auditor independente. As auditorias podem incluir inspeções no local ou nas instalações físicas do importador de dados e devem, quando adequado, ser realizadas com aviso razoável.

(e)  As Partes devem disponibilizar as informações referidas nos parágrafos (b) e (c), incluindo os resultados de quaisquer auditorias, à autoridade de supervisão competente, a pedido.

(a)  O importador de dados tem a autorização geral do exportador de dados para o envolvimento de subprocessador(es) de uma lista acordada. O importador de dados deve informar especificamente o exportador de dados por escrito de quaisquer alterações pretendidas a essa lista através da adição ou substituição de subprocessadores com pelo menos catorze dias de antecedência, dando assim tempo suficiente para poder opor-se a tais alterações antes do envolvimento do(s) subprocessador(es). O importador de dados deve fornecer ao exportador de dados as informações necessárias para permitir que o exportador de dados exerça o seu direito de oposição.

(b) Quando o importador de dados envolve um subprocessador para realizar atividades de processamento específicas (em nome do exportador de dados), deve fazê-lo através de um contrato por escrito que prevê, em substância, as mesmas obrigações de proteção de dados que as que vinculam o importador de dados ao abrigo destas Cláusulas, incluindo em termos de direitos beneficiários de terceiros para titulares de dados. (8) As Partes concordam que, ao respeitar esta Cláusula, o importador de dados cumpre com as suas obrigações ao abrigo da Cláusula 8.8. O importador de dados deve garantir que o subprocessador está em conformidade com as obrigações a que o importador de dados está sujeito de acordo com estas Cláusulas.

(c)  O importador de dados deve fornecer, a pedido do exportador de dados, uma cópia de tal acordo de subprocessador e quaisquer alterações subsequentes ao exportador de dados. Na medida do necessário para proteger o sigilo empresarial ou outra informação confidencial, incluindo dados pessoais, o importador de dados pode redigir o texto do acordo antes de partilhar uma cópia.

(d) O importador de dados deve permanecer totalmente responsável perante o exportador de dados pelo desempenho das obrigações do subprocessador ao abrigo do seu contrato com o importador de dados. O importador de dados deve notificar o exportador de dados de qualquer falha por parte do subprocessador em satisfazer as suas obrigações ao abrigo desse contrato.

(e)  O importador de dados deve concordar com o subprocessador uma cláusula beneficiária de terceiros através da qual – no caso de o importador de dados ter desaparecido de facto, deixar de existir por lei ou se ter tornado insolvente – o exportador de dados tem o direito de rescindir o contrato do subprocessador e instruir o subprocessador a eliminar ou devolver os dados pessoais.

(a)  O importador de dados deve notificar prontamente o exportador de dados de qualquer pedido que tenha recebido de um titular de dados. O mesmo não deve responder a esse pedido, a menos que tenha sido autorizado a fazê-lo pelo exportador de dados.

(b) O importador de dados deve permitir que o exportador de dados respeite as suas obrigações de responder aos pedidos dos titulares de dados para o exercício dos seus direitos ao abrigo do Regulamento (UE) 2016/679. Neste sentido, as Partes devem estabelecer no Anexo II as medidas técnicas e organizacionais adequadas, tendo em conta a natureza do processamento, pelo qual a assistência deve ser fornecida, bem como o âmbito e a extensão da assistência necessária.

(c)  Ao respeitar as suas obrigações ao abrigo dos parágrafos (a) e (b), o importador de dados deve respeitar as instruções do exportador de dados.

(a)  O importador de dados deve informar os titulares de dados num formato transparente e de fácil acesso, através de notificação individual ou no seu website, de um ponto de contacto autorizado a tratar reclamações. O mesmo deve lidar prontamente com quaisquer reclamações que receba de um titular de dados.

(b) Em caso de litígio entre um titular de dados e uma das Partes no que diz respeito à conformidade com estas Cláusulas, essa Parte deve usar os seus melhores esforços para resolver o problema de forma amigável e em tempo útil. As Partes devem manter-se mutuamente informadas sobre tais litígios e, quando adequado, cooperar para resolvê-los.

(c)  Quando o titular dos dados invoca um direito beneficiário de terceiros de acordo com a Cláusula 3, o importador de dados deve aceitar a decisão do titular dos dados para:

(i)     apresentar uma reclamação à autoridade de supervisão no Estado-Membro da sua residência habitual ou local de trabalho, ou à autoridade de supervisão competente de acordo com a Cláusula 13;

(ii)     encaminhar o litígio para os tribunais competentes na aceção da Cláusula 18.

(d) As Partes aceitam que o titular dos dados pode ser representado por um organismo, organização ou associação sem fins lucrativos ao abrigo das condições estabelecidas no artigo 80.º, n.º 1, do Regulamento (UE) 2016/679.

(e)  O importador de dados deve respeitar uma decisão que seja vinculativa ao abrigo da legislação da UE ou do Estado-Membro aplicável.

(f)  O importador de dados concorda que a escolha feita pelo titular dos dados não prejudicará os seus direitos substantivos e processuais para procurar soluções de acordo com a legislação aplicável.

(a)  Cada Parte deve ser responsável perante a outra Parte por quaisquer danos que cause à outra Parte por qualquer violação destas Cláusulas.

(b) O importador de dados deve ser responsável perante o titular dos dados, e o titular dos dados deve estar habilitado a receber uma indemnização por quaisquer danos materiais ou não materiais que o importador de dados ou o seu subprocessador cause ao titular dos dados ao violar os direitos beneficiários de terceiros ao abrigo destas Cláusulas.

(c)  Não obstante o disposto no parágrafo (b), o exportador de dados deve ser responsável perante o titular dos dados, e o titular dos dados deve estar habilitado a receber uma indemnização por quaisquer danos materiais ou não materiais que o exportador de dados ou o importador de dados (ou o seu subprocessador) cause ao titular dos dados ao violar os direitos beneficiários de terceiros ao abrigo destas Cláusulas. Isto não prejudica a responsabilidade do exportador de dados e, quando o exportador de dados for um processador que atua em nome de um controlador, a responsabilidade do controlador ao abrigo do Regulamento (UE) 2016/679 ou do Regulamento (UE) 2018/1725, conforme aplicável.

(d) As Partes concordam que, se o exportador de dados for considerado responsável ao abrigo do parágrafo (c) por danos causados pelo importador de dados (ou pelo seu subprocessador), deve estar habilitado a reclamar de volta ao importador de dados a parte da indemnização correspondente à responsabilidade do importador de dados pelos danos.

(e)  Quando mais do que uma Parte for responsável por qualquer dano causado ao titular dos dados como resultado de uma violação destas Cláusulas, todas as Partes responsáveis devem ser conjunta e solidariamente responsáveis e o titular dos dados tem o direito de intentar uma ação em tribunal contra qualquer uma destas Partes.

(f)  As Partes concordam que, se uma Parte for considerada responsável ao abrigo do parágrafo (e), terá o direito de reclamar à(s) outra(s) Parte(s) a parte da indemnização correspondente à sua responsabilidade pelos danos.

(g) O importador de dados não pode invocar a conduta de um subprocessador para evitar a sua própria responsabilidade.

(a)  As partes concordam que a autoridade de supervisão com responsabilidade por garantir a conformidade pelo exportador de dados com o Regulamento (UE) 2016/679 no que diz respeito à transferência de dados deve ser a Autoridade de Proteção de Dados dos Países Baixos (Autoriteit Persoonsgegevens), que deve atuar como autoridade de supervisão competente.

(b) O importador de dados concorda em submeter-se à jurisdição e cooperar com a autoridade de supervisão competente em quaisquer procedimentos que visem garantir a conformidade com estas Cláusulas. Em especial, o importador de dados concorda em responder a consultas, submeter-se a auditorias e respeitar as medidas adotadas pela autoridade de supervisão, incluindo medidas corretivas e compensatórias. O mesmo deve fornecer à autoridade de supervisão a confirmação por escrito de que foram tomadas as ações necessárias.

(a)  As Partes garantem que não têm motivos para acreditar que as leis e práticas no país terceiro de destino aplicáveis ao processamento dos dados pessoais pelo importador de dados, incluindo quaisquer requisitos para divulgar dados pessoais ou medidas que autorizem o acesso por autoridades públicas, impedem o importador de dados de respeitar as suas obrigações ao abrigo destas Cláusulas. Tal baseia-se no entendimento de que leis e práticas que respeitam a essência dos direitos e liberdades fundamentais e não excedem o que é necessário e proporcionado numa sociedade democrática para salvaguardar um dos objetivos listados no artigo 23.º, n.º 1, do Regulamento (UE) 2016/679, não estão em contradição com estas Cláusulas.

(b) As Partes declaram que, ao fornecer a garantia no parágrafo (a), tomaram devidamente em conta em especial os seguintes elementos:

(i) as circunstâncias específicas da transferência, incluindo a duração da cadeia de processamento, o número de intervenientes envolvidos e os canais de transmissão utilizados; transferências subsequentes pretendidas; o tipo de destinatário; a finalidade do processamento; as categorias e o formato dos dados pessoais transferidos; o setor económico em que ocorre a transferência; o local de armazenamento dos dados transferidos;

(ii) as leis e práticas do país terceiro de destino, incluindo as que exigem a divulgação de dados a autoridades públicas ou autorizam o acesso por essas autoridades, relevantes à luz das circunstâncias específicas da transferência, e as limitações e salvaguardas aplicáveis (12);

(iii) quaisquer salvaguardas contratuais, técnicas ou organizacionais relevantes postas em prática para complementar as salvaguardas ao abrigo destas Cláusulas, incluindo medidas aplicadas durante a transmissão e ao processamento dos dados pessoais no país de destino.

(c)  O importador de dados garante que, ao realizar a consulta ao abrigo do parágrafo (b), fez os seus melhores esforços para fornecer ao exportador de dados informações relevantes e concorda que continuará a cooperar com o exportador de dados para garantir a conformidade com estas Cláusulas.

(d) As Partes concordam em documentar a prestação ao abrigo do parágrafo (b) e disponibilizá-la à autoridade de supervisão competente, a pedido desta.

(e)  O importador de dados concorda em notificar o exportador de dados prontamente se, depois de ter concordado com estas Cláusulas e pela duração do contrato, tiver motivos para acreditar que está ou se encontra sujeito a leis ou práticas que não estão em conformidade com os requisitos do parágrafo (a), incluindo na sequência de uma alteração nas leis do país terceiro ou de uma medida (como um pedido de divulgação) que indique uma aplicação de tais leis, na prática, que não esteja em conformidade com os requisitos do parágrafo (a).

(f)  Após uma notificação ao abrigo do parágrafo (e), ou se o exportador de dados tiver motivos para acreditar que o importador de dados já não consegue satisfazer as suas obrigações ao abrigo destas Cláusulas, o exportador de dados deve identificar prontamente medidas adequadas (por exemplo, medidas técnicas ou organizacionais para garantir a segurança e confidencialidade) a serem adotadas pelo exportador de dados e/ou importador de dados para resolver a situação. O exportador de dados deve suspender a transferência de dados se considerar que não podem ser garantidas salvaguardas adequadas para essa transferência ou se instruído pela autoridade de supervisão competente a fazê-lo. Neste caso, o exportador de dados deve estar habilitado a rescindir o contrato, na medida em que diga respeito ao processamento de dados pessoais ao abrigo destas Cláusulas. Se o contrato envolver mais do que duas Partes, o exportador de dados pode exercer este direito de rescisão apenas no que diz respeito à Parte relevante, a menos que as Partes tenham acordado de outra forma. Quando o contrato for rescindido de acordo com esta Cláusula, aplicam-se a Cláusula 16(d) e (e).

(a)  O importador de dados concorda em notificar o exportador de dados e, sempre que possível, o titular dos dados prontamente (se necessário com a ajuda do exportador de dados) se:

(i) receber um pedido legalmente vinculativo de uma autoridade pública, incluindo autoridades judiciais, ao abrigo das leis do país de destino para a divulgação de dados pessoais transferidos de acordo com estas Cláusulas; essa notificação deve incluir informações sobre os dados pessoais solicitados, a autoridade que requer e, a base legal para o pedido e a resposta fornecida; ou

(ii) tomar conhecimento de qualquer acesso direto por autoridades públicas a dados pessoais transferidos de acordo com estas Cláusulas de acordo com as leis do país de destino; essa notificação deve incluir todas as informações disponíveis ao importador.

(b) Se o importador de dados estiver proibido de notificar o exportador de dados e/ou o titular dos dados ao abrigo das leis do país de destino, o importador de dados concorda em usar os seus melhores esforços para obter uma renúncia à proibição, com vista a comunicar o máximo de informações possível, o mais rapidamente possível. O importador de dados concorda em documentar os seus melhores esforços para poder demonstrá-los a pedido do exportador de dados.

(c)  Quando permitido ao abrigo das leis do país de destino, o importador de dados concorda em fornecer ao exportador de dados, a intervalos regulares pela duração do contrato, o máximo de informações relevantes possível sobre os pedidos recebidos (em especial, o número de pedidos, o tipo de dados solicitados, a autoridade que requer, se os pedidos foram desafiados e o resultado de tais desafios, etc.).

(d) O importador de dados concorda em preservar as informações de acordo com os parágrafos (a) a (c) pela duração do contrato e disponibilizá-las à autoridade de supervisão competente, a pedido desta.

(e)  Os parágrafos (a) a (c) não prejudicam a obrigação do importador de dados de acordo com a Cláusula 14(e) e a Cláusula 16 de informar o exportador de dados prontamente quando não puder respeitar estas Cláusulas.

(a)  O importador de dados concorda em rever a legalidade do pedido de divulgação, em especial se permanece nos poderes concedidos à autoridade pública que requer, e a contestar o pedido se, após uma análise criteriosa, concluir que existem motivos razoáveis para considerar que o pedido é ilegal ao abrigo das leis do país de destino, das obrigações aplicáveis ao abrigo do direito internacional e dos princípios da cortesia internacional. O importador de dados deve, nas mesmas condições, procurar possibilidades de recurso. Ao contestar um pedido, o importador de dados deve procurar medidas provisórias com vista a suspender os efeitos do pedido até que a autoridade judicial competente decida os seus méritos. O mesmo não deve divulgar os dados pessoais solicitados até que seja necessário fazê-lo ao abrigo das normas processuais aplicáveis. Estes requisitos não prejudicam as obrigações do importador de dados ao abrigo da Cláusula 14(e).

(b) O importador de dados concorda em documentar o seu atendimento legal e qualquer desafio ao pedido de divulgação e, na medida do permitido ao abrigo das leis do país de destino, disponibilizar a documentação ao exportador de dados. O mesmo deve também disponibilizá-lo à autoridade de supervisão competente, a pedido desta.

(c)  O importador de dados concorda em fornecer a quantidade mínima de informações permitidas ao responder a um pedido de divulgação, com base numa interpretação razoável do pedido.

(a)  O importador de dados deve informar prontamente o exportador de dados se não puder respeitar estas Cláusulas, por qualquer motivo.

(b) No caso de o importador de dados violar estas Cláusulas ou não poder respeitar estas Cláusulas, o exportador de dados deve suspender a transferência de dados pessoais para o importador de dados até que a conformidade seja novamente garantida, ou o contrato seja rescindido. Isto não prejudica a Cláusula 14(f).

(c)  O exportador de dados terá o direito de rescindir o contrato, na medida em que se trate do tratamento de dados pessoais nos termos destas Cláusulas, quando:

(i) o exportador de dados suspendeu a transferência de dados pessoais para o importador de dados de acordo com o parágrafo (b) e a conformidade com estas Cláusulas não é restaurada num prazo razoável e em qualquer caso no prazo de um mês a partir da suspensão;

(ii) o importador de dados estiver em violação substancial ou persistente destas Cláusulas; ou

(iii) o importador de dados não respeita uma decisão vinculativa de um tribunal ou autoridade de supervisão competente no que diz respeito às suas obrigações ao abrigo destas Cláusulas.

Nestes casos, deve informar a autoridade de supervisão competente de tal não conformidade. Quando o contrato envolver mais do que duas Partes, o exportador de dados pode exercer este direito de rescisão apenas no que diz respeito à Parte relevante, a menos que as Partes tenham acordado de outra forma.

(d) os dados pessoais transferidos antes da rescisão do contrato de acordo com o parágrafo (c) devem, à escolha do exportador de dados, ser imediatamente devolvidos ao exportador de dados ou eliminados na sua totalidade. O mesmo se aplica a quaisquer cópias dos dados. O importador de dados deve certificar a eliminação dos dados ao exportador de dados. Até que os dados sejam eliminados ou devolvidos, o importador de dados deve continuar a garantir a conformidade com estas Cláusulas. No caso de leis locais aplicáveis ao importador de dados que proíbem o retorno ou a eliminação dos dados pessoais transferidos, o importador de dados garante que continuará a garantir a conformidade com estas Cláusulas e só irá processar os dados na medida e pelo tempo exigido por essa lei local.

(e)  Qualquer uma das Partes pode revogar o seu acordo de se sujeitar a estas Cláusulas quando (i) a Comissão Europeia adota uma decisão de acordo com o artigo 45.º, n.º 3, do Regulamento (UE) 2016/679 que abrange a transferência de dados pessoais a que estas Cláusulas se aplicam; ou (ii) o Regulamento (UE) 2016/679 torna-se parte do quadro legal do país para o qual os dados pessoais são transferidos. Isto não prejudica outras obrigações que se aplicam ao processamento em questão ao abrigo do Regulamento (UE) 2016/679.

Estas Cláusulas devem ser regidas pela lei do Estado-Membro da UE em que o exportador de dados está estabelecido. Quando essa lei não permite os direitos de beneficiários de terceiros, os mesmos devem ser regidos pela lei de outro Estado-Membro da UE que permita os direitos de beneficiários de terceiros. As Partes concordam que tal deve ser a legislação dos Países Baixos.

(a)  Qualquer litígio decorrente destas Cláusulas deve ser resolvido pelos tribunais de um Estado-Membro da UE.

(b) As Partes concordam que estes devem ser os tribunais dos Países Baixos.

(c)  Um titular de dados também pode intentar processos legais contra o exportador de dados e/ou o importador de dados aos tribunais do Estado-Membro em que tem a sua residência habitual.

(d) As Partes concordam em submeter-se à jurisdição de tais tribunais.

Para obter informações nos Anexos I e II, consulte os Quadros 1 e 2 do Acordo de Processamento de Dados.