Adendo de Processamento de Dados da Kinsta Inc.

Atualizado em: 7 de julho de 2023

1. Introdução e Escopo

1. Este Adendo de Processamento de Dados (“DPA“) é um adendo aos Termos de Serviço (“Termos“) e faz parte do Contrato (conforme definido nos Termos). Todas as disposições dos Termos, inclusive suas limitações de responsabilidade, aplicam-se e são incorporadas a este DPA. Se houver conflito entre as disposições deste DPA e quaisquer disposições dos Termos, as disposições deste DPA prevalecerão.
2. Atualizações do DPA. Podemos fazer alterações neste DPA a qualquer momento, a nosso critério exclusivo. Forneceremos aviso por e-mail sobre quaisquer alterações materiais a este DPA ao Proprietário da Empresa (definido abaixo). Também poderemos publicar um aviso sobre tais alterações no MyKinsta. Seu uso contínuo de nossos Serviços por mais de 30 dias após nossa notificação por e-mail ao Proprietário da Empresa constituirá sua aceitação de nossas alterações a este DPA. Se você não concordar com qualquer alteração deste DPA, poderá encerrar sua Conta e o Acordo de acordo com a Seção 9 dos Termos.

2. Definições

Os termos em letras maiúsculas que não estiverem definidos neste DPA terão o significado fornecido em outras partes do Contrato. Além disso, os termos definidos a seguir se aplicam exclusivamente a este DPA.

1. “Controlador“, “Empresa“, “Processador“, “Prestador de Serviços“, “Titular dos Dados” (que inclui “Consumidor“), “Processamento“, “Dados Pessoais” (que inclui “Informações Pessoais“) e “Vender” (que inclui “Compartilhar” nos termos da CCPA) (e variações semelhantes ou relacionadas a esses termos) terão os significados atribuídos a eles nas Leis de Proteção de Dados aplicáveis.
2. “Dados Pessoais do Cliente” significa quaisquer Dados Pessoais que sejam transmitidos, armazenados ou de outra forma Processados por, ou através de Aplicativos de Cliente em conexão com a prestação dos Serviços pela Kinsta.
3. “Violação de Dados Pessoais” significa qualquer destruição, perda, alteração, divulgação ou acesso acidental ou não autorizado a quaisquer Dados Pessoais do Cliente, mas excluindo tentativas ou atividades malsucedidas que não comprometam a segurança ou a integridade dos Dados Pessoais do Cliente, incluindo, entre outros, tentativas de login, pings, varreduras de portas, ataques de negação de serviço e outros ataques de rede a firewalls ou sistemas em rede.
4. “Leis de Proteção de Dados da UE” significa o Regulamento Geral de Proteção de Dados da UE 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 (“GDPR“), conforme implementado e complementado pela legislação nacional de cada Estado Membro, a Lei de Proteção de Dados do Reino Unido de 2018 e o GDPR do Reino Unido, e a Lei de Proteção de Dados da Suíça e, em cada caso, conforme alterada, substituída ou sucedida de tempos em tempos.
5. “Leis de Proteção de Dados dos EUA” significa a Lei de Privacidade do Consumidor da Califórnia (conforme alterada pela Lei de Direitos de Privacidade da Califórnia) (coletivamente, o “CCPA”), a Lei de Privacidade do Colorado, a Lei de Privacidade de Dados Pessoais e Monitoramento On-line de Connecticut, a Lei de Proteção de Dados do Consumidor de Indiana, a Lei de Proteção de Dados do Consumidor de Iowa, a Lei de Privacidade de Dados do Consumidor de Montana, a Lei de Proteção de Informações do Tennessee, a Lei de Proteção de Dados do Consumidor da Virgínia, a Lei de Privacidade do Consumidor de Utah e, em cada caso, conforme alterada, substituída ou sucedida de tempos em tempos.
6. “Leis de Proteção de Dados” significa as leis e regulamentos relacionados à privacidade, integridade e segurança dos Dados Pessoais do Cliente, incluindo as Leis de Proteção de Dados da UE e as Leis de Proteção de Dados dos EUA, que se aplicam ao Processamento dos Dados Pessoais do Cliente pela Kinsta.
7. “Transferência Internacional” significa uma exportação de
   1. Dados Pessoais do Cliente,
   2. regida por qualquer uma das Leis de Proteção de Dados da UE,
   3. para um terceiro país fora do Espaço Econômico Europeu (“EEE”), Reino Unido (“UK”) ou Suíça,
   4. que não seja designado pela Comissão Europeia, pelo Reino Unido ou pela Suíça como garantidor de um nível adequado de proteção.
8. “SCCs” significa as cláusulas contratuais padrão, conforme adotadas pela Decisão de Execução (UE) 2021/914 da Comissão, de 4 de junho de 2021, sobre cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros, nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho.
9. “Adendo do Reino Unido” significa o Adendo de Transferência Internacional de Dados para as Cláusulas Contratuais Padrão da Comissão da UE emitido pelo Gabinete do Comissário de Informações do Reino Unido, VERSÃO B1.0, em vigor em 21 de março de 2022.

3. Funções, Obrigações Gerais e Disposições da CCPA

1. O Cliente é o Controlador e a Empresa e a Kinsta é a Processadora e a Prestadora de Serviços com relação aos Dados Pessoais do Cliente. A Kinsta somente processará os Dados Pessoais do Cliente com a finalidade de prestar os Serviços de acordo com as instruções documentadas do Cliente, que incluem as disposições do Contrato, a menos que seja exigido o cumprimento de quaisquer Leis de Proteção de Dados. Nós o informaremos se as suas instruções violarem as Leis de Proteção de Dados. A natureza, a finalidade e a duração do Processamento estão definidas no Anexo I das SCCs.
2. A Kinsta certifica, compreende e concorda que não deverá
   1. Vender os Dados Pessoais do Cliente,
   2. reter, usar ou divulgar os Dados Pessoais do Cliente para qualquer finalidade (incluindo qualquer finalidade comercial) que não seja a finalidade específica de prestar os Serviços nos termos do Contrato, a menos que expressamente permitido pela CCPA, ou
   3. reter, usar ou divulgar os Dados Pessoais do Cliente fora do relacionamento comercial direto entre você e a Kinsta, a menos que expressamente permitido pela CCPA.
3. O Cliente e a Kinsta deverão cumprir as Leis de Proteção de Dados. O Cliente deverá obter todas as autorizações, consentimentos, liberações ou permissões necessárias e fornecer todos os avisos de privacidade exigidos em relação aos Dados Pessoais do Cliente. Para evitar dúvidas, salvo disposição em contrário neste DPA, o Cliente será o único responsável pela exatidão, qualidade e legalidade de todos os Dados Pessoais do Cliente e pelas bases sobre as quais eles são coletados do Titular dos Dados.

4. Segurança e Avaliações de Impacto

1. A Kinsta deverá garantir que seu pessoal esteja sujeito a obrigações vinculantes de confidencialidade com relação aos Dados Pessoais do Cliente.
2. Considerando o estado da técnica, os custos de implementação e a natureza, escopo, contexto e propósitos do Processamento, bem como o risco de probabilidade variável e severidade para os direitos e liberdades dos Sujeitos dos Dados, a Kinsta implementará medidas técnicas e organizacionais adequadas para garantir um nível de segurança apropriado ao risco, incluindo as medidas estabelecidas no Anexo II dos SCCs.
3. Considerando a natureza do Processamento e as informações disponíveis para a Kinsta, a Kinsta auxiliará o Cliente a garantir o cumprimento das obrigações do Cliente sob as Leis de Proteção de Dados em relação à segurança, avaliações de impacto e consultas com autoridades ou reguladores supervisores.

5. Violação de Dados Pessoais

1. Considerando a natureza do Processamento e as informações disponíveis para a Kinsta, a Kinsta ajudará o Cliente a garantir o cumprimento das obrigações do Cliente sob as Leis de Proteção de Dados em relação a uma Violação de Dados Pessoais.
2. Se descobrirmos uma Violação de Dados Pessoais, a Kinsta deverá, sem atrasos indevidos, fornecer uma notificação por escrito aos contatos técnicos e de conta do Cliente, incluindo o Proprietário da Empresa, usando os meios estabelecidos para comunicações de rotina relacionadas à conta.
3. Nossa notificação incluirá o seguinte, na medida em que for conhecida (e atualizada à medida que informações adicionais se tornarem razoavelmente disponíveis):
   1. as datas e horários da Violação de Dados Pessoais,
   2. os fatos básicos que fundamentam a descoberta da Violação de Dados Pessoais ou a decisão de iniciar uma investigação sobre uma suspeita de Violação de Dados Pessoais, conforme aplicável,
   3. uma descrição dos Dados Pessoais do Cliente envolvidos na Violação de Dados Pessoais, especificamente ou por referência às categorias de dados, e
   4. as medidas planejadas ou em andamento para remediar ou mitigar a vulnerabilidade que deu origem à Violação de Dados Pessoais.

6. Solicitações de Dados do Titular

1. Levando em consideração a natureza do Processamento, a Kinsta deverá auxiliar o Cliente por meio de medidas técnicas e organizacionais apropriadas, dentro do possível, para o cumprimento da obrigação do Cliente de responder às solicitações de exercício dos direitos do Titular dos Dados nos termos das Leis de Proteção de Dados.
2. A Kinsta notificará prontamente o Cliente se receber uma solicitação de um Titular de Dados para invocar seus direitos com relação aos Dados Pessoais do Cliente, a menos que seja proibido de outra forma pela legislação aplicável. A Kinsta não tomará nenhuma medida de forma independente em resposta a uma solicitação de um Titular de Dados sem a instrução prévia por escrito do Cliente, exceto conforme exigido pela legislação aplicável.

7. Centros de Dados e Transferências Internacionais

1. Você escolhe o(s) centro(s) de dados do Google Cloud Platform onde seus Aplicativos do Cliente serão hospedados. Você reconhece, concorda e entende que:
   1. Todos os seus Dados Pessoais do Cliente serão automaticamente transferidos e armazenados no centro de dados do Google que você escolher.
   2. Dependendo da sua escolha, os Dados Pessoais do Cliente poderão ser transferidos do EEE, Reino Unido ou Suíça para o país onde o centro de dados do Google está localizado.
2. A Kinsta e o Google concordaram com o Adendo de Processamento de Dados em Nuvem (incluindo os SCCs). Para obter informações adicionais, consulte os compromissos do Google em relação às transferências internacionais na seção “Transferência Internacional de Dados” aqui: https://cloud.google.com/security/gdpr/.
3. Não obstante a seleção do centro de dados do Cliente, determinados aspectos dos Serviços podem exigir Transferências Internacionais. O Cliente autoriza essas Transferências Internacionais de Dados Pessoais do Cliente com o único propósito de fornecer os Serviços. As Transferências Internacionais estão sujeitas ao MÓDULO DOIS (controlador para processador) das SCCs. Para Transferências Internacionais da Suíça, as partes concordam que todas as adaptações e emendas às SCCs exigidas pelo Comissário Federal Suíço de Proteção de Dados e Informações estão incorporadas às SCCs (as “Emendas Suíças“). Para Transferências Internacionais do Reino Unido, as partes concordam com o Adendo do Reino Unido. As informações da Tabela do Adendo do Reino Unido são as seguintes: Tabela 1: Consulte o Anexo I das SCCs abaixo; Tabela 2: Consulte a Seção 7.D abaixo; Tabela 3: Consulte os Anexos I e II das SCCs abaixo; a lista de sub-processadores da Kinsta está localizada aqui: https://kinsta.com/legal/subprocessors/; Tabela 4: O importador e o exportador podem encerrar o Adendo do Reino Unido conforme estabelecido na Seção 19 do mesmo.
4. Com relação às disposições opcionais das SCCs, das Emendas Suíças e do Adendo do Reino Unido, as partes concordam com o seguinte:
   1. As partes concordam com a Cláusula 7.
   2. As partes escolhem a OPÇÃO 2 na Cláusula 9(a).
   3. As partes não concordam com as disposições opcionais da Cláusula 11(a).
   4. As partes escolhem a OPÇÃO 1 na Cláusula 17 e o Estado Membro será a Irlanda, o Reino Unido ou a Suíça, conforme aplicável.
   5. As partes concordam que o Estado-Membro na Cláusula 18(b) será Irlanda, Reino Unido ou Suíça, conforme aplicável.
5. As SCCs, as Emendas da Suíça e o Adendo do Reino Unido, conforme aplicável, são incorporados por referência a este DPA para quaisquer Transferências Internacionais. A aceitação do Contrato pelas partes servirá como sua respectiva concordância em cumprir as SCCs, as Emendas Suíças e o Adendo do Reino Unido relevantes com relação a quaisquer Transferências Internacionais.

8. Sub-processadores

1. A Kinsta contrata terceiros subcontratados que processam os Dados Pessoais do Cliente (“Sub-processadores“) com a finalidade de prestar os Serviços. Uma lista atualizada de Sub-processadores está disponível aqui: https://kinsta.com/legal/subprocessors/ (a “Lista de Sub-processadores“). O Cliente autoriza a Kinsta a contratar esses sub-processadores com a finalidade de prestar os Serviços.
2. Antes de adicionar ou substituir quaisquer sub-processadores, a Kinsta fornecerá uma notificação por escrito de tais alterações ao contato do Proprietário da Empresa listado no MyKinsta. O fato de o Cliente não se opor por escrito a um novo sub-processadores no prazo de 14 dias após a notificação da Kinsta sobre o novo sub-processadores constituirá a autorização do Cliente para o novo sub-processadores.
3. Se a Kinsta determinar, a seu exclusivo critério, que não poderá acomodar razoavelmente a objeção tempestiva do Cliente a um sub-processadores, mediante notificação da Kinsta, o Cliente poderá optar por rescindir o Contrato de acordo com as disposições de rescisão dos Termos de Serviço, que será o único e exclusivo recurso do Cliente.
4. A Kinsta imporá obrigações aos seus sub-processadores que sejam iguais ou equivalentes às estabelecidas neste DPA por meio de contrato escrito. A Kinsta será responsável perante o Cliente pelo cumprimento, por parte dos Sub-processadores, de suas obrigações de proteção de dados com relação aos Dados Pessoais do Cliente.

9. Auditoria e Inspeção

1. Sujeita e condicionada a um contrato de confidencialidade e não divulgação por escrito, a Kinsta fornecerá ao Cliente as informações razoavelmente necessárias para demonstrar o cumprimento das obrigações estabelecidas no presente DPA.
2. Quaisquer auditorias solicitadas pelo Cliente para avaliar e verificar a conformidade com o presente APD deverão ser (i) sujeitas e condicionadas a uma notificação por escrito com antecedência razoável, não inferior a 60 (sessenta) dias, à Kinsta; (ii) sujeitas e condicionadas a um contrato de confidencialidade e não divulgação por escrito e a um plano de auditoria detalhado por escrito, revisado e pré-aprovado pela Kinsta; (iii) limitadas a uma vez a cada período de 12 (doze) meses; (iv) a custo e despesa exclusivos do Cliente; (v) limitado em escopo e finalidade para avaliar uma suspeita de falha especificamente identificada pela Kinsta em cumprir as disposições deste DPA e somente após o Cliente ter esgotado todos os outros meios razoáveis, conforme determinado pela Kinsta; e (vi) na presença virtual ou física de um representante da Kinsta, sem interromper injustificadamente as operações comerciais da Kinsta.

10. Exclusão ou Devolução de Dados Pessoais do Cliente

Após a devida rescisão do Contrato e mediante orientação por escrito do Cliente, a Kinsta deverá tomar medidas razoáveis para excluir os Dados Pessoais do Cliente ou devolver os Dados Pessoais do Cliente e suas cópias ao Cliente, sujeito às leis aplicáveis ou a outras obrigações da Kinsta que exijam o armazenamento contínuo dos Dados Pessoais do Cliente pela Kinsta.

Anexo I da SCCs

A. LISTA DAS PARTES

Exportador de Dados:

Nome: A entidade identificada como o Cliente.

Endereço: O endereço do Cliente registrado no MyKinsta ou conforme especificado de outra forma no Contrato.

Nome do contato, posição e detalhes de contato: Os detalhes de contato do Proprietário da Empresa associado à Conta do Cliente, ou conforme especificado de outra forma no Contrato.

Atividades relacionadas aos dados transferidos de acordo com as Cláusulas: Operação do(s) Aplicativo(s) do Cliente na plataforma de hospedagem da Kinsta

Assinatura e data: As partes concordam que a aceitação ou execução do Contrato, conforme aplicável, constituirá a execução destes CSCs por ambas as partes.

Função: Controlador

Importador de Dados:

Nome: Kinsta Inc.
Endereço: 8605 Santa Monica Blvd #92581, West Hollywood, CA 90069, EUA
Nome do contato, funcção e detalhes de contato: Equipe de Privacidade de Dados da Kinsta [email protected] ou por correio no endereço acima

Atividades relacionadas aos dados transferidos de acordo com as Cláusulas: Prestação dos Serviços
Assinatura e data: As partes concordam que a aceitação ou execução do Contrato, conforme aplicável, constituirá a execução destas CECs por ambas as partes.

Função: Processador

B. DESCRIÇÃO DA TRANSFERÊNCIA

Categorias de titulares de dados cujos dados pessoais são transferidos

Qualquer indivíduo que possa visitar, usar ou acessar os Aplicativos do Cliente, ou cujos dados pessoais são transmitidos, armazenados ou de outra forma processados através dos Aplicativos do Cliente pelo Cliente, incluindo, por exemplo: funcionários e outros colaboradores, clientes (incluindo seus colaboradores), visitantes do site ou usuários finais, fornecedores (incluindo seus colaboradores), parentes e associados dos mencionados, consultores, especialistas profissionais, acionistas, membros ou apoiadores, e alunos.

Categorias de dados pessoais transferidos

Quaisquer categorias permitidas pelo Cliente para serem transmitidas, armazenadas ou de outra forma processadas por meio dos Aplicativos do Cliente. Tais categorias podem incluir, por exemplo, informações de contato, detalhes de emprego, informações financeiras, detalhes de educação e treinamento, identificadores por uma autoridade pública, família, estilo de vida e circunstâncias sociais.

Dados confidenciais transferidos (se aplicável) e restrições aplicadas

O Cliente pode permitir que dados confidenciais sejam transmitidos, armazenados ou processados de outra forma por meio dos Aplicativos do Cliente. As restrições e proteções especificadas no Anexo II se aplicam a essas categorias de dados pessoais (se houver). O Cliente será responsável por informar a Kinsta sobre as categorias específicas de dados confidenciais transferidos e quaisquer restrições adicionais aplicadas.

A frequência da transferência
Contínua

Natureza do processamento
Processamento em conexão com o fornecimento dos Serviços, incluindo hospedagem dos Aplicativos do Cliente e suporte relacionado.

Finalidade(s) da transferência de dados e processamento posterior
Prestação dos Serviços

O período pelo qual os dados pessoais serão retidos
De acordo com a DPA, Seção 10

Para transferências para (sub) processadores, especifique o assunto, a natureza e a duração do processamento
O assunto, a natureza e a duração do processamento por sub-processadores estão definidos nesta Seção B do Anexo I.

C. AUTORIDADE SUPERVISORA COMPETENTE

Identifique a(s) autoridade(s) supervisora(s) competente(s) de acordo com a Cláusula 13
Irlanda

Anexo II da SCCs

MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS.

• Todos os Dados Pessoais do Cliente transferidos pela Kinsta são criptografados durante a transmissão.
• Todos os Dados Pessoais do Cliente armazenados na infraestrutura do Google Cloud (todos os Aplicativos do Cliente e registros de acesso) são criptografados em repouso.
• As funcionalidades de segurança do Cloudflare, incluindo seu firewall de aplicativo da web (WAF) e proteção contra DDoS, estão integradas aos Serviços.
• Temos políticas de segurança da informação que restringem as atividades dos membros da nossa equipe relacionadas ao processamento dos Dados Pessoais do Cliente apenas às atividades de processamento necessárias para a prestação dos Serviços.
• Todos os membros da equipe assinam um contrato que inclui disposições de não divulgação antes de obter acesso a quaisquer Dados Pessoais do Cliente.
• Temos uma equipe de segurança dedicada em tempo integral.
• Identificamos um grupo de supervisão de segurança que inclui membros das nossas equipes de Engenharia, Operações, Jurídica e Executiva.
• Os sub-processadores de Dados Pessoais do Cliente são usados somente após análise e aprovação formal.
• Fazemos esforços razoáveis para processar, transferir e reter apenas a quantidade e o tipo de dados necessários para fornecer os Serviços.
• Estabelecemos políticas e práticas de gerenciamento de identidade e acesso, seguindo os princípios de privilégio mínimo e controle de acesso baseado em função (RBAC).
• Todos os membros da equipe recebem treinamento sobre questões de privacidade de dados e nossas políticas.
• Os controles de acesso físico foram implementados pelo Google Cloud para limitar o acesso ao hardware físico nos centros de dados. O Google Cloud também recebeu várias certificações e auditorias relacionadas à segurança, incluindo um relatório SOC 2 Tipo II e a certificação ISO 27001.
• Quando aplicável, a autenticação de dois fatores foi ativada em todas as contas dos membros da equipe com acesso aos Dados Pessoais do Cliente.
• O acesso root a contêineres e servidores do cliente é feito apenas por chave privada única, e os membros da equipe são fornecidos apenas o acesso mínimo necessário para desempenhar suas funções.
• O acesso root é possível apenas através de pontos de acesso de rede dedicados e não os mesmos pontos de acesso que o acesso regular do cliente.
• A Kinsta oferece certificados SSL gratuitos e possibilita que os clientes forcem conexões HTTPS para criptografar todo o tráfego do aplicativo do cliente em transmissão.
• A Kinsta limita as conexões não HTTP apenas a protocolos seguros (SSH, SFTP).
• Os aplicativos do cliente são protegidos por um firewall personalizado gerenciado pela equipe de engenharia da Kinsta.
• São criadas várias formas de backups regulares. Os clientes podem baixar facilmente os backups para transferência para outros provedores de hospedagem de sites (portabilidade) ou para armazenamento em outros serviços.
• Os clientes podem iniciar a exclusão dos Aplicativos do Cliente da plataforma. Após a rescisão dos Serviços, a Kinsta faz esforços razoáveis para excluir todos os Dados Pessoais do Cliente dentro de 45 dias.
• Os pacotes de servidor e software são mantidos atualizados pela nossa equipe de engenharia. As atualizações de segurança são aplicadas prontamente.

Versões anteriores