Legal — Toqen

Aditamento de Tratamento de Dados

Este Aditamento de Tratamento de Dados regula o tratamento de dados pessoais pela Toqen em nome dos seus parceiros, em conformidade com o RGPD.

TL;DR

  • A Toqen atua como subcontratante do tratamento em nome dos seus parceiros.
  • Os dados pessoais são tratados apenas de acordo com instruções documentadas e para fins de acesso e segurança.
  • São aplicadas medidas técnicas e organizativas adequadas.
  • Os subcontratantes e as transferências internacionais estão sujeitos às salvaguardas do RGPD.

Funções e âmbito

O presente Aditamento de Tratamento de Dados ("DPA") aplica-se quando a Toqen.app trata dados pessoais em nome de um parceiro que atua como responsável pelo tratamento, no âmbito da prestação dos serviços Toqen.

Para efeitos do RGPD, o parceiro é o responsável pelo tratamento e a Toqen.app atua como subcontratante do tratamento, salvo acordo escrito em contrário.

Objeto e duração do tratamento

O objeto do tratamento consiste em serviços de autenticação, controlo de acesso e serviços de segurança relacionados prestados pela Toqen. O tratamento é realizado durante a prestação dos serviços e de acordo com as instruções documentadas do responsável, salvo quando a conservação seja exigida pela legislação aplicável.

Natureza e finalidade do tratamento

  • Prestação de serviços de autenticação sem palavra-passe e verificação de acesso.
  • Geração e validação de tokens temporários, sessões e códigos de utilização única.
  • Garantia da segurança, prevenção de abusos e fiabilidade do serviço.
  • Prestação de suporte operacional relacionado com o serviço.

Categorias de dados pessoais

  • Identificadores técnicos, tais como tokens temporários, identificadores de sessão e metadados de pedidos.
  • Endereço IP e informações do dispositivo ou do navegador, quando tratados no contexto de acesso, segurança ou prevenção de abusos.
  • Endereço de correio eletrónico ou pseudónimo, quando fornecido pelo titular dos dados através da configuração do parceiro.

Categorias de titulares dos dados

  • Utilizadores finais que acedem aos serviços do parceiro.
  • Representantes autorizados ou administradores do parceiro.

Obrigações do responsável pelo tratamento

O parceiro, enquanto responsável pelo tratamento, é responsável por assegurar que os dados pessoais são tratados de forma lícita, leal e transparente, incluindo a prestação de informação adequada aos titulares dos dados e a obtenção dos consentimentos necessários.

Obrigações do subcontratante do tratamento

  • Tratar os dados pessoais apenas de acordo com as instruções documentadas do responsável, salvo obrigação legal em contrário.
  • Assegurar que as pessoas autorizadas a tratar dados pessoais estão sujeitas a obrigações adequadas de confidencialidade.
  • Implementar medidas técnicas e organizativas adequadas para garantir um nível de segurança apropriado ao risco.
  • Assistir o responsável, quando aplicável e dentro de limites razoáveis, na resposta aos pedidos dos titulares dos dados.
  • Assistir o responsável no cumprimento das obrigações relativas à segurança, violações de dados pessoais e avaliações de impacto, tendo em conta a natureza do tratamento.
  • Manter registos das atividades de tratamento nos termos do artigo 30.º, n.º 2, do RGPD e cooperar com as autoridades de controlo quando necessário.

Medidas de segurança

A Toqen implementa medidas técnicas e organizativas adequadas para proteger os dados pessoais contra destruição, perda, alteração, divulgação ou acesso não autorizados, acidentais ou ilícitos. Tais medidas incluem, quando apropriado, cifragem ou hashing, controlos de acesso, segurança de rede e monitorização de segurança.

Subcontratantes

O responsável autoriza a Toqen a recorrer a subcontratantes necessários para a prestação dos serviços. Uma lista atualizada de subcontratantes é disponibilizada nos termos deste DPA. A Toqen permanece responsável pelo desempenho dos seus subcontratantes em conformidade com o RGPD.

Transferências internacionais de dados

Sempre que os dados pessoais sejam transferidos para fora da União Europeia ou do Espaço Económico Europeu, essas transferências ficam sujeitas a salvaguardas adequadas nos termos dos artigos 44.º a 49.º do RGPD, incluindo decisões de adequação ou Cláusulas Contratuais-Tipo.

Violação de dados pessoais

A Toqen notificará o responsável sem demora injustificada após ter conhecimento de uma violação de dados pessoais que afete dados tratados ao abrigo deste DPA e fornecerá informações razoáveis para permitir o cumprimento das obrigações de notificação pelo responsável.

Eliminação ou devolução dos dados

Após a cessação dos serviços, a Toqen eliminará ou devolverá, à escolha do responsável, os dados pessoais tratados em seu nome, salvo se a conservação for exigida pela legislação aplicável.

Auditorias e conformidade

A Toqen disponibilizará as informações razoavelmente necessárias para demonstrar a conformidade com este DPA e permitirá auditorias realizadas pelo responsável ou por um auditor independente, sujeitas a aviso prévio razoável, limitações de âmbito e obrigações de confidencialidade.

Lei aplicável

Este DPA rege-se pela legislação do Estado-Membro da UE em que o responsável esteja estabelecido, salvo acordo escrito em contrário.

Contacto

Para quaisquer questões relacionadas com este Aditamento de Tratamento de Dados, contacte hi@toqen.app.