Contrato de Processamento de Dados (AVV)

Este Contrato de Processamento de Dados (doravante „AVV“) e celebrado entre:

Responsavel (Contratante):
O respectivo usuario (doravante „Cliente“) que se registra no emlyx e utiliza o Servico.

Operador de Tratamento (Contratado):
PROXALY OÜ
Sepapaja tn 6, 15551 Tallinn, Estonia
E-mail: info@proxaly.com
(doravante „Fornecedor“)

Cliente e Fornecedor sao doravante denominados individualmente tambem como „Parte“ e conjuntamente como „Partes“.

Este AVV complementa os Termos e Condicoes Gerais e a Politica de Privacidade do emlyx e torna-se parte integrante do contrato com o registro do Cliente.

1.1 O Fornecedor processa dados pessoais por conta do Cliente no ambito da disponibilizacao do servico de envio de e-mails „emlyx“. O Fornecedor atua, nesse caso, como operador de tratamento nos termos do Art. 28 RGPD.

1.2 A duracao do processamento por conta de terceiros corresponde a vigencia do contrato principal (utilizacao do Servico conforme os Termos). O AVV termina automaticamente com o encerramento do contrato principal, sem prejuizo de eventuais obrigacoes de exclusao conforme a Secao 9 deste AVV.

2.1 O processamento serve exclusivamente a prestacao do servico de envio de e-mails, em particular:

• Recebimento e encaminhamento de e-mails do Cliente ao servico de entrega de e-mails
• Armazenamento de logs de e-mail e informacoes de status de entrega
• Disponibilizacao do painel de controle para gerenciamento e visualizacao de dados de e-mail
• Opcional: rastreamento de aberturas/cliques (quando ativado pelo Cliente)

2.2 O processamento e realizado exclusivamente no ambito das instrucoes do Cliente (cf. Secao 5) e nao serve a nenhuma finalidade propria do Fornecedor.

3.1 As seguintes categorias de dados pessoais sao processadas no ambito do processamento por conta de terceiros:

• Enderecos de e-mail dos destinatarios
• Informacoes do remetente (nome, endereco de e-mail)
• Assunto do e-mail
• Conteudo do e-mail (corpo HTML)
• Status de entrega (entregue, falhou, rejeitado etc.)
• Carimbos de data/hora (momento do envio, momento da entrega)
• Opcional: dados de rastreamento de aberturas/cliques (momento da abertura, links clicados, endereco IP, User-Agent)

3.2 Categorias especiais de dados pessoais nos termos do Art. 9 RGPD nao sao objeto do processamento. O Cliente e obrigado a garantir que nenhuma categoria especial de dados pessoais seja processada por meio do Servico, a menos que possua base legal suficiente e medidas de protecao adequadas.

4.1 Sao afetados pelo processamento:

• Destinatarios dos e-mails enviados pelo Cliente por meio do Servico (por exemplo, clientes do Cliente, assinantes de newsletters, visitantes do site, parceiros comerciais)

4.2 A determinacao concreta dos titulares dos dados cabe ao Cliente como responsavel.

5.1 O Cliente e responsavel, no ambito deste AVV, pelo cumprimento das disposicoes de protecao de dados, em particular pela legalidade do processamento de dados e pela protecao dos direitos dos titulares dos dados (Art. 12–22 RGPD).

5.2 O Cliente emite instrucoes ao Fornecedor quanto a natureza, escopo e procedimento do processamento de dados. As instrucoes estao estabelecidas neste AVV e nos Termos. Instrucoes individuais que vao alem do processamento previsto neste AVV requerem forma escrita (e-mail e suficiente).

5.3 O Cliente tem o direito de verificar o cumprimento das disposicoes deste AVV e das normas de protecao de dados pelo Fornecedor (cf. Secao 8).

5.4 O Cliente informa o Fornecedor imediatamente caso identifique erros ou irregularidades no processamento de dados pessoais.

6.1 Vinculacao a instrucoes

O Fornecedor processa dados pessoais exclusivamente com base em instrucoes documentadas do Cliente (Art. 28, par. 3, alinea a, RGPD), salvo se for obrigado a processar pelo direito da Uniao ou pelo direito de um Estado-Membro. Nesse caso, o Fornecedor informa o Cliente previamente sobre essa obrigacao legal, a menos que o direito aplicavel proiba tal informacao por motivo de interesse publico relevante.

Caso o Fornecedor considere que uma instrucao do Cliente viola disposicoes de protecao de dados, devera informar o Cliente imediatamente. O Fornecedor tem o direito de suspender a execucao da instrucao em questao ate a confirmacao ou alteracao pelo Cliente.

6.2 Confidencialidade

O Fornecedor garante que as pessoas envolvidas no processamento de dados pessoais estejam comprometidas com a confidencialidade ou sujeitas a uma obrigacao legal de sigilo adequada (Art. 28, par. 3, alinea b, RGPD).

6.3 Medidas tecnicas e organizacionais

O Fornecedor adota todas as medidas tecnicas e organizacionais necessarias conforme o Art. 32 RGPD para a protecao dos dados pessoais processados. As medidas concretas estao descritas no Anexo 1 (Medidas tecnicas e organizacionais) deste AVV.

O Fornecedor verifica regularmente a eficacia dessas medidas e as adapta conforme necessario ao estado da tecnica. Alteracoes sao admissiveis desde que o nivel de protecao nao seja reduzido.

6.4 Suboperadores de tratamento

A contratacao de suboperadores de tratamento rege-se pela Secao 7 deste AVV.

6.5 Apoio aos direitos dos titulares dos dados

O Fornecedor apoia o Cliente, na medida do possivel, com medidas tecnicas e organizacionais adequadas no cumprimento de suas obrigacoes de responder a solicitacoes de titulares dos dados para exercicio de seus direitos conforme o Capitulo III do RGPD (Art. 28, par. 3, alinea e, RGPD), em particular em relacao a direitos de acesso, retificacao, exclusao e portabilidade.

Caso um titular dos dados se dirija diretamente ao Fornecedor com uma solicitacao, o Fornecedor encaminhara essa solicitacao imediatamente ao Cliente.

6.6 Apoio as obrigacoes de protecao de dados

O Fornecedor apoia o Cliente, considerando a natureza do processamento e as informacoes disponiveis, no cumprimento das obrigacoes previstas nos Art. 32–36 RGPD, em particular:

• Garantia da seguranca do processamento (Art. 32 RGPD)
• Notificacao de violacoes da protecao de dados pessoais a autoridade de supervisao (Art. 33 RGPD)
• Comunicacao aos titulares dos dados afetados (Art. 34 RGPD)
• Realizacao de avaliacoes de impacto sobre a protecao de dados (Art. 35 RGPD)

O Fornecedor informa o Cliente imediatamente caso tome conhecimento de uma violacao da protecao de dados pessoais.

6.7 Exclusao e devolucao de dados

A exclusao e devolucao de dados pessoais rege-se pela Secao 9 deste AVV.

6.8 Direitos de controle e informacao

Os direitos de controle e informacao do Cliente regem-se pela Secao 8 deste AVV.

7.1 O Cliente concede ao Fornecedor, por meio deste documento, a autorizacao geral por escrito para contratar outros operadores de tratamento (suboperadores de tratamento) para o cumprimento de suas obrigacoes contratuais (Art. 28, par. 2, RGPD).

7.2 Na data de celebracao deste AVV, o Fornecedor utiliza os seguintes suboperadores de tratamento:

7.3 O Fornecedor informara o Cliente sobre qualquer alteracao pretendida em relacao a contratacao ou substituicao de suboperadores de tratamento. A informacao sera realizada por e-mail ou pelo painel de controle com pelo menos 14 dias de antecedencia da alteracao pretendida.

7.4 O Cliente tem o direito de se opor a alteracao pretendida dentro de 14 dias apos o recebimento da informacao. A oposicao deve ser fundamentada (em particular, preocupacoes relativas a protecao de dados). Caso o Cliente apresente oposicao fundamentada, as Partes se esforcarao para encontrar uma solucao amigavel. Caso nao seja possivel, o Cliente tera um direito especial de rescisao na data da alteracao pretendida.

7.5 O Fornecedor garante que com cada suboperador de tratamento seja celebrado um contrato que imponha pelo menos as mesmas obrigacoes de protecao de dados estabelecidas neste AVV (Art. 28, par. 4, RGPD). O Fornecedor e responsavel perante o Cliente pelo cumprimento das obrigacoes de protecao de dados pelo suboperador de tratamento.

8.1 O Fornecedor disponibiliza ao Cliente todas as informacoes necessarias para comprovar o cumprimento das obrigacoes previstas no Art. 28 RGPD e permite verificacoes – incluindo inspecoes – realizadas pelo Cliente ou por um auditor por ele designado (Art. 28, par. 3, alinea h, RGPD).

8.2 Inspecoes presenciais sao possiveis nas seguintes condicoes:

• O Cliente comunica a inspecao com antecedencia minima de 30 dias por escrito
• A inspecao ocorre durante o horario comercial habitual e nao pode prejudicar desproporcionalmente as operacoes comerciais
• O auditor esta sujeito a obrigacao de confidencialidade
• As inspecoes sao limitadas a uma por ano calendario, salvo se houver motivo concreto (por exemplo, incidente de protecao de dados, solicitacao de uma autoridade de supervisao)

8.3 O Fornecedor pode, alternativamente, apresentar certificacoes atuais, relatorios de auditoria ou atestados de entidades independentes, desde que comprovem suficientemente o cumprimento das obrigacoes deste AVV.

8.4 Os custos de uma inspecao sao suportados pelo Cliente, salvo se a inspecao revelar violacoes substanciais do Fornecedor em relacao a este AVV.

9.1 Durante a vigencia do contrato, os dados processados por conta do Cliente sao armazenados durante toda a duracao da relacao contratual. Isso inclui, em particular:

• Logs de e-mail (status de entrega, metadados): ate a exclusao da conta
• Conteudo de e-mails (corpo HTML): ate a exclusao da conta
• Dados de rastreamento de aberturas/cliques: ate a exclusao da conta

9.2 Apos o encerramento do contrato principal, o Fornecedor excluira todos os dados pessoais processados por conta do Cliente dentro de 30 dias, salvo se houver obrigacao legal de armazenamento (Art. 28, par. 3, alinea g, RGPD).

9.3 O Cliente tem a possibilidade de exportar seus dados antes do termino do contrato por meio do painel de controle. O Fornecedor se esforcaraa – desde que tecnicamente possivel – para conceder ao Cliente apos o termino do contrato um prazo de pelo menos 7 dias para exportacao de dados.

9.4 A exclusao abrange tambem os dados nos suboperadores de tratamento. O Fornecedor garante que os suboperadores de tratamento estejam obrigados a realizar a exclusao dentro do prazo.

9.5 O Fornecedor confirma ao Cliente a exclusao completa mediante solicitacao por escrito.

10.1 A transmissao de dados pessoais a um pais terceiro (fora do EEE) ou a uma organizacao internacional ocorre apenas com base em um dos pressupostos previstos nos Art. 44–49 RGPD.

10.2 Na medida em que o suboperador de tratamento Resend (EUA) e utilizado, a transmissao de dados para os EUA ocorre com base nas seguintes fundamentacoes:

• Primaria: Decisao de adequacao da Comissao Europeia para o EU-US Data Privacy Framework (Art. 45 RGPD)
• Complementar / Alternativa: Clausulas Contratuais Padrao da UE (Standard Contractual Clauses, SCC) conforme o Art. 46, par. 2, alinea c, RGPD, na versao da Decisao de Execucao (UE) 2021/914

10.3 O Fornecedor garante que nas transferencias de dados para paises terceiros seja assegurado um nivel de protecao de dados adequado ao nivel de protecao do RGPD. Medidas complementares (por exemplo, criptografia, pseudonimizacao) sao adotadas conforme necessario.

10.4 Caso uma decisao de adequacao seja revogada ou perca sua validade, o Fornecedor assegurara imediatamente garantias alternativas conforme o Art. 46 RGPD ou cessara a transmissao de dados.

11.1 Este AVV rege-se pelo direito da Republica Federal da Alemanha, na medida em que disposicoes obrigatorias de protecao de dados do direito da Uniao nao prevalecerem.

11.2 Em caso de conflito entre este AVV e os Termos ou outros acordos entre as Partes, prevalecem as disposicoes deste AVV no que se refere a protecao de dados pessoais.

11.3 Caso disposicoes individuais deste AVV sejam ou se tornem invalidas ou inexequiveis, a validade das demais disposicoes permanece inalterada. As Partes substituirao a disposicao invalida por uma regulamentacao que mais se aproxime da finalidade de protecao de dados da disposicao invalida.

11.4 Alteracoes e complementos a este AVV requerem forma escrita (e-mail e suficiente). Nao existem acordos verbais complementares.

11.5 Este AVV entra em vigor com o registro do Cliente no emlyx.

1. Confidencialidade (Art. 32, par. 1, alinea b, RGPD)

1.1 Controle de acesso

• Autenticacao baseada em token de API para acesso ao envio de e-mails
• Controle de acesso baseado em funcoes no painel de controle
• Protecao por senha com hashing bcrypt
• Tokens de API armazenados com criptografia AES-256

1.2 Controle de separacao

• Separacao de mandantes por IDs de projeto unicos
• Separacao logica dos dados de clientes no nivel do banco de dados

2. Integridade (Art. 32, par. 1, alinea b, RGPD)

2.1 Controle de transmissao

• Criptografia TLS para todas as transmissoes de dados (HTTPS)
• Comunicacao criptografada com suboperadores de tratamento

2.2 Controle de entrada

• Registro de operacoes de envio de e-mail com carimbos de data/hora
• Rastreabilidade por meio do painel de controle (logs de e-mail)

3. Disponibilidade e Resiliencia (Art. 32, par. 1, alineas b, c, RGPD)

• Hospedagem na Hetzner Cloud (centros de dados na Alemanha)
• Backups automaticos dos bancos de dados
• Monitoramento da disponibilidade do sistema

4. Procedimentos de Verificacao Regular (Art. 32, par. 1, alinea d, RGPD)

• Verificacao e atualizacao regulares das medidas tecnicas e organizacionais
• Adaptacao ao estado da tecnica