Contrato de processamento de dados

Este Contrato de Processamento de Dados (doravante - o Contrato de Processamento de Dados) é parte integrante dos Termos de Serviço (doravante - o Contrato) com o Usuário e se aplica ao processamento de dados pessoais (doravante - os Dados Pessoais) quando o Usuário utiliza a Plataforma.

A Administração fornece ao Usuário a Plataforma, que pode ser usada pelo Usuário para processar os Dados Pessoais.

O processamento e o armazenamento dos Dados Pessoais processados (inclusive coletados, armazenados e publicados) pelos Usuários nos sites criados por eles usando a Plataforma serão realizados legalmente, por um período determinado pelo próprio Usuário e serão realizados pela Administração com base neste Contrato de Processamento de Dados, que é a base legal para o processamento dos Dados Pessoais pela Administração.

Se você não concordar com os termos do Contrato de Processamento de Dados, não poderá usar a Plataforma para trabalhar com os Dados Pessoais. O fato de usar a Plataforma para trabalhar com Dados Pessoais é reconhecido como consentimento com os termos e condições do Contrato de Processamento de Dados.

Este documento consiste nas seguintes seções:
Termos e definições
Objeto do Contrato de Processamento de Dados
Declarações e garantias do Controlador
Direitos, obrigações e responsabilidades do processador
Direitos, obrigações e responsabilidades do Controlador
Privacidade e segurança
Violação da segurança da informação
Lei aplicável e resolução de disputas

Termos e definições

Para os fins deste Contrato de Processamento de Dados, os termos serão usados no significado especificado abaixo:

Controlador é o Usuário, conforme definido no Contrato, uma pessoa que é um Controlador de Dados Pessoais nos termos do Decreto Lei Federal dos Emirados Árabes Unidos nº. 45/2021 dos Emirados Árabes Unidos sobre a Proteção de Dados Pessoais ou Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, sobre a proteção de pessoas físicas no que diz respeito ao processamento de dados pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/CE (Regulamento Geral de Proteção de Dados, GDPR) (doravante coletivamente - a Lei).
Processador é a Administração, conforme definido no Contrato, que processa os Dados Pessoais em nome do Controlador e é um Processador nos termos da Lei.
O sujeito dos Dados Pessoais é um indivíduo a quem os Dados Pessoais se referem, conforme definido na Lei.
Dados Pessoais são quaisquer dados relacionados a um indivíduo identificado ou a um indivíduo que possa ser identificado direta ou indiretamente, vinculando os dados por referência a um identificador, como nome, voz, imagem, número de identificação, identificador eletrônico, localização geográfica ou uma ou mais características físicas, fisiológicas, culturais ou sociais, conforme definido na Lei e processado pelo Controlador usando a Plataforma.
Dados do Usuário são as informações que podem conter Dados Pessoais, baixadas ou processadas pelo Controlador usando a Plataforma.
Dados Pessoais Sensíveis são quaisquer informações que revelem, direta ou indiretamente, raça, etnia, opiniões políticas ou filosóficas, crenças religiosas, antecedentes criminais, dados biométricos ou quaisquer dados relacionados à saúde de tal indivíduo, como sua condição física, psicológica, mental, corporal, genética ou sexual, incluindo quaisquer informações relacionadas à prestação de serviços de saúde a tal indivíduo que revelem seu estado de saúde, conforme definido na Lei.
Dados Pessoais Biométricos são quaisquer Dados Pessoais obtidos como resultado de processamento técnico especial relacionado às características físicas, fisiológicas ou comportamentais do Titular dos Dados Pessoais que identificam ou confirmam a identificação exclusiva do Titular dos Dados Pessoais, como imagem facial ou dados de impressão digital, conforme definido na Lei.

O Contrato de Processamento de Dados pode usar outros termos não definidos acima, que serão interpretados de acordo com o Contrato e a Lei.

1. Objeto do Contrato de Processamento de Dados

1.1. O Controlador instrui, e o Processador assume a obrigação de realizar ações para processar os Dados Pessoais dos clientes (visitantes dos Sites) do Controlador, que são processados ou serão processados pelo Controlador usando a Plataforma.

1.2. Disposições básicas relativas ao processamento de Dados Pessoais:

Dados pessoais; o conteúdo, a lista e o volume dos dados pessoais devem ser determinados pelo Controlador e não são controlados pelo Processador. Ao mesmo tempo, o Processador não processará Dados Pessoais sensíveis e biométricos Motivos para o processamento de dados pessoais; o processamento deve ser realizado como parte do cumprimento de obrigações contratuais, em nome do Controlador Tipos de processamento de Dados Pessoais; Estruturação e armazenamento (nesse caso, o Processador não fornece serviços de hospedagem, a estruturação e o armazenamento de Dados Pessoais são realizados em instalações alugadas pelo Processador). Transferência (realizada pela Plataforma ao transmitir dados inseridos pelos visitantes dos Sites por meio de formulários da web nos Sites para ferramentas de coleta de dados conectadas pelo Controlador aos Sites (inclusive para o subsistema de Formulários da Plataforma e/ou para o Tilda CRM). Para garantir a confiabilidade durante essa transferência e lidar com casos de indisponibilidade de serviços de recebimento, os dados podem ser armazenados em cache nos servidores da Plataforma com a limpeza subsequente do cache após a transferência bem-sucedida. Além disso, nesse caso, a Plataforma e/ou o Processador não registrarão, sistematizarão, armazenarão, alterarão e usarão os Dados Pessoais usando bancos de dados de Dados Pessoais, mas apenas desempenharão a função de transmitir dados de formulários da web nos quais os visitantes dos Sites os inserem, para ferramentas de coleta de dados conectadas a eles pelo Controlador. O período padrão de armazenamento de dados em cache será de 30 dias e pode ser configurado pelo Controlador de forma independente. Distribuição (Realizada pelo Controlador de forma independente, publicando os Dados Pessoais nos Sites, nesse caso, o cumprimento dos requisitos da Lei em termos de obtenção dos consentimentos necessários dos titulares dos Dados Pessoais será de responsabilidade do Controlador). O fornecimento de acesso aos Dados Pessoais deve ser realizado pelo Controlador através do uso das funções e configurações da Plataforma (o fornecimento de acesso a terceiros deve ser realizado e gerenciado pelo Controlador de forma independente, usando a função "Colaboradores" da Plataforma; nesse caso, garantir a existência de bases legais para tal acesso deve ser responsabilidade do Controlador). O processamento será realizado através da colocação da Plataforma em instalações alugadas pelo Processador em centros de processamento de dados fornecidos por parceiros com os quais foram celebrados acordos que garantem a segurança dos Dados Pessoais processados por eles: Hetzner e GCore Período de retenção dos Dados Pessoais; os Dados Pessoais serão armazenados pelo período especificado pelo Controlador, mas não superior ao período de validade do Contrato, salvo disposição em contrário dos requisitos da legislação dos Emirados Árabes Unidos Exclusão de Dados Pessoais; será realizada pelo Controlador de forma independente durante o período de validade do Contrato e, após sua expiração, será realizada pelo Processador ao atingir as metas de processamento de Dados Pessoais e cumprir os requisitos da legislação dos Emirados Árabes Unidos Duração do Contrato de Processamento de Dados; durante todo o período de uso da Plataforma pelo Controlador, de acordo com o Contrato, incluindo o período de bloqueio da Conta

Dados Pessoais; E-mail (a coleta deve ser configurada pelo Usuário, processada se coletada pelo Usuário), telefone (a coleta deve ser configurada pelo Usuário, processada se coletada pelo Usuário), nome (a coleta deve ser configurada pelo Usuário, processada se coletada pelo Usuário), outros dados que o Controlador da Plataforma deseja coletar (exceto Dados Pessoais Sensíveis e Biométricos) Motivos para o processamento de dados pessoais; o processamento deve ser realizado como parte do cumprimento de obrigações contratuais, em nome do Controlador Tipos de processamento de dados pessoais; a coleta ocorre no site criado na plataforma, por meio da transmissão de dados para serviços de coleta de dados conectados. Estruturação (nesse caso, o Processador não fornece serviços de hospedagem, a estruturação e o armazenamento dos Dados Pessoais devem ser realizados em instalações alugadas pelo Processador, o subsistema "Formulários" da Plataforma deve ser usado para organizar o armazenamento). Os Dados Pessoais devem ser usados pelo Controlador na conta pessoal do Controlador em (se o Controlador habilitar o subsistema "Formulários" como o serviço para coleta de dados). A distribuição (transmissão) de dados deve ser realizada para serviços de terceiros habilitados pelo Controlador na Conta Pessoal. A transferência (acesso) deve ser realizada pelo Controlador por meio do uso das funções e configurações da Plataforma (o fornecimento de acesso a terceiros deve ser realizado e gerenciado pelo Controlador de forma independente, usando a função "Colaboradores" da Plataforma; nesse caso, a garantia da existência de fundamentos legais para tal acesso será de responsabilidade do Controlador). Período de retenção dos Dados Pessoais; os Dados Pessoais serão armazenados pelo período especificado pelo Controlador, mas não superior a 30 dias e ao período de validade do Contrato, salvo disposição em contrário dos requisitos da legislação dos Emirados Árabes Unidos Exclusão de Dados Pessoais; os Dados Pessoais podem ser excluídos pelo Controlador ou automaticamente dentro do período estabelecido pelo Controlador, mas não mais do que 30 dias a partir da data de recebimento dos dados, salvo disposição em contrário dos requisitos da legislação dos Emirados Árabes Unidos Duração do Contrato de Processamento de Dados; Durante todo o período de uso da Plataforma pelo Controlador, de acordo com o Contrato, incluindo o período de bloqueio da Conta

Dados Pessoais; Processados antes do pagamento da entrega: e-mail (a coleta deve ser configurada pelo Usuário, processada se coletada pelo Usuário), telefone (a coleta deve ser configurada pelo Usuário, processada se coletada pelo Usuário), nome (a coleta deve ser configurada pelo Usuário, processada se coletada pelo Usuário), outros dados que o Controlador deseja coletar (exceto Dados Pessoais sensíveis e biométricos). Processados se a entrega for necessária: endereço (se as mercadorias precisarem ser entregues) Processados se o pagamento for necessário: outros dados que o Controlador deseja coletar (exceto Dados Pessoais sensíveis e biométricos), últimos 4 dígitos do cartão, data de validade do cartão Motivos para o processamento de dados pessoais; o processamento deve ser realizado como parte do cumprimento de obrigações contratuais e em nome do Controlador Tipos de processamento de dados pessoais; a coleta ocorre no site criado na Plataforma (se o Controlador habilitar o subsistema "Formulários" como um serviço para coleta de dados). Estruturação, armazenamento - ocorre nos subsistemas "Formulários", "Catálogo" e "Entrega" da Plataforma (se o Controlador habilitar esses subsistemas). Os Dados Pessoais devem ser usados pelo Controlador na conta pessoal do Controlador na seção "Leads" (se o Controlador habilitar o subsistema "Formulários" como o serviço para coleta de dados). O uso (visualização) de Dados Pessoais anônimos estará disponível no Painel Administrativo para resolver problemas dos Clientes do Controlador. A distribuição (transmissão) de dados deve ser realizada para serviços de terceiros habilitados pelo Controlador na Conta Pessoal, bem como para serviços habilitados no subsistema "Catálogo". A distribuição (fornecimento de acesso) deve ser realizada pelo Controlador por meio do uso das funções e configurações da Plataforma (o fornecimento de acesso a terceiros deve ser realizado e gerenciado pelo Controlador de forma independente, usando a função "Colaboradores" da Plataforma; nesse caso, a garantia da existência de fundamentos legais para tal acesso será de responsabilidade do Controlador). Período de retenção dos Dados Pessoais; os Dados Pessoais serão armazenados durante toda a vigência do contrato/pelos períodos estabelecidos pela legislação vigente dos Emirados Árabes Unidos, exceto para o subsistema "Formulários", no qual os Dados Pessoais serão armazenados por no máximo 30 dias, salvo disposição em contrário dos requisitos da legislação dos Emirados Árabes Unidos Exclusão de Dados Pessoais; os Dados Pessoais devem ser excluídos pelo Controlador após a conclusão das finalidades de processamento, salvo disposição em contrário nos termos da legislação dos Emirados Árabes Unidos. A exclusão de dados do subsistema "Formulários" ocorre automaticamente dentro do período estabelecido pelo Controlador, mas não mais do que 30 dias a partir da data de recebimento dos dados. A exclusão dos subsistemas "Entrega" e "Catálogo" ocorre após a expiração do contrato e a exclusão da Conta Duração do Contrato de Processamento de Dados; Durante todo o período de uso da Plataforma pelo Controlador, de acordo com o Contrato, incluindo o período de bloqueio da Conta

2. Declarações e garantias do Controlador

2.1. O Controlador declara e garante que:
1) Recebeu os Dados Pessoais por meios legais;
2) Possui bases legais para o processamento de Dados Pessoais (incluindo o consentimento dos titulares dos Dados Pessoais ou outra base legal para a transferência de Dados Pessoais, inclusive internacional), confiando o processamento de Dados Pessoais ao Processador e seus parceiros (incluindo aqueles localizados fora dos Emirados Árabes Unidos) e a distribuição de Dados Pessoais usando a Plataforma, se tal distribuição for realizada);
c) Cumprir com os princípios e regras de processamento de Dados Pessoais previstos na legislação dos Emirados Árabes Unidos;
d) Não usa e não usará a Plataforma para processar Dados Pessoais sensíveis e biométricos.

2.2. O Controlador garante que qualquer pessoa autorizada pelo Controlador e que processe Dados Pessoais usando a Plataforma age em nome do Controlador e de acordo com suas instruções. Nesse caso, o Controlador será responsável perante o Processador se a pessoa especificada violar os termos do Contrato de Processamento de Dados.

2.3. As declarações e garantias do Controlador especificadas na cláusula 2.1 devem ser confiáveis a qualquer momento/período de processamento de Dados Pessoais no âmbito do Contrato de Processamento de Dados.

2.4. O Controlador reconhece e compreende o fato de processar Dados Pessoais ao usar a Plataforma.

3. Direitos, deveres e responsabilidades do processador

3.1. O Processador se compromete a cumprir a finalidade e as limitações do processamento de Dados Pessoais especificados no Contrato de Processamento de Dados.

3.2. O Processador se compromete a executar o Contrato de Processamento de Dados de forma independente, bem como com o envolvimento de terceiros especificados no site do Processador na Política de Privacidade, permanecendo responsável perante o Controlador pelo cumprimento de suas obrigações nos termos do Contrato de Processamento de Dados.

3.3. O Processador será obrigado a manter a confidencialidade e garantir a segurança dos Dados Pessoais de acordo com os requisitos da lei aplicável.

3.4. O Processador se compromete a cooperar de boa-fé com o Controlador e fornecer-lhe assistência razoável na consideração e resolução de solicitações (reclamações, demandas) relativas ao Contrato de Processamento de Dados. Em particular, o Processador, tendo recebido tal solicitação, será obrigado a notificar o Controlador dentro de cinco (5) dias úteis a partir da ocorrência do evento especificado, enviando uma notificação correspondente para o endereço de e-mail especificado pelo Controlador ao se registrar na Conta Pessoal.

3.5. O Processador será responsável perante o Controlador pela execução do Contrato de Processamento de Dados, inclusive pelas ações (inação) de seus funcionários que obtiveram acesso aos Dados Pessoais processados sob o Contrato de Processamento de Dados do Controlador, o que resultou na divulgação de tais Dados Pessoais, dentro do valor do dano real confirmado por documentos, mas, em qualquer caso, a responsabilidade patrimonial total da Administração perante o Controlador não poderá exceder o valor do custo da Tarifa paga pelo Controlador e válida durante o período de ocorrência dos eventos que são a base para a ocorrência da responsabilidade patrimonial da Administração.

4. Direitos, obrigações e responsabilidade do Controlador

4.1. The Controller shall be responsible to the Personal Data subject for the actions performed by the Processor when executing the Data Processing Agreement.

4.2. The Controller shall make its own decision and be responsible for determining whether the Platform is suitable for processing Personal Data in accordance with United Arab Emirates law, as well as for using the Platform in accordance with the Controller’s legal obligations.

4.3. The Controller shall, independently and at its own expense, develop and place on the Websites it uses all documents required by the applicable law regarding the collection and processing of Personal Data by the Controller, and shall be responsible for their correctness and completeness.

4.4. The Controller shall independently select service providers and data collection systems and services enabled by the Controller to the fields of web forms on the Websites and used by the Controller to collect Personal Data, and shall also be independently responsible for fulfilling the requirements of the Law when organizing the collection of Personal Data using such systems and services.

4.5. The Controller shall be entitled, no more than once a year, to request from the Processor documents and other information confirming the adoption of measures and compliance with the requirements established in the Data Processing Agreement for the purpose of executing the Controller’s Data Processing Agreement.

4.6. The Controller shall be responsible for the security of the means of protection of access to the Platform he/she has chosen, and also independently ensure their confidentiality.

4.7. The Controller shall be responsible for all actions, as well as their consequences, when using the Platform, while all actions performed in the Account shall be considered to have been carried out by the Controller themselves.

4.8. The Controller shall be responsible for responding to requests from Personal Data subjects and third parties regarding the Controller’s use of the Platform for the purpose of Personal Data processing.

4.9. The Controller shall be responsible for considering requests from Personal Data subjects related to the exercise of their rights, including in cases where the use of the Platform by the Controller affects the rights of these persons.

4.10. The Controller undertakes to provide the Processor with confirmation of the existence of legal grounds for processing Personal Data and the fact of proper notification of the Personal Data subject about their transfer, within five (5) calendar days from the date of receipt of the corresponding request from the Processor.

4.11. In the event that the Processor is presented with claims and demands from third parties, including from Personal Data subjects and authorized bodies, in connection with the execution of the Data Processing Agreement, including in the event of a claim about the unlawfulness of the Processor’s processing of Personal Data processed by the Controller using the Platform, the Controller shall be obliged to settle independently such claims on its own and at its own expense, to protect the Processor from possible losses and participation in the consideration of claims, demands and possible litigation. If it becomes necessary for the Processor to participate in resolving the above-mentioned claims and/or demands, the Processor shall be entitled to demand from the Controller compensation for losses and expenses incurred in connection with such participation, including, but not limited to, the costs of a representative, negotiations and other expenses.

4.12. In the event of claims being made against the Processor from third parties, including from Personal Data subjects and authorized bodies, in connection with the execution of the Data Processing Agreement, including in the event of a claim about the unlawfulness of the Processor’s processing of Personal Data processed by the Controller using the Platform, which will result in a court order on the collection of funds from the Processor, which has entered into legal force, the latter shall be entitled to demand from the Controller compensation to the Processor for expenses incurred in the process of resolving a legal dispute and in execution of a court decision, as well as all legal costs and losses incurred by the Processor in full.

4.13. The Controller shall bear the risk of being unable to use the Website and/or Platform arising as a result of the Processor’s fulfilling the obligation to stop processing the Personal Data on the basis of the Controller’s Data Processing Agreement.

5. Confidencialidade e segurança

5.1. O Controlador se compromete a estabelecer requisitos para a proteção dos Dados Pessoais processados de acordo com a Lei, sendo que essa obrigação se aplica exclusivamente ao Controlador e não deve ser interpretada como o estabelecimento de requisitos para a proteção dos Dados Pessoais processados determinados pelo Controlador ao Processador.

5.2. O Processador deverá tomar as medidas de confidencialidade e segurança necessárias ao executar o Contrato de Processamento de Dados usando ferramentas de automação de acordo com os requisitos especificados na Lei. Informações mais detalhadas são fornecidas na Política de Privacidade.

6. Violação da segurança da informação

6.1. O Controlador tomará as medidas necessárias e suficientes, incluindo o monitoramento e o gerenciamento do acesso à Plataforma, a fim de evitar violações da segurança das informações ao processar Dados Pessoais usando a Plataforma. A responsabilidade por escolher as medidas de proteção e segurança necessárias, a suficiência e a confiabilidade dessas medidas é do Controlador. No caso de uma Violação da Segurança da Informação devido a ações ou inação do Controlador, este se compromete a notificar o Processador imediatamente, mas não mais do que 48 (quarenta e oito) horas a partir da data de detecção do evento, e o Processador será isento da responsabilidade pela segurança e confidencialidade dos dados processados no âmbito do Contrato de Processamento de Dados.

6.2. Se o Processador tomar conhecimento de qualquer violação de segurança que resulte em transferência (fornecimento, distribuição, acesso) acidental ou ilegal de Dados Pessoais (doravante denominada "Violação de Segurança da Informação") e que acarrete riscos à privacidade, confidencialidade e segurança dos Titulares de Dados Pessoais, cujos Dados Pessoais tenham sido afetados por uma violação de segurança (conforme definido no Artigo 34 da Lei), o Processador deverá, imediatamente após tomar conhecimento, (1) notificar o Controlador sobre a Violação de Segurança da Informação e (2) tomar medidas razoáveis para mitigar as consequências e minimizar qualquer dano resultante da Violação de Segurança da Informação.

6.3. O Processador deverá fornecer ao Controlador as informações e o suporte necessários e suficientes relacionados a tal evento que o Controlador possa precisar para cumprir suas obrigações nos termos da Lei, bem como para reduzir as consequências negativas que possam surgir como resultado de tal evento.

6.4. A obrigação do Processador de relatar ou responder a tal Violação de Segurança da Informação de acordo com esta seção não constituirá uma admissão por parte do Processador de qualquer falha ou responsabilidade em relação à Violação de Segurança da Informação.

7. Lei Aplicável e Resolução de Disputas

7.1. Este Contrato será regido e estará sujeito à interpretação de acordo com a legislação dos Emirados Árabes Unidos.

7.2. Todas as controvérsias que possam surgir entre as Partes no decorrer da execução do Contrato deverão ser resolvidas por meio de negociações.

7.3. O Processador se reserva o direito de alterar e/ou complementar unilateralmente os termos e condições do Contrato de Processamento de Dados, publicando o texto alterado na Internet no seguinte link: https://tilda.cc/dpa/. A cada uso efetivo da Plataforma para processamento de Dados Pessoais, o Controlador confirma sua concordância com os termos e condições do Contrato de Processamento de Dados na versão em vigor no momento do uso efetivo da Plataforma para processamento de Dados Pessoais.

A versão atual do Contrato de Processamento de Dados é datada de 31.05.2024