Acordo de Tratamento de Dados

Abaixo você encontra o contrato de DPA entre você e a SuperSaaS que pode ser necessário para cumprir o GDPR se você armazenar dados de clientes localizados na União Europeia. Se você estiver conectado ao site como administrador, o contrato abaixo será preenchido automaticamente com os dados da sua conta.

Contrato de tratamento de dados pessoais: acordo entre controlador e operador

Versão: 2.1


entre

e

[Nome]
[Endereço]

SuperSaaS B.V.
Strawinskylaan 6
1077 XZ Amsterdam
Países Baixos

Doravante denominado o Controlador

Doravante denominado o Operador

1. Introdução, âmbito de aplicação, definições

  1. Este contrato estabelece os direitos e as obrigações do controlador e do operador (doravante denominados as “Partes”) no contexto do tratamento de dados pessoais em nome do controlador.
  2. Este contrato se aplica a todas as atividades para as quais os funcionários do operador ou quaisquer subcontratados encarregados por ele do tratamento dos dados pessoais do controlador atuem.
  3. Os termos utilizados neste contrato devem ser compreendidos de acordo com suas respectivas definições no Regulamento Geral sobre a Proteção de Dados da UE (GDPR). Além disso, as declarações podem ser feitas em outra forma, desde que seja assegurada verificação adequada.

2. Escopo e duração do tratamento de dados

2.1 Escopo

O Operador deverá realizar os seguintes processos:

Fornecer um serviço web para permitir que os usuários finais do Controlador agendem compromissos online. Fornecer um serviço web que permita ao Controlador gerenciar esses compromissos e os dados coletados dos usuários finais.

2.2 Duração

O tratamento terá início em [Data de criação da conta] e será realizado por prazo indeterminado até que a conta SuperSaaS seja excluída pelo Controlador.

3. Papéis das Partes

Para os fins do tratamento de dados pessoais no âmbito do Serviço, o Controlador atua como controlador e a SuperSaaS B.V. atua como operadora na acepção do GDPR.

O Controlador determina as finalidades e os meios do tratamento dos dados pessoais processados por meio do Serviço.

Tratamento independente como Controlador

Não obstante o exposto acima, o Operador poderá tratar determinados dados pessoais como controlador independente quando isso for necessário para:

  • garantir a segurança, a integridade e a disponibilidade do Serviço
  • prevenir fraude, abuso ou uso indevido do Serviço
  • cumprir obrigações legais
  • gerenciar faturamento, processamento de pagamentos e administração da conta

Esse tratamento será limitado ao que for necessário para essas finalidades.

4. Natureza e finalidade da coleta, do tratamento ou do uso dos dados

4.1 Natureza e finalidade do tratamento dos dados

O tratamento dos dados consiste nas seguintes atividades: coletar, classificar, armazenar, transferir, restringir e excluir dados.

Os dados são tratados com a seguinte finalidade: permitir que os usuários finais do Controlador agendem compromissos online.

4.2 Tipo de dados

Os seguintes dados deverão ser tratados:

  • Dados inseridos pelos usuários finais do Controlador no processo de uso do serviço

4.3 Categorias de pessoas afetadas

Os seguintes titulares de dados são afetados pelo tratamento:

  • Usuários finais da aplicação de agendamento online do Controlador
  • Dados inseridos pelo Controlador ao usar o serviço.

5. Obrigações do operador

  1. O Operador somente tratará dados pessoais conforme acordado contratualmente ou conforme instruído pelo Controlador, salvo se o Operador estiver legalmente obrigado a realizar um tipo específico de tratamento de dados. Caso o Operador esteja sujeito a tais obrigações, deverá informar o Controlador antes do tratamento dos dados, a menos que essa informação seja ilegal. Além disso, o Operador não utilizará os dados fornecidos para tratamento para qualquer outra finalidade, especialmente em benefício próprio.
  2. O Operador confirma que conhece as disposições legais aplicáveis em matéria de proteção de dados. Deverá observar os princípios do tratamento correto de dados.
  3. O Operador será obrigado a manter confidencialidade estrita ao tratar os dados.
  4. Quaisquer indivíduos que possam ter acesso aos dados tratados em nome do Controlador deverão ser obrigados por escrito a manter confidencialidade, salvo se já estiverem legalmente obrigados a fazê-lo por outro acordo escrito.
  5. O Operador deverá assegurar que os indivíduos por ele empregados para tratar os dados tenham sido informados sobre as disposições relevantes de proteção de dados, bem como sobre este contrato, antes de iniciar o tratamento. As medidas correspondentes de treinamento e conscientização deverão ser realizadas regularmente de forma adequada. O Operador deverá assegurar que os indivíduos encarregados do tratamento dos dados sejam devidamente instruídos e supervisionados continuamente quanto ao cumprimento dos requisitos de proteção de dados.
  6. No contexto do tratamento de dados encomendado, o Operador deverá apoiar o Controlador no desenvolvimento e na atualização da lista de atividades de tratamento e na implementação da avaliação de proteção de dados. Todos os dados e documentos necessários deverão ser fornecidos e disponibilizados imediatamente ao Controlador, mediante solicitação.
  7. Caso o Controlador esteja sujeito à fiscalização de autoridades supervisoras ou de quaisquer outros órgãos, ou caso os titulares exerçam quaisquer direitos perante o Controlador, o Operador deverá apoiar o Controlador na medida necessária, se os dados tratados em nome do Controlador forem afetados.
  8. Informações somente poderão ser fornecidas a terceiros com o consentimento do Controlador ou quando exigido por lei. Consultas enviadas diretamente ao Operador serão imediatamente encaminhadas ao Controlador.
  9. Se estiver legalmente obrigado a fazê-lo, o Operador deverá nomear um profissional qualificado e confiável como encarregado autorizado de proteção de dados. Deve ser assegurado que esse encarregado não tenha conflitos de interesse. Em caso de dúvida, o Controlador poderá contatar diretamente o encarregado de proteção de dados. O Operador deverá então notificar imediatamente o controlador sobre os dados de contato do encarregado de proteção de dados ou apresentar o motivo pelo qual um encarregado de proteção de dados não foi nomeado. O Operador deverá informar imediatamente o Controlador sobre quaisquer alterações no status do encarregado de proteção de dados ou em suas atribuições internas.
  10. Qualquer tratamento de dados somente poderá ser realizado na UE ou no EEE. Qualquer mudança para um país terceiro poderá ocorrer com o consentimento do Controlador e de acordo com as condições estabelecidas no Capítulo V do GDPR e neste contrato.

6. Medidas técnicas e organizacionais

  1. As medidas de proteção de dados poderão ser ajustadas conforme a evolução técnica e organizacional contínua, desde que o mínimo legalmente exigido seja adequadamente atendido. O Operador deverá implementar imediatamente as mudanças necessárias para manter a segurança da informação. O Controlador deverá ser imediatamente informado sobre quaisquer mudanças. Alterações significativas deverão ser acordadas entre as Partes.
  2. Caso as medidas de segurança implementadas pelo Operador não sejam, ou deixem de ser, suficientes, o Operador deverá informar o Controlador imediatamente.
  3. Cópias ou duplicatas não deverão ser criadas sem o conhecimento do Controlador. Ficam excluídas as duplicações temporárias tecnicamente necessárias, desde que quaisquer efeitos adversos ao nível acordado de proteção de dados possam ser descartados.
  4. Caso os dados sejam tratados em residência particular, o Operador deverá assegurar que um nível suficiente de proteção e segurança de dados seja mantido e que os direitos de supervisão do Controlador previstos neste contrato também possam ser exercidos sem restrições na residência particular.
  5. Mídias de dados dedicadas, originadas do Controlador ou usadas para o Controlador, deverão ser especificamente identificadas e estarão sujeitas a administração contínua. Deverão ser armazenadas adequadamente em todos os momentos e não poderão estar acessíveis a pessoas não autorizadas. Quaisquer retiradas e devoluções deverão ser documentadas.

7. Disposições sobre correção, exclusão e bloqueio de dados

  1. No âmbito dos dados tratados em nome do Controlador, o Operador somente poderá corrigir, excluir ou bloquear os dados de acordo com o acordo contratual ou com as instruções do Controlador.
  2. O Operador deverá cumprir as instruções respectivas fornecidas pelo Controlador em todos os momentos, inclusive após o término deste contrato.

8. Subcontratação

  1. Um subcontratado é qualquer pessoa ou organização nomeada pelo ou em nome do Operador para tratar Dados Pessoais em nome do Controlador.
  2. O Operador poderá contratar subprocessadores em conexão com a prestação do Serviço. Uma lista atualizada de subprocessadores está disponível em: https://www.supersaas.com/info/subprocessors
  3. A subcontratação somente é possível se o subcontratado estiver sujeito a um mínimo contratual de obrigações de proteção de dados comparáveis às previstas neste contrato. O Controlador deverá, mediante solicitação, inspecionar os contratos relevantes entre o Operador e o subcontratado.
  4. Os direitos do Controlador também deverão poder ser exercidos de forma efetiva contra o subcontratado. Em particular, o Controlador deverá ter o direito de realizar inspeções, ou de fazê-las realizar por terceiros, na medida aqui especificada.
  5. As responsabilidades do Operador e do subcontratado deverão estar claramente distinguidas.
  6. Os subprocessadores poderão contratar outros subprocessadores, desde que continuem responsáveis por assegurar que esses subprocessadores forneçam um nível adequado de proteção de dados.
  7. O Operador deverá escolher o subcontratado considerando especificamente a adequação das medidas técnicas e organizacionais adotadas por ele.
  8. Qualquer transferência dos dados tratados em nome do Controlador para o subcontratado somente será permitida depois que o Operador tiver fornecido documentação convincente de que o subcontratado cumpriu integralmente suas obrigações.
  9. A contratação de quaisquer subcontratados que tratem dados em nome do Controlador e que não estejam localizados nem operem exclusivamente na UE ou no EEE somente é possível em conformidade com as condições estabelecidas no capítulo 4 (10) deste contrato. Em particular, isso somente será permitido se o subcontratado fornecer medidas adequadas de proteção de dados. O Operador deverá informar o Controlador sobre as garantias específicas de proteção de dados fornecidas pelo subcontratado e como a comprovação correspondente pode ser obtida.
  10. O Operador deverá tomar medidas razoáveis para assegurar que os subprocessadores forneçam medidas técnicas e organizacionais adequadas para a proteção dos dados pessoais. Quando apropriado, o Operador poderá confiar em certificações, relatórios de auditoria ou outra documentação fornecida pelo subprocessador.
  11. Caso o subcontratado deixe de cumprir suas obrigações de proteção de dados, o Operador será responsável perante o Controlador por esse descumprimento.
  12. Subcontratação, para os fins deste contrato, refere-se apenas aos serviços diretamente associados à prestação do serviço principal. Serviços adicionais, como transporte, manutenção e limpeza, bem como o uso de serviços de telecomunicações ou de serviços aos usuários, não se enquadram nisso. A obrigação do Operador de assegurar proteção e segurança de dados adequadas nesses casos permanece inalterada.

9. Direitos e obrigações do controlador

  1. O Controlador será o único responsável por avaliar a admissibilidade do tratamento solicitado e pelos direitos das partes afetadas.
  2. O Controlador deverá documentar todas as ordens, ordens parciais ou instruções. Em casos urgentes, as instruções poderão ser dadas verbalmente. Essas instruções deverão ser imediatamente confirmadas e documentadas pelo Controlador.
  3. O Controlador deverá notificar imediatamente o Operador caso encontre quaisquer erros ou irregularidades ao revisar os resultados do tratamento.
  4. O Controlador tem o direito de nomear um auditor independente de terceiros, com as qualificações profissionais exigidas e vinculado a dever de confidencialidade, que deverá ser razoavelmente aceitável ao Operador, para inspecionar a conformidade do Operador com este Acordo de Tratamento de Dados e com a legislação aplicável de proteção de dados necessária para determinar a veracidade e a completude das declarações apresentadas pelo Operador sob este Acordo de Tratamento de Dados. O direito do Controlador de auditar estará sujeito ao fornecimento ao Operador de aviso prévio por escrito de, pelo menos, 4 semanas em relação a qualquer auditoria desse tipo. O Controlador arcará com todos os custos da auditoria.
  5. Inspeções nas instalações do Operador deverão ser realizadas sem perturbações evitáveis à operação de seus negócios. Salvo indicação em contrário por razões urgentes, que deverão ser documentadas pelo Controlador, as inspeções deverão ser realizadas após aviso prévio apropriado e durante o horário comercial do Operador, e não com frequência superior a uma vez a cada 12 meses. Se o Operador fornecer evidências de que as obrigações acordadas de proteção de dados estão sendo implementadas corretamente, quaisquer inspeções deverão se limitar a amostras.

10. Obrigações de notificação

  1. O Operador deverá notificar imediatamente o Controlador sobre quaisquer violações de dados pessoais. Quaisquer incidentes justificadamente suspeitos também deverão ser comunicados. O aviso deverá ser enviado a um dos endereços conhecidos do Controlador sem demora indevida e, sempre que viável, dentro de 72 horas a partir do momento em que o Operador tomar conhecimento da ocorrência do respectivo incidente. Essa notificação deverá conter, no mínimo, as seguintes informações:
    1. Uma descrição do tipo de violação de proteção de dados pessoais, incluindo, se possível, as categorias e o número aproximado de pessoas afetadas, bem como as respectivas categorias e o número aproximado de conjuntos de dados pessoais;
    2. O nome e os dados de contato do encarregado de proteção de dados ou de outro ponto de contato para obter mais informações;
    3. Uma descrição das prováveis consequências da violação de proteção de dados pessoais;
    4. Uma descrição das medidas tomadas ou propostas pelo Operador para corrigir a violação de proteção de dados pessoais e, quando aplicável, medidas para mitigar seus possíveis efeitos adversos.
  2. O Controlador também deverá ser notificado imediatamente sobre quaisquer interrupções significativas na execução da tarefa, bem como sobre violações das disposições legais de proteção de dados ou das estipulações deste contrato praticadas pelo Operador ou por quaisquer indivíduos por ele empregados.
  3. O Operador deverá informar imediatamente o Controlador sobre quaisquer inspeções ou medidas realizadas por autoridades supervisoras ou outros terceiros se elas se relacionarem ao tratamento de dados encomendado.
  4. O Operador deverá assegurar que o Controlador seja apoiado nessas obrigações, de acordo com os Art. 33 e Art. 34 do GDPR, na medida exigida.

11. Instruções

  1. O Controlador reserva-se o direito de plena autoridade para emitir instruções relativas ao tratamento de dados em seu nome.
  2. O Operador deverá informar imediatamente o Controlador caso, em sua opinião, uma instrução emitida pelo Controlador viole requisitos legais. O Operador terá o direito de deixar de executar as instruções relevantes até que sejam confirmadas ou alteradas pela parte responsável em nome do Controlador.
  3. O Operador deverá documentar as instruções emitidas e sua implementação.

12. Encerramento do tratamento encomendado

  1. No término da relação contratual ou a qualquer momento, mediante solicitação do Controlador, o Operador deverá destruir os dados tratados como parte da contratação ou entregá-los ao Controlador, a critério do Controlador. Todas as cópias dos dados ainda existentes também deverão ser destruídas. Os dados deverão ser destruídos de tal forma que restaurar ou recriar as informações remanescentes não seja mais possível, mesmo com esforço considerável.
  2. O Operador é obrigado a assegurar imediatamente a devolução ou a exclusão dos dados por parte dos subcontratados.
  3. Qualquer documentação que sirva ao propósito de comprovar o tratamento adequado dos dados deverá ser mantida pelo Operador de acordo com os respectivos prazos de retenção, inclusive o prazo legal após o término do contrato. O Operador poderá submeter a documentação correspondente ao Controlador quando suas obrigações contratuais tiverem terminado.

13. Remuneração

A remuneração do Operador está integralmente prevista nos Termos de Uso. Não há remuneração nem reembolso separados previstos neste contrato.

14. Responsabilidade

  1. O Controlador será responsável por indenizar qualquer pessoa por danos causados por qualquer parte não autorizada ou por tratamento incorreto de dados no âmbito do contrato.
  2. O Controlador arcará com o ônus de provar que qualquer dano resulta de circunstâncias pelas quais o Operador é responsável, desde que os dados relevantes tenham sido tratados sob este acordo. Se essa prova não tiver sido fornecida, o Controlador deverá, quando inicialmente solicitado a fazê-lo, isentar o Operador de todas as reivindicações levantadas contra este em conexão com o tratamento dos dados.
  3. O Operador será responsável perante o Controlador por quaisquer danos culposamente causados pelo Operador, seus empregados, subcontratados nomeados ou pela agência executora do contrato em conexão com a prestação do serviço contratual solicitado.
  4. A responsabilidade do Operador fica limitada ao valor pago ao Operador pelo Controlador nos dois anos anteriores ao incidente que deu origem à responsabilidade.
  5. As seções 14 (2) e 14 (3) não se aplicam se o dano ocorreu como resultado da correta implementação do serviço solicitado ou de uma instrução fornecida pelo Controlador.

15. Direito de rescisão extraordinária

  1. O Controlador poderá, a qualquer momento, rescindir este contrato sem aviso prévio (“rescisão extraordinária”) se houver uma infração grave às normas de proteção de dados ou às disposições deste contrato por parte do Operador, se o Operador não puder ou não quiser executar as instruções legais do cliente, ou se o Operador se recusar a aceitar os direitos de supervisão do Controlador, em violação deste contrato.
  2. Uma infração grave será considerada ocorrida, em especial, se o Operador não tiver cumprido substancialmente ou tiver deixado de cumprir as obrigações estabelecidas neste acordo, em particular as medidas técnicas e organizacionais.
  3. Para infrações insignificantes, o Controlador concederá ao Operador um prazo razoável para sanar a situação. Caso a situação não seja sanada em tempo hábil, o Controlador terá direito à rescisão extraordinária conforme aqui estipulado.

16. Disposições diversas

  1. Ambas as Partes são obrigadas a tratar confidencialmente todo conhecimento sobre segredos comerciais e medidas de segurança de dados obtidos da outra parte no âmbito da relação contratual, mesmo após o término do contrato. Em caso de dúvida sobre se a informação está sujeita à confidencialidade, ela deverá ser tratada como confidencial até que a aprovação por escrito da outra parte tenha sido recebida.
  2. Caso a propriedade do Controlador seja ameaçada pelo Operador por medidas de terceiros (por exemplo, penhora ou confisco), por insolvência ou procedimentos de liquidação, ou por outros eventos, o Operador deverá notificar imediatamente o Controlador.
  3. Caso quaisquer partes deste acordo sejam inválidas, isso não afetará a validade do restante do acordo.

Os anexos a seguir formam parte integrante deste Acordo de Tratamento de Dados.

Anexo I – Detalhes do Tratamento

Objeto do tratamento

Prestação do serviço de agendamento online da SuperSaaS.

Natureza e finalidade do tratamento

Tratamento de dados pessoais necessário para fornecer o serviço de software de agendamento, incluindo armazenamento, recuperação, transmissão e exclusão de dados conforme configurado pelo Controlador.

Duração do tratamento

Durante o período de uso do Serviço pelo Controlador.

Categorias de titulares de dados

  • Usuários finais da aplicação de agendamento do Controlador
  • Outros indivíduos cujos dados pessoais sejam inseridos no Serviço pelo Controlador

Categorias de dados pessoais

Dados pessoais enviados ao Serviço pelo Controlador. As categorias dependem do uso do Serviço pelo Controlador e podem incluir nomes, informações de contato, dados de agendamento e outros dados pessoais inseridos pelo Controlador.

Dados sensíveis

O Serviço não se destina ao tratamento de categorias especiais de dados pessoais, salvo se for explicitamente configurado pelo Controlador.

Anexo II – Medidas Técnicas e Organizacionais

O Operador implementa medidas técnicas e organizacionais razoáveis, destinadas a proteger os dados pessoais contra destruição, perda, alteração, divulgação ou acesso não autorizados, sejam acidentais ou ilícitos.

Essas medidas incluem, quando apropriado:

Gestão de segurança

O Operador mantém medidas administrativas, técnicas e organizacionais de segurança destinadas a proteger a confidencialidade, a integridade e a disponibilidade dos dados pessoais tratados como parte do Serviço. Essas medidas são revisadas e atualizadas periodicamente, conforme apropriado, para lidar com riscos de segurança em evolução.

Controle de acesso

  • Acesso restrito aos sistemas de produção
  • Mecanismos de autenticação para acesso administrativo

Segurança de rede e de transmissão

  • Criptografia de dados em trânsito usando TLS
  • Controles de segurança de rede

Segurança da infraestrutura

  • Hospedagem em ambientes seguros de data center
  • Segurança física fornecida pelos provedores de infraestrutura

Proteção de dados

  • Backups regulares
  • Medidas destinadas a proteger contra perda de dados

Segurança operacional

  • Monitoramento e registro da atividade do sistema
  • Procedimentos para resposta a incidentes de segurança

Segurança de pessoal

  • Acesso a dados pessoais limitado ao pessoal que necessita de acesso para fins operacionais
  • Obrigações de confidencialidade para a equipe

As medidas específicas implementadas podem evoluir ao longo do tempo como parte da melhoria contínua da segurança do Serviço.