Acordo de Tratamento de Dados

Termos em maiúsculas não definidos aqui têm o significado dado no GDPR ou no GDPR do Reino Unido. 'Cliente' significa a entidade que aceitou os Termos de Serviço da Randvu. 'Dados Pessoais do Cliente' são os dados pessoais que a Randvu trata em nome do Cliente. 'Suboperador' é qualquer terceiro contratado pela Randvu para tratar Dados Pessoais do Cliente.

O Cliente é o controlador dos Dados Pessoais do Cliente. A Randvu é o operador e trata os Dados Pessoais do Cliente apenas conforme instruções documentadas do Cliente, inclusive quanto a transferências para um terceiro país, salvo se a lei aplicável exigir o contrário.

A Randvu trata Dados Pessoais do Cliente para prestar o Serviço descrito nos Termos de Serviço e em qualquer ordem. O tratamento abrange gestão de agendamentos, comunicações, cobrança, suporte e analítica necessária para operar o Serviço. As categorias de titulares incluem o pessoal do Cliente e seus clientes/hóspedes. As categorias de dados pessoais incluem identificadores, dados de contato e dados relacionados a agendamentos.

O Cliente autoriza a Randvu a contratar Suboperadores para tratar Dados Pessoais do Cliente, sujeito a:

• Contrato escrito impondo obrigações de proteção de dados não menos protetoras que as deste DPA.
• A Randvu permanecer responsável pelo desempenho de cada Suboperador.
• A Randvu manter uma lista de Suboperadores atuais e comunicar adições ou substituições, com oportunidade razoável de oposição por motivos legítimos de proteção de dados.

A Randvu implementa medidas técnicas e organizacionais adequadas para proteger os Dados Pessoais do Cliente contra destruição, perda, alteração, divulgação ou acesso não autorizados, acidentais ou ilícitos. As medidas incluem:

• Criptografia em trânsito e em repouso para campos sensíveis.
• Controles de acesso e princípio do menor privilégio.
• Registro, monitoramento e revisão regular de eventos de segurança.
• Obrigações de confidencialidade e treinamento de segurança da equipe.
• Gestão de risco de fornecedores e procedimentos de resposta a incidentes.

Considerando a natureza do tratamento, a Randvu prestará assistência razoável para que o Cliente atenda solicitações de titulares que exerçam seus direitos sob as leis de proteção de dados aplicáveis (acesso, retificação, exclusão, restrição, portabilidade e oposição). Caso a Randvu receba uma solicitação direta, redirecionará o titular ao Cliente.

A Randvu notificará o Cliente sem atraso indevido após tomar conhecimento de um Incidente com Dados Pessoais que afete os Dados Pessoais do Cliente e fornecerá as informações razoavelmente disponíveis para que o Cliente cumpra suas obrigações de notificação sob as leis aplicáveis.

Quando a Randvu transferir Dados Pessoais do Cliente para um país fora do EEE, do Reino Unido ou da Suíça que não tenha sido considerado adequado, as partes recorrerão às Cláusulas Contratuais Padrão ou a outro mecanismo legal de transferência, incorporado por referência a este DPA.

A Randvu disponibilizará ao Cliente as informações necessárias para demonstrar conformidade com este DPA. O Cliente poderá, às suas custas e não mais que uma vez por ano (exceto quando exigido por regulador ou após Incidente com Dados Pessoais), auditar a conformidade da Randvu, com aviso prévio razoável e em horário comercial, sujeito a confidencialidade.

Ao término ou expiração do Serviço, a Randvu, a critério do Cliente, excluirá ou devolverá os Dados Pessoais do Cliente e excluirá cópias existentes, salvo se a retenção for exigida pela lei aplicável.

Este DPA entra em vigor com a aceitação dos Termos de Serviço pelo Cliente e permanece em vigor enquanto a Randvu tratar Dados Pessoais do Cliente em nome do Cliente.