Acordo de Tratamento de Dados

Este Acordo de Tratamento de Dados ("DPA") aplica-se quando você ("Cliente", "Controlador") utiliza os Serviços Kapsule Cloud para processar informações pessoais sobre outros indivíduos ("Titulares de Dados"). Constitui parte dos Termos de Serviço entre você e Kapsule Group Limited ("Kapsule Cloud", "nós", "nos", "Processador").

Este DPA reflete os requisitos da Lei de Privacidade da Nova Zelândia (Privacy Act 2020). Caso você esteja sujeito a outras leis de privacidade aplicáveis (por exemplo, o Regulamento Geral sobre Proteção de Dados da UE, UK GDPR, ou Lei de Privacidade da Austrália de 1988), as disposições relevantes deste DPA, lidas juntamente com nossa Política de Privacidade e Lista de Subprocessadores, destinam-se a fornecer proteção comparável a essas leis. Caso medidas contratuais adicionais sejam necessárias para apoiar sua conformidade com uma lei estrangeira, consideraremos estas sob solicitação.

Se você está utilizando os Serviços unicamente para processar suas próprias informações pessoais (e não informações pessoais sobre outros indivíduos), este DPA não se aplica; apenas a Política de Privacidade se aplica.

Neste DPA:

"Leis de Privacidade Aplicáveis" significa a Privacy Act 2020 e qualquer outra lei de privacidade ou proteção de dados aplicável ao processamento de informações pessoais pelo Cliente utilizando os Serviços.

"Controlador" significa a pessoa singular ou coletiva que determina os objetivos e meios do processamento de informações pessoais.

"Informações Pessoais do Cliente" significa informações pessoais processadas por nós em seu nome utilizando os Serviços em relação aos Titulares de Dados.

"Titular de Dados" significa uma pessoa singular identificada ou identificável a quem as Informações Pessoais do Cliente se referem.

"Violação de Privacidade Notificável" tem o significado conferido na secção 112 da Privacy Act 2020 (uma violação de privacidade que causou, ou é provável que cause, danos graves).

"Informações Pessoais" tem o significado conferido na Privacy Act 2020.

"Processador" significa uma pessoa que processa informações pessoais em nome do Controlador.

"Processamento" significa qualquer operação ou conjunto de operações efetuadas em informações pessoais, automatizadas ou não.

"Sub-processador" significa um terceiro que contratamos para processar Informações Pessoais do Cliente em nosso nome.

"Cláusulas Contratuais Padrão" significa as cláusulas padrão de proteção de dados adotadas por uma autoridade de proteção de dados reconhecida (por exemplo, as Cláusulas Contratuais Padrão da UE da Comissão Europeia) para transferências de dados pessoais de uma jurisdição com regras restritivas de transferência de dados transfronteiriços.

Outros termos capitalizados têm os significados conferidos nos Termos de Serviço.

#2.1 Funções. Em relação aos Dados Pessoais do Cliente, você é o Controlador e nós somos o Processador. Você é responsável pela legalidade da sua recolha e processamento de Dados Pessoais do Cliente, incluindo o fornecimento de todos os avisos de privacidade obrigatórios, obtenção de todos os consentimentos necessários e cumprimento de todas as Leis de Privacidade Aplicáveis nas suas relações com os Titulares de Dados.

#2.2 Instruções documentadas. Processaremos os Dados Pessoais do Cliente apenas: (a) conforme necessário para fornecer os Serviços de acordo com os Termos de Serviço; (b) de acordo com as suas instruções documentadas, razoáveis (os Termos de Serviço, as escolhas de configuração que você faz no KPanel e quaisquer outras instruções escritas que nos forneça são consideradas as suas instruções documentadas); e (c) conforme exigido pela legislação aplicável a nós, caso em que o informaremos do requisito legal antes do processamento, a menos que proibido por essa legislação por motivos importantes de interesse público.

#2.3 Instruções inconsistentes. O informaremos se, na nossa opinião razoável, uma instrução sua infringe uma Lei de Privacidade Aplicável. Podemos recusar processar Dados Pessoais do Cliente quando tal processamento nos colocaria em incumprimento de uma Lei de Privacidade Aplicável.

#3.1 Garantiremos que qualquer pessoa autorizada a processar Informações Pessoais do Cliente em nosso nome está vinculada por obrigações de confidencialidade, seja por contrato ou por lei, e é informada sobre a natureza confidencial das informações.

#3.2 O acesso a Informações Pessoais do Cliente é limitado numa base de necessidade de conhecimento e é protegido por controlos de acesso, autenticação obrigatória de dois fatores e registo de auditoria.

#4.1 Implementaremos e manteremos medidas técnicas e organizacionais apropriadas para proteger as Informações Pessoais do Cliente contra o processamento não autorizado ou ilegal, perda acidental, destruição ou dano. As medidas atuais estão resumidas no Anexo B deste DPA e em kapsulecloud.com/legal/security.

#4.2 Revisaremos e atualizaremos regularmente nossas medidas de segurança para levar em conta o estado da arte, os custos de implementação, a natureza, âmbito, contexto e finalidades do processamento, e o risco aos direitos e liberdades dos Titulares de Dados.

#4.3 Não reduziremos materialmente a proteção geral sem aviso prévio a você.

#5.1 Autorização. O utilizador nos autoriza a contratar os Sub-processadores listados em kapsulecloud.com/legal/sub-processors para processar Informações Pessoais do Cliente.

#5.2 Termos dos Sub-processadores. Celebraremos um contrato escrito com cada Sub-processador que imponha obrigações de proteção de dados não menos protetoras do que as constantes neste DPA, incluindo obrigações de confidencialidade, segurança e processamento limitado.

#5.3 Notificação de novos Sub-processadores. Notificaremos o utilizador de qualquer novo Sub-processador que processará Informações Pessoais do Cliente com pelo menos trinta (30) dias de antecedência relativamente ao início do processamento por esse Sub-processador. A notificação será feita por correio eletrónico e publicação na página de Sub-processadores.

#5.4 Objeção. O utilizador pode apresentar objeção com fundamentos razoáveis (por exemplo, uma preocupação documentada relativamente à segurança, conformidade ou jurisdição do Sub-processador proposto) através do envio de correio eletrónico para [email protected] dentro da janela de 30 dias. Se não conseguirmos razoavelmente acomodar a sua objeção (por exemplo, através da troca de Sub-processadores ou modificação da configuração), o utilizador poderá rescindir o Serviço afetado e receber um reembolso pro rata de quaisquer Taxas pré-pagas pela porção não utilizada do respetivo ciclo de faturação.

#5.5 Responsabilidade pelos Sub-processadores. Permanecemos responsáveis perante o utilizador pelos atos e omissões dos nossos Sub-processadores no que respeita a Informações Pessoais do Cliente como se fossem nossos.

#6.1 Prestaremos assistência razoável, tendo em conta a natureza do tratamento, para o ajudar a responder a pedidos dos Titulares de Dados para exercer os seus direitos nos termos da Legislação de Privacidade Aplicável, incluindo direitos de acesso, retificação, eliminação, restrição e portabilidade.

#6.2 Se recebermos um pedido de um Titular de Dados que se relacione com a sua utilização dos Serviços, procederemos como segue: (a) encaminhar o Titular de Dados para si (o Responsável pelo Tratamento); e (b) salvo se legalmente proibido, notificá-lo do pedido sem demora injustificada.

#6.3 A assistência é prestada através das funcionalidades de acesso, exportação e eliminação do KPanel onde estas são suficientes, e através de apoio manual onde as funcionalidades técnicas não conseguem satisfazer o pedido.

#6.4 Podemos cobrar uma taxa razoável pela assistência manual que seja materialmente superior ao apoio rotineiro, quando o pedido for manifestamente infundado ou excessivo.

#7.1 Notificação. Notificaremos você de qualquer Violação de Privacidade Notificável confirmada que afete Informações Pessoais do Cliente sem demora injustificada e, em qualquer caso, no prazo de setenta e duas (72) horas após tomarmos conhecimento da mesma.

#7.2 Conteúdo da notificação. A notificação incluirá, na medida do conhecimento e razoavelmente disponível no momento: (a) a natureza da violação, incluindo, quando possível, as categorias e o número aproximado de Titulares de Dados e registos afetados; (b) as prováveis consequências da violação; (c) as medidas que implementámos ou propomos implementar para resolver a violação e mitigar os seus possíveis efeitos adversos; e (d) o ponto de contacto para informações adicionais.

#7.3 Atualizações subsequentes. Quando algumas das informações não estiverem disponíveis no momento da notificação inicial, forneceremos as mesmas em atualizações posteriores assim que praticável.

#7.4 Cooperação. Cooperaremos razoavelmente consigo em qualquer investigação requerida, notificação às autoridades, notificação aos Titulares de Dados afetados e remediação.

#7.5 Responsabilidade do Cliente. Você permanece responsável por avaliar se uma violação é uma Violação de Privacidade Notificável sob a lei aplicável e por realizar as notificações necessárias ao Office of the Privacy Commissioner, Titulares de Dados afetados ou outros reguladores. Forneceremos as informações que razoavelmente necessita para o fazer.

#8.1 Informações. Colocaremos à sua disposição as informações necessárias para demonstrar o cumprimento desta DPA, incluindo a Declaração de Segurança em kapsulecloud.com/legal/security, a lista de Sub-processadores e quaisquer relatórios de auditoria de terceiros ou certificações que possuamos (se houver).

#8.2 Auditoria no local. Quando as informações da cláusula 8.1 não forem suficientes para demonstrar o cumprimento em relação a uma questão específica que tenha levantado por escrito, poderá conduzir uma auditoria do nosso cumprimento desta DPA nas seguintes condições: (a) as auditorias são realizadas por sua conta (incluindo os nossos custos razoáveis de assistência); (b) nos fornece pelo menos trinta (30) dias de aviso prévio por escrito; (c) as auditorias ocorrem durante o nosso horário comercial normal; (d) as auditorias são realizadas não mais de uma vez em qualquer período de doze (12) meses, exceto após uma Violação de Privacidade Notificável confirmada que o afete, caso em que uma auditoria adicional pode ser conduzida com aviso razoável; (e) a auditoria não interfere indevidamente nas nossas operações nem compromete a confidencialidade das informações de outros clientes; (f) o auditor deve ser qualificado, independente dos nossos concorrentes e vinculado por obrigações de confidencialidade em termos aceitáveis para nós; (g) podemos, à nossa opção, satisfazer as nossas obrigações de auditoria fornecendo cópias de relatórios de auditoria de terceiros ou certificações (onde disponíveis) ou respondendo a um questionário de segurança.

#8.3 Fornecerá-nos uma cópia de qualquer relatório de auditoria e de qualquer resultado, e usaremos esforços razoáveis para abordar os resultados materiais dentro de um período acordado.

#9.1 Você reconhece que alguns dos nossos Sub-processadores estão localizados fora da Nova Zelândia. As localizações atuais estão indicadas em kapsulecloud.com/legal/sub-processors.

#9.2 Quando Informações Pessoais do Cliente são transferidas para fora da Nova Zelândia, garantiremos que se aplicam salvaguardas comparáveis, incluindo: (a) garantir que o Sub-processador está sujeito a uma lei de privacidade que, na nossa opinião, oferece proteções comparáveis à Privacy Act 2020; ou (b) celebrar salvaguardas contratuais com o Sub-processador que exijam proteções comparáveis (por exemplo, por referência às Cláusulas Contratuais Tipo, quando apropriado); ou (c) obter a sua autorização expressa para a transferência.

#9.3 Ao celebrar este DPA, você autoriza as transferências descritas na cláusula 7 da Política de Privacidade e na cláusula 5 deste DPA, com base nas salvaguardas da cláusula 9.2.

#10.1 Durante a vigência dos Serviços, você pode exportar Informações Pessoais do Cliente através do KPanel utilizando nossas ferramentas de exportação padrão (CSV, JSON, download de arquivo ou cópia de banco de dados, conforme o tipo de dados).

#10.2 Após o término dos Serviços e a seu critério, nós iremos: (a) disponibilizar Informações Pessoais do Cliente para exportação por trinta (30) dias após o término (o "Período de Carência"); e (b) posteriormente, eliminar permanentemente Informações Pessoais do Cliente dos sistemas em operação.

#10.3 As cópias de segurança criptografadas serão removidas no próximo ciclo de rotação programado, em no máximo trinta (30) dias após a eliminação dos sistemas em operação.

#10.4 Podemos reter Informações Pessoais do Cliente após o término quando exigido por lei (por exemplo, registros de faturamento e fiscais sob o Tax Administration Act 1994, ou para defender uma reclamação legal). Qualquer retenção deste tipo será limitada ao mínimo necessário, e as informações permanecerão sujeitas às obrigações de confidencialidade e segurança neste DPA.

#11.1 As disposições relativas à responsabilidade civil constantes dos Termos de Serviço (incluindo a limitação de responsabilidade civil na cláusula 16) aplicam-se a este DPA.

#11.2 Sem prejuízo da cláusula 11.1, nada neste DPA limita a responsabilidade civil de qualquer uma das partes por fraude, representação fraudulenta, conduta intencional ilícita, ou qualquer responsabilidade civil que não possa ser legalmente limitada sob as Leis de Proteção de Dados Aplicáveis.

#11.3 Caso incorramos em sanção regulatória resultante de, ou relacionada com, o seu incumprimento das suas obrigações nos termos deste DPA ou das Leis de Proteção de Dados Aplicáveis, o montante dessa sanção será tratado como um prejuízo recuperável junto de si, sujeito aos limites constantes dos Termos de Serviço.

#11.4 Os créditos de serviço previstos no SLA não constituem créditos no âmbito deste DPA.

#12.1 Este DPA entra em vigor quando você começa a utilizar os Serviços (ou em 15 de maio de 2026, o que ocorrer mais tarde) e continua até que os Serviços sejam encerrados e nossas obrigações de eliminação de dados conforme a cláusula 10 sejam cumpridas.

#12.2 Podemos atualizar este DPA de tempos em tempos para refletir alterações na legislação ou em nossas operações. Alterações materiais serão notificadas com antecedência mínima de trinta (30) dias.

#13.1 Se houver conflito entre este DPA e os Termos de Serviço ou Política de Privacidade no que diz respeito ao processamento de Informações Pessoais do Cliente, este DPA prevalece.

#13.2 Se houver conflito entre este DPA e uma disposição obrigatória aplicável de uma Applicable Privacy Law, a disposição obrigatória prevalece na medida do conflito.

Responsável pela Privacidade

Kapsule Group Limited, Christchurch, New Zealand.

Email: [email protected]

A.1 Objeto. Prestação de alojamento em nuvem, registo de domínios, alojamento de correio eletrónico e serviços relacionados conforme descrito nos Termos de Serviço.

A.2 Duração. Pela duração dos Serviços, mais o Período de Tolerância e qualquer retenção exigida por lei conforme estabelecido na cláusula 10.

A.3 Natureza e finalidade. Armazenamento, transmissão, cópia de segurança, segurança, replicação, indexação, conversão de formato (para compatibilidade técnica), prevenção de abuso, faturação e outro tratamento necessário para operar os Serviços.

A.4 Categorias de Informações Pessoais do Cliente. Conforme determinado e carregado por si. Pode incluir: nomes, detalhes de contacto (correio eletrónico, telefone, endereço), credenciais de conta, informações de verificação de identidade, informações de pagamento, dados transacionais, endereços IP, identificadores de dispositivos, fotografias e outras imagens, conteúdo de websites e aplicações, conteúdo de correio eletrónico, metadados de mensagens, registos de gestão de relações com clientes, comunicações de suporte e qualquer outra informação pessoal que escolha tratar através dos Serviços.

A.5 Categorias de Titulares de Dados. Conforme determinado por si. Pode incluir: seus colaboradores, contratados, agentes, clientes, potenciais clientes, fornecedores, membros, utilizadores finais, doadores e outros indivíduos cuja informação pessoal escolha tratar através dos Serviços.

A.6 Categorias especiais. Não deve carregar para os Serviços qualquer informação pessoal de categoria especial ou sensível (tal como informações de saúde, informações biométricas, antecedentes criminais, convicções religiosas, orientação sexual ou filiação em sindicatos) sem nosso acordo prévio escrito sobre salvaguardas adicionais apropriadas. Se carregar tal informação sem nosso acordo, é responsável pela legalidade de o fazer e indenizar-nos relativamente a quaisquer reclamações relacionadas.

A.7 Frequência e duração do tratamento. Contínuo, pela duração dos Serviços.

Implementamos as seguintes medidas técnicas e organizacionais, que podemos atualizar de tempos em tempos para manter ou melhorar a proteção global:

B.1 Políticas e governança de segurança da informação. Políticas documentadas de segurança da informação e privacidade, revistas pelo menos anualmente. Responsável pela Privacidade designado responsável pelo cumprimento. Treinamento de privacidade e segurança do pessoal na admissão e anualmente a seguir. Verificações de antecedentes do pessoal com acesso a sistemas de produção, quando legalmente permitido.

B.2 Controlos de acesso. Controlos de acesso baseados em funções rigorosos com base em princípios de menor privilégio. Autenticação obrigatória de dois fatores para todo o pessoal com acesso a sistemas de produção. Revisões periódicas de acesso e revogação imediata em caso de mudança de função ou saída. Separação de ambientes de produção e não-produção. Registo de acesso privilegiado.

B.3 Encriptação e proteção de dados. Encriptação TLS (pelo menos TLS 1.2) para todos os dados em trânsito. Encriptação em repouso para cópias de segurança externas (restic) e para armazéns de dados sensíveis. Cópias de segurança externas encriptadas com Restic armazenadas em Cloudflare R2 (região Oceânia). Gestão segura de chaves com cópias offline de chaves de recuperação mestras.

B.4 Segurança de rede e sistema. Segmentação de rede entre ambientes de clientes. Firewall de aplicação web e proteção DDoS via Cloudflare. Correção de segurança regular de sistemas operativos, runtimes e aplicações. Análise de vulnerabilidades da infraestrutura virada para a Internet. Testes de penetração periódicos.

B.5 Registo, monitorização e resposta a incidentes. Registo centralizado de acesso, alterações e eventos de segurança. Monitorização 24x7 da saúde da plataforma e sinais de segurança. Plano documentado de resposta a incidentes com severidades definidas e caminhos de escalada. Procedimento de notificação de Violação de Privacidade notificável alinhado com a Privacy Act 2020 e cláusula 7 deste DPA.

B.6 Cópia de segurança, continuidade de negócios e recuperação de desastres. Cópias de segurança externas encriptadas diárias dos dados do site do cliente e dados de correio eletrónico. Retenção de cópia de segurança externa de pelo menos trinta (30) dias, com retenção mais longa em Planos superiores. Procedimentos documentados de recuperação de desastres e runbooks. Testes de restauro regulares.

B.7 Pessoal e Sub-processadores. Compromissos de confidencialidade para todo o pessoal. Contratos escritos com todos os Sub-processadores que impõem proteções não menos protetoras do que este DPA. Revisão anual dos Sub-processadores para adequação continuada.

B.8 Segurança física. Servidores de produção operados em centros de dados Tier III ou equivalentes com acesso físico controlado, segurança 24x7, controlos ambientais e supressão de incêndios.

B.9 Segurança de aplicação. Ciclo de vida de desenvolvimento de software seguro, incluindo revisão de código, análise de dependências e testes pré-lançamento. Utilização de gestão de segredos (sem segredos no código fonte). Revisão de código obrigatória para alterações de produção.

B.10 Segregação e exclusão de dados. Segregação lógica de dados de clientes. Procedimentos documentados de exclusão de dados alinhados com a cláusula 10 deste DPA. Procedimentos documentados para tratamento de pedidos de acesso, correção e exclusão de Titulares de Dados.

Uma versão mais detalhada destas medidas é publicada em kapsulecloud.com/legal/security e é atualizada de tempos em tempos.