Adenda ao processamento de dados Firebase

INTRODUÇÃO

A presente Adenda relativa ao processamento de dados faz parte do acordo entre o utilizador e a iProov Limited, abrangendo a utilização dos Serviços de avaliação por parte do utilizador.

As definições constantes do anexo 3 são aplicáveis à presente adenda sobre o tratamento de dados. Se um termo não estiver definido de outra forma no Anexo 3 da presente adenda sobre o tratamento de dados ou noutra parte da mesma, esse termo terá o significado que lhe é atribuído no resto do Acordo.

1. TRATAMENTO DE DADOS PESSOAIS

1.1 Na execução dos serviços de ensaio:

    1. O iProov actua como um Processador; e
    2. actua como Controlador.

1.2 A iProov processará os Dados Pessoais do Utilizador em conformidade com as obrigações dos Processadores ao abrigo das Leis de Proteção de Dados do Reino Unido e da UE.

1.3 O iProov processará dados pessoais de modo a fornecer os Serviços de Teste em conformidade com o Acordo. O Anexo 1 (Detalhes do processamento de dados) especifica ainda a natureza e a finalidade do processamento, as actividades de processamento, a duração do processamento, os tipos de dados pessoais e as categorias de titulares de dados.

1.4 O utilizador nomeia a iProov como um processador para processar os seus Dados Pessoais em nome de, e de acordo com, as suas instruções (a) conforme estabelecido no Contrato (que inclui esta Adenda de Processamento de Dados), e conforme necessário para a iProov fornecer os Serviços de Avaliação ao utilizador, o que inclui (mas não se limita a) (i) investigação de incidentes de segurança e prevenção de spam, atividade fraudulenta e violações da Política de Utilização Aceitável e (ii) deteção e prevenção de explorações ou abusos de rede; (b) conforme necessário para cumprir a lei ou regulamento aplicável, incluindo a Legislação de Proteção de Dados; e (c) conforme acordado de outra forma por escrito entre a iProov e o utilizador.

1.5 O utilizador garante, declara e compromete-se a que, em qualquer altura

    1. assegurará que as suas instruções cumprem a legislação em matéria de proteção de dados;
    2. o processamento justo e todos os outros avisos apropriados foram fornecidos aos Titulares dos Dados dos seus Dados Pessoais (e todos os consentimentos necessários de tais Titulares dos Dados foram obtidos e mantidos em todos os momentos) na medida exigida pela Legislação de Proteção de Dados em relação a todas as actividades de processamento em relação aos seus Dados Pessoais que podem ser realizadas pela iProov e/ou pelos seus subcontratantes ao abrigo do Contrato e da presente Adenda de Processamento de Dados;
    3. cumpriu e continuará a cumprir a legislação relativa à proteção de dados no que diz respeito à utilização dos serviços de ensaio e ao seu próprio tratamento de dados pessoais e ao exercício e desempenho dos seus respectivos direitos e obrigações ao abrigo do acordo, incluindo a manutenção de todos os registos e notificações regulamentares relevantes, conforme exigido pela legislação relativa à proteção de dados;
    4. o utilizador tem, e continuará a ter, o direito de transferir ou fornecer acesso a quaisquer dados pessoais à iProov para processamento de acordo com os termos do Acordo e da presente Adenda de Processamento de Dados;
    5. se o utilizador celebrar o presente contrato na qualidade de Organização, o utilizador e a Organização efectuaram as devidas diligências em relação à atividade, operações de processamento e compromissos do iProov e o utilizador está convencido (e sempre que continuar a utilizar os Serviços de avaliação, continua a estar convencido) de que
      1. As operações de processamento da iProov são adequadas para as finalidades para as quais o utilizador se propõe utilizar os Serviços de Teste e contratar a iProov para processar os seus Dados Pessoais;
      2. as medidas técnicas e organizacionais definidas na presente Adenda ao Processamento de Dados e no Contrato (cada um atualizado periodicamente) deverão (se a iProov cumprir as suas obrigações ao abrigo das mesmas) garantir um nível de segurança adequado ao risco relativamente aos Dados Pessoais do Utilizador, conforme exigido pela Legislação de Proteção de Dados; e
      3. A iProov tem experiência, fiabilidade e recursos suficientes para implementar medidas técnicas e organizacionais que cumpram os requisitos da Legislação de Proteção de Dados.

1.6 O utilizador reconhece que a iProov não é responsável por determinar quais as leis ou regulamentos aplicáveis ao utilizador, à sua empresa ou Organização, nem se a prestação dos Serviços de Avaliação pela iProov cumpre ou cumprirá os requisitos de tais leis. O utilizador garantirá que o processamento dos seus Dados Pessoais pela iProov, quando efectuado em conformidade com o Contrato, não fará com que a iProov viole qualquer lei ou regulamento aplicável, incluindo qualquer Legislação de Proteção de Dados. A iProov informará o utilizador se tiver conhecimento, ou se acreditar razoavelmente, que as suas instruções violam qualquer Legislação de Proteção de Dados.

2.1 SEGURANÇA

2.1 A iProov implementará as medidas técnicas e organizacionais definidas no Anexo 2 da presente Adenda de Processamento de Dados relativamente ao Processamento dos Dados Pessoais do Utilizador.

2.2 O utilizador deve avaliar se as medidas de segurança implementadas de acordo com o ponto 2.1 são suficientes para proteger os seus dados pessoais contra destruição, perda, alteração, divulgação ou acesso acidental, não autorizado ou ilegal, na medida exigida pela legislação de proteção de dados, nas circunstâncias.

2.3 O utilizador reconhece que a iProov fornece um serviço de um-para-muitos comoditizado e que as necessidades ou avaliações de outros clientes podem ser diferentes e a iProov não será obrigada a implementar medidas de segurança diferentes para o utilizador, mas o utilizador pode deixar de utilizar os Serviços de Teste, se concluir que as medidas adoptadas pela iProov não são suficientes para as suas necessidades.

3. SUBPROCESSAMENTO

3.1 A iProov não subcontratará qualquer Processamento dos Dados Pessoais a um subcontratante terceiro sem o consentimento prévio por escrito do utilizador e garantirá que esse subcontratante (cada um, um "Subcontratante") está vinculado a termos que (i) são pelo menos equivalentes aos termos definidos na presente Adenda de Processamento de Dados, ou (ii) no caso de Fornecedores de Serviços na Nuvem, são os termos que o Fornecedor de Serviços na Nuvem oferece em conformidade com as Leis de Proteção de Dados do Reino Unido e da UE. Pelo presente, o utilizador consente e autoriza (a) a iProov Limited e (b) os seguintes (cada um deles um "Fornecedor de serviços em nuvem") como processadores: Microsoft Limited c/o Microsoft Ireland Operations Limited, One Microsoft Place, South County Industrial Park, Leopardstown, Dublin, Irlanda (ou outro membro do seu grupo) relativamente ao serviço Azure; AWS EMEA SARL (uma entidade luxemburguesa) (ou outro membro do seu grupo) relativamente aos Amazon Web Services (AWS); Google Ireland Limited, com escritórios em Gordon House, Barrow Street, Dublin 4, Irlanda (ou outro membro do seu grupo) relativamente ao Google GCP.

3.2 A iProov será e continuará a ser totalmente responsável por todos os actos e omissões de cada Subcontratante como se fossem seus.

4. DIREITOS DAS PESSOAS EM CAUSA

A iProov ajudará o utilizador a responder aos Pedidos dos Titulares dos Dados na medida tecnicamente viável e exigida pelas Leis de Proteção de Dados do Reino Unido e da UE. A iProov notificará o utilizador, sem atrasos indevidos, de quaisquer Pedidos dos Titulares dos Dados e responderá aos mesmos apenas com as instruções escritas do utilizador (a custos e despesas do utilizador) ou conforme exigido por lei. A menos que proibido pela Legislação de Proteção de Dados, o utilizador é responsável por quaisquer custos e/ou despesas incorridos pela iProov na prestação desta assistência e reembolsará a iProov por tais custos e/ou despesas imediatamente após o pedido da iProov.

5. VIOLAÇÕES DE DADOS PESSOAIS

A iProov notificará o utilizador sem atrasos indevidos quando tomar conhecimento de uma Violação de Dados Pessoais que afecte os Dados Pessoais do utilizador e a iProov fornecerá ao utilizador as informações exigidas pela iProov ao abrigo da Legislação de Proteção de Dados aplicável (na medida em que tais informações estejam, nesse momento, sob o controlo ou posse da iProov).

6. AVALIAÇÃO DO IMPACTO DA PROTECÇÃO DE DADOS E CONSULTA PRÉVIA

A iProov fornecerá ao utilizador uma cooperação razoável em relação a qualquer avaliação de impacto da proteção de dados ou consultas com autoridades reguladoras que possam ser necessárias de acordo com a Legislação de Proteção de Dados (a custo e despesa do utilizador).

7. DEVOLUÇÃO OU SUPRESSÃO DE DADOS PESSOAIS.

7.1 Sujeito ao parágrafo 7.2 e ao Período de retenção, após a rescisão ou expiração do Contrato, a iProov, de acordo com o Anexo 1 (Detalhes do processamento) da presente Adenda de processamento de dados, eliminará ou tornará irreversivelmente anónimos (à discrição da iProov) os Dados pessoais do utilizador armazenados ou processados como parte de ou no âmbito dos Serviços de avaliação.

7.2 Não obstante qualquer disposição em contrário na presente Adenda de Processamento de Dados, a iProov pode reter os Dados Pessoais do Utilizador, ou qualquer parte dos mesmos, se tal for exigido pela lei ou regulamento aplicável, incluindo a Legislação de Proteção de Dados.

7.3 Durante qualquer período durante o qual os Dados Pessoais do Utilizador são retidos após a rescisão ou expiração do presente Acordo de acordo com este parágrafo, a iProov assegurará que os Dados Pessoais do Utilizador:

      1. é processado apenas na medida do necessário para os fins descritos na presente adenda sobre o tratamento de dados; e
      2. permanece protegida em conformidade com os termos do Acordo, da presente Adenda relativa ao tratamento de dados e das leis de proteção de dados do Reino Unido e da UE.

8. DIREITOS DE AUDITORIA

8.1 A iProov disponibilizará ao utilizador, num período razoável após o seu pedido por escrito, as informações que a iProov considere razoavelmente adequadas às circunstâncias para demonstrar a sua conformidade com a presente Adenda relativa ao processamento de dados.

8.2 Se o utilizador demonstrar, de forma razoável, que as informações fornecidas pelo iProov ao abrigo do Parágrafo 8.1 são insuficientes para demonstrar a conformidade do iProov com a presente Adenda relativa ao processamento de dados, o iProov deverá permitir ao utilizador ou ao seu auditor (o "Auditor") (que incluirá auditores internos e externos e, quando relevante, as Autoridades de Supervisão) o acesso durante o horário normal de trabalho do iProov e mediante aviso prévio razoável (e, em qualquer caso, com pelo menos 60 dias de antecedência), para auditar quaisquer registos e materiais relevantes detidos pelo iProov, que sejam necessários para demonstrar essa conformidade. Esse acesso estará sujeito ao seguinte:

      1. as auditorias serão efectuadas à distância, exceto se for legalmente exigida uma visita ao local;
      2. o utilizador concorda em cumprir e deverá garantir que qualquer Auditor cumpre a Legislação de Proteção de Dados e quaisquer requisitos razoáveis de segurança e confidencialidade do iProov;
      3. o acesso só será concedido nas instalações e nos sistemas determinados pela iProov de acordo com o seu critério razoável (e para evitar dúvidas, será razoável para a iProov ter em conta quaisquer outros clientes da iProov, qualquer perturbação da atividade da iProov e quaisquer obrigações de confidencialidade da iProov, ao determinar qual o acesso razoável);
      4. não será dado acesso a quaisquer registos, materiais ou sistemas que contenham informações relativas a outros clientes do iProov;
      5. o acesso não será concedido a qualquer auditor que não apresente provas razoáveis da sua identidade ou autoridade; e
      6. O acesso não será concedido mais do que uma vez em qualquer período de 12 meses consecutivos, a menos que o utilizador demonstre ao iProov que é necessária uma auditoria mais frequente, de modo a cumprir as suas obrigações ao abrigo da legislação de proteção de dados aplicável.

8.3 O Cliente deverá e procurará que os seus Auditores envidem os seus melhores esforços para evitar quaisquer danos ou perturbações nas instalações, equipamento, pessoal, dados ou negócios da iProov durante qualquer auditoria no local e indemnizará a iProov por quaisquer danos ou perturbações.

8.4 O Cliente pagará (e reembolsará o iProov a pedido) todos os custos e despesas do iProov relacionados com a realização da auditoria, exceto se essa auditoria revelar que o iProov violou materialmente as suas obrigações ao abrigo do presente Parágrafo 8, caso em que o iProov suportará os seus próprios custos e despesas.

9. TRATAMENTO DE DADOS PESSOAIS DE RESIDENTES NA CALIFÓRNIA

9.1 Para efeitos do presente Parágrafo 9, os termos "negócio", "finalidade comercial", "vender" e "prestador de serviços" terão os respectivos significados que lhes são atribuídos na CPRA, e "informações pessoais" significam os Dados Pessoais do Utilizador que constituem informações pessoais regidas pela CPRA.

9.2 No que diz respeito a quaisquer informações pessoais, a iProov é um fornecedor de serviços. A iProov não deverá (a) vender quaisquer informações pessoais; (b) sujeito ao Parágrafo 7, reter, utilizar ou divulgar quaisquer informações pessoais para qualquer fim que não seja o fim específico de fornecer o Serviço de Teste, incluindo reter, utilizar ou divulgar as informações pessoais para um fim comercial que não seja o fornecimento do Serviço de Teste; ou (c) sujeito ao Parágrafo 7, reter, utilizar ou divulgar as informações pessoais fora da relação comercial direta entre a iProov e o utilizador. O iProov certifica, pelo presente, que compreende as suas obrigações ao abrigo do presente Parágrafo 9.2 e que as cumprirá.

9.3 Reconhece-se que a retenção, utilização e divulgação pela iProov das informações pessoais documentadas na presente Adenda de Processamento de Dados é parte integrante do processamento e fornecimento dos Serviços de Teste pela iProov.

10. TRANSFERÊNCIAS INTERNACIONAIS DE DADOS

10.1 Durante o processo de instalação da Extensão, ser-lhe-á fornecida uma opção para selecionar o país no qual os seus Dados Pessoais serão alojados pela iProov em relação à sua utilização ou acesso aos Serviços de Teste (a "Região de Alojamento") e concorda que, se for uma opção, selecionará o país no qual os Serviços de Teste serão utilizados ou disponibilizados (ou predominantemente utilizados ou disponibilizados, conforme aplicável), como a Região de Alojamento.

10.2 A iProov (e os seus Subcontratantes) apenas pode transferir os seus Dados Pessoais para (ou processar os seus Dados Pessoais em) os seguintes países: Reino Unido, UE e Região de Alojamento (em conjunto, os "Territórios") e o utilizador autoriza a iProov (ou qualquer Subcontratante) a transferir os seus Dados Pessoais para qualquer um dos Territórios e este parágrafo 10 constituirá a sua instrução relativamente às Transferências.

11. INCORPORAÇÃO E PRECEDÊNCIA

Em caso de conflito ou incoerência entre a presente Adenda sobre o tratamento de dados e o resto do presente Acordo, os termos da presente Adenda sobre o tratamento de dados terão precedência e prevalecerão.

ANEXO 1

PORMENORES DO TRATAMENTO DE DADOS

O presente Anexo 1 inclui determinados pormenores sobre o tratamento dos dados pessoais do Utilizador, tal como exigido pelo artigo 28(3) do RGPD.

Detalhes do processamento

Categorias de titulares de dados: o Utilizador e/ou os Utilizadores
Categorias de dados pessoais:
  • Dados de interação do utilizador (inclui dados sobre a forma como os utilizadores interagem com o serviço)
  • Informações relativas ao dispositivo do titular dos dados, que podem incluir um endereço IP
  • Endereço IP do dispositivo da pessoa em causa ligado aos serviços e/ou à aplicação de ensaio.
  • Credenciais de autenticação, incluindo chaves de API e segredos utilizados para identificar os titulares dos dados
  • Imagens faciais da pessoa em causa criadas durante a utilização dos serviços de ensaio, por exemplo, imagens tiradas com a câmara do dispositivo
  • Nome de utilizador pseudónimo da pessoa em causa
  • Um identificador de uma instância instalada de um Android, IOS ou Flutter
  • Um modelo biométrico de si / dos utilizadores
Natureza e objetivo do tratamento:
  • Processamento em conformidade com os direitos e obrigações das partes ao abrigo do acordo;
  • processamento conforme razoavelmente necessário para fornecer os serviços de ensaio; e
  • processamento iniciado, solicitado ou instruído pelo utilizador ou pelos utilizadores no âmbito da utilização dos serviços de avaliação.
Duração do processamento: Durante o período de vigência do Contrato ou (se for mais longo) de acordo com as instruções do utilizador.

Relativamente a cada imagem facial de qualquer Titular de dados criada ou transferida para o iProov no âmbito da utilização dos Serviços de teste, o iProov eliminará a imagem facial relevante no prazo máximo de 14 dias após o Processamento da mesma no âmbito da prestação dos Serviços de teste (o "Período de retenção").

ANEXO 2

MEDIDAS DE SEGURANÇA

A iProov mantém a conformidade com a norma de segurança ISO/IEC 27001:2013, cujo âmbito incluirá os Serviços de Teste fornecidos ao utilizador e que inclui as seguintes normas:

  • Secção 5.3 da ISO/IEC 27001:2013 - Funções, responsabilidades e autoridades da organização
  • Secção 8.2 da ISO/IEC 27001:2013 - Avaliação dos riscos de segurança da informação
  • ISO/IEC 27002:2013 secção 9 - Controlo de acesso
  • ISO/IEC 27002:2013 secção 10 - Criptografia
  • ISO/IEC 27002:2013 secção 9.2.4 - Gestão da informação secreta de autenticação dos utilizadores
  • ISO/IEC 27002:2013 secção 11.1 - Gestão de áreas seguras
  • ISO/IEC 27002:2013 secção 12.1.2 - Gestão de alterações
  • ISO/IEC 27002:2013 secção 16.1 - Gestão de incidentes de segurança da informação e melhorias
  • ISO/IEC 27002:2013 secção 13.1 - Gestão da segurança da rede
  • ISO/IEC 27002:2013 secção 12.6 - Gestão da vulnerabilidade técnica
  • ISO/IEC 27002:2013 secção 17 - Aspectos de segurança da informação da gestão da continuidade das actividades.

ANEXO 3

DEFINIÇÕES

  1. Na presente adenda sobre o tratamento de dados, os termos têm o significado que lhes é atribuído no presente anexo 3.
  2. Qualquer termo em maiúsculas que não esteja definido no presente anexo 3 ou no Acordo terá o significado que lhe é atribuído no RGPD do Reino Unido.
  • "Lei aplicável" significa o seguinte, na medida em que faça parte da legislação de qualquer jurisdição aplicável:
  1. a) qualquer lei, ato legislativo, regulamento, regimento interno ou legislação subordinada em vigor em cada momento;
  2. b) O direito comum e as leis de equidade aplicáveis em cada momento;
  3. c) qualquer decisão judicial, sentença ou decreto vinculativo; ou
  4. d) qualquer direção, política, regra ou ordem aplicável feita ou dada por qualquer organismo regulador com jurisdição sobre uma parte ou qualquer dos activos, recursos ou negócios dessa parte;
  • "Informação biométrica" significa qualquer informação, independentemente da forma como é captada, convertida, armazenada ou partilhada, com base no identificador biométrico de uma pessoa utilizado para identificar uma pessoa.
  • "Leis de Informação Biométrica" significa todas e quaisquer Leis Aplicáveis e leis e regulamentos vinculativos de informação biométrica relacionados com a utilização de Informação Biométrica ou dados biométricos.
  • "Identificador biométrico", as caraterísticas fisiológicas, biológicas ou comportamentais de uma pessoa, incluindo o ácido desoxirribonucleico (ADN) de uma pessoa, que podem ser utilizadas, isoladamente ou em combinação entre si ou com outros dados de identificação, para estabelecer a identidade individual. Os identificadores biométricos podem incluir, mas não se limitam a, imagens da íris, retina, impressões digitais ou rosto, mão, palma da mão, padrões de veias e gravações de voz ou vídeo, a partir das quais pode ser extraído um modelo de identificador, como uma impressão facial, um modelo de minúcias ou uma impressão vocal, e padrões ou ritmos de digitação, padrões ou ritmos de marcha e dados relativos ao sono, saúde ou exercício que contenham informações de identificação.
  • "CPRA" significa a Lei dos Direitos de Privacidade da Califórnia de 2020 e quaisquer regulamentos vinculativos promulgados ao abrigo da mesma.
  • "Legislação de proteção de dados" significa quaisquer Leis Aplicáveis relacionadas com (i) privacidade e segurança de dados, incluindo (mas não limitado a) o GDPR e o CPRA ou (ii) dados biométricos ou Informação Biométrica, incluindo Leis de Informação Biométrica;
  • "Pedido do titular dos dados" significa o exercício pelos Titulares dos Dados dos seus direitos ao abrigo e em conformidade com o Capítulo III do RGPD, relativamente aos Seus Dados Pessoais.
  • "Apagar" significa remover ou obliterar os Dados Pessoais de forma a que não possam ser recuperados ou reconstruídos, e "Apagamento" deve ser interpretado em conformidade.
  • "EEE" significa o Espaço Económico Europeu.
  • "RGPD" significa, conforme e onde aplicável:
  1. a) Regulamento(UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 (o "RGPD UE"); e/ou
  2. b) o RGPD da UE, na medida em que faz parte da legislação do Reino Unido em virtude da secção 3 da Lei da União Europeia (Retirada) de 2018, conforme alterada (incluindo pelos Regulamentos de Proteção de Dados, Privacidade e
    c) Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019) (o "
    RGPD DO REINO UNIDO").
  • "Salvaguardas legais" significa o(s) mecanismo(s) legalmente aplicável(eis) para Transferências de Dados Pessoais, conforme permitido pelas Leis de Proteção de Dados do Reino Unido e da UE, de tempos a tempos;
  • "Violação de dados pessoais" significa qualquer violação de segurança real ou razoavelmente suspeita que leve à destruição acidental, ilegal ou não autorizada, perda, alteração, encriptação, aquisição, divulgação ou acesso a Dados Pessoais transmitidos, armazenados ou de outra forma Processados pela iProov ao abrigo ou em ligação com o Acordo.
  • "Período de retenção" significa o período identificado como tal no Anexo 1.
  • "Autoridade de Controlo" significa:
  1. a) No no contexto do Reino Unido e do RGPD do Reino Unido, o Gabinete do Comissário da Informação do Reino Unido;
  2. b) no contexto do EEE e do RGPD da UE, tem o significado dado a esse termo no artigo 4(21) do RGPD da UE; e
  3. c) qualquer outra autoridade reguladora, governamental ou pública independente estabelecida com jurisdição sobre a totalidade ou parte (a) da aplicação da legislação relativa à proteção de dados; e (b) dos serviços de ensaio.
  • "Transferência" tem o mesmo significado que a palavra "transferência" no artigo 44.º do RGPD (e termos relacionados, tais como Transferências, Transferido e Transferir têm os significados correspondentes).
  • "Leis de Proteção de Dados do Reino Unido e da UE" significa as Leis Aplicáveis sobre proteção de dados ou privacidade que se aplicam no Reino Unido e na UE, incluindo o RGPD e a Lei de Proteção de Dados de 2018 no Reino Unido.
  • "Seus Dados Pessoais" significa os Dados Pessoais que são Processados por ou em nome do iProov em nome do utilizador (o que inclui quaisquer Dados Pessoais dos seus Utilizadores ou da Organização) ao abrigo ou em ligação com o Acordo (o que inclui a presente Adenda de Processamento de Dados).