Contrato de Processamento de Dados – Bookairy
Este Contrato de Processamento de Dados ("DPA") faz parte do acordo entre a Bookairy e o Cliente. Bookairy é operado pela Ghekko Development, Willem Buytewechstraat 187 C, 3024 XH Rotterdam, Holanda, Câmara de Comércio Holandesa número 70485437, número de estabelecimento 000028452003, número de IVA NL858338543B01.
1. Funções e instruções
- O Cliente é o controlador dos dados pessoais inseridos ou processados através do espaço de trabalho Bookairy do Cliente.
- A Bookairy é o processador onde processa os dados pessoais em nome do Cliente.
- A Bookairy processa dados pessoais apenas de acordo com instruções documentadas do Cliente, incluindo o contrato, este DPA, configuração do produto e solicitações de suporte legais.
- O Cliente continua responsável pela legalidade do processamento, pela exatidão dos dados, pelos avisos informativos, pelo consentimento quando necessário e pelas obrigações específicas do setor.
- Se a Bookairy acreditar que uma instrução viola o GDPR ou outra lei de proteção de dados aplicável, a Bookairy informará o Cliente, a menos que seja proibido por lei.
2. Assunto, duração e finalidade
O objeto do processamento é o fornecimento, manutenção, segurança e suporte da plataforma de reservas, agendamento e negócios da Bookairy. O processamento dura a vigência do contrato e qualquer período razoável de exportação, backup, exclusão ou retenção legal após a rescisão.
O objetivo é fornecer reservas online, calendários, gestão de clientes, gestão de pessoal, serviços, eventos, produtos, POS, faturas, depósitos, status de pagamento, notificações, relatórios, formulários, fluxos de reservas multilíngues, suporte, segurança, solução de problemas e funcionalidade SaaS relacionada.
3. Categorias de dados pessoais
- Nomes, endereços, endereços de e-mail, números de telefone e outros detalhes de contato.
- Dados de conta, empresa, equipe, função e permissão.
- Dados de reserva, calendário, agendamento, lista de espera, cancelamento, não comparecimento e histórico de atendimento.
- Notas do cliente, preferências, respostas de formulários, arquivos carregados e conteúdo de comunicação.
- Status do pagamento, referências de transações, dados de faturas, dados de depósitos e informações de reembolso ou estorno.
- Dispositivo, instalação, navegador, versão do aplicativo, endereço IP, registro, uso e dados de segurança.
- Dependendo da configuração do Cliente: saúde, tratamento, bem-estar, ingestão ou outros dados sensíveis inseridos pelo Cliente ou Clientes Finais.
4. Categorias de titulares de dados
- Os clientes, consumidores, pacientes, convidados, participantes ou outros utilizadores finais do Cliente.
- Funcionários, contratados, administradores e usuários do Cliente.
- Contatos, contatos de suporte e usuários de páginas públicas de reservas.
5. Medidas de segurança
A Bookairy implementa medidas técnicas e organizacionais adequadas tendo em conta o estado da arte, os custos de implementação, a natureza do processamento, o âmbito, o contexto, as finalidades e os riscos. As medidas podem incluir:
- Criptografia HTTPS/TLS para dados em trânsito.
- Controles de acesso e controles de autenticação baseados em funções.
- Acesso interno restrito aos dados de produção.
- Registro, monitoramento e prevenção de abusos.
- Infraestrutura de nuvem segura e Firestore, armazenamento ou regras de segurança comparáveis.
- Separação lógica dos dados da empresa por identificadores de empresa ou inquilino.
- Cloudflare ou proteção de rede comparável, firewall, proteção contra bot e mitigação de DDoS.
- Backups, mecanismos de recuperação ou exportação, quando disponíveis.
- Atualizações periódicas de aplicativos e infraestrutura.
- Obrigações de confidencialidade para pessoas autorizadas a processar dados pessoais.
6. Confidencialidade
A Bookairy garante que as pessoas autorizadas a processar dados pessoais estão vinculadas à confidencialidade ou estão sob uma obrigação legal de confidencialidade apropriada. O acesso é limitado ao necessário para operação, suporte, segurança e manutenção.
7. Subprocessadores
O Cliente concede à Bookairy autorização geral para usar subprocessadores. A Bookairy imporá obrigações de proteção de dados aos subprocessadores que sejam materialmente comparáveis a este DPA, quando exigido pelo GDPR.
| Subprocessador | Propósito |
|---|---|
| Google Cloud/Firebase | Hospedagem, banco de dados, autenticação, funções de nuvem, armazenamento e infraestrutura de plataforma. |
| Cloudflare | DNS, CDN, segurança, proteção DDoS, funcionalidade de firewall, proteção de bot, Turnstile, proteção de rede e filtragem de tráfego. |
| MailerSend | E-mail transacional e notificações por e-mail. |
| Mollie | Pagamentos on-line, depósitos, status de pagamento, reembolsos e processamento de pagamentos. |
| DeepL | Traduções automáticas de conteúdo inserido pelo cliente quando os recursos de tradução estão ativados. |
| Apple | Distribuição da App Store, serviços de plataforma e infraestrutura de notificação push, quando aplicável. |
| GooglePlay/Google | Distribuição de aplicativos, serviços de plataforma e infraestrutura de notificação push, quando aplicável. |
| Ferramentas de suporte, hospedagem, monitoramento ou comunicação | Suporte, comunicação operacional, monitoramento, diagnóstico e atendimento ao cliente quando utilizado. |
A Bookairy pode atualizar os subprocessadores quando necessário para a entrega, segurança ou melhoria dos Serviços. O Cliente poderá opor-se por motivos razoáveis de proteção de dados no prazo de cinco (5) Dias Úteis após a notificação de uma alteração material no subprocessador.
8. Transferências internacionais
Os dados pessoais podem ser transferidos para fora do Espaço Económico Europeu apenas quando permitido pelo GDPR. Quando necessário, a Bookairy utilizará salvaguardas apropriadas, como cláusulas contratuais padrão, decisões de adequação, avaliações de impacto de transferência e medidas suplementares.
9. Assistência ao Cliente
Levando em consideração a natureza do processamento e as informações disponíveis para a Bookairy, a Bookairy ajudará razoavelmente o Cliente com solicitações do titular dos dados, obrigações de segurança, avaliações de impacto na proteção de dados, consulta prévia, investigações de violação e informações necessárias para demonstrar conformidade. A Bookairy pode cobrar custos razoáveis por assistência que vá além da funcionalidade padrão da plataforma ou do suporte normal.
10. Violações de dados
A Bookairy notificará o Cliente sem demora injustificada após tomar conhecimento de uma violação de dados pessoais que afete os dados pessoais processados em nome do Cliente. Quando disponível, a Bookairy fornecerá informações sobre a natureza da violação, categorias afetadas, prováveis consequências e medidas tomadas ou propostas. O Cliente permanece responsável por quaisquer notificações às autoridades de supervisão ou aos titulares dos dados.
11. Auditorias e informações de conformidade
A Bookairy disponibilizará as informações razoavelmente necessárias para demonstrar a conformidade com este DPA. As auditorias exigem notificação prévia por escrito, podem ocorrer no máximo uma vez por ano civil, a menos que um incidente grave exija o contrário, devem ser realizadas durante o horário comercial por um especialista independente vinculado à confidencialidade e não devem interromper injustificadamente as operações da Bookairy.
12. Devolução e exclusão
Após a rescisão, a Bookairy eliminará ou disponibilizará para exportação os dados pessoais processados em nome do Cliente, a menos que obrigações legais de retenção exijam armazenamento contínuo. Os backups podem permanecer temporariamente até serem substituídos ou excluídos de acordo com o ciclo regular de backup.
13. Responsabilidade e precedência
As limitações de responsabilidade nos Termos e Condições aplicam-se a este DPA, salvo disposição em contrário da lei obrigatória. Se este DPA entrar em conflito com os Termos e Condições sobre processamento de dados pessoais, este DPA prevalecerá para esse conflito de processamento.