Contrato de Subcontratação (DPA)
Última atualização:
1. Enquadramento e definições
O presente Contrato de Subcontratação ("DPA") regula o tratamento de dados pessoais efetuado por Pedro Caetano Laúdo (NIF 248565117, Rua Principal n.º 713, Chã Laranjeira, 2425-821 Souto da Carpalhosa, Leiria)("Convlyx", o subcontratante) por conta da escola de condução Cliente (o responsável pelo tratamento), ao abrigo do artigo 28.º do Regulamento (UE) 2016/679 (RGPD) e da Lei n.º 58/2019. Faz parte integrante dos Termos e Condições e é aceite com eles.
2. Objeto, duração, natureza e finalidade
O Convlyx trata dados pessoais exclusivamente para prestar o serviço de gestão da escola de condução (agenda de aulas, alunos, instrutores, exames, presenças, notificações). O tratamento dura enquanto vigorar o contrato de prestação de serviço e cessa nos termos da cláusula 9.
3. Tipos de dados e categorias de titulares
Dados de identificação e contacto (nome, email, telefone), dados de percurso formativo (aulas, presenças, exames, categorias de carta) e dados de conta. Titulares: alunos, instrutores e colaboradores da escola Cliente.
4. Instruções documentadas
O Convlyx trata os dados apenas de acordo com instruções documentadas do responsável, incluindo as constantes destes documentos, salvo obrigação legal da União ou de Portugal.
5. Confidencialidade
As pessoas autorizadas a tratar os dados estão sujeitas a dever de confidencialidade.
6. Segurança (Art. 32.º)
O Convlyx aplica medidas técnicas e organizativas adequadas: isolamento de dados por escola (multi-tenant), encriptação em trânsito e em repouso, controlo de acessos por função, registo de auditoria e alojamento em infraestrutura europeia.
7. Subcontratantes autorizados
O Cliente autoriza os seguintes subcontratantes ulteriores:
- Supabase — base de dados e autenticação (UE (eu-west-1)).
- Vercel — alojamento e execução da aplicação (UE (Dublin); empresa sediada nos EUA).
- Resend — envio de emails transacionais (EUA).
- PostHog — análise de utilização agregada da aplicação (instância na UE).
- Sentry — monitorização de erros e diagnóstico (EUA).
O Convlyx informa o Cliente de alterações à lista com antecedência razoável, permitindo oposição fundamentada.
8. Transferências internacionais
Quando um subcontratante implique tratamento fora do Espaço Económico Europeu, a transferência é enquadrada por garantias adequadas nos termos do Capítulo V do RGPD, designadamente Cláusulas Contratuais-Tipo (CCP/SCC).
9. Assistência ao responsável
O Convlyx assiste o Cliente no cumprimento dos pedidos de exercício de direitos dos titulares, na notificação de violações de dados e na realização de avaliações de impacto, na medida da sua função como subcontratante.
10. Eliminação ou devolução
Cessado o serviço, os dados do Cliente ficam disponíveis para exportação durante 30 dias, sendo depois eliminados, sem prejuízo de prazos legais de conservação.
11. Auditorias
O Convlyx disponibiliza a informação necessária para demonstrar o cumprimento do artigo 28.º e permite auditorias razoáveis, com pré-aviso, mediante acordo.
12. Contacto
Questões sobre este DPA: convlyx@gmail.com.