Esta é uma tradução original para o português da seção jurídica em inglês. Observe que, embora façamos todas as precauções para garantir que o texto abaixo esteja correto, no caso de qualquer discrepância entre as duas versões, a versão em inglês prevalecerá. O texto legal original pode ser encontrado aqui.

1. Introdução e Escopo

  1. O presente Adendo ao Processamento de Dados (”APD”) é parte integrante dos Termos de Serviço, da Política de Privacidade e outras políticas e contratos relevantes, que podem ser encontrados no site https://kinsta.com/legal/ da Kinsta (em conjunto, o “Contrato”). Em caso de divergência entre este APD e qualquer outra disposição do Contrato, as disposições do presente APD deverão prevalecer.
  2. O presente APD é um contrato vinculativo entre a Kinsta e seus clientes, mas somente até o limite em que (a) a Kinsta processe Dados Pessoais do Cliente (conforme definidos abaixo) para o Cliente ou em nome deste, por força do Contrato (b) e das leis de proteção de dados aplicáveis aos Dados Pessoais do Cliente. Ao utilizar os Serviços da Kinsta de qualquer forma, o Cliente concorda com os termos do presente APD.

2. Definições

Termos com iniciais maiúsculas não definidos nesta seção terão a definição definida em outro ponto do presente instrumento. Além disto, os termos definidos a seguir se aplicam somente em relação ao presente APD.

  1. Os termos “Controlador“, “Processador“, “Titular dos Dados“, “Processamento“, “Dados Pessoais” e “Violação de Dados Pessoais” terão o significado atribuído nas leis de proteção de dados.
  2. Dados Pessoais do Cliente” são quaisquer Dados Pessoais sujeitos às leis de proteção de dados e fornecidos, transferidos ou com acesso disponibilizado pelo Cliente para a Kinsta, e associados aos Serviços.
  3. Leis de proteção de dados” são as constantes do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho da UE, de 27 de abril de 2016 e qualquer legislação similar ou a ele relacionada emanada dos Estados-membro da União Europeia ou do Espaço Econômico Europeu, do Reino Unido ou da Suíça.

3. Funções das Partes

  1. O Cliente é o Controlador e a Kinsta é a Processadora dos Dados Pessoais do Cliente. A Kinsta somente processará Dados Pessoais do Cliente conforme as instruções documentadas do Cliente, que incluem as disposições do Contrato, salvo requisito em contrário para observância a qualquer lei de proteção de dados. A Kinsta informará ao Cliente se, na sua opinião, suas instruções violarem as leis de proteção de dados.
  2. O Cliente e a Kinsta se comprometem a observar as leis de proteção de dados. O Cliente deverá obter as autorizações, alvarás, liberações ou permissões necessárias e fornecer todas os avisos de privacidade necessários em relação aos seus Dados Pessoais. Para que não haja dúvidas, o Cliente se responsabiliza de forma exclusiva pela precisão, qualidade e legitimidade de todos os Dados Pessoais do Cliente e das bases de onde forem coletados do Titular dos Dados.

4. Natureza, Objetivo e Duração do Processamento

  1. A Kinsta processará os Dados Pessoais do Cliente conforme necessários para prestar os Serviços – geralmente limitados à hospedagem passiva de Sites do Cliente – ou para proteger os direitos da Kinsta, durante o período de vigência do Contrato, salvo especificação em contrário acordada por escrito. A transferência de Dados Pessoais do Cliente para a Kinsta associada aos Serviços é determinada e controlada pelo Cliente, a seu critério exclusivo.
  2. A Kinsta poderá processar as seguintes categorias de Dados Pessoais do Cliente: quaisquer Dados Pessoais coletados, utilizados ou processados do Usuário Final Titular dos Dados em conexão com Sites do Cliente.
  3. A Kinsta poderá processar Dados Pessoais do Cliente das seguintes categorias de Titulares de Dados: Usuários Finais de Sites do Cliente.

5. Transferências Internacionais

  1. O Cliente opta pelos centro(s) de dados da plataforma Google Cloud onde seus sites serão hospedados. O Cliente reconhece, concorda e compreende que (a) todos os seus Dados Pessoais serão automaticamente transferidos e armazenados no centro de dados do Google escolhido pelo Cliente; e (b) os Dados Pessoais do Cliente poderão ser transferidos do Espaço Econômico Europeu, do Reino Unido ou da Suíça para o país em que o centro de dados do Google de sua escolha estiver localizado.
  2. A Kinsta e o Google firmaram os Termos de Processamento e Segurança de Dados na Plataforma Google Cloud e o Modelo de Cláusulas Contratuais da UE. Para obter mais informações, veja os compromissos do Google em relação à transferências internacionais na seção “Transferência Internacional de Dados”, no site https://cloud.google.com/security/gdpr/.
  3. O Cliente também autoriza a Kinsta a transferir seus Dados Pessoais a qualquer jurisdição fora do EEE, com o objetivo de prestar os Serviços, se (a) houver necessidade de adequação sob as leis de proteção de dados na jurisdição em questão ou ao nível adequado de proteção nessa jurisdição; ou (b) outras medidas cabíveis de precaução estejam em vigor, tais como cláusulas contratuais padrão ou Blindagem de Privacidade, conforme aplicáveis.

6. Subprocessadoras

  1. A Kinsta mantém subcontratadas terceirizadas que processam Dados Pessoais de Clientes (“Subprocessadoras”) para fins de prestação dos Serviços. A lista atual de Subprocessadoras está disponível abaixo no Apêndice A. O Cliente autoriza a Kinsta a contratar essas Subprocessadoras com o objetivo de prestar os Serviços.
  2. A Kinsta pode atualizar a lista de Subprocessadoras no Apêndice A regularmente e as atualizações serão o único meio utilizado para notificar o Cliente sobre as alterações na lista de Subprocessadoras. O Cliente é responsável por verificar e avaliar regularmente a lista de Subprocessadoras no Apêndice A. Se o Cliente não fizer objeções por escrito a qualquer nova Subprocessadora no prazo de 14 (catorze) dias após a publicação da nova lista pela Kinsta, considerar-se-ão as novas Subprocessadoras autorizadas pelo Cliente.
  3. Se a Kinsta determinar, a seu critério exclusivo, que não poderá atender a uma objeção do Cliente em relação a uma Subprocessadora em tempo hábil, mediante aviso ao Cliente, este poderá optar or rescindir o Contrato, nos termos das disposições que regulamentam as rescisões nos Termos de Serviço, que será a única e exclusiva medida cabível ao Cliente.
  4. A Kinsta imporá as obrigações de suas Subprocessadoras, que serão as mesmas ou essencialmente equivalentes às estabelecidas no presente APD, por meio de contrato por escrito. A Kinsta se responsabiliza perante o Cliente pelo desempenho das Subprocessadoras em relação às obrigações de proteção dos Dados Pessoais do Cliente.

7. Avaliações de Segurança e Impactos

  1. A Kinsta assegura que seus profissionais estão sujeitos a obrigações vinculativas de confidencialidade em relação aos Dados Pessoais do Cliente.
  2. Levando-se em conta a tecnologia de ponta, os custos de implementação e a natureza, o escopo, o contexto e o objetivo do Processamento, bem como o risco das probabilidades e da seriedade dos direitos e da liberdade dos Titulares dos Dados, a Kinsta se compromete a implementar medidas técnicas e organizacionais que assegurem o nível de segurança proporcional aos riscos.
  3. Levando-se em conta a natureza do Processamento e as informações disponíveis para a Kinsta, a empresa se compromete a assistir o Cliente na garantia do cumprimento de suas obrigações previstas nas leis de proteção de dados quanto à segurança, às avaliações de impactos e à consultas com as autoridades reguladoras.

8. Violação de Dados Pessoais

  1. Levando-se em conta a natureza do Processamento e as informações disponíveis para a Kinsta, a empresa se compromete a assistir o Cliente na garantia do cumprimento de suas obrigações previstas nas leis de proteção de dados quanto a violações de Dados Pessoais.
  2. Na hipótese de constatação de uma violação de Dados Pessoais, a Kinsta emitirá uma notificação imediatamente aos contatos técnicos e responsáveis pela conta do Cliente, utilizando os meios definidos para as comunicações de rotina relativas à conta.
  3. A notificação da Kinsta inclui as seguintes informações, até o ponto em que estejam disponíveis para a Kinsta no momento da emissão, e atualizará a notificação à medida que houver informações adicionais disponíveis: (a) as datas e horários da violação dos Dados Pessoais; (b) os fatos básicos que substanciaram a constatação da violação de Dados Pessoais ou a decisão de iniciar uma investigação sobre uma suspeita de violação de Dados Pessoais, conforme aplicável; (c) uma descrição dos Dados Pessoais do Cliente envolvidos na violação de Dados Pessoais, especificamente ou por referência ao(s) conjunto(s) de dados; e (d) as medidas planejadas ou em andamento para remediar ou mitigar a vulnerabilidade que permitiu a violação dos Dados Pessoais.

9. Solicitações do Titular dos Dados

  1. Levando-se em conta a natureza do Processamento, a Kinsta se compromete a assistir o Cliente com medidas técnicas e organizacionais adequadas, até o ponto em que for possível, para que o Cliente cumpra sua obrigação de responder às solicitações de exercício de direitos dos Titulares dos Dados previstos nas leis de proteção de dados.
  2. A Kinsta notificará o Cliente imediatamente se receber uma solicitação de um Titular dos Dados para exercer seus direitos em relação aos seus Dados Pessoais, salvo especificação em contrário na legislação aplicável; e, salvo até o limite exigido pela legislação aplicável, a Kinsta tomará qualquer providência de forma independente em resposta a uma solicitação de um Titular de Dados sem instrução prévia do cliente por escrito.

10. Auditoria e Inspeção

  1. Sujeita e condicionada a um acordo de confidencialidade por escrito, a Kinsta se compromete a fornecer ao Cliente as informações cabíveis e necessárias para demonstrar sua conformidade com as obrigações previstas no presente APD.
  2. Todas as auditorias locais (i) estarão sujeitas e condicionadas a aviso prévio por escrito, com pelo menos 60 (sessenta) dias de antecedência, enviada à Kinsta; (ii) estarão sujeitas e condicionadas a um acordo de confidencialidade por escrito e uma auditoria detalhada por escrito, analisada e pré-aprovada pela Kinsta; (iii) limitar-se-ão a uma ocorrência a cada 3 (três) anos corridos; (iv) ocorrerão às custas do Cliente; (v) limitar-se-ão em termos de escopo e objetivo à avaliação de uma suspeita de falha especificamente identificada pela Kinsta para observância às disposições do presente APD e somente depois que o Cliente tiver esgotado todos os demais meios cabíveis, conforme determinados pela Kinsta; e (vi) ocorrerão na presença de um representante da Kinsta, sem interferir injustificadamente em suas operações.

11. Exclusão ou Restituição de Dados Pessoais do Cliente

Mediante rescisão do Contrato e instrução por escrito do Cliente, a Kinsta deverá adotar as medidas cabíveis para excluir os Dados Pessoais do Cliente ou restituí-los ao cliente, bem como qualquer cópia existente, salvo nos casos previstos nas leis aplicáveis que determinem o armazenamento contínuo desses Dados pela Kinsta.

Apêndice A

Lista de Subprocessadoras