Este Acordo de Subcontratação («DPA») faz parte integrante dos Termos de Serviço. Regula o tratamento, pelo MyFitnessClient, dos dados pessoais que cada profissional gere sobre os seus clientes através da Plataforma.
1. Partes e Âmbito
Sempre que o profissional («Responsável pelo Tratamento») utiliza a Plataforma para tratar dados pessoais dos seus clientes, o profissional é o responsável pelo tratamento e o MyFitnessClient («nós») atua como subcontratante, nos termos do artigo 28.º do Regulamento (UE) 2016/679 (RGPD).
Quanto aos dados que tratamos como responsáveis (contas, faturação, segurança e website), aplica-se a nossa Política de Privacidade, e não este DPA.
2. Objeto, Duração, Natureza e Finalidade
Objeto e duração: o tratamento dos dados dos clientes do Responsável durante a vigência da relação contratual e enquanto a conta existir, sem prejuízo dos prazos legais de conservação. Natureza e finalidade: alojar e processar esses dados exclusivamente para disponibilizar as funcionalidades da Plataforma (gestão de clientes, treinos, nutrição, avaliações, progresso, comunicação e demais funcionalidades) e segundo as instruções do Responsável.
3. Tipos de Dados e Categorias de Titulares
O tratamento pode abranger:
- Dados de identificação e contacto dos clientes
- Medições e composição corporal, resultados de avaliações e fotografias de progresso
- Questionários de saúde/anamnese, que podem incluir dados relativos à saúde (categorias especiais — artigo 9.º do RGPD)
- Registos de treino, nutrição, hábitos, objetivos e notas de acompanhamento
- Mensagens e respostas a formulários
Categorias de titulares: os clientes e alunos do Responsável.
4. Instruções do Responsável
Tratamos os dados apenas com base em instruções documentadas do Responsável. Os Termos, este DPA e a utilização que o Responsável faz da Plataforma constituem essas instruções. Informaremos o Responsável se considerarmos que uma instrução viola o RGPD ou outra legislação de proteção de dados aplicável.
5. Confidencialidade
Asseguramos que as pessoas autorizadas a tratar os dados estão sujeitas a um dever de confidencialidade, de natureza contratual ou legal.
6. Segurança (Artigo 32.º)
Aplicamos as medidas técnicas e organizativas adequadas descritas na secção de Segurança da Política de Privacidade, tendo em conta o estado da técnica e os riscos do tratamento.
7. Subcontratantes Ulteriores
O Responsável autoriza, de forma geral, o recurso aos subcontratantes ulteriores identificados na lista de subcontratantes da Política de Privacidade, impondo-lhes obrigações de proteção de dados equivalentes às deste DPA. Sempre que pretendermos acrescentar ou substituir um subcontratante, informaremos o Responsável com antecedência razoável; este pode opor-se, por motivos fundados de proteção de dados, no prazo de 30 dias — mantendo-se a oposição sem solução, poderá cessar a utilização do Serviço.
8. Assistência e Violações de Dados
Na medida do razoável e tendo em conta a natureza do tratamento, auxiliamos o Responsável a responder a pedidos de exercício de direitos dos titulares (Capítulo III do RGPD) e a cumprir as obrigações dos artigos 32.º a 36.º (segurança, notificação de violações e avaliações de impacto).
Em caso de violação de dados pessoais que afete os dados do Responsável, notificá-lo-emos sem demora injustificada após dela termos conhecimento, com a informação razoavelmente disponível para que possa cumprir os seus deveres dos artigos 33.º e 34.º.
9. Eliminação ou Devolução dos Dados
Cessada a prestação do Serviço, eliminamos ou devolvemos os dados, à escolha do Responsável, salvo conservação exigida por lei. Aplicam-se os prazos descritos na Política de Privacidade e nos Termos — designadamente a conservação de ficheiros durante 90 dias após o termo de uma subscrição paga e a eliminação ou anonimização dos dados da conta no prazo máximo de 30 dias após o pedido.
10. Auditoria e Demonstração de Conformidade
Disponibilizamos ao Responsável a informação necessária para demonstrar o cumprimento das obrigações do artigo 28.º e permitimos e contribuímos para auditorias, incluindo inspeções, realizadas pelo Responsável ou por um auditor por si mandatado. As auditorias realizam-se mediante pré-aviso razoável, de forma proporcionada e com salvaguarda da confidencialidade e da segurança dos restantes clientes, em primeira linha através de documentação e de respostas a questionários.
11. Transferências Internacionais
As transferências de dados para fora do Espaço Económico Europeu apenas ocorrem com as salvaguardas adequadas previstas no Capítulo V do RGPD, conforme descrito na Política de Privacidade (decisões de adequação, incluindo o EU-U.S. Data Privacy Framework quando aplicável, e/ou Cláusulas Contratuais-Tipo).
12. Responsabilidades do Responsável
O Responsável é responsável por dispor de uma base legal válida para o tratamento dos dados dos seus clientes — incluindo o consentimento explícito quando exigido, em especial para dados de saúde (artigo 9.º do RGPD) —, por fornecer instruções lícitas e por garantir a exatidão e a licitude dos dados que recolhe e nos confia.
13. Disposições Finais
Este DPA integra os Termos de Serviço; em caso de conflito quanto ao tratamento de dados ao abrigo do artigo 28.º do RGPD, prevalece este DPA. Rege-se pela lei portuguesa. As expressões não definidas neste DPA têm o significado que lhes é dado pelo RGPD.
14. Contacto
Para questões relativas a este Acordo ou ao tratamento de dados:
- Email: [email protected]