Esta adenda ("Adenda") à Lei de Resiliência Operacional Digital ("DORA") foi criado para documentar a conformidade com o REGULAMENTO (UE) 2022/2554 DO PARLAMENTO EUROPEU E DO CONSELHO de 14 de dezembro de 2022 sobre resiliência operacional digital para o setor financeiro e que altera os Regulamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 e (UE) 2016/1011.
Esta adenda entrará em vigor na data de assinatura por ambas as partes.
No caso de qualquer inconsistência ou conflito entre as disposições desta Adenda e as disposições de qualquer outro documento referenciado no Contrato, os termos desta Adenda prevalecerão na medida de tal inconsistência ou conflito.
Acordo - significa a Confirmação do Pedido, Termos e Condições, Contrato de Processamento de Dados, Adenda DORA e os Contratos de Nível de Serviço acordados entre a Formalize e o Cliente.
Serviços de TIC - tem o significado prescrito no artigo 3 da DORA.
Dados pessoais - significa qualquer informação conforme definida no Artigo 4.1 do Regulamento Geral de Proteção de Dados (UE) 2016/679.
Processador - tem o significado prescrito no Artigo 4.8 do Regulamento Geral de Proteção de Dados (UE) 2016/679.
Serviços - significa os serviços fornecidos ao Cliente pela Formalize nos termos do Contrato.
Subcontratação - significa o uso de subcontratados pela Formalize para cumprir as suas obrigações e fornecer os seus Serviços sob o Contrato e esta Adenda.
O Cliente é uma entidade que se enquadra no âmbito do DORA, conforme definido no Artigo 2.º do DORA e/ou na sua legislação nacional implementadora.
A Formalize compromete-se a fornecer ao Cliente Serviços que constituem Serviços de TIC conforme definido pelo DORA. O propósito desta Adenda é garantir que esses requisitos e padrões sejam incluídos no Contrato.
Para os fins desta Adenda, as Partes assumem que a Formalize ApS está a dar suporte às funções comerciais importantes ou críticas do Cliente.
Uma descrição clara e completa de todas as funções e serviços de ICT a serem fornecidos pela Formalize pode ser encontrada nos Termos e Condições que são parte deste Contrato. Esses Serviços de ICT serão considerados como serviços de Nuvem: SaaS.
O Cliente tem o dever de identificar quais desses serviços estão a dar suporte às funções comerciais importantes ou críticas do Cliente.
O Cliente tem o direito de monitorizar o desempenho da Formalize em conexão com o Contrato e os níveis de serviço acordados de forma contínua. Para esse fim, o Cliente tem direito a:
Para facilitar o exercício desses direitos, a Formalize fornecerá ao Cliente certificações de terceiros, relatórios de auditoria interna e externa. Estes estarão disponíveis a qualquer momento no Trust Center da Formalize, conforme explicado abaixo em 4.3. Relatórios.
Além disso, o Cliente terá o direito de solicitar, com uma frequência razoável e legítima do ponto de vista de gestão de risco, modificações no âmbito das certificações ou relatórios de auditoria para outros sistemas e controlos relevantes e o direito contratual de realizar auditorias individuais e coletivas a seu critério com relação aos acordos contratuais e executar esses direitos de acordo com a frequência acordada.
A Formalize concorda em notificar o Cliente, sem demora injustificada, por escrito, sobre quaisquer desenvolvimentos que possam ter um impacto material na capacidade da Formalize de executar efetivamente os Serviços em conformidade com:
A Formalize passa por auditorias anuais e, como parte das certificações e relatórios obtidos e renovados, o plano de contingência de negócios é revisto e testado. A Formalize realiza ainda, para manter as certificações e relatórios acima mencionados, um teste semestral do plano de Recuperação de Desastres. Além disso, a Formalize realiza um teste de penetração anual realizado por uma terceira parte independente. Os resultados desses exercícios são publicados na página da web da Formalize no Trust Center.
O Cliente tem o direito de exigir que a Formalize forneça relatórios (incluindo relatórios de auditoria interna ou externa), conforme apropriado, quando tais relatórios indicarem a incapacidade da Formalize de executar efetivamente os Serviços de acordo com os requisitos estabelecidos nesta Cláusula.
O Cliente tem a responsabilidade de fornecer à Formalize e manter atualizado um correio específico onde serão fornecidas as comunicações relacionadas com o DORA.
Os incidentes serão geridos e comunicados ao Cliente conforme descrito no Contrato de Nível de Serviço.
A Formalize fornecerá ao Cliente toda a assistência necessária no caso de um Incidente decorrente ou relacionado aos Serviços.
Qualquer assistência relacionada a um Incidente Relacionado a TIC será fornecida pela Formalize gratuitamente, a menos que acordado de outra forma entre as Partes.
A Formalize pode usar subcontratados para executar parte dos Serviços ("Subcontratação" para um "Parceiro Subcontratante").
Com relação aos Serviços subcontratados, localização, extensão da cadeia de abastecimento, natureza dos dados, subcontratante e locais dos serviços (processamento e armazenamento de dados), essas informações podem ser encontradas no formulário Formalize - DORA - Dados do fornecedor e no Contrato de Processamento de Dados, fornecidos juntamente com esta Adenda.
Caso a Formalize utilize Parceiros Subcontratados para executar parte dos serviços, a Formalize reconhece e concorda:
A Formalize fornece no Contrato de Processamento de Dados uma visão geral atualizada dos locais (países) onde os Serviços subcontratados são fornecidos e onde os dados são processados, incluindo o local de armazenamento.
A Formalize deverá informar o Cliente sobre quaisquer alterações nos locais onde as funções e Serviços subcontratados são fornecidos.
A Formalize implementou medidas técnicas e organizacionais adequadas, considerando o estado atual do desenvolvimento tecnológico e as medidas disponíveis, incluindo, entre outras, conforme apropriado:
Não obstante qualquer disposição em contrário, durante o prazo do Contrato, o Cliente terá o direito de acessar os dados pertencentes ao Cliente, a qualquer momento, de maneira consistente com a funcionalidade dos Serviços.
Em caso de insolvência ou descontinuação das operações comerciais da Formalize, o Cliente terá acesso irrestrito aos dados pertencentes ao Cliente.
A prestação de Serviços pela Formalize inclui o processamento dos Dados Pessoais do Cliente no âmbito do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção de pessoas singulares no que diz respeito ao processamento de Dados Pessoais e à livre circulação desses dados ("Regulamento Geral de Proteção de Dados"); para esse fim, as Partes celebraram um Contrato de Processamento de Dados separado que estabelece responsabilidades e obrigações com relação a esse processamento de Dados Pessoais.
Quando apropriado, e pelo menos uma vez anualmente, o pessoal da Formalize participa em programas de sensibilização para a segurança.
Os funcionários relevantes da Formalize podem ser solicitados a participar nos programas de sensibilização para a segurança das TIC do Cliente e na formação em resiliência operacional digital, se o Cliente considerar que o conteúdo dos programas de sensibilização da Formalize não é suficiente para efeitos da DORA.
Quando os programas e a formação têm um impacto nas actividades normais da Formalize, esta tem o direito de cobrar uma taxa determinada anteriormente pela disponibilidade dos empregados.
O prazo desta Adenda começa na data de sua assinatura e continua em pleno vigor e efeito até (i) a data em que o Contrato ativo expirar ou for rescindido de acordo com os termos do Contrato; (ii) a data em que o Contrato ativo for rescindido de acordo com as disposições deste Adendo; ou (iii) a data em que o Cliente não for uma empresa sujeita à DORA.
Além dos direitos de rescisão do Cliente, conforme estabelecido nos Termos e Condições, o Cliente pode rescindir um Contrato mediante:
No que diz respeito aos direitos de rescisão descritos nas cláusulas a, b e c, o Cliente deve fornecer à Formalize um aviso prévio por escrito de pelo menos 15 dias, que servirá como um período de cura para a Formalize remediar a violação, o risco ou as fraquezas identificada para a satisfação razoável do Cliente. Se a Formalize não resolver adequadamente o problema dentro do período de cura, o Cliente pode rescindir o Contrato com efeito imediato.
Para rescisão nos termos da cláusula d, o Contrato será considerado rescindido imediatamente mediante notificação por escrito do Cliente, sem a necessidade de um período de correção.
A rescisão nos termos da presente cláusula não prejudica quaisquer outros direitos ou recursos disponíveis para o Cliente ao abrigo do Contrato ou da legislação aplicável.
A intenção desta secção (doravante denominada "Plano de Saída") é fornecer clareza sobre um período de transição adequado para casos em que o Contrato foi ou foi rescindido (ou em breve será rescindido). O Plano de Saída prevê medidas para garantir uma transição suave e oportuna, por meio da qual a Formalize é obrigada a cooperar totalmente com a saída.
O Plano de Saída começa 30 dias antes do término do contrato.
Soft Exit - 30 dias antes das rescisões
A partir deste dia, e pelos 30 dias seguintes, o Cliente ainda tem acesso aos Serviços, todos os aplicativos e todos os dados armazenados, o Cliente deve aproveitar a oportunidade para extrair os dados relevantes da infraestrutura da Formalize. Durante este prazo, o Cliente terá que comunicar à Formalize qualquer outra informação que não pôde ser extraída para permitir que o Cliente migre para outro provedor de serviços de terceiros de TIC ou mude para soluções internas consistentes com a complexidade do serviço fornecido.
Durante a fase de Soft Exit, o Cliente assume a responsabilidade de iniciar todas as atividades de exportação de dados. A Formalize dará suporte ao Cliente na exportação dos itens listados em Data acima.
Hard Exit - Eliminação de dados - Dias 1 a 30 após o término
Após a Fase Soft Exit, a Formalize revisará e garantirá a remoção de todos os dados do Cliente da sua infraestrutura. Essa remoção ocorrerá dentro de 30 dias após a conclusão da Fase Soft Exit, após os quais as informações serão retidas em armazenamento de backup por 90 dias.
Após a Fase Soft Exit, a Formalize revisará e garantirá a remoção de todos os dados do Cliente da sua infraestrutura. Essa remoção ocorrerá dentro de 30 dias após a conclusão da Fase Soft Exit, após os quais as informações serão retidas em armazenamento de backup por 90 dias.
Durante a Fase Hard Exit, a Formalize é responsável pela eliminação final de todos os dados do Cliente de sua infraestrutura e por informar o Cliente por escrito sobre a conclusão do Plano de Saída.
Cooperação com a saída:
A Formalize está obrigada a cooperar integralmente na execução da saída e a realizar todos os trabalhos necessários, observados os limites abaixo estabelecidos.
Os serviços da Formalize podem continuar após a data de término e continuar até que a transição para um novo provedor de serviços ou sistema esteja totalmente concluída. O Cliente deverá informar a Formalize sobre a sua intenção de continuar a aceder ao Sistema. Esta notificação deverá ser feita antes da data de término e as partes concordarão com um acordo provisório por um período entre 6 meses a 1 ano, os custos do acordo provisório podem refletir um aumento de preço de no máximo 10% em relação ao Acordo anterior.
Atualização do Plano de Saída:
O Plano de Saída pode ser atualizado e revisto anualmente mediante solicitação por escrito do Cliente em consulta com a Formalize, incluindo um custo e cronograma.
Qualquer solicitação feita pelo Cliente sob esta Adenda deve:
Na medida em que houver qualquer conflito ou inconsistência entre esta Adenda e os termos do Contrato, esta Adenda prevalecerá.
Alterações ao Contrato ou Adenda somente poderão ser acordadas entre as Partes por escrito.
Esta Adenda é regida pela Lei Nacional Dinamarquesa e os Regulamentos Europeus aplicáveis fazem referência aqui, ao DORA e aos regulamentos delegados relacionados.
Se o tribunal declarar os artigos desta Adenda inválidos, os outros artigos permanecerão totalmente em vigor.
As disposições da presente Adenda baseiam-se na Lei da Resiliência Operacional Digital (DORA), nos actos delegados conexos, nas normas técnicas de execução (ITS) e nas normas técnicas de regulamentação (RTS). Se algum destes instrumentos jurídicos for alterado ou revogado e qualquer disposição da presente Adenda deixar de ser reflectida ou exigida no quadro regulamentar aplicável, essa disposição deixará de ser aplicável. No entanto, as restantes disposições da presente adenda manter-se-ão em pleno vigor e efeito, salvo acordo em contrário entre as partes.
