English Dutch German

Contrato de tratamento de dados

1. PARTES

O presente Contrato de Tratamento de Dados ("CTD") faz parte integrante do contrato celebrado entre:

Responsável pelo tratamento:
O comerciante, cliente, proprietário de loja online ou entidade empresarial que utiliza os serviços da WIFICASH ENTERPRISES LTD ("Responsável pelo tratamento").

Subcontratante:
  • WIFICASH ENTERPRISES LTD
  • KvK number: 16513905
  • Hong Kong S.A.R.

O presente CTD é celebrado nos termos do Article 28 do Regulation (EU) 2016/679 ("RGPD").

2. FINALIDADE DO TRATAMENTO

O Subcontratante presta serviços de infraestrutura de software, facilitação de cumprimento de encomendas (fulfillment), coordenação de fornecedores e ferramentas operacionais para empresas de comércio eletrónico.

O Subcontratante trata dados pessoais exclusivamente em nome do Responsável pelo tratamento e apenas para as finalidades necessárias para:

  • processar e facilitar encomendas;
  • coordenar atividades de cumprimento de encomendas (fulfillment);
  • comunicar atualizações de expedição e rastreio;
  • sincronizar encomendas da loja online e estados de cumprimento;
  • prestar apoio ao cliente e assistência operacional;
  • manter a funcionalidade da plataforma, a prevenção de fraude e a segurança operacional.

O Subcontratante atua exclusivamente como facilitador e subcontratante e não determina de forma independente as finalidades ou os meios de tratamento dos dados pessoais.

3. NATUREZA DO TRATAMENTO

As atividades de tratamento podem incluir:

  • recolha;
  • armazenamento;
  • sincronização;
  • organização;
  • transmissão;
  • consulta;
  • acesso estruturado;
  • eliminação;
  • cópia de segurança e recuperação.

O tratamento é efetuado eletronicamente através da infraestrutura da plataforma WIFICASH ENTERPRISES LTD e dos sistemas de cumprimento de encomendas integrados.

4. CATEGORIAS DE DADOS PESSOAIS

O Subcontratante pode tratar as seguintes categorias de dados pessoais:

  • Nome próprio e apelido;
  • Endereço de entrega;
  • Endereço de correio eletrónico;
  • Número de telefone;
  • Informações da encomenda;
  • Informações de rastreio.

Não são tratadas intencionalmente categorias especiais de dados pessoais.

5. CATEGORIAS DE TITULARES DOS DADOS

Os dados pessoais tratados dizem respeito a:

  • clientes do Responsável pelo tratamento;
  • visitantes da loja online;
  • destinatários das encomendas;
  • utilizadores comerciantes da plataforma.
6. OBRIGAÇÕES DO SUBCONTRATANTE

O Subcontratante deve:

  • tratar os dados pessoais exclusivamente com base em instruções documentadas do Responsável pelo tratamento;
  • assegurar a confidencialidade das pessoas autorizadas a tratar dados pessoais;
  • aplicar medidas técnicas e organizativas adequadas;
  • auxiliar o Responsável pelo tratamento no cumprimento das obrigações do RGPD sempre que razoavelmente necessário;
  • notificar o Responsável pelo tratamento sem demora injustificada após ter conhecimento de uma violação de dados pessoais que afete os Dados do Responsável pelo tratamento;
  • assegurar que os subcontratantes ulteriores estão vinculados por obrigações contratuais adequadas;
  • após a cessação dos serviços, eliminar ou devolver os dados pessoais, salvo se a conservação for legalmente exigida.
7. OBRIGAÇÕES DO RESPONSÁVEL PELO TRATAMENTO

O Responsável pelo tratamento declara e garante que:

  • dispõe de um fundamento jurídico válido para o tratamento de dados pessoais;
  • informou devidamente os titulares dos dados;
  • quaisquer instruções fornecidas ao Subcontratante cumprem a legislação de privacidade aplicável;
  • continua a ser o único responsável pela determinação das finalidades e do fundamento jurídico do tratamento.
8. MEDIDAS DE SEGURANÇA

O Subcontratante aplica medidas técnicas e organizativas adequadas, incluindo, entre outras:

  • controlos de acesso baseados em funções;
  • cópias de segurança encriptadas;
  • proteção por firewall ao nível do servidor;
  • autenticação e registo de acessos;
  • redundância de infraestrutura;
  • monitorização operacional;
  • acesso restrito de fornecedores;
  • integrações de API seguras;
  • atualizações de segurança e manutenção periódicas.

Encontram-se mais pormenores no Anexo II.

9. SUBCONTRATANTES ULTERIORES

O Responsável pelo tratamento concede ao Subcontratante autorização geral para contratar subcontratantes ulteriores para fins operacionais, de infraestrutura, de comunicação, de análise e de cumprimento de encomendas.

A lista atual de subcontratantes ulteriores consta do Anexo III.

O Subcontratante deve assegurar que os subcontratantes ulteriores estão sujeitos a obrigações de proteção de dados substancialmente semelhantes às estabelecidas no presente CTD.

O Subcontratante permanece responsável pela atuação dos seus subcontratantes ulteriores ao abrigo da legislação aplicável.

10. TRANSFERÊNCIAS INTERNACIONAIS DE DADOS

Determinadas atividades de tratamento podem implicar transferências de dados pessoais para fora do Espaço Económico Europeu ("EEE"), incluindo, entre outras:

  • fornecedores de infraestrutura na nuvem com operações globais;
  • fornecedores internacionais de comunicações;
  • fornecedores de cumprimento de encomendas localizados na China;
  • fornecedores de análise ou de ferramentas operacionais.

Sempre que os dados pessoais sejam transferidos para países não abrangidos por uma decisão de adequação ao abrigo do RGPD, o Subcontratante deve assegurar a aplicação de garantias adequadas, incluindo:

  • Cláusulas Contratuais-Tipo da Comissão Europeia ("CCT");
  • obrigações contratuais de confidencialidade;
  • restrições de acesso;
  • avaliações de impacto das transferências, quando aplicável.

Os fornecedores de cumprimento de encomendas chineses contratados pelo Subcontratante estão contratualmente limitados à utilização dos dados pessoais exclusivamente para fins de cumprimento de encomendas e expedição, não podendo utilizar tais dados para fins comerciais independentes.

11. VIOLAÇÕES DE DADOS

O Subcontratante deve notificar o Responsável pelo tratamento sem demora injustificada após ter conhecimento de uma violação de dados pessoais confirmada que afete os Dados do Responsável pelo tratamento.

Tal notificação deve incluir, sempre que razoavelmente disponível:

  • a natureza da violação;
  • as categorias de dados afetados;
  • as consequências prováveis;
  • as medidas de mitigação adotadas.
12. DIREITOS DE AUDITORIA

O Responsável pelo tratamento pode solicitar as informações razoáveis necessárias para demonstrar o cumprimento do presente CTD.

Qualquer auditoria ou inspeção:

  • deve ser razoável e proporcionada;
  • não pode interferir de forma não razoável nas operações do Subcontratante;
  • deve estar sujeita a obrigações de confidencialidade;
  • pode ser limitada à análise de documentação, quando adequado.
13. RESPONSABILIDADE

As disposições em matéria de responsabilidade constantes do contrato principal celebrado entre as partes aplicam-se igualmente ao presente CTD.

14. VIGÊNCIA

O presente CTD mantém-se em vigor durante a vigência do contrato de serviços subjacente celebrado entre as partes.

15. LEI APLICÁVEL

O presente CTD rege-se pela lei neerlandesa.

Quaisquer litígios emergentes do presente CTD serão submetidos exclusivamente ao tribunal competente de Oost-Brabant, nos Países Baixos.

ANEXO I — PORMENORES DO TRATAMENTO

Objeto:

Prestação de serviços de facilitação de cumprimento de encomendas, coordenação de fornecedores, sincronização de encomendas e infraestrutura de software operacional.

Duração:

Durante a vigência do contrato de serviços e quaisquer períodos de conservação legal aplicáveis.

Natureza e finalidade:

  • sincronização da loja online;
  • cumprimento de encomendas;
  • comunicação com fornecedores;
  • sincronização de rastreio;
  • apoio operacional;
  • prevenção de fraude;
  • comunicação com clientes.

Categorias de dados pessoais:

  • nome;
  • endereço de entrega;
  • endereço de correio eletrónico;
  • número de telefone;
  • informações da encomenda;
  • informações de rastreio.

Categorias de titulares dos dados:

  • clientes da loja online;
  • destinatários das encomendas;
  • utilizadores comerciantes.
ANEXO II — MEDIDAS TÉCNICAS E ORGANIZATIVAS

A WIFICASH ENTERPRISES LTD mantém medidas de segurança técnicas e organizativas comercialmente razoáveis, incluindo:

Segurança da infraestrutura:

  • infraestrutura na nuvem gerida;
  • proteção por firewall;
  • ambientes de alojamento segmentados;
  • controlos de autenticação de acesso;
  • cópias de segurança encriptadas;
  • monitorização da infraestrutura.

Gestão de acessos:

  • permissões baseadas em funções;
  • acesso administrativo restrito;
  • registo de acessos internos;
  • direitos de acesso limitados dos fornecedores.

Segurança operacional:

  • processos de implementação controlados;
  • manutenção e atualizações de software;
  • monitorização de incidentes;
  • medidas de continuidade operacional.

Minimização de dados:

Os fornecedores de cumprimento de encomendas chineses recebem apenas o mínimo de dados pessoais relacionados com a encomenda necessários para processar as expedições.

Os fornecedores estão contratualmente proibidos de:

  • utilizar dados pessoais para fins independentes;
  • revender dados pessoais;
  • utilizar dados pessoais fora das operações de cumprimento de encomendas.
ANEXO III — LISTA DE SUBCONTRATANTES ULTERIORES
  • DigitalOcean — Alojamento e bases de dados principais — UE / EUA
  • Kamatera — Infraestrutura secundária — UE / EUA
  • SimpleBackup — Cópias de segurança encriptadas — Global
  • Google Cloud (BigQuery, Pub/Sub) — Análise e mensagens — UE / EUA
  • Stripe — Processamento de pagamentos — UE / EUA
  • Pay.nl — Processamento de pagamentos na UE — UE
  • Shopify — Sincronização da loja online — Global
  • Mailgun — Correio eletrónico transacional — EUA / UE
  • SendGrid — Correio eletrónico transacional — EUA
  • HubSpot — Gestão de CRM e ciclo de vida — EUA
  • OpenAI — Ferramentas de apoio com IA — EUA
  • Geoapify — Validação de endereços — UE
  • ProductFruits — Integração de produtos — UE
  • 17track — Rastreio de expedições — Global
  • Fornecedores de cumprimento de encomendas chineses — Cumprimento de encomendas e expedição — China
ANEXO IV — TRANSFERÊNCIAS INTERNACIONAIS DE DADOS

Sempre que os dados pessoais sejam transferidos para fora do EEE, o Subcontratante deve aplicar garantias adequadas em conformidade com o Chapter V do RGPD.

Tais garantias podem incluir:

  • Cláusulas Contratuais-Tipo adotadas pela Comissão Europeia;
  • obrigações contratuais de confidencialidade;
  • restrições técnicas de acesso;
  • avaliações de impacto das transferências, quando aplicável;
  • minimização operacional de dados.

A infraestrutura principal dos clientes está alojada na União Europeia.

Determinada infraestrutura de apoio e serviços operacionais podem tratar dados limitados fora do EEE quando necessário para a funcionalidade da plataforma, as comunicações, a análise, a prevenção de fraude, o processamento de pagamentos ou as operações de cumprimento de encomendas.

O Subcontratante aplica medidas comercialmente razoáveis para assegurar que qualquer transferência internacional seja proporcionada, limitada e protegida.

INFORMAÇÕES DE CONTACTO

WIFICASH ENTERPRISES LTD
KvK number: 16513905
Hong Kong S.A.R.