Estes serviços são disponibilizados pela Dok (adiante «dok», «nós» ou «a plataforma»). Contacto: geral@dok.pt · +351 910 249 092.
Este Acordo de Tratamento de Dados («DPA») faz parte integrante dos Termos e Condições e aplica-se ao tratamento, pela dok, de dados pessoais dos Clientes finais por conta do Negócio. Em caso de conflito com os Termos quanto ao tratamento destes dados, prevalece este DPA.
1. Objeto e papéis
- O Negócio é o responsável pelo tratamento dos dados pessoais dos seus Clientes finais.
- A dok é subcontratante e trata esses dados exclusivamente por conta e sob instruções documentadas do Negócio, para prestar o serviço descrito nos Termos.
- A Stripe atua como responsável independente (ou subcontratante próprio) quanto ao processamento de pagamentos, nos termos dos seus próprios acordos.
2. Objeto, duração, natureza e finalidade
- Natureza e finalidade: alojamento, gestão e processamento de dados necessários à venda de mensalidades e produtos, gestão de clientes, comunicações transacionais e, quando ativado, faturação e marketing.
- Duração: enquanto vigorar o contrato entre o Negócio e a dok, sem prejuízo dos prazos de conservação legalmente exigidos.
- Tipos de dados e categorias de titulares: descritos no Anexo A.
3. Obrigações da dok como subcontratante
Nos termos do artigo 28.º do RGPD, a dok obriga-se a:
- Tratar os dados apenas com base em instruções documentadas do Negócio, incluindo o uso da própria plataforma, salvo obrigação legal em contrário (caso em que informa o Negócio, se permitido).
- Informar o Negócio se, no seu entender, uma instrução violar o RGPD ou outra legislação de proteção de dados aplicável.
- Assegurar que as pessoas autorizadas a tratar os dados estão vinculadas a um dever de confidencialidade.
- Implementar medidas técnicas e organizativas adequadas à segurança do tratamento (artigo 32.º), descritas no Anexo B.
- Respeitar as condições de recurso a subcontratantes ulteriores (secção 4).
- Auxiliar o Negócio, na medida do possível, a responder a pedidos de exercício de direitos dos titulares.
- Auxiliar o Negócio no cumprimento das obrigações dos artigos 32.º a 36.º (segurança, notificação de violações, avaliações de impacto), tendo em conta a natureza do tratamento e a informação disponível.
- A pedido do Negócio, eliminar ou devolver os dados no termo da prestação do serviço, salvo obrigação legal de conservação.
- Disponibilizar ao Negócio a informação necessária para demonstrar o cumprimento destas obrigações e permitir auditorias razoáveis, sujeitas a pré-aviso e a deveres de confidencialidade.
4. Subcontratantes ulteriores
O Negócio autoriza a dok a recorrer aos subcontratantes ulteriores listados no Anexo C. A dok impõe a esses subcontratantes obrigações de proteção de dados equivalentes às deste DPA e permanece responsável pelo seu cumprimento. A dok informará o Negócio de alterações previstas à lista, dando-lhe a oportunidade de se opor por motivos razoáveis.
5. Transferências internacionais
Quando o tratamento implique transferências de dados para fora do Espaço Económico Europeu, a dok assegura a existência de garantias adequadas, nomeadamente as Cláusulas Contratuais-Tipo aprovadas pela Comissão Europeia.
6. Violações de dados
A dok notifica o Negócio sem demora injustificada após ter conhecimento de uma violação de dados pessoais que afete os dados tratados por conta do Negócio, fornecendo a informação razoavelmente disponível para que o Negócio cumpra os seus deveres de notificação.
7. Duração e cessação
Este DPA vigora enquanto a dok tratar dados por conta do Negócio. No termo do contrato aplicam-se os prazos de conservação e o processo de anonimização ou eliminação previstos nos Termos (12 meses), sem prejuízo das obrigações legais de conservação de registos.
Anexo A — Detalhes do tratamento
- Categorias de titulares: Clientes finais do Negócio.
- Categorias de dados: identificação e contacto (nome, e-mail, telefone, data de nascimento, morada, NIF); dados de compra e utilização (subscrições, produtos, pagamentos); consentimento de marketing e respetivo registo. Os dados de cartão são tratados diretamente pela Stripe.
- Operações de tratamento: recolha, registo, organização, conservação, consulta, utilização, comunicação a subcontratantes ulteriores e eliminação.
Anexo B — Medidas de segurança
- Isolamento de dados por negócio ao nível da base de dados (RLS).
- Cifra de credenciais e de chaves sensíveis (em repouso).
- Comunicações cifradas em trânsito (TLS).
- Verificação de assinatura dos webhooks e idempotência.
- Limitação de tentativas e proteção anti-bot.
- Registos de auditoria de ações sensíveis.
- Controlo de acessos e princípio do menor privilégio.
Anexo C — Subcontratantes ulteriores
- Supabase — base de dados e autenticação.
- Vercel — alojamento.
- Resend — envio de e-mails.
- Inngest — processamento de tarefas em segundo plano (envio de e-mails, faturação, sincronizações).
- Sentry — monitorização de erros.
- Upstash — limitação de tentativas.
- Cloudflare — proteção anti-bot.
- InvoiceXpress — faturação (quando ativada pelo Negócio).
A Stripe não integra esta lista de subcontratantes ulteriores: no processamento de pagamentos, atua como responsável independente, ao abrigo dos seus próprios acordos (secção 1).
Para questões relativas a este DPA: geral@dok.pt.