Acordo de Processamento de Dados

"Dados Pessoais" significa qualquer informacao relativa a uma pessoa singular identificada ou identificavel conforme definido no Artigo 4(1) do RGPD. "Tratamento" significa qualquer operacao efetuada sobre Dados Pessoais, conforme definido no Artigo 4(2) do RGPD. "Titular dos Dados" significa a pessoa singular identificada ou identificavel a quem os Dados Pessoais se referem. "Subprocessador" significa qualquer terceiro contratado por nos para tratar Dados Pessoais em seu nome. "Incidente de Seguranca" significa qualquer violacao de seguranca que conduza a destruicao, perda, alteracao acidental ou ilicita, divulgacao nao autorizada ou acesso a Dados Pessoais.

Este APD aplica-se a todo o Tratamento de Dados Pessoais por nos efetuado em seu nome em conexao com a FaceShot. As partes reconhecem que: • Voce e o Responsavel pelo tratamento dos Dados Pessoais • Nos somos o Subcontratante que atua em seu nome e de acordo com as suas instrucoes O objeto, a duracao, a natureza e a finalidade do Tratamento, bem como os tipos de Dados Pessoais e as categorias de Titulares dos Dados, sao descritos no Anexo 1 deste APD.

Nos: • Trataremos os Dados Pessoais apenas com base nas suas instrucoes documentadas, salvo exigencia legal • Garantiremos que as pessoas autorizadas a tratar Dados Pessoais estejam vinculadas por confidencialidade • Implementaremos medidas tecnicas e organizativas de seguranca apropriadas • Nao contrataremos Subprocessadores sem autorizacao previa (consulte a nossa Lista de Subprocessadores) • Assisti-lo-emos na resposta a pedidos dos Titulares dos Dados • Assisti-lo-emos no cumprimento dos Artigos 32-36 do RGPD • Eliminaremos ou devolveremos todos os Dados Pessoais apos a cessacao, salvo se a retencao for exigida por lei • Disponibilizaremos as informacoes necessarias para demonstrar conformidade e permitir auditorias

Autoriza-nos a contratar Subprocessadores para tratar Dados Pessoais em seu nome, sujeito a este APD. Mantemos uma lista de Subprocessadores atuais em /legal/subprocessors. Notifica-lo-emos de quaisquer alteracoes previstas aos Subprocessadores, dando-lhe oportunidade de objetar. Celebraremos contratos escritos com cada Subprocessador que imponham obrigacoes de protecao de dados nao menos protetoras que este APD.

Os Dados Pessoais podem ser transferidos e tratados em paises fora do Espaco Economico Europeu (EEE). Garantimos que tais transferencias cumprem o Capitulo V do RGPD, utilizando: • Clausulas Contratuais Tipo (CCT) aprovadas pela Comissao Europeia • Transferencias para paises com decisoes de adequacao • Outros mecanismos de transferencia validos ao abrigo do RGPD A pedido, forneceremos copias dos mecanismos de transferencia em vigor.

Notifica-lo-emos sem demora indevida (e em qualquer caso dentro de 48 horas) apos tomarmos conhecimento de um Incidente de Seguranca que afete os seus Dados Pessoais. A notificacao incluira: • Descricao da natureza do incidente • Categorias e numero aproximado de Titulares dos Dados afetados • Consequencias provaveis do incidente • Medidas tomadas ou propostas para resolver o incidente Cooperaremos consigo na investigacao, mitigacao e resolucao de qualquer Incidente de Seguranca.

Mediante pedido razoavel e sujeito a obrigacoes de confidencialidade, disponibilizaremos as informacoes necessarias para demonstrar conformidade com este APD. Pode realizar uma auditoria para verificar a nossa conformidade, sujeita a: • Aviso previo razoavel (pelo menos 30 dias) • Auditorias durante o horario comercial normal • Ambito limitado a instalacoes e registos relevantes • Acordo de confidencialidade do auditor

Este APD e efetivo a partir da data em que aceita os nossos Termos de Servico e continua ate a cessacao dos Servicos. Apos a cessacao: • A sua escolha, eliminaremos ou devolveremos todos os Dados Pessoais • As copias existentes serao eliminadas dentro de 90 dias (salvo se a retencao for exigida por lei) • A pedido, certificaremos a eliminacao por escrito

Objeto: Tratamento de Dados Pessoais conforme necessario para fornecer a FaceShot. Duracao: Pelo periodo do Acordo de Servico acrescido de qualquer periodo de retencao legalmente exigido. Natureza e Finalidade: • Prestacao do servico de geracao de fotos profissionais com IA • Autenticacao de utilizadores e gestao de contas • Analise e melhoria do servico • Faturacao e processamento de pagamentos Tipos de Dados Pessoais: • Informacoes de contacto (email, nome) • Credenciais de conta • Fotos carregadas para processamento • Dados de utilizacao e registos • Informacoes de pagamento (processadas pelo Stripe) Categorias de Titulares dos Dados: • Utilizadores registados da FaceShot • Individuos retratados nas fotos carregadas (com consentimento)