Acordo de Processamento de Dados

1. Partes

Este Acordo de Processamento de Dados ("DPA") é celebrado entre as seguintes partes:

• Processador de Dados: Hareki LLC, Novo México, EUA ("Hareki", "nós")
• Controlador de Dados: A pessoa física ou jurídica que utiliza a plataforma Hareki Studio ("Usuário", "você")

Este DPA é parte integrante dos Termos de Uso do Hareki Studio e rege os direitos e obrigações das partes relativos ao processamento de dados pessoais em nome do Usuário.

2. Definições

• Dados Pessoais: Qualquer informação relativa a uma pessoa natural identificada ou identificável (GDPR Artigo 4/1, KVKK Artigo 3/d).
• Dados Pessoais de Categoria Especial: Categorias sensíveis como raça, origem étnica, opinião política, religião, dados de saúde, etc. (GDPR Artigo 9, KVKK Artigo 6).
• Processamento de Dados: Qualquer operação realizada com dados pessoais, incluindo coleta, registro, organização, armazenamento, alteração, transferência, exclusão.
• Subprocessador: Um prestador de serviços terceirizado contratado para processar dados pessoais em nome do Processador de Dados.
• Violação de Dados: Um incidente de segurança que leva ao acesso não autorizado, perda, destruição, alteração ou divulgação de dados pessoais.
• Controlador de Dados: A pessoa natural ou jurídica que determina as finalidades e meios de processamento de dados pessoais.
• Processador de Dados: A pessoa natural ou jurídica que processa dados pessoais em nome e sob a autoridade do Controlador de Dados.

3. Escopo e Finalidade do Processamento

As seguintes categorias de dados pessoais são processadas na plataforma Hareki Studio:

Nenhum dado pessoal de categoria especial é processado. A Plataforma não coleta dados de saúde, biométricos ou genéticos.

4. Obrigações do Processador de Dados

A Hareki LLC, como Processador de Dados, assume as seguintes obrigações:

• Adesão às instruções: Processa dados pessoais apenas em conformidade com as instruções documentadas por escrito do Controlador de Dados. Informa o Controlador de Dados antes do processamento caso uma obrigação legal exija o contrário.
• Compromisso de confidencialidade: Garante que todo o pessoal com acesso a dados pessoais esteja sob obrigação de confidencialidade. Esta obrigação continua após o término da relação empregatícia.
• Medidas de segurança: Implementa medidas de segurança técnicas e organizacionais apropriadas à natureza do processamento em conformidade com o GDPR Artigo 32 (detalhes no Anexo).
• Uso de subprocessadores: Obtém o consentimento prévio geral por escrito do Controlador de Dados antes de contratar subprocessadores. Fornece aviso com 30 dias de antecedência ao adicionar novos subprocessadores.
• Obrigação de assistência: Fornece ao Controlador de Dados o suporte técnico necessário no exercício dos direitos dos titulares dos dados (acesso, retificação, exclusão, portabilidade).
• Exclusão/devolução de dados: Após o término da relação de processamento, exclui ou devolve todos os dados pessoais conforme a preferência do Controlador de Dados. Sujeito a obrigações legais de retenção.
• Direito de auditoria: Aceita que o Controlador de Dados ou seu auditor independente designado possa realizar auditorias razoáveis para verificar a conformidade com as obrigações deste DPA.

5. Subprocessadores

O Hareki Studio utiliza os seguintes subprocessadores para prestação de serviço:

Notificação de alteração: Aviso por escrito é fornecido ao Controlador de Dados com pelo menos 30 dias de antecedência ao adicionar um novo subprocessador ou alterar um existente.

O Controlador de Dados pode se opor com fundamentos razoáveis dentro de 14 dias da data de notificação. Se a objeção não puder ser resolvida, o Controlador de Dados pode rescindir o acordo.

6. Transferências Internacionais de Dados

A Hareki LLC tem sede nos EUA, e os dados pessoais são processados em servidores nos EUA. Os seguintes mecanismos de proteção se aplicam a transferências de dados da UE/EEE ou da Turquia:

• Cláusulas Contratuais Padrão (SCC): As Cláusulas Contratuais Padrão vigentes nos termos da Decisão de Implementação da Comissão Europeia de 4 de junho de 2021 (2021/914) se aplicam.
• EU-U.S. Data Privacy Framework: Considerado como mecanismo de proteção adicional na medida em que as certificações relevantes dos subprocessadores sejam válidas.
• Medidas de proteção adicionais: Criptografia de ponta a ponta (TLS 1.3), pseudonimização e controles de acesso são aplicados aos dados transferidos.
• Conformidade KVKK: Para transferências da Turquia, os compromissos necessários e a conformidade com as decisões do Conselho são garantidos nos termos do Artigo 9 da KVKK da Lei n.º 6698.

7. Notificação de Violação de Dados

No caso de detecção de violação de dados pessoais, a Hareki LLC:

• Notifica o Controlador de Dados por escrito no prazo máximo de 72 horas a partir do momento em que a violação é descoberta.
• A notificação inclui as seguintes informações:
  • Natureza e escopo da violação
  • Categorias de dados afetadas e número estimado de registros
  • Possíveis consequências da violação
  • Medidas tomadas e medidas recomendadas
  • Informações da pessoa de contato
• Toma medidas imediatas necessárias para mitigar os efeitos da violação e prevenir recorrência.
• Fornece cooperação total ao Controlador de Dados durante o processo de investigação e relatório.
• Documenta todos os fatos, efeitos e medidas corretivas relacionados à violação.

8. Medidas Técnicas e Organizacionais (Anexo)

Medidas de segurança aplicadas em conformidade com o GDPR Artigo 32:

8.1 Criptografia

• Dados em trânsito: Protocolo TLS 1.3
• Dados em repouso: Criptografia AES-256
• Conexões de banco de dados: SSL/TLS obrigatório
• Backups: armazenamento criptografado

8.2 Controle de Acesso

• Controle de Acesso Baseado em Papéis (RBAC)
• Supabase Row Level Security (RLS) — isolamento em nível de banco de dados
• Separação de dados baseada em tenant — arquitetura multi-tenant
• Princípio do menor privilégio

8.3 Autenticação

• Hash de senha: algoritmo bcrypt
• Integrações OAuth 2.0 (Google, Apple, Microsoft, LinkedIn)
• Gerenciamento de sessão: token JWT, cookie seguro
• Limitação de taxa: proteção contra força bruta

8.4 Monitoramento e Logs

• Rastreamento de erros de aplicação: Sentry
• Logs de acesso e trilha de auditoria
• Detecção de atividade anormal

8.5 Backup e Recuperação de Desastres

• Backup automático diário do banco de dados
• Backup distribuído geograficamente
• Capacidade de recuperação em ponto no tempo
• Plano de recuperação de desastres e testes regulares

8.6 Pessoal e Organização

• Treinamento de conscientização sobre proteção de dados
• Acordos de confidencialidade (NDA)
• Revisão regular de autorizações de acesso
• Procedimentos de resposta a incidentes de segurança

9. Vigência e Rescisão

• Este DPA entra em vigor com a entrada em vigor dos Termos de Uso e permanece vigente durante a duração da relação de serviço.
• Após o término da relação de serviço, o Processador de Dados exclui ou devolve todos os dados pessoais ao Controlador de Dados dentro de 30 dias.
• Os dados retidos sob obrigações legais de retenção são automaticamente excluídos ao final do período correspondente.
• Uma confirmação por escrito é enviada ao Controlador de Dados quando o processo de exclusão de dados é concluído.

10. Lei Aplicável

• GDPR: Regulamento Geral de Proteção de Dados da União Europeia (Regulamento 2016/679) — aplicável aos dados de cidadãos da UE/EEE.
• KVKK: Lei n.º 6698 sobre a Proteção de Dados Pessoais — aplicável aos dados de cidadãos da República da Turquia.
• Resolução de disputas: As disputas entre as partes serão primeiro tentadas a serem resolvidas de forma amigável. Se a resolução não puder ser alcançada, os tribunais do Novo México, EUA terão jurisdição.