DPA — Acordo de Tratamento de Dados
O presente Acordo de Tratamento de Dados (“DPA”) integra e complementa os Termos de Utilização e aplica-se quando o Cliente utiliza a plataforma EHR Prime para tratar dados pessoais. Este DPA visa cumprir a legislação angolana aplicável em matéria de protecção de dados pessoais, incluindo a Lei n.º 22/11, de 17 de Junho, bem como demais normas e orientações aplicáveis da Agência de Protecção de Dados.
1. Partes e papéis
Cliente: atua como Responsável pelo Tratamento (define finalidades e meios).
EHR Prime atua como Subcontratante (trata dados por conta do Cliente) na medida em que presta a Plataforma.
2. Objeto, duração e instruções
- O Subcontratante trata dados pessoais apenas mediante instruções documentadas do Cliente (incluindo a configuração e utilização normal da Plataforma).
- A duração do tratamento corresponde à vigência do serviço e às obrigações legais aplicáveis.
- Se o Subcontratante considerar que uma instrução viola a legislação angolana aplicável em matéria de protecção de dados, informará o Cliente.
3. Descrição do tratamento
| Finalidades | Prestação do serviço de gestão de RH, suporte técnico, segurança e manutenção da Plataforma. |
|---|---|
| Categorias de titulares | Funcionários, candidatos, utilizadores/administradores do Cliente e outros titulares conforme utilização da Plataforma pelo Cliente. |
| Categorias de dados | Dados identificativos e profissionais (ex.: nome, email, cargo, departamento), dados contratuais, férias/ausências, registos operacionais e outros dados inseridos pelo Cliente. |
| Operações | Recolha, registo, organização, consulta, alteração, exportação e eliminação, conforme funcionalidades contratadas. |
4. Segurança e confidencialidade
O Subcontratante implementa medidas técnicas e organizativas adequadas ao risco, incluindo:
- controlo de acessos e autenticação;
- segurança de infraestrutura e boas práticas de hardening;
- segurança de transmissão quando aplicável (ex.: HTTPS) e segregação lógica;
- registos técnicos mínimos para prevenção/deteção de abuso e suporte;
- dever de confidencialidade para pessoas autorizadas a tratar dados.
Nota: As medidas concretas podem variar conforme a arquitetura/fornecedor de alojamento e evolução do produto, mantendo sempre um nível de segurança adequado ao risco.
5. Subcontratantes posteriores
O Cliente autoriza a utilização de prestadores estritamente necessários (ex.: alojamento/infraestrutura, email/SMTP, backups), sob obrigações de proteção de dados e segurança equivalentes. A lista pode ser disponibilizada mediante pedido através de info@ehrprime.com.
Em Angola, o Cliente reconhece que determinados tratamentos de dados pessoais, bem como certas operações associadas, podem estar sujeitos a deveres de notificação prévia ou autorização perante a Agência de Protecção de Dados, quando tal resulte da legislação aplicável.
6. Transferências internacionais de dados
Sempre que algum prestador trate dados pessoais fora de Angola, o Subcontratante procurará assegurar as salvaguardas legalmente exigíveis e prestará ao Cliente a informação razoavelmente necessária para apoio ao cumprimento das obrigações legais aplicáveis, incluindo, quando exigido, procedimentos junto da Agência de Protecção de Dados.
7. Apoio ao Cliente
O Subcontratante, na medida do possível e tendo em conta a natureza do tratamento, apoia o Cliente em:
- responder a pedidos de exercício de direitos dos titulares (acesso, retificação, apagamento, etc.), quando tecnicamente possível;
- cumprir obrigações relativas a segurança e avaliações de impacto, quando aplicável.
- prestar apoio técnico razoável ao Cliente em matérias de notificação, autorização ou demonstração de conformidade, quando legalmente necessário e proporcional ao serviço contratado.
8. Incidentes de segurança (violação de dados)
Em caso de violação de dados pessoais, o Subcontratante notificará o Cliente sem demora injustificada após tomar conhecimento, fornecendo a informação disponível sobre a natureza do incidente e medidas adotadas/planeadas.
Quando aplicável, o Subcontratante prestará cooperação razoável ao Cliente para apoio à avaliação de eventual notificação ou comunicação à Agência de Protecção de Dados, nos termos da legislação angolana aplicável.
9. Devolução/eliminação de dados
Após cessação do serviço, o Subcontratante eliminará ou devolverá os dados pessoais ao Cliente, conforme aplicável e tecnicamente possível, salvo quando a conservação seja exigida por lei.
10. Prevalência
Em caso de conflito entre este DPA e os Termos/contrato, prevalece este DPA quanto às matérias de proteção de dados pessoais.
11. Contacto
Para assuntos de proteção de dados: info@ehrprime.com.