Contrato de processamento de dados

O uso da plataforma envolve a coleta e o tratamento de dados pessoais. Quando você fornece seus dados pessoais, por exemplo, durante o cadastro ou o pagamento de um plano, nós os tratamos de acordo com a Política de Privacidade.

Se você publicar informações sobre pessoas físicas no site, utilizar formulários de coleta de dados, o sistema de gestão de relacionamento com o cliente, ferramentas para a criação de lojas online, cursos de treinamento, bem como ativar análises estatísticas avançadas, você se torna o responsável pelo tratamento dos dados pessoais de terceiros. Processamos esses dados na qualidade de subcontratante, agindo em seu nome.

Este Acordo de Tratamento de Dados (doravante denominado “DPA”) é parte integrante dos Termos de Serviço (doravante denominados “Acordo”). Todos os termos e definições são utilizados no DPA com o mesmo significado que no Acordo. Os termos relacionados ao tratamento de dados pessoais devem ser interpretados conforme previsto na legislação aplicável.

1. Condições gerais de tratamento

1.1. Objeto. A fim de cumprir as obrigações decorrentes do Contrato, o Usuário instrui, e a Administração se compromete a tratar os dados pessoais de terceiros coletados ou tratados de outra forma por meio das funcionalidades da Plataforma.

As disposições do DPA constituirão instruções documentadas do Usuário, nos termos da legislação aplicável em matéria de proteção de dados.

1.2. Categorias de titulares de dados. Para os fins do DPA, terceiros podem incluir quaisquer pessoas físicas, incluindo:
1) funcionários , consultores, prestadores de serviços, parceiros comerciais e pessoas de contato cujas informações sejam publicadas ou disponibilizadas de outra forma no Projeto do Usuário;
2) candidatos , clientes ou parceiros atuais ou potenciais do Usuário que enviem dados pessoais por meio de formulários de coleta de dados no Projeto do Usuário;
3) visitantes do Projeto do Usuário cujas informações sejam coletadas automaticamente.

1.3. Finalidade do Tratamento e Categorias de Dados Pessoais. A Administração tratará dados pessoais em nome do Usuário no âmbito a seguir:

Objetivo	Categorias de dados pessoais
Publicação de informações sobre pessoas nos Projetos	A lista é definida pelo usuário de forma independente, com base nas funcionalidades da plataforma, e não é controlada pela administração
Utilização de formulários de coleta de dados, do Tilda CRM, criação de lojas online e cursos de treinamento por meio da Conta Pessoal, carrinho de compras, sistemas de pagamento e/ou serviços de entrega nos Projetos	Dependendo da funcionalidade utilizada e de suas configurações, os dados pessoais tratados podem incluir: nome, endereço de e-mail, número de telefone, endereço, últimos 4 dígitos do cartão de crédito, data de validade do cartão de crédito, informações sobre pedidos, histórico de pedidos e informações sobre produtos adquiridos. Qualquer outra lista é determinada pelo Usuário de forma independente, com base nas funcionalidades da Plataforma, e não é controlada pela Administração
Utilizando as estatísticas internas dos projetos na plataforma, desde que o modo simplificado nas configurações do projeto tenha sido desativado pela opção “Usar”	Fontes de redirecionamento, endereço IP, incluindo país e cidade por IP. Cookies de estatísticas: URL anterior, tildasid e tildauid, TILDAUTM
Integração com serviços de terceiros, incluindo serviços de análise e estatística	Cookies definidos de forma independente pelo usuário e pelo proprietário do serviço de terceiros
Aplicação de sistemas de proteção e segurança	Endereços IP, cookies essenciais para proteger o Projeto contra ataques DDoS – __ddgN, em que N é qualquer número, _ddgid e __ddgmark, e cookies para impedir o acesso não autorizado

1.4. Restrições ao tratamento de dados. O Usuário avalia de forma independente a legalidade do tratamento de dados pessoais na Plataforma, bem como a possibilidade de autorizar a Administração a tratar tais dados. O Usuário aceita e reconhece que:
1) a Administração não trata dados pessoais relativos à saúde, dados genéticos, dados biométricos ou outras categorias especiais de dados pessoais;
2) tA funcionalidade que permite publicar Conteúdo nos Projetos não se destina à publicação de imagens que contenham dados pessoais, incluindo fotos de pessoas e cópias digitalizadas de documentos.

1.5. Duração do tratamento. A Administração tratará os dados pessoais de terceiros durante a vigência do Contrato ou por qualquer período adicional necessário para o cumprimento das obrigações decorrentes do Contrato, até que tais dados sejam apagados de acordo com os procedimentos estabelecidos na Lei de Proteção de Dados.

2. Responsabilidades, garantias e declarações do usuário

2.1. Organização do tratamento de dados pessoais na Plataforma. O Usuário, na qualidade de responsável pelo tratamento, organiza de forma independente o tratamento dos dados pessoais dos indivíduos na Plataforma. O Usuário determina as finalidades e os fundamentos para o tratamento de dados pessoais, bem como a sua composição e a lista de ações e operações a serem realizadas.

2.2. Garantia da conformidade legal. Ao tratar dados pessoais no Projeto, o Usuário deve garantir, de forma independente, o cumprimento da legislação aplicável. Em particular, o Usuário, sem o envolvimento da Administração:
1) estabelece o procedimento para a coleta de consentimentos para o tratamento de dados pessoais no Projeto, incluindo o uso de formulários de coleta de dados e/ou serviços de análise;
2) publica uma política de privacidade ou aviso de privacidade no Projeto;
3) nomeia pessoas responsáveis e elabora um conjunto de documentos internos que regulamentam o tratamento de dados.

2.3. Existência de um fundamento jurídico. Ao processar dados pessoais na Plataforma, o Usuário declara e garante que obteve os consentimentos dos titulares dos dados ou outra base legal para o processamento dos dados e sua transferência para a Administração nos termos da DPA.

Mediante solicitação da Administração enviada ao endereço de e-mail do Usuário especificado na Conta, o Usuário compromete-se a fornecer documentos que confirmem a existência de bases legais para o processamento no prazo de 24 horas após o recebimento da solicitação.

2.4. Conexão com Serviços de Terceiros. Ao utilizar a Plataforma, pode ser oferecida ao Usuário a conexão com Serviços de Terceiros que coletam ou de outra forma processam dados pessoais, incluindo serviços de coleta de dados, sistemas de pagamento e/ou serviços de entrega.

O processamento de dados por Serviços de Terceiros é realizado por seus proprietários, agindo independentemente da Administração e não em nome e/ou por conta da Administração. A Administração não se responsabiliza pelo processamento de dados pessoais por parte dos proprietários de Serviços de Terceiros.

O Usuário compromete-se a garantir, de forma independente, a legalidade do tratamento de dados pessoais ao conectar Serviços de Terceiros, incluindo a emissão de instruções separadas para o tratamento junto aos seus proprietários.

2.5. Transferências Transfronteiriças. Ao utilizar a funcionalidade da Plataforma, pode ocorrer a transferência transfronteiriça de dados pessoais de terceiros por iniciativa do Usuário, em particular, quando:
1) alterar o país de perfil do Usuário;
2) conceder acesso a um Projeto a um Usuário com outro país de perfil;
3) transferir um Projeto para a Conta de um Usuário com outro país de perfil.
4) conectar Serviços de Terceiros ao Projeto.

O Usuário compromete-se a garantir, de forma independente, a segurança da transferência transfronteiriça de dados pessoais, de acordo com os requisitos da legislação aplicável.

3. Transferências de dados pessoais pela Administração

3.1. Transferências a terceiros. A Administração transfere dados pessoais com base em contratos de tratamento de dados para os seguintes subcontratantes:
1) Hetzner Online GmbH – para armazenamento de dados pessoais em servidores;
2) G-Core Labs SA – para armazenamento e backup de Projetos do Usuário;
3) Google Cloud EMEA Limited – para garantir a segurança da informação dos Projetos.

O Usuário concede à Administração, por meio deste, autorização geral por escrito para contratar os subcontratantes especificados para o tratamento de dados pessoais.

Todos os processadores que tratam dados pessoais em nome da Administração comprometem-se a cumprir as medidas de confidencialidade, proteção e segurança exigidas pela legislação aplicável.

Sujeito às limitações de responsabilidade aqui estabelecidas, a Administração permanece responsável perante o Usuário por atos e/ou omissões dos processadores contratados.

3.2. Alterações na Lista de Processadores Contratados. A Administração tem o direito de envolver outros terceiros no tratamento de dados pessoais, mediante notificação prévia ao Usuário. A notificação é enviada para o endereço de e-mail utilizado para autorização na Plataforma, ou mediante a publicação de informações relevantes na Conta Pessoal.

O Usuário tem o direito de apresentar objeções fundamentadas à alteração na lista de processadores contratados no prazo de 10 dias a partir da data da notificação. Ao mesmo tempo, o Usuário compreende e reconhece que:
1) a contratação de terceiros pode ser necessária para o cumprimento adequado das obrigações da Administração nos termos do Contrato;
2) caso sejam recebidas objeções, a Administração poderá rescindir unilateralmente o Contrato extrajudicialmente.

3.3. Segurança das transferências transfronteiriças. A Administração realiza transferências transfronteiriças de dados pessoais no território de:
1) Estados-Membros da União Europeia – para fins de armazenamento e segurança da informação;
2) Estados Unidos da América – para armazenamento e backup dos Projetos do Usuário.

Antes de iniciar uma transferência transfronteiriça, a Administração determinará se o país para o qual os dados pessoais são transferidos é reconhecido como oferecendo um nível adequado de proteção de dados, de acordo com a legislação aplicável.

Ao transferir dados pessoais para um país que não garanta o nível de proteção exigido, a Administração compromete-se a celebrar cláusulas contratuais-tipo com o destinatário ou a garantir a aplicação de regras corporativas vinculativas.

4. Segurança do tratamento

4.1. Medidas implementadas. A Administração deve manter a confidencialidade e garantir a segurança dos dados pessoais de acordo com a legislação aplicável, incluindo:
1) manter registros das atividades de tratamento;
2) definir uma lista de pessoas autorizadas a coletar e tratar dados pessoais ou a ter acesso a eles;
3) estabelecer procedimentos de controle de acesso aos dados pessoais;
4) utilizar canais de comunicação seguros e criptografia;
5) aplicação de técnicas de pseudonimização, incluindo o uso de IDs nos sistemas internos da Administração;
6) implementação de mecanismos de identificação e/ou autenticação no tratamento de dados pessoais;
7) uso de sistemas de backup e recuperação;
8) avaliação e gestão de riscos de segurança da informação;
9) abordagem dos requisitos de proteção e segurança de dados em contratos e/ou acordos de tratamento de dados com prestadores de serviços;
10) realização de auditorias técnicas regulares.

4.2. Violação de dados pessoais. Caso seja identificada uma violação de dados pessoais, resultando na destruição acidental ou ilícita, perda, alteração, divulgação não autorizada e/ou acesso a dados pessoais de terceiros, a Administração é obrigada a notificar o Usuário sobre essa violação sem demora injustificada.

A notificação deverá incluir uma descrição da natureza da violação, as possíveis consequências para os titulares dos dados e as medidas que a Administração tomou e/ou pretende tomar para mitigar tais consequências.

Ao mesmo tempo, o Usuário compreende e reconhece que a notificação de uma violação de dados pessoais não pode, em hipótese alguma, ser considerada uma admissão de culpa e/ou responsabilidade por parte da Administração.

5. Assistência ao usuário

5.1. Fornecimento de informações e auditoria. A pedido do Usuário, durante a vigência do DPA, a Administração é obrigada a fornecer documentos e outras informações que comprovem que foram tomadas medidas e que estas estão sendo cumpridas para a execução do DPA. No entanto, o Usuário poderá apresentar tais solicitações no máximo uma vez a cada 3 meses.

Mediante solicitação por escrito do Usuário, a Administração compromete-se a auxiliar na realização de auditorias ou inspeções, fornecendo ao Usuário as informações necessárias sobre os procedimentos de tratamento de dados pessoais.

5.2. Assistência no cumprimento das obrigações. Como regra geral, o Usuário, na qualidade de controlador de dados pessoais, deve garantir de forma independente o cumprimento dos requisitos estabelecidos pela legislação aplicável.

No entanto, levando em conta a natureza do tratamento, mediante solicitação por escrito do Usuário, a Administração prestará assistência razoável no cumprimento das obrigações relacionadas a:
1) garantir a segurança do tratamento;
2) preparar notificações de violações de dados pessoais;
3) realizar avaliações de impacto sobre a proteção de dados;
4) realizar consultas prévias com autoridades de supervisão;
5) processar solicitações dos titulares de dados por meio da implementação de medidas técnicas e organizacionais adequadas, na medida do possível, dada a natureza do tratamento.

6. Exclusão de dados pessoais

6.1. Garantia dos direitos dos titulares dos dados. O usuário compromete-se a tratar os dados pessoais na Plataforma até que as finalidades do tratamento sejam cumpridas. Caso o consentimento para o tratamento de dados pessoais seja retirado, ou os fundamentos que permitem tal tratamento sejam extintos, o Usuário deverá garantir, por conta própria, a eliminação dos dados pessoais.

6.2. Procedimento de devolução ou eliminação. Mediante recebimento de uma solicitação específica, a Administração deverá, conforme a escolha do Usuário, eliminar ou devolver os dados pessoais recebidos do Usuário dentro de um prazo não superior a 30 dias, a menos que outro prazo seja estabelecido pela legislação aplicável.

A Administração também excluirá os dados pessoais após o término do período de retenção estabelecido na Plataforma ou determinado independentemente pelo Usuário. Em particular, ao utilizar formulários de coleta de dados no Projeto, o período de retenção de dados será definido por meio das configurações relevantes do Projeto.

Ao mesmo tempo, a Administração terá o direito de não excluir e/ou não devolver os dados pessoais recebidos do Usuário quando o direito ou a obrigação de reter tais dados estiver previsto na legislação aplicável.

6.3. Bloqueios e restrições na Plataforma. Em caso de violação ou suspeita razoável de que o Usuário tenha violado o Contrato e/ou a legislação aplicável, a Administração terá o direito de bloquear a conta do Usuário, bem como tomar outras medidas previstasno Contrato.

O Usuário compreende e reconhece que, caso a Administração tome medidas administrativas, os dados pessoais tratados nos termos do DPA poderão ser excluídos sem possibilidade de recuperação posterior.

7. Responsabilidade civil, indenização por perdas

7.1. Responsabilidade da Administração. A Administração não se responsabiliza pelas ações do Usuário no tratamento de dados pessoais na Plataforma. Quaisquer reclamações, exigências ou queixas de terceiros relacionadas ao tratamento de seus dados pessoais devem ser resolvidas diretamente pelo Usuário, sem o envolvimento da Administração.

A Administração também não se responsabiliza por atos e/ou omissões relacionados ao tratamento de dados pessoais de terceiros, nos casos em que a Administração tenha agido exclusivamente de acordo com as instruções do Usuário.

Em qualquer caso, a responsabilidade da Administração não excederá o valor do custo do Plano pago pelo Usuário e válido durante o período de ocorrência dos eventos que constituem a base para o surgimento da responsabilidade patrimonial da Administração.

7.2. Responsabilidade do Usuário e Indenização por Perdas. O Usuário, na qualidade de controlador de dados nos termos da legislação da Federação Russa, é individualmente responsável perante os titulares dos dados pessoais pela legalidade do tratamento de dados pessoais.

Caso seja instaurado um processo judicial e/ou administrativo contra a Administração, seja movida uma ação judicial ou seja apresentada uma reclamação por qualquer parte devido à violação, por parte do Usuário, do procedimento de tratamento de dados pessoais, o Usuário é obrigado a indenizar a Administração por todas as perdas, incluindo despesas legais razoáveis.

8. Diversos

8.1. Lei Aplicável. Independentemente das disposições do Contrato, o tratamento de dados pessoais nos termos destas Instruções será regido e interpretado de acordo com as leis dos Emirados Árabes Unidos.

Quando os titulares dos dados cujos dados pessoais são tratados pela Administração estiverem localizados num Estado-Membro da União Europeia e/ou do Espaço Económico Europeu, o tratamento de dados pessoais estará também sujeito às disposições do Regulamento Geral sobre a Proteção de Dados.

8.2. Cláusulas Contratuais Padrão. O tratamento de dados pessoais de indivíduos localizados na União Europeia e/ou no Espaço Econômico Europeu pela Administração será adicionalmente regido pelas Cláusulas Contratuais Padrão.

De acordo com o Regulamento Geral de Proteção de Dados, essas Cláusulas Contratuais Padrão garantem a legalidade das transferências de dados pessoais para os Emirados Árabes Unidos.

Em caso de qualquer conflito entre estas Instruções e as disposições das Cláusulas Contratuais Padrão, prevalecerão as Cláusulas Contratuais Padrão.