Contrato de processamento de dados (DPA) da UJJI
Data de vigência: fevereiro de 2025
Para a prestação de nossos serviços, você é o controlador de dados e nós somos o processador de dados.
1. Assunto do processamento
O assunto do processamento nos termos deste contrato está definido em nossos termos e condições.
2. Duração do processamento
Os dados serão processados e/ou apagados de acordo com as instruções do controlador. O processador, a menos que seja instruído de outra forma, interromperá o processamento de quaisquer dados pessoais e apagará esses dados após a rescisão do contrato ou mediante solicitação explícita do controlador, de acordo com a Seção 10 (Exportação e remoção de dados). Se o controlador não solicitar a exclusão, o processador excluirá todos os dados pessoais dentro de sessenta (60) dias após a rescisão do contrato de serviço.
3. Natureza e finalidade do processamento
A natureza e a finalidade do processamento estão definidas em nossos termos e condições. O processamento é limitado a esses assuntos, com o processamento sendo conduzido eletronicamente.
4. Categorias de titulares de dados e tipo de dados pessoais
As categorias de titulares de dados serão dados do cliente e dados do usuário do cliente. O tipo de dados pessoais estará relacionado ao serviço prestado e definido em nossos termos e condições.
5. Obrigações de confidencialidade
O processador irá:
- Mantenha a estrita confidencialidade de todos os dados pessoais recebidos, processados ou armazenados.
- Certifique-se de que todos os funcionários, agentes e subprocessadores que lidam com dados pessoais estejam vinculados a acordos de confidencialidade ou obrigações legais equivalentes.
- Implemente medidas de segurança para impedir o acesso, a divulgação ou o uso não autorizados de dados confidenciais.
6. Obrigações do Processador
O processador irá:
- Processe dados pessoais somente de acordo com as instruções documentadas do controlador, a menos que seja exigido por lei.
- Certifique-se de que as pessoas autorizadas a processar dados pessoais tenham se comprometido com a confidencialidade.
- Tome medidas de segurança técnicas e organizacionais apropriadas, incluindo criptografia, controle de acesso e auditorias de segurança regulares.
- Seja totalmente responsável por qualquer dano causado pelos subprocessadores e garanta que os subprocessadores estejam vinculados às mesmas obrigações deste contrato.
- Notifique o controlador de dados sobre quaisquer alterações nos subprocessadores com pelo menos quatorze (14) dias corridos de antecedência, permitindo objeções.
- Auxiliar o controlador a responder às solicitações de direitos dos titulares dos dados e a conduzir avaliações de impacto na proteção de dados.
- Exclua ou devolva todos os dados pessoais ao controlador dentro de 30 dias após o término da prestação do serviço. Se nenhuma ação for tomada pelo controlador, o processador excluirá todos os dados dentro de 60 dias após a rescisão.
- Disponibilize informações de conformidade mediante solicitação, incluindo relatórios de auditoria uma vez por ano civil.
- Certifique-se de que haja uma proteção adequada para transferências de dados fora do Reino Unido ou do EEE.
- Notifique o controlador em até 48 horas após uma violação de dados reportável, fornecendo toda a assistência necessária para cumprir as obrigações regulatórias de relatórios.
- Informe o controlador se uma instrução violar o GDPR ou outras leis de proteção de dados.
- Auxiliar o controlador no cumprimento das obrigações de segurança de acordo com os artigos 32 a 36 do GDPR, incluindo notificação de violação às autoridades de supervisão, quando necessário.
- Mantenha um registro das atividades de processamento (ROPA) para demonstrar conformidade com as leis aplicáveis.
7. Transferências de dados e mecanismos de conformidade
O processador irá:
- Garanta que as transferências de dados para fora do Reino Unido/EEE estejam em conformidade com os artigos 44—46 do GDPR.
- Use cláusulas contratuais padrão (SCCs) ou mecanismos legais equivalentes.
8. Direitos de auditoria
- O controlador pode realizar auditorias para verificar a conformidade com este contrato, desde que:
- Um aviso prévio razoável é dado (com pelo menos 30 dias de antecedência).
- As auditorias são realizadas uma vez por ano, a menos que haja suspeita de violação material.
9. Engajamento de subprocessadores
O controlador autoriza o processador a usar subprocessadores, desde que:
- O processador notifica o controlador sobre qualquer subprocessador novo ou substituto com pelo menos 14 dias de antecedência.
- O controlador pode se opor às alterações por escrito dentro desse período.
10. Exportação e desativação de dados
Após o término dos serviços:
- O controlador pode solicitar uma exportação de dados em um formato estruturado e legível por máquina.
- Se nenhuma solicitação for feita, o processador excluirá todos os dados pessoais dentro de 60 dias após a rescisão.
Anexo A — Descrição das atividades de processamento
Categoria
Detalhes
1. Identidade do controlador e do processador
O CLIENTE é o controlador (proprietário dos dados). A UJJI LTD é o processador (responsável por lidar com os dados de acordo com as instruções do controlador).
2. Assunto do processamento
A UJJI processa dados pessoais para fornecer sua plataforma de gerenciamento de conhecimento e treinamento baseada em SaaS. Isso inclui coletar e analisar dados do usuário para personalizar o treinamento, acompanhar o progresso e gerar conteúdo.
3. Duração do processamento
Os dados são processados desde que o cliente tenha um contrato ativo com a UJJI. Após a rescisão do contrato, a UJJI exclui todos os dados pessoais dentro de 60 dias, a menos que exigido por lei para mantê-los por mais tempo.
4. Natureza e finalidade do processamento
Natureza do processamento:
Coleta (quando os usuários se inscrevem ou interagem com a plataforma);
Armazenamento (em servidores baseados em nuvem);
Processamento (para personalizar o treinamento e acompanhar o progresso);
Excluindo (quando não for mais necessário)
Objetivo do processamento:
Proporcionar experiências de aprendizado personalizadas;
Acompanhar o progresso e o engajamento do usuário;
Garantindo a segurança e a conformidade da plataforma
5. Tipo de dados pessoais processados
Dados de identidade do usuário (nome, e-mail, cargo);
Dados da conta (credenciais de login, tokens de autenticação);
Dados de treinamento (conclusão do curso, pontuações, feedback);
Dados de conteúdo gerados por IA (materiais de treinamento personalizados);
Dados técnicos (endereço IP, tipo de navegador, informações do dispositivo);
6. Categorias de titulares de dados
Funcionários e usuários do CLIENTE;
Administradores/Líderes do CLIENTE gerenciando programas de treinamento;
Administradores da UJJI apoiando O CLIENTE;
7. Pessoal autorizado
O pessoal do CLIENTE (força de trabalho, RH, L&D, equipes de TI) e a equipe da UJJI (suporte ao cliente, suporte de conteúdo, tecnologia)
8. Subprocessadores aprovados
Infraestrutura
Heroku (aplicativos UJJI e hospedagem de back-end);
Vercel (hospedagem de aplicativos web UJJI);
AWS (armazenamento em nuvem e infraestrutura);
New Relic (monitoramento de desempenho);
Papertrail (gerenciamento de registros);
Rollbar (rastreamento de erros);
API ChatGPT (conteúdo de treinamento gerado por IA);
API Eleven Labs (narração para conteúdo de treinamento);
Pagamentos (se aplicável):
Stripe (processamento de pagamentos)
A UJJI notificará o Controlador com pelo menos 14 dias de antecedência antes de adicionar ou substituir subprocessadores.
9. Retenção e exclusão de dados
Os clientes podem solicitar uma exportação de dados em até 30 dias após o encerramento. Se nenhuma solicitação for feita, a UJJI excluirá todos os dados em 60 dias.
Se exigido legalmente, alguns dados podem ser retidos para fins de conformidade.
.png)
.png)
