Acordo de processamento de dados

Este acordo de processamento de dados (“Acordo”) faz parte dos termos e condições gerais e aplica-se na medida em que a Seviranta — nome comercial da 1Star BV, Zonnehorst 5, 7207 BT Zutphen, KvK 65195876 (“Processador”) — processa dados pessoais por conta do Cliente (“Controlador”) no âmbito do serviço pago. Os termos têm o significado do Regulamento Geral sobre a Proteção de Dados (“RGPD”).

1. Objeto, natureza e duração

O Processador processa dados pessoais exclusivamente para prestar o serviço acordado: testar e monitorar continuamente o(s) site(s) do Cliente quanto à acessibilidade, conservar os Relatórios/o Dossiê correspondentes, e gerenciar a conta e o faturamento. O Acordo vigora enquanto o Processador processar dados pessoais para o Cliente.

2. Tipos de dados pessoais e titulares

• Dados: dados de conta e contato (nome, e-mail, nome da empresa), dados de faturamento (endereço de cobrança, número de identificação fiscal) e dados de uso/assinatura. As páginas web escaneadas são públicas e são testadas exclusivamente em termos técnicos quanto à acessibilidade.
• Titulares: as pessoas de contato e os usuários do Cliente.
• Não são processadas categorias especiais de dados pessoais.

3. Instruções

O Processador processa os dados pessoais exclusivamente com base em instruções escritas do Cliente — entre as quais este Acordo e o uso do serviço — salvo se uma obrigação legal determinar o contrário. Se o Processador entender que uma instrução viola o RGPD, ele o comunicará.

4. Confidencialidade

O Processador garante que as pessoas que processam os dados pessoais estão sujeitas a um dever de confidencialidade.

5. Segurança

O Processador adota medidas técnicas e organizacionais adequadas (RGPD art. 32), entre as quais criptografia durante o transporte (TLS), armazenamento criptografado de senhas, acesso conforme a necessidade (least privilege), controle de acesso em nível de linha no banco de dados, e processamento preferencialmente dentro da UE.

6. Subprocessadores

O Cliente concede autorização geral para a contratação de subprocessadores. O Processador impõe a cada subprocessador ao menos as mesmas obrigações deste Acordo, e seleciona prioritariamente parceiros com armazenamento de dados na UE. Em termos funcionais, trata-se, entre outros, de: um parceiro de banco de dados/autenticação/armazenamento, infraestrutura de escaneamento e monitoramento, hospedagem de site, um provedor de pagamento, um provedor de e-mail transacional e um parceiro de infraestrutura/segurança.

Uma lista atualizada com os subprocessadores específicos (com nome, função e localização) está disponível ao Cliente mediante solicitação. Em caso de alteração pretendida de subprocessadores, o Processador informa o Cliente com antecedência, para que este possa se opor.

7. Assistência

O Processador presta ao Cliente, considerando a natureza do processamento, assistência razoável para responder a solicitações dos titulares (acesso, correção, exclusão etc.) e para cumprir as obrigações dos artigos 32–36 do RGPD (segurança, violações de dados, avaliação de impacto sobre a proteção de dados).

8. Violações de dados

O Processador informa o Cliente sem atraso indevido após tomar conhecimento de uma violação relacionada a dados pessoais, com as informações relevantes disponíveis, para que o Cliente possa cumprir seu dever de notificação.

9. Devolução e exclusão

Após o encerramento, o Processador exclui os dados pessoais ou os devolve, à escolha do Cliente, ressalvados os dados que o Processador deve conservar por força de lei (como faturas sob o prazo legal de conservação fiscal). O Cliente pode exportar o Dossiê antes do encerramento.

10. Auditorias

O Processador coloca à disposição do Cliente as informações necessárias para demonstrar o cumprimento deste Acordo e colabora com auditorias razoáveis, mediante agendamento e observando a confidencialidade e a continuidade do serviço.

11. Transferência fora do EEE

Se um subprocessador processar dados fora do Espaço Econômico Europeu, isso ocorre com as garantias adequadas exigidas pelo RGPD (por exemplo, as cláusulas contratuais-tipo da Comissão Europeia).

12. Legislação de proteção de dados aplicável (regimes internacionais)

Este Acordo foi elaborado tendo o RGPD (GDPR) como padrão mais elevado. Na medida em que outra legislação de proteção de dados se aplique a um processamento, as disposições deste Acordo aplicam-se mutatis mutandis também sob essa legislação — entre as quais a UK GDPR (Reino Unido), a lei suíça (nFADP) e as leis estaduais americanas aplicáveis (como a CCPA/CPRA). Para a transferência internacional valem os respectivos mecanismos reconhecidos, na medida em que aplicáveis: as cláusulas contratuais-tipo da UE (SCCs), o UK International Data Transfer Addendum (IDTA) e o adendo suíço. O Processador adota preferencialmente o armazenamento de dados na UE.

13. Califórnia (CCPA/CPRA)

Na medida em que o Processador processe dados pessoais abrangidos pela California Consumer Privacy Act (CCPA), conforme alterada pela CPRA, o Processador atua como “service provider”. O Processador: (a) não vende nem compartilha esses dados (sem “sale” ou “share” no sentido da CCPA); (b) os processa exclusivamente para os fins comerciais descritos neste Acordo e não para fins comerciais próprios; (c) não os conserva, usa ou divulga fora da relação comercial direta com o Cliente; e (d) presta ao Cliente assistência razoável em solicitações de titulares sob a CCPA.

14. Disposições finais

Em caso de conflito entre este Acordo e os termos e condições gerais, este Acordo prevalece no que diz respeito ao processamento de dados pessoais. Este Acordo rege-se pelo direito holandês. Dúvidas ou um exemplar assinado? info@seviranta.com.