Acordo de Processamento de Dados
30 de jun. de 2025
Acordo de Processamento de Dados (DPA)
Data de Entrada em Vigor : 30 de Junho de 2025
Partes
Controlador de Dados : O Cliente (restaurante, café ou entidade comercial usando MenuMix)
Processador de Dados : Truezone Inc.
Endereço : 1111B S Governors Ave STE 20696, Dover, DE, 19904, Estados Unidos
E-mail : help@menumix.app
1. Objeto
Este Acordo rege o processamento de dados pessoais pela Truezone Inc. (« Processador ») em nome do Cliente (« Controlador ») em conexão com o uso da plataforma MenuMix pelo Cliente.
2. Duração
Este DPA permanece em vigor enquanto o Processador processa dados pessoais em nome do Controlador e os Termos de Serviço subjacentes são válidos.
3. Natureza e Finalidade do Processamento
O Processador fornece um sistema de Menu QR e Gestão de Pedidos. As atividades de processamento incluem :
- Criação de conta e controle de acesso
- Acompanhamento e gestão de pedidos
- Interação de mesa e código QR
- Relatórios e análises
- Faturamento de assinatura para o Plano Profissional
- Comunicações de suporte
4. Categorias de Titulares de Dados
- Usuários comerciais (por exemplo, equipe do restaurante, administradores, garçons)
- Clientes do restaurante (se dados pessoais opcionais como nome ou comentários forem inseridos)
5. Categorias de Dados Pessoais
- Identificadores de usuário (nome, e-mail, função)
- Dados de pedido e mesa
- Informações do dispositivo, endereço IP, tipo de navegador
- Preferências de idioma e região
- Metadados de assinatura (por exemplo, plano, eventos de faturamento via Stripe)
Nota : Nenhum número de cartão de pagamento ou dados de categoria especial são armazenados ou processados.
6. Obrigações do Controlador
O Controlador deve :
- Garantir base legal para todos os dados pessoais processados
- Fornecer avisos de privacidade claros e legais aos titulares de dados
- Cumprir leis de proteção de dados aplicáveis
- Responder a solicitações de direitos dos titulares de dados sob GDPR, CCPA, KVKK, etc.
7. Obrigações do Processador
O Processador concorda em :
- Processar dados apenas em instruções documentadas do Controlador
- Manter confidencialidade e restringir acesso interno
- Implementar medidas técnicas e organizacionais de segurança apropriadas
- Notificar o Controlador sem demora indevida em caso de violação de dados
- Auxiliar o Controlador com solicitações de direitos dos titulares de dados
- Excluir ou retornar todos os dados pessoais na rescisão do contrato, a menos que a retenção seja legalmente exigida
- Disponibilizar documentação necessária para demonstrar conformidade
8. Subprocessadores
O Controlador autoriza o uso dos seguintes subprocessadores :
| Finalidade | Subprocessador |
|---|---|
| Hospedagem & Backend | Google Firebase (Firestore, Auth, Functions) |
| Análises | Google Analytics |
| Gestão de Tags | Google Tag Manager |
| Serviços de Tradução | Google Cloud Translation API |
| Mensagens/OTP/Chamadas | Twilio Inc. |
| Pagamentos de Assinatura | Stripe, Inc. |
Todos os subprocessadores estão vinculados por acordos escritos de proteção de dados.
O MenuMix notificará o Controlador de mudanças materiais nos subprocessadores e permitirá objeções dentro de 10 dias úteis.
9. Transferências Internacionais de Dados
Onde os dados são transferidos fora da UE/EEE ou Reino Unido, o Processador deve implementar salvaguardas adequadas, incluindo :
- Cláusulas Contratuais Padrão da UE (SCCs)
- Adendo de Transferência Internacional de Dados do Reino Unido
- Decisões de adequação ou mecanismos equivalentes
10. Medidas de Segurança
O Processador implementa medidas padrão da indústria, incluindo :
- Criptografia HTTPS para todos os dados em trânsito
- Armazenamento de banco de dados criptografado
- Controle de acesso baseado em funções e design de privilégio mínimo
- Autenticação de usuário segura (por exemplo, Firebase Auth)
- Monitoramento regular e mitigação de vulnerabilidades
11. Solicitações de Titulares de Dados
O Processador auxiliará o Controlador a responder a :
- Solicitações de acesso, retificação, exclusão e portabilidade
- Oposições ou retirada de consentimento
12. Auditoria e Documentação
O Processador deve disponibilizar, mediante solicitação por escrito, todas as informações razoavelmente necessárias para demonstrar conformidade com este DPA.
As auditorias podem ser conduzidas com pelo menos 30 dias de aviso prévio sob termos de confidencialidade apropriados.
13. Rescisão
Na rescisão do Serviço :
- Todos os dados pessoais devem ser excluídos ou retornados, conforme solicitado pelo Controlador, dentro de 30 dias
- Salvo se a retenção for exigida por lei ou conformidade regulatória
14. Lei Aplicável
Este DPA é regido pelas leis do Estado de Delaware, Estados Unidos, salvo se exigido de outra forma pelos regulamentos de proteção de dados aplicáveis.
15. Diversos
Este DPA faz parte dos Termos de Serviço do MenuMix. Em caso de conflito entre os Termos de Serviço e este DPA relativos a dados pessoais, este DPA prevalecerá.
Acordo Vinculante
Este DPA é vinculativo para as partes através da aceitação dos Termos de Serviço do MenuMix pelo Controlador e uso continuado da plataforma.
