Acordo de processamento de dados

1.1 Cliente como responsável pelo tratamento. Se o Cliente for um responsável pelo tratamento dos Dados do Cliente ao abrigo da Lei de Privacidade Aplicável:

1.1.1 o objeto e os detalhes do tratamento estão descritos na Secção 2;

1.1.2 a CHCNAV é um subcontratante dos Dados do Cliente ao abrigo da Lei de Privacidade Aplicável;

1.1.3 cada parte cumprirá as obrigações que lhe são aplicáveis ao abrigo da Lei de Privacidade Aplicável no que respeita ao tratamento dos Dados do Cliente.

1.2 Pedidos do responsável pelo tratamento. Durante o período de vigência do presente APD, se a CHCNAV receber um pedido ou uma instrução de um terceiro que se apresente como responsável pelo tratamento dos Dados do Cliente, a CHCNAV aconselhará esse terceiro a contactar o Cliente.

2.1 Objeto do tratamento. O objeto do tratamento é a prestação dos Serviços ao Cliente pela CHCNAV.

2.2 Duração: A duração do tratamento será a duração das Condições de Utilização, acrescida do período compreendido entre o termo das Condições de Utilização e a eliminação de todos os Dados do Cliente, em conformidade com a presente APD.

2.3 Natureza e objetivo do processamento. A natureza e a finalidade do tratamento são a computação, o armazenamento e outros serviços em nuvem disponíveis na rede da CHCNAV para garantir o acesso e a utilização dos Serviços pelo Cliente ao abrigo das Condições de Utilização.

2.4 Tipos de dados pessoais. Os tipos de dados pessoais são dados relativos a indivíduos sobre os quais os dados são fornecidos à CHCNAV pelo (ou sob a direção do) Cliente ou pelos Utilizadores Finais.

2.5 Categorias de titulares de dados. As categorias de titulares de dados incluem as pessoas singulares sobre as quais os dados são fornecidos à CHCNAV pelo (ou sob a direção do) Cliente ou pelos Utilizadores Finais, em particular os (i) funcionários do Cliente, (ii) fornecedores, (iii) Utilizadores Finais, (iv) clientes.

3.1 Legalidade. Cada Parte cumprirá as Leis de Privacidade Aplicáveis em relação à execução do presente APD. Cada Parte será capaz de demonstrar essa conformidade.

3.2 Informação. A CHCNAV colocará à disposição do Cliente todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no presente ATD.

3.3 Instruçõesdo Cliente. As partes acordam que o presente APD e os Termos de Utilização constituem as instruções documentadas do Cliente relativamente ao tratamento dos Dados do Cliente pela CHCNAV ("Instruções"). A CHCNAV processará os Dados do Cliente apenas de acordo com as Instruções.

3.4 Notificação. Tendo em conta a natureza do processamento, o Cliente concorda que é improvável que a CHCNAV possa formar uma opinião sobre se as Instruções infringem a Lei de Privacidade Aplicável. No entanto, se a CHCNAV formar tal opinião, a CHCNAV notificará imediatamente o Cliente se, na opinião da CHCNAV: (a) a Lei de Privacidade Aplicável proibir a CHCNAV de cumprir as Instruções; (b) as Instruções não cumprirem a Lei de Privacidade Aplicável; ou (c) a CHCNAV não puder cumprir as Instruções, em cada caso, exceto se tal notificação for proibida pela Lei de Privacidade Aplicável. Esta Secção não limita os direitos ou obrigações de qualquer das partes noutras partes dos Termos de Utilização.

3.5 Âmbito das instruções. Na qualidade de subcontratante, a CHCNAV processará os Dados do Cliente na medida do necessário para fornecer, proteger e monitorizar os Serviços, e não recolherá, utilizará, reterá, acederá, partilhará, venderá, transferirá ou processará os Dados do Cliente para qualquer fim não relacionado com a prestação de tais Serviços, para qualquer fim que não seja o estabelecido nos Termos de Utilização, no presente APD ou de outra forma exigido pela Lei de Privacidade Aplicável.

4.1 Pessoal. A CHCNAV assegurará que as pessoas autorizadas a processar os Dados do Cliente se comprometem a manter a confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade adequada.

4.2 Divulgação. Sem prejuízo do disposto nas Secções 3.5 acima e 9 abaixo, a CHCNAV não acederá nem utilizará, nem divulgará a terceiros, quaisquer Dados do Cliente, exceto, em cada caso, na medida do necessário para manter ou prestar os Serviços, ou na medida do necessário para cumprir a lei ou uma ordem válida e vinculativa de uma autoridade pública competente (tal como uma intimação ou uma ordem judicial). Se a CHCNAV for intimada pelas autoridades públicas competentes a divulgar os Dados do Cliente, a CHCNAV tentará redirecionar essa intimação para o Cliente. Tal poderá incluir o fornecimento das informações básicas de contacto do Cliente à autoridade pública competente. Se a CHCNAV for legalmente obrigada a divulgar os Dados do Cliente a uma autoridade pública competente, a CHCNAV informará o Cliente com uma antecedência razoável da ordem, de modo a permitir que o Cliente tome as medidas necessárias, exceto se a CHCNAV estiver legalmente proibida de o fazer.

5.1 Medidas de Segurança. O CHCNAV implementará e manterá as Medidas de Segurança. As Medidas de Segurança incluem medidas para encriptar os dados pessoais; para ajudar a garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços da CHCNAV; para ajudar a restaurar o acesso atempado aos dados pessoais após um incidente; e para testar a eficácia regularmente. A CHCNAV poderá atualizar as Medidas de Segurança periodicamente, desde que tais actualizações não resultem numa redução significativa da segurança dos Serviços.

5.2 Acesso aos Dados do Cliente. A CHCNAV (a) autorizará os seus funcionários, contratantes e Subcontratantes a aceder aos Dados do Cliente apenas na medida do estritamente necessário para cumprir as Instruções; e (b) tomará as medidas adequadas para garantir que os seus funcionários, contratantes e Subcontratantes cumprem as Medidas de Segurança na medida do aplicável ao seu âmbito de atuação.

5.3 Controlos de segurança adicionais. A CHCNAV disponibilizará Controlos de Segurança Adicionais para: (a) permitir que o Cliente tome medidas para proteger os Dados do Cliente; e (b) fornecer ao Cliente informações sobre como proteger, aceder e utilizar os Dados do Cliente.

5.4 Assistência de Segurança. A CHCNAV prestará assistência ao Cliente para assegurar o cumprimento das suas obrigações nos termos dos artigos 32.º a 34.º do RGPD, tendo em conta a natureza do tratamento dos Dados do Cliente e as informações de que a CHCNAV dispõe, através de:

5.4.1 implementando e mantendo as Medidas de Segurança de acordo com as Secções 5.1 e 5.2;

5.4.2 disponibilizando Controlos de Segurança Adicionais ao Cliente, de acordo com a Secção 5.3;

5.4.3 cumprir os termos da Secção 6;

5.4.4 fornecer ao Cliente cooperação e assistência adicionais razoáveis, a pedido do Cliente, se as subsecções 5.4.1 - 5.4.3 acima forem insuficientes para que o Cliente (ou o responsável pelo tratamento relevante) cumpra tais obrigações. Quaisquer custos razoáveis incorridos pela CHCNAV no cumprimento da presente secção serão suportados exclusivamente pelo Cliente.

5.5 Responsabilidades de Segurança do Cliente. Sem prejuízo das obrigações da CHCNAV nos termos das Secções 5.1 - 5.4, da Secção 6 e de outras disposições da APD ou das Condições de Utilização, o Cliente é responsável pela sua utilização dos Serviços e pelo armazenamento de quaisquer cópias dos Dados do Cliente fora dos sistemas da CHCNAV ou dos Subcontratantes, incluindo

5.5.1 utilizar os Serviços e os Controlos de Segurança Adicionais para garantir um nível de segurança adequado ao risco para os Dados do Cliente;

5.5.2 proteger as credenciais de autenticação da Conta, sistemas e dispositivos que o Cliente utiliza para aceder aos Serviços; e

5.5.3 efetuar cópias de segurança dos Dados do Cliente, conforme apropriado.

6.1 Notificação : A CHCNAV notificará o Cliente, sem demora injustificada, após ter tido conhecimento de uma violação de dados pessoais. Esta(s) notificação(ões) será(ão) entregue(s) utilizando as informações de contacto fornecidas pelo Cliente por qualquer meio que a CHCNAV selecione, incluindo, mas não se limitando a, correio eletrónico, SMS, etc. É da exclusiva responsabilidade do Cliente garantir que os administradores/pessoal do Cliente mantenham sempre informações de contacto exactas na Conta.

6.2 Assistência. Em caso de violação de dados pessoais, a CHCNAV prestará assistência ao Cliente para assegurar o cumprimento das obrigações previstas no artigo 33 e/ou no artigo 34 do RGPD, tendo em conta a natureza do tratamento e as informações de que a CHCNAV dispõe.

A CHCNAV tratará do Tratamento de Dados Pessoais em conformidade com o presente APD. O Cliente poderá exercer os seus direitos de auditoria ou encarregar um terceiro de o fazer em seu nome. Para exercer este direito, o Cliente notificará a CHCNAV, por escrito, com uma antecedência mínima de 30 dias relativamente à data prevista para o início de qualquer auditoria. Se a CHCNAV se recusar a cumprir as auditorias ou inspecções do Cliente previstas nos regulamentos de proteção de dados aplicáveis, o Cliente tem o direito de rescindir o presente APD e as Condições Gerais de Utilização. Salvo acordo escrito em contrário, quaisquer custos razoáveis incorridos pela CHCNAV no cumprimento da presente secção (excluindo as auditorias de conformidade de rotina que a CHCNAV é obrigada a realizar ao abrigo da Lei de Privacidade Aplicável) serão suportados exclusivamente pelo Cliente. Isto inclui encargos administrativos, tais como esforços para fornecer cópias (redigidas) de relatórios e documentos ao Cliente que não estejam disponíveis publicamente. Se as Cláusulas Contratuais-tipo se aplicarem, nada na presente secção varia ou modifica as Cláusulas Contratuais-tipo ou afecta os direitos de qualquer Autoridade de Controlo ou do titular dos dados ao abrigo das Cláusulas Contratuais-tipo.

8.1 Conformidade. Para além das obrigações de assistência previstas no ponto 5.4, a CHCNAV ajudará o Cliente a assegurar o cumprimento das suas obrigações nos termos dos artigos 35 e 36 do RGPD, tendo em conta a natureza do tratamento dos Dados do Cliente e as informações de que a CHCNAV dispõe.

8.2 Direitos do titular dos dados. A CHCNAV, tendo em conta a natureza do tratamento, assistirá o Cliente no cumprimento das suas obrigações de resposta aos pedidos de exercício dos direitos das pessoas em causa, tal como previsto no Capítulo III do RGPD. A CHCNAV oferece ao Cliente, através das funcionalidades da Conta, a possibilidade de tomar as medidas necessárias para responder a qualquer pedido do titular dos dados relacionado com os Dados do Cliente. A assistência exigida pelo RGPD à CHCNAV esgota-se com a disponibilização das funcionalidades da Conta e com o facto de a CHCNAV reencaminhar para o Cliente os pedidos dos titulares dos dados recebidos. As medidas técnicas e organizativas específicas desta assistência, bem como o seu âmbito e alcance, constam do Anexo II das CCT em anexo.

8.3 Pedidos das pessoas em causa: A CHCNAV, envidando esforços comercialmente razoáveis, transmitirá prontamente ao Cliente qualquer pedido que tenha recebido de uma pessoa em causa. Se o cliente pretender exercer os seus direitos de privacidade, ou se pretender suscitar ou consultar a CHCNAV relativamente a um pedido do titular dos dados, deverá contactar-nos através do endereço datacompliance@huace.cn. Quaisquer custos razoáveis incorridos pela CHCNAV no cumprimento da presente secção serão suportados exclusivamente pelo Cliente.

9.1 Autorização geral: O Cliente aceita que a CHCNAV possa contratar Subcontratantes para a realização de actividades de tratamento específicas em nome do Cliente.

9.2 Alterações à lista de Subcontratantes. A CHCNAV disponibilizará ao Cliente informações sobre quaisquer alterações previstas na Lista de Subcontratantes, incluindo a identidade e a localização geral do Subcontratante, com pelo menos 15 dias de antecedência, através da atualização da Lista de Subcontratantes e do envio de uma notificação ao Cliente.

9.3 Obrigações relativas aos subcontratantes. Quando a CHCNAV contrata um subcontratante nos termos das secções 9.1, a CHCNAV irá

9.3.1 assegurar, através de um contrato escrito, que:

9.3.1.1 o Subcontratante apenas acede e utiliza os Dados do Cliente na medida do necessário para cumprir as obrigações que lhe foram subcontratadas, e fá-lo-á em conformidade com os Termos de Utilização (incluindo o presente DPA); e

9.3.1.2 as obrigações de proteção de dados descritas neste APD (conforme referido no Artigo 28(3) do RGPD, se aplicável) são impostas ao Subcontratante; e

9.3.2 permanecer totalmente responsável por todas as obrigações subcontratadas e por todos os actos e omissões do Subcontratante.

10.1 Instalações de armazenamento e processamento de dados. A região onde os Dados do Cliente serão processados só pode ser especificada pelo Cliente. Na região da UE, os centros de dados da CHCNAV estão situados na Irlanda - Dublin. Se o cliente escolher a região da UE, todos os dados do cliente serão armazenados na Irlanda-Dublin.

Na região fora da UE, os centros de dados da CHCNAV estão situados na lista de subcontratantes. Se o cliente optar por uma região fora da UE, todos os dados do cliente serão armazenados na região fora da UE selecionada pelo cliente, localizada na lista de subcontratantes.

10.2 Transferências para países terceiros. Se um Cliente pretender processar dados pessoais numa região fora da UE, tal só poderá ser feito sob a direção e especificação do Cliente, através de uma instrução escrita do Cliente à CHCNAV.

A CHCNAV só poderá proceder à transferência dos dados do cliente da(s) região(ões) selecionada(s) pelo cliente se (a) tal for necessário para a prestação dos Serviços solicitados pelo Cliente, nomeadamente para investigar um incidente de segurança ou uma violação das Condições Gerais de Utilização, ou (b) conforme necessário para cumprir as leis e regulamentos aplicáveis ou uma ordem vinculativa emitida por um tribunal ou autoridade pública competente.

Nos casos em que as transferências para um país terceiro fora do EEE possam ter lugar a pedido de um cliente através de um serviço escrito dos Termos de Utilização, tal só será efectuado com base em salvaguardas adequadas, tal como estabelecido no RGPD, em particular a assinatura das Cláusulas Contratuais-tipo aprovadas pela Decisão de Execução (UE) 2021/914 da Comissão Europeia e a implementação de medidas técnicas e organizacionais suficientes.

A seleção das Cláusulas adequadas será determinada com base no papel do Cliente no contexto do processamento de dados pessoais correspondente.

Se o Cliente for um Responsável pelo Tratamento de Dados estabelecido na UE que contrata a CHCNAV para atuar como Subcontratante relativamente aos Dados Pessoais, as Cláusulas Contratuais Contratuais do Responsável pelo Tratamento (C2P) (Módulo 2) adoptadas pela Decisão de Execução (UE) 2021/914 da Comissão aplicam-se mutatis mutandis.

Quando o Cliente actua como Subcontratante de Dados, contratando a CHCNAV para efetuar um tratamento posterior dos Dados Pessoais no âmbito dos Serviços, aplicam-se, com as devidas adaptações, as CCT de Subcontratante para Subcontratante (P2P) (Módulo 3) adoptadas pela Decisão de Execução (UE) 2021/914 da Comissão.

10.3 Transferências para países adequados. As partes reconhecem que a Lei de Privacidade Aplicável não exige Cláusulas Contratuais Padrão para que os Dados do Cliente sejam processados ou transferidos para um País Adequado.

11.1 Devolução ou eliminação de dados pessoais. Através das funcionalidades da Conta, a CHCNAV oferece ao Cliente a possibilidade de apagar a totalidade dos Dados do Cliente a qualquer momento, de acordo com as condições das Condições Gerais de Utilização, exceto se a legislação aplicável em matéria de privacidade exigir o armazenamento dos Dados do Cliente. A CHCNAV eliminará os Dados do Cliente se tal for solicitado pelo Cliente, ou se o Cliente encerrar a sua Conta, ou conforme descrito nos Termos de Utilização (por exemplo, após o termo de um período alargado e/ou de retenção).

11.2 Autorização de eliminação. O Cliente dá instruções à CHCNAV para eliminar todos os Dados do Cliente, tal como previsto na Secção 11.1.

12.1 Registos de processamento. A CHCNAV manterá a documentação adequada das suas actividades de processamento, conforme exigido pela Lei de Privacidade Aplicável. Na medida em que a Lei de Privacidade Aplicável exija que a CHCNAV recolha e mantenha registos de determinadas informações relativas ao Cliente, o Cliente utilizará os controlos e funcionalidades disponibilizados pela CHCNAV para fornecer essas informações e mantê-las precisas e actualizadas. A CHCNAV poderá disponibilizar tais informações às Autoridades de Controlo, se tal for exigido pela Lei de Privacidade Aplicável.

Tendo em conta as obrigações mútuas previstas no presente APD, as Partes acordam que o presente APD está sujeito à lei aplicável e à jurisdição definidas nas Condições de Utilização.

Salvo definição em contrário nos Termos de Utilização, todos os termos em maiúsculas utilizados na presente APD terão os significados que lhes são atribuídos abaixo:

"Controlos de Segurança Adicionais" significa recursos de segurança, caraterísticas, funcionalidades e/ou controlos que o Cliente pode utilizar a seu critério e/ou conforme determinar, incluindo encriptação, registo e monitorização, gestão de identidade e acesso, análise de segurança e firewalls.

“Adequate Country” means (a) for data processed subject to the GDPR – the members states of the EEA or a country or territory that is the subject of an adequacy decision issued by the European Commission under Article 45(1) of the GDPR; (b) for data processed subject to the FDPA – Suíça, ou um país ou território que (i) esteja incluído na lista de Estados cuja legislação garanta um nível de proteção adequado, conforme publicado pelo Comissário Federal Suíço para a Proteção de Dados e Informação, ou (ii) seja objeto de uma decisão de adequação pelo Conselho Federal Suíço ao abrigo da APBP, (c) para dados processados sujeitos a outra Lei de Privacidade Aplicável - países ou territórios considerados como assegurando uma proteção adequada de acordo com essa lei.

" Lei de Privacidade Aplicável " significa, conforme aplicável: (a) o GDPR; e/ou (b) a FDPA e/ou (c) a Lei de DP da Sérvia, e/ou, (d) a Lei de DP da Ucrânia, e outras leis de proteção de dados ou de privacidade em vigor nos estados membros do EEE e/ou Suíça, Sérvia ou Ucrânia, e qualquer legislação e/ou regulamento que altere, substitua, reedite ou consolide qualquer um deles, relacionados com o processamento dos Dados do Cliente ao abrigo deste DPA e dos Termos de Utilização.

"Cliente" significa a parte que celebra o presente APD, agindo a título pessoal ou em nome de uma entidade jurídica, juntamente com as suas Afiliadas Autorizadas, que incluem os Utilizadores Finais.

"Utilizador Final"significa qualquer pessoa a quem o Cliente permita aceder e utilizar os Serviços e/ou o Seu Conteúdo.

"Dados do Cliente" significa os dados pessoais contidos no seu Conteúdo.

"EEE" significa o Espaço Económico Europeu.

"FDPA" significa a Lei Federal Suíça de Proteção de Dados de 19 de junho de 1992 e a nova Lei Suíça de Proteção Federal de Dados de 25 de setembro de 2020.

"RGPD" significa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados). Uma referência às disposições específicas do RGPD também diz respeito às respetivas disposições da Lei de Privacidade Aplicável que preveem direitos ou obrigações substancialmente semelhantes nas respetivas disposições do RGPD.

"Cláusulascontratuais-tipo" ou "Cláusulas contratuais-tipo" significa as cláusulas-tipo de proteção de dados para a transferência de dados pessoais para países terceiros adoptadas pela Decisão de Execução (UE) 2021/914 da Comissão Europeia, de 4 de junho de 2021.

"CCT (Módulo 2)" significa os termos do Módulo Três das Cláusulas Contratuais-tipo: Transferência do responsável pelo tratamento para o subcontratante, disponível em: [inserir a ligação SCCs-CP].

"SCCs (Módulo 3)" significa os termos do Módulo 3 das Cláusulas Contratuais-tipo: Transferência do processador para o subcontratante, disponível em: [inserir a ligação SCCs-PP].

"Medidas de Segurança" significa medidas técnicas e organizacionais para proteger os Dados do Cliente contra destruição acidental ou ilegal, perda, alteração, divulgação ou acesso não autorizado.

"Lei de DP da Sérvia" significa a Lei de Proteção de Dados Pessoais da Sérvia ("Jornal Oficial da República da Sérvia", n.º 87/2018)/

"Subcontratante" significa um terceiro contratado pela CHCNAV e autorizado como outro subcontratante a ter acesso lógico aos Dados do Cliente e a processá-los, a fim de fornecer partes dos Serviços.

"Lista de Subcontratantes" significa uma lista de Subcontratantes aprovados disponível em: Anexo 1. A CHCNAV apenas prestará serviços a partir de alguns ou de todos os Subcontratantes especificados pelos clientes.

"Autoridade de Controlo" significa, conforme aplicável: (a) uma "autoridade de controlo", conforme definido no RGPD; e/ou (b) o "Comissário", conforme definido na FDPA.

"País Terceiro" significa um país que não é um País Adequado.

"Lei ucraniana de proteção de dados" significa a Lei ucraniana de proteção de dados pessoais de 1 de junho de 2010 n.º 2297-VI (conforme alterada) e a legislação subordinada adoptada no seu âmbito.

Além disso, os termos "dados pessoais", "violação de dados pessoais", "titular dos dados", "tratamento", "responsável pelo tratamento" e "subcontratante" têm o significado que lhes é atribuído na Lei da Proteção de Dados Pessoais aplicável.

Atualizado: [2025/12/15]

Anexo 1: Lista de subcontratantes