Aditivo de Processamento de Dados

1º de janeiro de 2026

Aditivo de Processamento de Dados

CELEBRADO ENTRE:

Bending Spoons US, Inc., uma corporação de Delaware com sede principal localizada em 169 Madison Ave, Ste 11218, Nova York, NY 10016 em seu nome e em nome de suas Afiliadas (doravante referida como “StreamYard”);

e  

Cliente, conforme identificado no Contrato Principal (definido abaixo).

Cada um uma “parte,” conjuntamente as “partes.”

ANTECEDENTES

As partes celebraram um acordo para que a StreamYard e, quando aplicável, suas Afiliadas forneçam certos serviços ao Cliente (o “Contrato Principal”). Este aditivo de processamento de dados (o “DPA”) estabelece os termos pelos quais as partes coletarão e processarão dados pessoais em conexão com o Serviço e é incorporado ao Contrato Principal por referência.

Cliente e StreamYard atuam cada um como controlador independente dos Dados da Conta. Em todas as outras circunstâncias, o Cliente é o controlador dos Dados do Cliente e a StreamYard é o processador.

APLICAÇÃO DESTE DPA

Este DPA descreve os compromissos da StreamYard e do Cliente relativos ao processamento de dados pessoais em conexão com a prestação do Serviço contemplado pelo Contrato Principal.

Este DPA aplicará ao processamento de dados pessoais sob o Contrato Principal, na medida em que tal processamento esteja sujeito à Legislação de Proteção de Dados, e entra em vigor a partir da data do Contrato Principal.

DESCRIÇÃO DO PROCESSAMENTO DE DADOS

Objeto

Processamento de dados pessoais relacionados ao Serviço conforme descrito no Contrato Principal.

Natureza e finalidade

Processamento de dados pessoais para fornecer o Serviço conforme descrito no Contrato Principal.

Duração e Frequência

Prazo do Contrato Principal ou enquanto a StreamYard estiver autorizada ou obrigada a reter os dados pessoais. Os dados pessoais serão transferidos continuamente quando necessário para fornecer o Serviço ao Cliente.

Tipos de dados pessoais

“Dados da Conta” são quaisquer dados pessoais relacionados a indivíduos na criação de uma conta via o Serviço, tais como (a) nome e sobrenome; (b) detalhes de contato; (c) informações de participação na transmissão (ex: nome da transmissão, hora e data); (d) endereço IP; (e) quaisquer dados pessoais adicionais fornecidos diretamente à StreamYard ao registrar-se e interagir com o Serviço; e (f) quaisquer dados de uso, incluindo metadados relacionados à interação do indivíduo com o Serviço (ex: duração da visita, caminhos de navegação, visualizações de página, informações de interação com a página, tempo, frequência e padrões de uso).

“Dados do Cliente” são (a) quaisquer dados pessoais contidos em materiais enviados pelo Cliente no curso da criação ou durante uma transmissão ou gravação (ex: biografias de palestrantes); e (b) dados pessoais incorporados em conteúdo relacionado à transmissão ou gravação do Cliente (ex: gravações de transmissões, transcrições de bate-papo dos participantes).

Categorias de Titulares de Dados

Indivíduos que participam de transmissões ou webinars ao vivo.

Indivíduos cujos dados pessoais estão contidos nos Dados do Cliente.

DEFINIÇÕES

“Afiliadas” significa qualquer entidade que direta ou indiretamente controla, é controlada por, ou está sob controle comum com a entidade em questão, e que fornece o Serviço.

“Controlador”, “processador”, “titular dos dados”, “dados pessoais”, “violação de dados pessoais”, “processamento”, “prestador de serviço” e “medidas técnicas e organizacionais apropriadas” têm os significados definidos na Legislação de Proteção de Dados. “Dados pessoais” inclui “personal information” conforme definido pela CCPA. “Controlador” também incluirá a definição de “Empresa” para fins da CCPA.

“Legislação de Proteção de Dados” significa toda legislação aplicável de proteção de dados e privacidade em vigor de tempos em tempos, incluindo (i) o Regulamento Geral de Proteção de Dados ((UE) 2016/679) (“EU GDPR”); (ii) o Regulamento Geral de Proteção de Dados ((UE) 2016/679) conforme faz parte da lei da Inglaterra e País de Gales, Escócia e Irlanda do Norte por força da seção 3 do European Union (Withdrawal) Act 2018 (e veja a seção 205(4)) (“UK GDPR”); (iii) a Diretiva sobre Privacidade e Comunicações Eletrônicas 2002/58/EC (atualizada pela Diretiva 2009/136/EC); (iv) quaisquer e todas as leis nacionais aplicáveis de proteção de dados feitas sob, em conformidade com ou que se aplicam em conjunto com qualquer das (i), (ii) ou (iii); e (v) a Lei de Privacidade do Consumidor da Califórnia, Cal. Civ. Code § 1798.100 et seq., incluindo seus regulamentos e as emendas feitas pela California Privacy Rights Act de 2020 (“CCPA”); em cada caso conforme possa ser alterada ou substituída de tempos em tempos.

“Cláusulas de Transferência C-to-P da UE” significa as seções I, II, III e IV das SCCs da UE (conforme aplicável) na medida em que façam referência ao Módulo Dois (Controlador para Processador).

“Transferência Restrita” significa uma transferência de dados pessoais sob este DPA da Área Econômica Europeia, Suíça ou Reino Unido para países que não asseguram um nível adequado de proteção de dados nos termos das leis aplicáveis dos territórios supracitados, na medida em que tais transferências estejam sujeitas a tais leis aplicáveis.

“Cláusulas Contratuais Padrão” significa (i) quando aplicado o EU GDPR, as cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros nos termos do Regulamento (UE) 2016/679 disponíveis em: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj (“EU SCCs”) e (ii) quando aplicado o UK GDPR, o “International Data Transfer Addendum to the EU Commission Standard Contractual Clauses” emitido pelo Information Commissioner sob s.119A(1) da Data Protection Act 2018 (“UK Addendum”).

“Serviço” tem o significado estabelecido no Contrato Principal, mas pode incluir o estúdio e serviço de transmissão StreamYard e quaisquer outros serviços fornecidos pela StreamYard.

1. Conformidade com a Legislação de Proteção de Dados

1.1 Ambas as partes cumprirão todos os requisitos aplicáveis da Legislação de Proteção de Dados.

2 Responsabilidades do Cliente

2.1 O Cliente garantirá que possui todos os consentimentos e avisos necessários e apropriados para permitir a divulgação legal dos Dados do Cliente para a StreamYard e/ou a coleta ou processamento legal dos Dados do Cliente pela StreamYard em nome do Cliente para os fins deste DPA. O Cliente não instruirá a StreamYard a processar quaisquer dados pessoais, incluindo Dados do Cliente, em violação à Legislação de Proteção de Dados.

3 Responsabilidades da StreamYard

3.1 A StreamYard cumprirá os requisitos abaixo, em relação a quaisquer Dados do Cliente processados pela StreamYard como processador em nome do Cliente como controlador:

3.1.1 Instruções: A StreamYard deverá: (i) processar Dados do Cliente somente conforme as instruções escritas documentadas do Cliente, que incluem este DPA e o Contrato Principal, salvo se a StreamYard for obrigada por leis aplicáveis a processar os Dados do Cliente de outra forma; (ii) quando a StreamYard se basear em leis aplicáveis como fundamento para processar Dados do Cliente, deverá notificar prontamente o Cliente com antecedência, salvo se tais leis aplicáveis proibirem a StreamYard de fazê-lo; e (iii) informar o Cliente prontamente se, na opinião da StreamYard, uma instrução do Cliente infringir (ou, se seguida, possa causar infração a) a Legislação de Proteção de Dados;

3.1.2 Segurança: A StreamYard deverá garantir que possui medidas técnicas e organizacionais apropriadas conforme fornecido em Security Overview - Technical and Organizational Measures (as “Medidas de Segurança”), para proteger contra o processamento não autorizado ou ilegal dos Dados do Cliente e contra perda, destruição ou dano acidental dos Dados do Cliente, apropriadas para: o dano que poderia resultar do processamento não autorizado ou ilegal ou perda, destruição ou dano acidental dos dados; e a natureza dos dados a serem protegidos, considerando sempre o estado do desenvolvimento tecnológico e o custo de implementação de tais medidas (essas medidas podem incluir, quando apropriado, a pseudonimização e criptografia dos Dados do Cliente, garantindo confidencialidade, integridade, disponibilidade e resiliência de seus sistemas e serviços, garantindo que a disponibilidade e o acesso aos Dados do Cliente possam ser restaurados de forma oportuna após uma violação de dados pessoais, e avaliando e avaliando regularmente a eficácia das medidas técnicas e organizacionais adotadas);

3.1.3 Confidencialidade do processamento: A StreamYard deverá garantir que todo o pessoal que tenha acesso e/ou processe Dados do Cliente esteja sujeito a um dever estrito de confidencialidade (seja contratual ou legal);

3.1.4 Cooperação e direitos dos titulares: A StreamYard auxiliará o Cliente, às custas do Cliente, a responder a qualquer solicitação de um titular de dados e a garantir o cumprimento de suas obrigações sob a Legislação de Proteção de Dados com respeito a notificações de violação de dados pessoais, avaliações de impacto e consultas com autoridades supervisoras ou reguladoras;

3.1.5 Violações de dados pessoais: A StreamYard notificará o Cliente sem demora indevida ao tomar conhecimento de uma violação de dados pessoais dos Dados do Cliente;

3.1.6 Exclusão ou devolução dos dados: A StreamYard, mediante instrução escrita do Cliente, excluirá ou devolverá os Dados do Cliente ao Cliente, na rescisão do DPA, salvo se for obrigada por leis aplicáveis a armazenar os Dados do Cliente;

3.1.7 Responsabilização: A StreamYard manterá registros e informações completos e precisos para demonstrar sua conformidade com a Legislação de Proteção de Dados e fornecerá ao Cliente evidências apropriadas mediante solicitação razoável; e

3.1.8 Auditorias: A StreamYard permitirá auditorias pelo auditor designado pelo Cliente, a serem acordadas previamente com a StreamYard, somente na medida necessária para demonstrar conformidade com este DPA, desde que: o Cliente forneça à StreamYard aviso prévio de no mínimo 30 dias para tal auditoria ou inspeção; seja conduzida às custas exclusivas do Cliente; e as partes concordem previamente com o escopo, duração e finalidade de tal auditoria ou inspeção, incluindo reembolso razoável à StreamYard pelo tempo gasto pela StreamYard ou seus sub-processadores. O auditor designado pelo Cliente conduzirá a auditoria de maneira a causar mínima perturbação às operações comerciais da StreamYard e não terá direito a receber ou acessar qualquer sistema que também armazene dados ou informações de outros clientes ou clientes da StreamYard ou qualquer outra informação confidencial da StreamYard que não seja diretamente relevante para os propósitos autorizados da auditoria. Se o Cliente tomar conhecimento de qualquer informação confidencial da StreamYard em decorrência desta Seção 3.1.8, o Cliente deverá manter tal informação confidencial e, salvo exigência legal, não disponibilizar a terceiros nem utilizá-la para qualquer outro propósito. O Cliente reconhece que a StreamYard apenas deverá envidar esforços razoáveis para auxiliar o Cliente a obter acesso a quaisquer ativos, registros ou informações de terceiros como parte de qualquer auditoria.

4. Processadores terceirizados

4.1 O Cliente reconhece e consente, em geral, com a nomeação pela StreamYard de terceiros como sub-processadores dos Dados do Cliente processados sob este DPA. Os nomes e localizações dos sub-processadores usados para o processamento para apoiar o Serviço sob este DPA estão listados em Security Overview - Technical and Organizational Measures.

4.2 A StreamYard confirma que: (a) imporá a todos os sub-processadores obrigações de proteção de dados substancialmente iguais às estabelecidas neste DPA; e (b) a StreamYard permanecerá totalmente responsável pelas ações de seus sub-processadores em todos os momentos.

4.3 A StreamYard notificará o Cliente sobre a nomeação de quaisquer novos sub-processadores atualizando as listas de sub-processadores referenciadas na Seção 4.1 acima. O Cliente poderá objetar razoavelmente a tais nomeações dentro de 10 dias úteis do Reino Unido após tal notificação, por motivos importantes relacionados à proteção de dados que tenham sido comprovados à StreamYard. Se o Cliente objetar a tais mudanças com base nisso, o Cliente dará à StreamYard a oportunidade de fazer uma alteração no serviço ou recomendar uma alteração comercialmente razoável na configuração do Cliente para evitar o processamento dos Dados do Cliente pelo novo sub-processador objeto da objeção, sem sobrecarregar desnecessariamente o Cliente. Na medida em que o Cliente não se opuser dentro de 10 dias após a data da notificação, o direito do Cliente de se opor ao respectivo engajamento caduca. Se o Cliente se opuser conforme esta Seção 4.3, a StreamYard terá o direito de rescindir o Contrato Principal mediante aviso razoável.

5. Transferências Restritas

5.1 Na medida em que o Serviço conduza a uma Transferência Restrita, StreamYard e Cliente celebram por meio deste as Cláusulas de Transferência C-to-P da UE e o UK Addendum (quando aplicável) com base de que o exportador é o Cliente e o importador é a StreamYard e com base em que:

(a) Na medida em que o Cliente esteja localizado na UE e/ou os dados pessoais estejam protegidos pelo EU GDPR, as Cláusulas de Transferência C-to-P da UE serão completadas conforme segue:

(i) na Cláusula 7, a cláusula opcional de acoplamento não se aplicará;

(ii) na Cláusula 9, a Opção 2 será aplicada, e nos termos da cláusula 9(1) o Cliente reconhece e concorda que a StreamYard pode contratar novos sub-processadores na forma descrita neste DPA e o prazo de aviso será de 10 dias úteis do Reino Unido;

(iii) na Cláusula 11, a linguagem opcional não se aplicará;

(iv) na Cláusula 17, as Cláusulas de Transferência C-to-P da UE serão regidas pela jurisdição da Irlanda;

(v) na Cláusula 18, disputas serão resolvidas perante os tribunais da jurisdição da Irlanda;

(iv) a autoridade supervisora competente será a Comissão de Proteção de Dados da Irlanda;

(vii) para fins do Anexo I das Cláusulas de Transferência C-to-P da UE: (a) a categoria de dados transferidos é Dados do Cliente (conforme definido acima); e (b) as categorias de titulares de dados, objeto, natureza e finalidade e duração e frequência da transferência e retenção estão descritas acima em “Descrição do Processamento de Dados”. Não se prevê que dados sensíveis sejam transferidos; e

(viii) Para fins do Anexo II as medidas de segurança são especificadas em https://support.streamyard.com/hc/articles/18795807558164, que são incorporadas por referência.

(b) Na medida em que o Cliente esteja localizado no Reino Unido e/ou os dados pessoais estejam protegidos pelo UK GDPR, o UK Addendum aplicará conforme segue:

(i) As Cláusulas de Transferência C-to-P da UE (conforme alteradas conforme especificado na Parte 2 do UK Addendum) são completadas conforme descrito acima na Seção 5.1(a); e

(ii) As Tabelas 1 a 3 do UK Addendum serão consideradas completadas com as informações descritas acima na Seção 5.1(a) (conforme aplicável) e a tabela 4 na Parte 1 será considerada completada selecionando "data importer".

5.2 Na medida em que houver conflito entre este DPA e/ou o Contrato Principal com quaisquer Cláusulas Contratuais Padrão aplicáveis, prevalecerão as Cláusulas Contratuais Padrão.

5.3 Na medida em que a StreamYard adote um mecanismo alternativo de transferência de dados (incluindo qualquer nova versão ou sucessor das Cláusulas Contratuais Padrão) ("Mecanismo Alternativo de Transferência"), o Mecanismo Alternativo de Transferência, mediante notificação ao Cliente e oportunidade para objeção, aplicará em substituição a qualquer mecanismo de transferência aplicável descrito neste DPA (mas somente na medida em que tal Mecanismo Alternativo de Transferência cumpra a Legislação de Proteção de Dados aplicável à UE e/ou ao Reino Unido e se estenda aos territórios para os quais os Dados do Cliente são transferidos).

6. CCPA

6.1 Com relação aos dados pessoais nos Dados do Cliente sujeitos à CCPA, a StreamYard deverá:

(a) cumprir todas as disposições aplicáveis da CCPA;

(b) não vender ou compartilhar os dados pessoais (conforme os termos “vender” e “compartilhar” são definidos na CCPA); receber quaisquer dados pessoais como contraprestação por qualquer serviço fornecido pela StreamYard como prestadora de serviço sob este DPA; ou tomar qualquer ação que cause que qualquer fornecimento de dados pessoais à StreamYard pelo Cliente qualifique como “venda” de dados pessoais sob a CCPA ou qualquer outra Legislação de Proteção de Dados aplicável;

(c) não coletar, reter, compartilhar ou usar quaisquer dados pessoais fora do relacionamento comercial direto entre Cliente e StreamYard, ou para qualquer finalidade (incluindo qualquer finalidade comercial) que não seja fornecer e operar o Serviço (incluindo, sem limitação, na medida solicitada pelo Cliente, fornecer o estúdio e serviço de transmissão StreamYard);

(d) cumprir quaisquer restrições aplicáveis sob a CCPA sobre a combinação dos dados pessoais nos Dados do Cliente com dados pessoais que a StreamYard receba de, ou em nome de, outra(s) pessoa(s), ou que a StreamYard colete de qualquer interação entre ela e qualquer indivíduo;

(e) fornecer dados pessoais com o nível de proteção exigido das empresas sob a CCPA; e

(f) informar prontamente o Cliente se a StreamYard deixar de ser capaz de cumprir suas obrigações sob a CCPA.

6.2 A StreamYard certifica que entende e cumprirá os requisitos deste DPA, incluindo esta Seção 6.

6.3 O Cliente mantém o direito de tomar medidas razoáveis e apropriadas para (a) garantir que a StreamYard processe dados pessoais sujeitos à CCPA contidos nos Dados do Cliente de forma consistente com a CCPA, e (b) mediante notificação, interromper e remediar o processamento não autorizado de tais dados pessoais.

7. Geral

7.1 Este DPA está sujeito aos termos do Contrato Principal e é incorporado ao Contrato Principal. Em caso de conflito ou ambiguidade entre quaisquer disposições deste DPA e as disposições do Contrato Principal, prevalecerão as disposições deste DPA na medida de tal conflito ou ambiguidade. Este DPA permanecerá em pleno vigor enquanto o Contrato Principal estiver em vigor.

7.2 Se qualquer disposição deste DPA for ineficaz ou nula, isso não afetará as disposições restantes. As partes substituirão a disposição ineficaz ou nula por uma disposição legal que reflita o propósito comercial da disposição ineficaz ou nula. Caso falte uma disposição necessária, as partes adicionarão uma apropriada de boa fé.

7.3 Este DPA e qualquer disputa ou reclamação (incluindo disputas ou reclamações não contratuais) decorrentes ou relacionadas a ele ou ao seu objeto ou formação serão regidos e interpretados de acordo com a lei da Inglaterra e País de Gales.

7.4 Cada parte concorda irrevogavelmente que os tribunais da Inglaterra e País de Gales terão jurisdição exclusiva para resolver qualquer disputa ou reclamação (incluindo disputas ou reclamações não contratuais) decorrente ou relacionada a este DPA ou ao seu objeto ou formação.