Aviso de tradução: Este documento foi traduzido do inglês por conveniência e acessibilidade. Na medida permitida pela legislação aplicável, a versão em inglês será a versão prevalecente e regerá em caso de qualquer conflito, inconsistência, ambiguidade ou diferença de interpretação.
Este Data Processing Agreement ("DPA"), incluindo seus cronogramas e anexos, faz parte do Contrato entre a Rochen Limited ("Rochen") e o Cliente para a prestação dos Serviços.
Este DPA aplica-se quando e na medida em que a Rochen processa Dados Pessoais do Cliente em nome do Cliente em conexão com os Serviços. Os Termos de Serviço da Rochen ("TOS") incorporam este DPA por referência.
Os termos iniciados por letra maiúscula definidos neste DPA aplicam-se para os fins deste DPA. Os termos iniciados por letra maiúscula usados, mas não definidos, neste DPA têm os significados atribuídos a eles nos TOS.
Este DPA é celebrado entre:
Rochen Limited ("Rochen"), uma sociedade constituída na Escócia, Reino Unido, com número de registro SC242971 e sede registrada em 11 Dudhope Terrace, Dundee, DD3 6TS, Reino Unido, em nome próprio e em nome de suas Afiliadas envolvidas na prestação dos Serviços, incluindo a Rochen US, Inc.; e
Cliente, a pessoa ou entidade que celebrou um acordo com a Rochen para os Serviços.
A Rochen e o Cliente são cada um uma “parte” e, em conjunto, as “partes”.
Neste DPA:
Afiliada significa qualquer entidade que controle direta ou indiretamente, seja controlada por, ou esteja sob controle comum com uma parte.
Contrato significa os Termos de Serviço da Rochen, juntamente com qualquer pedido, acordo de serviço ou outro acordo escrito ou eletrônico aplicável entre o Cliente e a Rochen que regule o uso dos Serviços pelo Cliente, incluindo quaisquer documentos incorporados por referência, tais como a Política de Uso Aceitável da Rochen e outras políticas aplicáveis.
Leis Aplicáveis de Proteção de Dados significa todas as leis de proteção de dados e privacidade aplicáveis ao processamento de Dados Pessoais do Cliente nos termos do Contrato, incluindo, quando aplicável, o UK GDPR, a Lei de Proteção de Dados do Reino Unido de 2018, o EU GDPR, leis nacionais de implementação aplicáveis do Espaço Econômico Europeu, a Lei Federal Suíça de Proteção de Dados e outras leis semelhantes de proteção de dados.
Dados Pessoais tem o significado atribuído a esse termo nas Leis Aplicáveis de Proteção de Dados.
Dados Pessoais do Cliente significa Dados Pessoais que a Rochen processa em nome do Cliente em conexão com os Serviços, incluindo Dados Pessoais carregados, submetidos, armazenados, transmitidos ou de outra forma disponibilizados pelo Cliente ou em seu nome usando os Serviços.
Dados de Relacionamento com o Cliente significa Dados Pessoais processados pela Rochen como controladora independente em conexão com administração de conta, cobrança, pagamentos, suporte, segurança e operação do relacionamento com o cliente, e não Dados Pessoais do Cliente processados em nome do Cliente usando os Serviços.
Aplicações do Cliente significa quaisquer aplicações, websites, software, código, bancos de dados ou outros componentes implantados, hospedados ou operados pelo Cliente ou em seu nome usando os Serviços, incluindo conteúdo e configurações associados.
Titular dos Dados, Violação de Dados Pessoais, processar, processamento, controlador, processador e autoridade supervisora têm os significados atribuídos a eles nas Leis Aplicáveis de Proteção de Dados.
Transferência Restrita significa uma transferência de Dados Pessoais sujeita a restrições de transferência nos termos das Leis Aplicáveis de Proteção de Dados.
Serviços significa quaisquer serviços fornecidos pela Rochen nos termos do Contrato, incluindo hospedagem web, hospedagem em nuvem gerenciada, servidor, computação, armazenamento, registro de domínio, rede de distribuição de conteúdo (CDN), DNS, backup, segurança, hospedagem de aplicações, hospedagem de e-mail, hospedagem de banco de dados, certificado SSL, suporte técnico, migração, serviços profissionais e serviços relacionados.
Subprocessador significa qualquer terceiro, incluindo Afiliadas da Rochen, contratado pela Rochen para processar Dados Pessoais do Cliente em nome do Cliente em conexão com os Serviços.
UK GDPR significa a versão de direito da UE retida do Regulamento Geral de Proteção de Dados.
EU GDPR significa o Regulamento (UE) 2016/679.
3.1 Este DPA aplica-se apenas na medida em que a Rochen processa Dados Pessoais do Cliente como processadora ou subprocessadora em nome do Cliente em conexão com os Serviços.
3.2 O Cliente atua como controlador, ou como processador em nome de um controlador terceiro. A Rochen atua como processadora, ou subprocessadora quando o Cliente atua como processador.
3.3 A Rochen processa determinados Dados Pessoais como controladora independente. Isso inclui dados de registro de conta, dados de cobrança e pagamento, comunicações de suporte, metadados de uso do serviço, dados relacionados a abuso e segurança, e outros dados administrativos ou operacionais relacionados ao relacionamento com o cliente ("Dados de Relacionamento com o Cliente"). Para maior clareza, Dados de Relacionamento com o Cliente não incluem dados armazenados, hospedados ou processados pelo Cliente usando os Serviços, que permanecem Dados Pessoais do Cliente. Quando comunicações de suporte incluírem Dados Pessoais do Cliente submetidos pelo Cliente ou em seu nome para fins de recebimento de suporte, a Rochen processará esses Dados Pessoais do Cliente de acordo com este DPA.
3.4 O processamento de Dados de Relacionamento com o Cliente é regido pelo Aviso de Privacidade da Rochen e não por este DPA.
3.5 Se houver conflito entre este DPA e o Contrato, este DPA prevalecerá em relação ao processamento de Dados Pessoais do Cliente. Se houver conflito entre este DPA e as Cláusulas Contratuais Padrão ou o Aditivo do Reino Unido, as Cláusulas Contratuais Padrão ou o Aditivo do Reino Unido prevalecerão na medida do conflito.
3.6 Este DPA destina-se a aplicar-se globalmente. Quando leis fora do UK GDPR ou EU GDPR se aplicarem, incluindo leis dos Estados Unidos, Canadá, Brasil, Índia ou outras jurisdições, as partes concordam que este DPA será interpretado e aplicado para atender aos requisitos dessas leis na medida aplicável.
3.7 Na medida aplicável nos termos das leis de privacidade dos Estados Unidos, incluindo a California Consumer Privacy Act (CCPA) e a California Privacy Rights Act (CPRA), o Cliente é uma "empresa" ou "controlador" e a Rochen é uma "prestadora de serviços" ou "processadora". A Rochen não venderá nem compartilhará Dados Pessoais do Cliente conforme esses termos são definidos nas leis de privacidade estaduais aplicáveis dos EUA, exceto conforme permitido por tais leis.
4.1 A Rochen processará Dados Pessoais do Cliente apenas mediante instruções documentadas do Cliente, salvo se obrigada a fazê-lo por lei aplicável. O Contrato, este DPA, o uso e a configuração dos Serviços pelo Cliente, e as instruções do Cliente fornecidas por meio do portal My Rochen, canais de suporte ou outros meios acordados constituem as instruções documentadas do Cliente.
4.2 A Rochen não é obrigada a avaliar ou monitorar a legalidade do uso dos Serviços ou das instruções do Cliente, exceto na medida exigida pelas Leis Aplicáveis de Proteção de Dados. A Rochen informará o Cliente se, na opinião razoável da Rochen e com base nas informações disponíveis a ela, uma instrução infringir claramente as Leis Aplicáveis de Proteção de Dados, salvo se proibida por lei de fazê-lo.
4.3 O Cliente é responsável por garantir que suas instruções sejam lícitas e que tenha fornecido todos os avisos exigidos e obtido todos os direitos, permissões e bases legais necessários para o processamento dos Dados Pessoais do Cliente usando os Serviços.
5.1 A Rochen processa Dados Pessoais do Cliente para fornecer, proteger, dar suporte, manter, monitorar, melhorar e solucionar problemas dos Serviços; para realizar backups e restaurações; para prevenir abuso e incidentes de segurança; para cumprir as instruções do Cliente; e conforme descrito de outra forma no Contrato e neste DPA.
5.2 Detalhes sobre o objeto, duração, natureza e finalidade do processamento, tipos de Dados Pessoais e categorias de Titulares dos Dados estão estabelecidos no Anexo 1.
6.1 O Cliente é responsável por:
6.2 Para maior clareza, o Cliente é o único responsável pela segurança, configuração, atualizações, correções, remoção e gerenciamento das Aplicações do Cliente hospedadas ou processadas usando os Serviços, incluindo quaisquer Dados Pessoais do Cliente processados por ou dentro das Aplicações do Cliente. Essa responsabilidade aplica-se mesmo quando as Aplicações do Cliente são instaladas, configuradas, migradas, atualizadas ou de outra forma assistidas usando ferramentas, recursos ou suporte fornecidos pela Rochen como parte dos Serviços, salvo se o Contrato dispuser expressamente de outra forma.
6.3 O Cliente reconhece que a Rochen não controla as categorias ou o volume de Dados Pessoais do Cliente que o Cliente escolhe carregar, armazenar, transmitir ou de outra forma processar usando os Serviços.
A Rochen garantirá que o pessoal autorizado a processar Dados Pessoais do Cliente esteja sujeito a obrigações de confidencialidade apropriadas, sejam contratuais, estatutárias ou profissionais, e que processe Dados Pessoais do Cliente apenas conforme necessário para fornecer os Serviços ou conforme permitido de outra forma por este DPA.
8.1 A Rochen implementará e manterá medidas técnicas e organizacionais apropriadas destinadas a proteger Dados Pessoais do Cliente contra destruição, perda, alteração, divulgação não autorizada ou acesso não autorizado, acidental ou ilícito.
8.2 As medidas levarão em conta a natureza, o escopo, o contexto e as finalidades do processamento, os riscos apresentados pelo processamento, o estado da técnica, os custos de implementação e a natureza dos Serviços.
8.3 As medidas de segurança da Rochen incluem, conforme aplicável aos Serviços e limitadas à infraestrutura e plataforma gerenciadas pela Rochen:
8.4 Para maior clareza, as medidas de segurança da Rochen não se estendem às Aplicações do Cliente. A Rochen não realiza testes de segurança em nível de aplicação, incluindo varredura de vulnerabilidades ou testes de penetração das Aplicações do Cliente, salvo se o Contrato dispuser expressamente de outra forma.
8.5 Detalhes adicionais estão estabelecidos no Anexo 2.
9.1 A Rochen notificará o Cliente sem demora injustificada após tomar conhecimento de uma Violação de Dados Pessoais confirmada que afete Dados Pessoais do Cliente.
9.2 A notificação da Rochen incluirá, na medida razoavelmente disponível, informações para ajudar o Cliente a cumprir suas próprias obrigações de notificação de violação, incluindo a natureza do incidente, as categorias e o número aproximado de Titulares dos Dados e registros afetados quando conhecidos, prováveis consequências, e medidas tomadas ou propostas para tratar do incidente.
9.3 A notificação ou resposta da Rochen a uma Violação de Dados Pessoais não constitui reconhecimento de culpa ou responsabilidade.
9.4 O Cliente é responsável por determinar se uma Violação de Dados Pessoais deve ser notificada a uma autoridade supervisora, Titulares dos Dados ou qualquer outra parte, salvo se as Leis Aplicáveis de Proteção de Dados exigirem que a Rochen notifique diretamente.
10.1 O Cliente concede à Rochen autorização geral para contratar Subprocessadores para processar Dados Pessoais do Cliente em conexão com os Serviços.
10.2 A Rochen manterá uma lista de Subprocessadores em https://rochen.com/legal/subprocessors. A lista identificará o Subprocessador, a finalidade do processamento, a localização da entidade e, quando aplicável, a localização do processamento. A mesma página também poderá identificar outros provedores terceiros usados pela Rochen em conexão com Dados de Relacionamento com o Cliente, operações comerciais, cobrança, comunicações, prevenção de fraude, análise, marketing ou outro processamento do lado do controlador descrito no Aviso de Privacidade da Rochen.
10.3 A Rochen imporá obrigações escritas de proteção de dados a cada Subprocessador que sejam, em substância, não menos protetivas do que aquelas impostas à Rochen nos termos deste DPA, na medida aplicável à natureza dos serviços prestados pelo Subprocessador.
10.4 A Rochen permanece responsável perante o Cliente pelo desempenho das obrigações de seus Subprocessadores na medida exigida pelas Leis Aplicáveis de Proteção de Dados.
10.5 A Rochen fornecerá aviso de novos Subprocessadores ou Subprocessadores substitutos atualizando a lista de Subprocessadores ou por outro método apropriado. Quando razoavelmente praticável, tal aviso será fornecido antes da alteração. O Cliente poderá se opor a um novo Subprocessador ou Subprocessador substituto por motivos razoáveis de proteção de dados notificando a Rochen por escrito dentro de 30 dias após o aviso. As partes trabalharão de boa-fé para resolver a objeção. Se as partes não conseguirem resolver a objeção, o Cliente poderá rescindir os Serviços afetados, e a Rochen reembolsará quaisquer taxas pré-pagas pela parte não utilizada dos Serviços rescindidos, salvo se o Contrato dispuser de outra forma.
11.1 O Cliente pode selecionar a região do data centre para cada website ou serviço quando a seleção de região estiver disponível. A Rochen atualmente oferece regiões de hospedagem nos Estados Unidos, Canadá, Reino Unido, Alemanha, Austrália, Índia e Brasil, sujeitas à disponibilidade e à configuração do serviço.
11.2 O Cliente reconhece que alguns Serviços, incluindo distribuição de conteúdo, DNS, segurança, monitoramento, suporte, roteamento de e-mail, administração remota, cobrança, prevenção de fraude, backups, armazenamento de backup off-site, recuperação de desastres e outras funções operacionais, podem envolver processamento ou acesso a partir de locais fora da região de hospedagem selecionada.
11.3 O pessoal e as Afiliadas da Rochen podem processar Dados Pessoais do Cliente a partir do Reino Unido, Estados Unidos, Canadá, Brasil, Índia e outros locais onde a Rochen ou seus Subprocessadores aprovados operem, conforme necessário para fornecer, dar suporte, proteger e manter os Serviços.
11.4 Para Transferências Restritas sujeitas ao EU GDPR, as partes concordam que as Cláusulas Contratuais Padrão adotadas pela Decisão de Execução (UE) 2021/914 da Comissão (as “Cláusulas Contratuais Padrão”) são incorporadas por referência a este DPA e aplicam-se da seguinte forma:
11.5 Para Transferências Restritas sujeitas ao UK GDPR, as partes concordam que o Aditivo Internacional de Transferência de Dados do Reino Unido às Cláusulas Contratuais Padrão da UE se aplica conforme estabelecido no Anexo 4.
11.6 Para transferências a partir da Suíça, as partes concordam que as Cláusulas Contratuais Padrão se aplicam com modificações específicas suíças apropriadas.
11.7 Quando uma decisão de adequação ou outro mecanismo lícito de transferência se aplicar, a Rochen poderá se basear nesse mecanismo em vez das, ou além das, Cláusulas Contratuais Padrão ou do Aditivo do Reino Unido.
11.8 A Rochen tomará medidas razoáveis destinadas a garantir que transferências internacionais de Dados Pessoais do Cliente sejam protegidas de acordo com as Leis Aplicáveis de Proteção de Dados em todas as jurisdições onde os Serviços são prestados, incluindo os Estados Unidos e o Canadá.
12.1 Levando em conta a natureza do processamento, a Rochen prestará assistência razoável ao Cliente, por meio de medidas técnicas e organizacionais apropriadas, para ajudar o Cliente a responder a solicitações de Titulares dos Dados nos termos das Leis Aplicáveis de Proteção de Dados.
12.2 Se a Rochen receber uma solicitação de um Titular dos Dados relacionada a Dados Pessoais do Cliente, a Rochen, salvo se legalmente proibida, direcionará o Titular dos Dados ao Cliente ou notificará o Cliente. A Rochen não responderá à solicitação exceto mediante instruções documentadas do Cliente ou conforme exigido por lei.
12.3 O Cliente é responsável por usar os controles disponíveis nos Serviços para acessar, corrigir, exportar, excluir ou restringir Dados Pessoais do Cliente quando esses controles estiverem disponíveis.
Levando em conta a natureza do processamento e as informações disponíveis à Rochen, a Rochen prestará assistência razoável ao Cliente com as obrigações do Cliente relativas a segurança, notificação de violação, avaliações de impacto sobre proteção de dados e consulta prévia a autoridades supervisoras, na medida exigida pelas Leis Aplicáveis de Proteção de Dados e quando o Cliente não tiver acesso de outra forma às informações relevantes.
Tal assistência será prestada de forma razoável. Na medida em que tal assistência exigir recursos ou esforços adicionais significativos além da prestação padrão dos Serviços, a Rochen poderá cobrar do Cliente por tal assistência segundo suas tarifas padrão.
14.1 Durante o prazo dos Serviços, o Cliente poderá acessar, exportar, modificar e excluir Dados Pessoais do Cliente usando as ferramentas e protocolos disponibilizados por meio dos Serviços.
14.2 Após a rescisão ou expiração dos Serviços, a Rochen excluirá ou devolverá Dados Pessoais do Cliente de acordo com o Contrato, a configuração de serviço aplicável e as instruções documentadas do Cliente, salvo se a lei aplicável exigir retenção.
14.3 O Cliente reconhece que Dados Pessoais do Cliente excluídos podem permanecer em backups por um período limitado até serem sobrescritos ou excluídos de acordo com o ciclo de vida de backups da Rochen. Dados de backup são isolados do processamento ordinário e não são restaurados exceto como parte de processos de restauração de backup, continuidade de negócios, segurança ou conformidade legal.
15.1 A Rochen disponibilizará informações razoavelmente necessárias para demonstrar conformidade com este DPA e com as Leis Aplicáveis de Proteção de Dados.
15.2 O Cliente poderá solicitar uma auditoria no máximo uma vez por ano-calendário, salvo se exigido por uma autoridade supervisora ou após uma Violação de Dados Pessoais confirmada que afete Dados Pessoais do Cliente. Qualquer auditoria deve estar sujeita a requisitos razoáveis de confidencialidade, segurança, tempo e escopo, e não deve interferir de forma não razoável nas operações comerciais da Rochen.
15.3 A Rochen poderá satisfazer obrigações de auditoria fornecendo certificações de terceiros relevantes, relatórios de auditoria, resumos, políticas, questionários ou outra documentação que demonstre conformidade, quando apropriado.
15.4 As auditorias serão conduzidas principalmente por meio do fornecimento de documentação e meios remotos. Auditorias no local não são permitidas, exceto quando exigidas pelas Leis Aplicáveis de Proteção de Dados e quando nenhuma alternativa razoável estiver disponível.
15.5 O Cliente é responsável por custos razoáveis incorridos pela Rochen no apoio a auditorias, incluindo tempo, recursos e quaisquer custos de terceiros, salvo se tal auditoria for exigida devido a violação deste DPA ou das Leis Aplicáveis de Proteção de Dados pela Rochen.
16.1 Se a Rochen receber uma solicitação juridicamente vinculante de uma autoridade pública relativa a Dados Pessoais do Cliente, a Rochen, salvo se legalmente proibida, notificará o Cliente e direcionará a autoridade solicitante ao Cliente.
16.2 A Rochen analisará tais solicitações e contestará ou buscará restringir solicitações quando a Rochen determinar razoavelmente que a solicitação é ilícita, excessivamente ampla ou de outra forma inadequada, levando em conta as circunstâncias e a lei aplicável.
17.1 A Rochen poderá fornecer os Serviços por meio de Afiliadas da Rochen, incluindo a Rochen US, Inc. Quando uma Afiliada da Rochen processar Dados Pessoais do Cliente em nome do Cliente, a Rochen garantirá que a Afiliada esteja vinculada por obrigações consistentes com este DPA.
17.2 A Rochen permanece responsável pelo desempenho das Afiliadas da Rochen nos termos deste DPA na medida exigida pelas Leis Aplicáveis de Proteção de Dados.
A responsabilidade de cada parte nos termos deste DPA está sujeita às limitações e exclusões de responsabilidade previstas no Contrato, exceto na medida proibida pelas Leis Aplicáveis de Proteção de Dados ou pelas Cláusulas Contratuais Padrão.
Este DPA começa quando o Cliente concorda com o Contrato ou começa a usar os Serviços e continua até que a Rochen deixe de processar Dados Pessoais do Cliente em nome do Cliente.
A Rochen poderá atualizar este DPA de tempos em tempos para refletir alterações na lei, orientação regulatória, nos Serviços ou nas atividades de processamento da Rochen. A Rochen fornecerá aviso de alterações materiais por meios apropriados, como publicação de uma versão atualizada em seu website, e-mail ou aviso por meio do portal do cliente.
A Rochen processará Dados Pessoais do Cliente conforme necessário para fornecer, dar suporte, proteger, manter, administrar e melhorar os Serviços nos termos do Contrato, incluindo suporte técnico relacionado e solicitações de clientes, e conforme de outra forma instruído pelo Cliente por meio de seu uso dos Serviços.
Pelo prazo do Contrato e qualquer período durante o qual a Rochen processe Dados Pessoais do Cliente como parte da retenção de backups, encerramento de conta, conformidade legal, resolução de disputas ou outros fins lícitos permitidos pelo Contrato e pelas Leis Aplicáveis de Proteção de Dados.
A Rochen processa Dados Pessoais do Cliente conforme necessário para fornecer, dar suporte, proteger, manter, administrar e melhorar os Serviços nos termos do Contrato, e conforme de outra forma instruído pelo Cliente por meio de seu uso dos Serviços.
Isso inclui, conforme aplicável:
O Cliente determina as categorias de Titulares dos Dados. Elas podem incluir:
O Cliente determina as categorias de Dados Pessoais. Elas podem incluir:
Os Serviços não são especificamente projetados para processar categorias especiais de Dados Pessoais, dados de condenações criminais, informações de saúde protegidas, dados de cartão de pagamento armazenados pelo Cliente ou dados igualmente sensíveis, salvo se o Contrato dispuser de outra forma ou salvo se o Cliente tiver configurado os Serviços e suas próprias aplicações para atender aos requisitos legais e de segurança aplicáveis.
Contínua durante a duração dos Serviços.
O Cliente pode escolher a região de hospedagem para cada website ou serviço quando a seleção de região estiver disponível. Algum processamento ainda poderá ocorrer fora da região de hospedagem selecionada, incluindo acesso de suporte, administração de conta, monitoramento de segurança, distribuição de conteúdo, DNS, roteamento de e-mail, processamento de pagamentos, prevenção de fraude, backups, armazenamento de backup off-site, recuperação de desastres e outro processamento operacional.
A Rochen mantém medidas técnicas e organizacionais apropriadas à natureza dos Serviços, incluindo, quando aplicável:
A Rochen contrata Subprocessadores para fornecer determinados aspectos dos Serviços.
A Rochen mantém uma lista atualizada de Subprocessadores, incluindo sua identidade, finalidade e localização, em: https://www.rochen.com/legal/subprocessors
Esta lista poderá ser atualizada de tempos em tempos de acordo com a Seção 10 deste DPA.
Este Anexo 3 faz parte das informações exigidas pelas Leis Aplicáveis de Proteção de Dados e, quando aplicável, pelas Cláusulas Contratuais Padrão.
Este Anexo 4 faz parte do Data Processing Agreement (DPA) e aplica-se a Transferências Restritas sujeitas ao UK GDPR.
As partes concordam que o Aditivo Internacional de Transferência de Dados do Reino Unido ("Aditivo do Reino Unido"), versão B1.0 emitida pelo Information Commissioner’s Office do Reino Unido e em vigor desde 21 de março de 2022, é incorporado a este DPA e aplica-se às Cláusulas Contratuais Padrão da UE ("EU SCCs") conforme completadas abaixo.
Os detalhes das partes, incluindo informações de contato, estão estabelecidos no Contrato e neste DPA. Afiliadas da Rochen e Subprocessadores aprovados podem participar do processamento conforme descrito neste DPA.
Qualquer parte poderá encerrar este Aditivo do Reino Unido conforme estabelecido na Seção 19 do Aditivo do Reino Unido.
Quando houver qualquer conflito entre este Anexo 4 e as EU SCCs ou o Aditivo do Reino Unido, as EU SCCs e o Aditivo do Reino Unido prevalecerão na medida do conflito.
Este Anexo 4 faz parte das salvaguardas para Transferências Restritas nos termos das Leis Aplicáveis de Proteção de Dados.
Última atualização: 29 de abril de 2026