Plattform im Aufbau: Registrierung funktioniert, Tarif-Abschluss & einige Funktionen sind noch nicht aktiv. — Fragen? info@ppwr-qrcode.de

PPWR QR-Code
← Página inicial

RGPD art. 28.º

Contrato de tratamento de dados

Texto modelo nos termos do art. 28.º do RGPD. Imprimível / descarregável em formato PDF. Adaptável individualmente, se necessário — antes da assinatura, recomendamos uma verificação jurídica.

Solicitar PDF pronto a assinar

Contrato de tratamento de dados nos termos do art. 28.º do RGPD

entre

…………………………………………………………………
(Nome, morada do cliente)
Responsável pelo tratamento

e

Erik Eggerth
Schluttenbacher Digitalagentur
Lange Str. 22
76275 Ettlingen OT Schluttenbach
Deutschland
info@ppwr-qrcode.de
USt-IdNr.: DE308523905
Subcontratante

§ 1 Objeto e duração

(1) O objeto do contrato é o tratamento de dados pessoais pelo subcontratante no âmbito da plataforma PPWR-QR-Code (<a href="https://ppwr-qrcode.de">ppwr-qrcode.de</a>) para o cumprimento da conformidade com a PPWR do responsável pelo tratamento.

(2) A duração do contrato corresponde à duração do contrato principal (subscrição de tarifário). Com a cessação do contrato principal, o presente DPA também termina automaticamente.

§ 2 Natureza e finalidade do tratamento de dados

(1) São tratadas, em especial, as seguintes categorias de dados:

  • Dados mestre do cliente (empresa, morada, número de IVA)
  • Dados da conta (e-mail, hash da palavra-passe, configuração de 2FA)
  • Dados de conteúdo dos QR-Codes (informações do produto, indicações relativas à embalagem)
  • Estatísticas de leitura sob forma pseudonimizada (hash de IP, categoria de dispositivo, país)
  • Metadados de pagamento (ID de cliente Stripe, estado da subscrição)

(2) Finalidade: disponibilização da plataforma PPWR-QR-Code, documentação de conformidade, faturação, apoio, estatística.

§ 3 Titulares dos dados

  • Colaboradores e colaboradoras do cliente com acesso à plataforma
  • Clientes finais que leem um QR-Code (apenas dados de leitura pseudónimos)
  • Recomendantes / recomendados no programa de afiliação (caso esteja ativado)

§ 4 Obrigações do subcontratante

O subcontratante assegura, em especial:

  1. Tratamento exclusivamente de acordo com as instruções documentadas do responsável pelo tratamento — localização dos servidores na UE (Frankfurt am Main, Vercel + região UE da Supabase).
  2. Compromisso de confidencialidade das pessoas encarregadas do tratamento (art. 28.º, n.º 3, alínea b).
  3. Medidas técnicas e organizativas nos termos do art. 32.º do RGPD (ver anexo 1).
  4. Comunicação imediata de violações de dados pessoais (art. 33.º do RGPD) no prazo de 24 horas após o conhecimento.
  5. Apoio nos pedidos dos titulares dos dados (art. 15.º a 22.º do RGPD), bem como nas avaliações de impacto sobre a proteção de dados (art. 35.º do RGPD).
  6. Após o termo do contrato: devolução ou eliminação de todos os dados pessoais, à escolha do responsável pelo tratamento (art. 28.º, n.º 3, alínea g) — exceção: obrigações de conservação por motivos de conformidade nos termos do § 257.º do HGB / § 147.º da AO.

§ 5 Subcontratantes ulteriores

O responsável pelo tratamento autoriza os seguintes subcontratantes ulteriores:

FornecedorServiçoSede
Supabase Inc.Base de dados, autenticação, armazenamentoUE (Frankfurt)
Vercel Inc.Alojamento, edge functionsUE (Frankfurt fra1) + DE
1&1 IONOS SEEnvio de e-mails (SMTP)DE (Karlsruhe)
Stripe Payments Europe Ltd.Processamento de pagamentosIE (Dublim)
fal.ai Inc.Geração de imagens por IA (apenas materiais de marketing, sem dados de clientes)US, DPA em vigor

As alterações são comunicadas com 30 dias de antecedência. Se o responsável pelo tratamento se opuser, pode rescindir o contrato principal sem pré-aviso.

§ 6 Direitos do responsável pelo tratamento

O responsável pelo tratamento tem o direito de realizar auditorias — quer através de relatórios de auditoria (ISO 27001, SOC2 dos subcontratados), quer através de uma inspeção no local com 14 dias de pré-aviso.

§ 7 Responsabilidade

Aplicam-se as disposições do art. 82.º do RGPD. Uma limitação de responsabilidade no contrato principal mantém-se inalterada para o tratamento de dados.

Anexo 1: Medidas técnicas e organizativas (TOM)

  • <strong>Controlo de acesso físico:</strong> centros de dados na nuvem (Supabase, Vercel) com certificação ISO 27001, acesso biométrico.
  • <strong>Controlo de acesso aos sistemas:</strong> 2FA obrigatória para todas as contas de administrador, palavras-passe com hash BCrypt (fator de custo ≥ 12), chaves de API com hash.
  • <strong>Controlo de acesso aos dados:</strong> Row-Level-Security (RLS) em todas as tabelas da base de dados, autenticação da API baseada em funções.
  • <strong>Controlo de transmissão:</strong> TLS 1.3 para todos os fluxos de dados, HSTS preload, sandbox de PDF num subdomínio isolado.
  • <strong>Controlo de introdução:</strong> registo de auditoria de todas as alterações do conteúdo dos QR-Codes através de controlo de versões (qr_content_versions).
  • <strong>Controlo das instruções:</strong> instruções por escrito exclusivamente por parte do responsável pelo tratamento, documentadas na conta.
  • <strong>Controlo de disponibilidade:</strong> cópias de segurança diárias, recuperação a um ponto no tempo (point-in-time recovery), monitorização do estado através de alertas do Telegram.
  • <strong>Controlo de separação:</strong> separação de clientes através de RLS por user_id, buckets de armazenamento separados.

Local, data: ……………………………………

Responsável pelo tratamento: ……………………………………

Subcontratante: Erik Eggerth / Schluttenbacher Digitalagentur, 2026