v56
Início Workshops Value Creation Value Validation Sobre Ferramentas
Recursos
ISO 56001 ISO 56001 para AEC Pensamento
Contato
EN · PT
Início Workshops Value Creation Value Validation Sobre Ferramentas

Recursos

ISO 56001 ISO 56001 para AEC Pensamento Contato
EN · PT

Contrato de Processamento de Dados

Versão 1.0 — em vigor a partir de 13 de maio de 2026.

Esta é uma tradução informativa. Em caso de conflito ou dúvida de interpretação, a versão em inglês (English) é a que prevalece legalmente.

Este Contrato de Processamento de Dados ("DPA") faz parte dos Termos de Serviço entre você ("Cliente", atuando como Controlador) e a 98M7 Group OÜ ("98M7", atuando como Operadora). Ele estabelece como a 98M7 processa dados pessoais em nome do Cliente em conexão com os Serviços. Ao aceitar os Termos de Serviço, você aceita este DPA; nenhuma assinatura separada é exigida.

1. Definições

Termos não definidos neste DPA têm os significados atribuídos pelo GDPR. "Dados Pessoais do Cliente" significa dados pessoais que a 98M7 processa em nome do Cliente nos termos dos Termos de Serviço. "Lei de Proteção de Dados Aplicável" significa o Regulamento Geral de Proteção de Dados da UE (Regulamento (UE) 2016/679), o UK GDPR e o Data Protection Act 2018, a California Consumer Privacy Act / CPRA, e qualquer outra lei equivalente aplicável ao processamento.

2. Papéis

O Cliente é o Controlador dos Dados Pessoais do Cliente. A 98M7 é a Operadora. Quando a lei tratar qualquer uma das partes como Controlador Conjunto para um processamento específico, as partes acordarão por escrito as responsabilidades exigidas pelo Artigo 26 do GDPR.

3. Objeto, duração, natureza, finalidade, categorias

Objeto e duração. Processamento de Dados Pessoais do Cliente conforme necessário para prestar os Serviços, pelo prazo dos Termos de Serviço e de qualquer período de encerramento gradual.
Natureza e finalidade. Hospedar, transmitir, exibir, armazenar, proteger, suportar e aprimorar os Serviços para o Cliente.
Categorias de titulares dos dados. Usuários autorizados do Cliente, os próprios clientes do Cliente, prospects e contatos cujos dados o Cliente opte por enviar, e qualquer outra pessoa física cujos dados o Cliente submeta aos Serviços.
Categorias de dados pessoais. Tipicamente: nomes, dados de contato, credenciais de conta, dados profissionais e de emprego, conteúdo enviado por usuários, dados de uso e de eventos, identificadores técnicos (IP, dispositivo, navegador). A 98M7 não exige que o Cliente submeta dados de categoria especial, e o Cliente não deve submetê-los a menos que estritamente necessário; quando o Cliente o fizer, é responsabilidade do Cliente garantir uma condição válida nos termos do Artigo 9.

4. Instruções do Cliente

A 98M7 processa Dados Pessoais do Cliente apenas conforme instruções documentadas do Cliente. Os Termos de Serviço, este DPA e o uso dos Serviços pelo Cliente (incluindo escolhas de configuração no produto) constituem as instruções documentadas do Cliente. A 98M7 informará o Cliente caso uma instrução infrinja a Lei de Proteção de Dados Aplicável (sem prejuízo de qualquer obrigação que a 98M7 possa ter de cumprir uma exigência legal que prevaleça sobre as instruções do Cliente, caso em que a 98M7 informará o Cliente sobre a exigência antes do processamento, quando a lei permitir).

5. Confidencialidade

A 98M7 garante que os colaboradores autorizados a processar Dados Pessoais do Cliente estejam vinculados a obrigações adequadas de confidencialidade.

6. Segurança

A 98M7 implementa medidas técnicas e organizacionais adequadas para proteger os Dados Pessoais do Cliente contra destruição, perda, alteração, divulgação ou acesso não autorizados, acidentais ou ilícitos. Essas medidas estão descritas no Anexo II abaixo e são revisadas periodicamente. A 98M7 pode atualizá-las desde que o nível geral de proteção não seja reduzido.

7. Suboperadores

O Cliente concede à 98M7 autorização geral por escrito para contratar suboperadores. A 98M7 mantém uma lista atualizada em vector56.com/subprocessors e notificará o Cliente com pelo menos 30 dias de antecedência sobre qualquer adição ou substituição (atualizando a página e, para clientes inscritos em notificações de alteração de suboperadores, por e-mail). O Cliente pode se opor a uma alteração por motivos razoáveis de proteção de dados durante o período de notificação; caso as partes não cheguem a um acordo, o Cliente pode rescindir os Serviços afetados e receber o reembolso dos créditos pré-pagos não utilizados para esses Serviços.

A 98M7 vincula cada suboperador, por escrito, a obrigações de proteção de dados não menos protetivas do que as deste DPA, e permanece responsável perante o Cliente pelos atos e omissões de seus suboperadores.

8. Direitos dos titulares dos dados

A 98M7, considerando a natureza do processamento, auxiliará o Cliente por meio de medidas técnicas e organizacionais adequadas, na medida do possível, a cumprir a obrigação do Cliente de responder a solicitações de titulares de dados nos termos do Capítulo III do GDPR. Quando a 98M7 receber uma solicitação diretamente de um titular de dados em relação aos Dados Pessoais do Cliente, encaminhará a solicitação ao Cliente sem responder ao seu conteúdo.

9. Violação de dados pessoais

A 98M7 notificará o Cliente sem demora indevida, e em todo caso dentro de 72 horas, após tomar conhecimento de uma violação de dados pessoais que afete os Dados Pessoais do Cliente. A notificação incluirá, na medida em que então conhecido: a natureza da violação, as categorias e o número aproximado de titulares de dados e registros afetados, as prováveis consequências, e as medidas tomadas ou propostas para tratá-la.

10. Avaliação de impacto sobre a proteção de dados e consulta prévia

A 98M7 prestará assistência razoável ao Cliente na realização de avaliações de impacto sobre a proteção de dados e consultas às autoridades supervisoras nos termos dos Artigos 35 e 36 do GDPR, quando exigido e na medida em que a informação esteja disponível à 98M7.

11. Exclusão e devolução dos Dados Pessoais do Cliente

Ao término dos Termos de Serviço, a 98M7, à escolha do Cliente, excluirá ou devolverá todos os Dados Pessoais do Cliente e excluirá as cópias existentes, salvo se a lei da UE ou de um Estado-Membro exigir o armazenamento. O Cliente pode exportar seus dados por meio da funcionalidade de exportação dos Serviços a qualquer momento durante o prazo. Cópias de backup são excluídas no ciclo rotativo descrito na Política de Privacidade da 98M7.

12. Auditorias e informações

A 98M7 disponibilizará ao Cliente todas as informações necessárias para demonstrar conformidade com o Artigo 28 do GDPR e com este DPA, e permitirá e contribuirá para auditorias, incluindo inspeções, conduzidas pelo Cliente ou por um auditor por ele designado. Para minimizar interrupções e proteger a confidencialidade de outros clientes, as auditorias são limitadas a uma vez a cada período de doze meses (salvo se exigido com maior frequência por uma autoridade supervisora aplicável ou após uma violação de dados pessoais), são conduzidas às custas do Cliente durante o horário comercial mediante aviso prévio razoável, e podem ser satisfeitas pela 98M7 mediante o fornecimento de relatórios recentes de auditoria de terceiros, certificações ou respostas por escrito a um questionário de segurança razoável, quando suficientes.

13. Transferências internacionais

Na medida em que o processamento nos termos deste DPA envolva a transferência de Dados Pessoais do Cliente do EEE, Reino Unido ou Suíça para um país que não se beneficie de uma decisão de adequação, as partes incorporam por referência as Cláusulas Contratuais Padrão da Comissão Europeia (Decisão 2021/914), da seguinte forma:

Módulo. Módulo 2 (Controlador para Operador) quando o Cliente é Controlador e a 98M7 é Operadora; Módulo 3 (Operador para Operador) quando o próprio Cliente é Operador e a 98M7 é sua Suboperadora.
Cláusulas opcionais. Cláusula 7 (Docking) — incluída. Cláusula 11 (Resolução independente de disputas) — não incluída. Cláusula 17 (Lei aplicável) — a lei da Estônia. Cláusula 18 (Foro) — os tribunais da Estônia.
Anexos. O Anexo I.A (partes), Anexo I.B (descrição da transferência), Anexo II (medidas técnicas e organizacionais) e Anexo III (lista de suboperadores) são preenchidos pelos Anexos A, B e II deste DPA e pela página de suboperadores ativa.
Transferências no Reino Unido. As partes incorporam adicionalmente o UK International Data Transfer Addendum às Cláusulas Contratuais Padrão da Comissão Europeia (emitido pelo UK Information Commissioner nos termos da seção 119A do Data Protection Act 2018), com as Tabelas da Parte 1 preenchidas conforme estabelecido no Anexo A abaixo, e a Tabela 4 (Encerramento do Adendo quando o Adendo Aprovado for Alterado) selecionando que nenhuma das partes pode encerrar o Adendo.
Transferências para a Suíça. As SCCs se aplicam com os ajustes necessários para o processamento regido pela Lei Federal Suíça de Proteção de Dados, incluindo o tratamento do Federal Data Protection and Information Commissioner suíço como autoridade supervisora.

14. Responsabilidade

A responsabilidade de cada parte nos termos deste DPA está sujeita às limitações e exclusões de responsabilidade previstas nos Termos de Serviço. Nada neste DPA limita a responsabilidade de qualquer uma das partes quando tal limitação for proibida pela Lei de Proteção de Dados Aplicável.

15. Ordem de precedência

Em caso de conflito, a ordem de precedência é: (1) as SCCs (e o Adendo do Reino Unido, quando aplicável); (2) este DPA; (3) os Termos de Serviço.


Anexo A — Partes e descrição da transferência

Exportador de dados. O Cliente, conforme identificado nas informações de sua conta. Papel: Controlador (ou Operador, quando o próprio Cliente for Operador dos dados de seus próprios clientes).
Importador de dados. 98M7 Group OÜ, Tallinn, Estônia. Contato pela página de contato. Papel: Operadora.
Categorias de titulares de dados, categorias de dados pessoais, categorias especiais, frequência, natureza e finalidade, retenção. Conforme descrito na seção 3 deste DPA, na Política de Privacidade e na configuração dos Serviços. Frequência: contínua, pelo prazo dos Serviços. Retenção: conforme estabelecido na Política de Privacidade, neste DPA e nos Termos.
Autoridade supervisora competente para o Anexo I.C das SCCs. A Inspetoria Estoniana de Proteção de Dados (Andmekaitse Inspektsioon).

Anexo B — Suboperadores

A lista atual de suboperadores é publicada em vector56.com/subprocessors e faz parte deste DPA. A página identifica o nome de cada suboperador, a finalidade do processamento, as categorias de dados processados, o local de hospedagem, o país de constituição e o mecanismo de transferência, quando aplicável.

Anexo II — Medidas técnicas e organizacionais

Sem limitar a descrição na seção 8 da Política de Privacidade, as medidas da 98M7 incluem:

Criptografia. TLS 1.2 ou posterior para dados em trânsito; criptografia em repouso (AES-256 ou equivalente) para os armazenamentos de dados de produção e backups.
Pseudonimização. Utilizada quando compatível com a funcionalidade do Serviço, particularmente em ambientes que não são de produção.
Confidencialidade, integridade, disponibilidade e resiliência. Controles de acesso baseados em função, padrões de privilégio mínimo, autenticação multifator para contas administrativas, tokens de acesso com prazo limitado, segregação de rede, aplicação regular de patches de dependências, separação entre ambientes de produção e não produção, backups automatizados com testes de restauração documentados.
Recuperação. Plano documentado de resposta a incidentes; objetivos de recuperação proporcionais ao nível do Serviço.
Testes. Revisão periódica de segurança do ambiente de produção; acesso registrado a sistemas sensíveis; monitoramento de vulnerabilidades de dependências.
Identificação e autorização de usuários. Credenciais únicas por usuário, hash de senhas, gestão de sessão, MFA disponível para usuários finais quando suportado pelo Serviço.
Proteção de dados durante a transmissão e o armazenamento. Transmissão criptografada, armazenamento criptografado, sem transmissão de credenciais em texto simples.
Segurança física. Fornecida por suboperadores de infraestrutura (Cloudflare, entre outros) sob seus programas certificados de segurança de data center.
Registro de eventos. Ações administrativas e eventos relevantes de segurança são registrados com carimbo de data/hora.
Governança. Colaboradores sob obrigações de confidencialidade por escrito; acordos escritos com suboperadores; este DPA; revisão periódica das medidas.

Contato

98M7 Group OÜ — Tallinn, Estônia. Dúvidas sobre o DPA: fale conosco.

A Vector56 é uma marca da 98M7 Group OÜ, empresa registrada na Estônia.
Termos | Política de Privacidade | DPA | AUP | Subprocessors | Cookies | Contato