Acordo de processamento de dados nos termos do art. 28.º do RGPD

entre o utilizador do serviço BonusVoice (doravante "responsável pelo tratamento") e

Bonus Service BS GmbH Dorotheenstr. 5, 45130 Essen E-mail: info@bonusvoice.de Telefone: 0201-89083160

(doravante "subcontratante")

§ 1 – Objeto e duração do tratamento

(1) O subcontratante trata dados pessoais por conta do responsável pelo tratamento no âmbito da utilização do serviço BonusVoice (transcrição e resumo de gravações áudio com apoio de IA).

(2) A duração do tratamento corresponde à duração do contrato de utilização. Com a eliminação da conta de utilizador, o tratamento termina. Os dados pessoais serão eliminados no prazo de 30 dias após a eliminação da conta, salvo se existirem obrigações legais de conservação.

§ 2 – Natureza e finalidade do tratamento

O tratamento abrange as seguintes atividades:

Armazenamento de gravações áudio, transcrições e resumos
Processamento por IA para transcrição (voz-para-texto) e resumo
Gestão de utilizadores (criação de conta, autenticação, afiliação organizacional)
Envio de e-mails (confirmação de conta, notificações, envio de transcrições)
Processamento de pagamentos (gestão de subscrições e faturação)

§ 3 – Tipos de dados pessoais

São tratadas as seguintes categorias de dados:

Nome e endereço de e-mail
Palavra-passe (armazenada de forma encriptada)
Afiliação organizacional
Gravações áudio e transcrições e resumos gerados a partir das mesmas
Metadados (título, descrição, duração, idioma das gravações)
Dados de pagamento (processados pela Stripe, não armazenados pelo subcontratante)
Dados de registo do servidor (endereço IP, navegador, carimbo temporal)

§ 4 – Categorias de titulares dos dados

Utilizadores registados do serviço
Pessoas captadas em gravações áudio (oradores)

§ 5 – Obrigações do subcontratante

(1) O subcontratante trata dados pessoais exclusivamente com base nas instruções documentadas do responsável pelo tratamento, exceto se for obrigado a um tratamento pelo direito da União ou dos Estados-Membros.

(2) O subcontratante garante que as pessoas autorizadas a tratar dados se comprometeram à confidencialidade.

(3) O subcontratante adota todas as medidas exigidas pelo art. 32.º do RGPD, nomeadamente:

Encriptação SSL/TLS de todas as transmissões de dados
Armazenamento encriptado de todos os ficheiros áudio no Object Storage
Armazenamento encriptado de palavras-passe
Controlo de acesso e conceito de autorizações
Atualizações de segurança regulares de todos os sistemas
Localização do servidor exclusivamente na Alemanha e na UE

(4) O subcontratante apoia o responsável pelo tratamento no cumprimento das obrigações previstas nos art. 32.º a 36.º do RGPD.

(5) Após o término do tratamento, o subcontratante elimina todos os dados pessoais, salvo se existir uma obrigação legal de conservação.

(6) O subcontratante disponibiliza ao responsável pelo tratamento todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no art. 28.º do RGPD.

§ 6 – Subcontratantes ulteriores (subcontratados)

(1) O responsável pelo tratamento consente na utilização dos seguintes subcontratantes ulteriores:

6.1 Hetzner Online GmbH

| | | |---|---| | Finalidade | Alojamento do servidor e armazenamento de ficheiros (Object Storage) | | Morada | Industriestr. 25, 91710 Gunzenhausen, Alemanha | | Localização do servidor | Alemanha | | Dados tratados | Todos os dados de utilizadores e conteúdos, ficheiros áudio, transcrições | | Acordo | Acordo de processamento de dados nos termos do art. 28.º do RGPD existente |

6.2 Mistral AI

| | | |---|---| | Finalidade | Processamento por IA: transcrição (modelo Voxtral) e resumo | | Morada | 15 Rue des Halles, 75001 Paris, França | | Localização do servidor | UE (França) | | Dados tratados | Ficheiros áudio (para transcrição), transcrições (para resumo) | | Nota | Todo o processamento por IA ocorre exclusivamente dentro da UE. Sem transferência de dados para países terceiros. |

6.3 ALL-INKL.COM - Neue Medien Münnich

| | | |---|---| | Finalidade | Envio de e-mails (confirmação de conta, notificações, envio de transcrições) | | Morada | Hauptstraße 68, 02742 Friedersdorf, Alemanha | | Localização do servidor | Alemanha | | Dados tratados | Endereço de e-mail, nome, conteúdos de e-mail |

6.4 Stripe, Inc.

| | | |---|---| | Finalidade | Processamento de pagamentos (cartões de crédito, SEPA, gestão de subscrições) | | Morada | 354 Oyster Point Blvd, South San Francisco, CA 94080, EUA | | Processamento de dados | UE (a Stripe processa dados de pagamento europeus na UE) | | Dados tratados | Informações de pagamento (dados de cartão de crédito, dados SEPA). Estes são processados exclusivamente pela Stripe e não são armazenados pelo subcontratante. | | Nota | A Stripe é exclusivamente responsável pelo processamento de pagamentos. Nenhum dado áudio, de transcrição ou de conteúdo é transmitido à Stripe. | | Garantias | EU-US Data Privacy Framework, cláusulas contratuais-tipo (SCC) |

6.5 Google Ireland Limited (opcional)

| | | |---|---| | Finalidade | Autenticação (Google OAuth 2.0) — apenas se o utilizador optar ativamente pelo início de sessão com o Google | | Morada | Gordon House, Barrow Street, Dublin 4, Irlanda | | Processamento de dados | UE (Irlanda) | | Dados tratados | Nome e endereço de e-mail do utilizador (apenas para identificação da conta) | | Nota | O Google OAuth é totalmente opcional. Os utilizadores podem iniciar sessão a qualquer momento por e-mail/palavra-passe ou Magic Link. Nenhuma gravação áudio, transcrição, resumo ou outro dado de conteúdo é transmitido ao Google. | | Garantias | EU-US Data Privacy Framework, cláusulas contratuais-tipo (SCC) |

(2) O subcontratante informará o responsável pelo tratamento sobre qualquer alteração prevista relativamente à adição ou substituição de subcontratantes ulteriores. O responsável pelo tratamento pode opor-se a tais alterações.

§ 7 – Transferência para países terceiros

(1) A transferência de dados pessoais para países terceiros (fora do EEE) não ocorre em princípio.

(2) Exceções:

Stripe (processamento de pagamentos): A Stripe, Inc. tem sede nos EUA, mas processa dados europeus na UE. Para a transferência de dados, aplicam-se o EU-US Data Privacy Framework e as cláusulas contratuais-tipo.
Google (apenas com Google OAuth): A Google Ireland Limited processa dados na UE. Apenas quando o utilizador opta ativamente pelo início de sessão com o Google.

(3) O processamento por IA (transcrição e resumo) e o armazenamento de todos os dados de conteúdo e de utilizadores ocorrem exclusivamente na Alemanha e na UE.

§ 8 – Direitos dos titulares dos dados

O subcontratante apoia o responsável pelo tratamento no cumprimento dos direitos dos titulares dos dados nos termos dos art. 12.º–22.º do RGPD, nomeadamente:

Direito de acesso (art. 15.º do RGPD)
Direito de retificação (art. 16.º do RGPD)
Direito ao apagamento (art. 17.º do RGPD)
Direito à limitação do tratamento (art. 18.º do RGPD)
Direito à portabilidade dos dados (art. 20.º do RGPD)

Os utilizadores podem, a qualquer momento, consultar, exportar e eliminar os seus dados através da sua conta de utilizador.

§ 9 – Obrigação de notificação em caso de violação de dados

O subcontratante informa o responsável pelo tratamento sem demora, no máximo no prazo de 48 horas, sobre qualquer violação da proteção de dados pessoais nos termos do art. 33.º do RGPD.

§ 10 – Direitos de controlo

(1) O responsável pelo tratamento tem o direito de verificar o cumprimento deste acordo de forma adequada.

(2) O subcontratante disponibiliza ao responsável pelo tratamento, a pedido, todas as informações necessárias e permite verificações incluindo inspeções.

§ 11 – Duração e cessação

Este acordo vigora durante a utilização do serviço BonusVoice. Entra em vigor com o registo e termina com a eliminação da conta de utilizador.

§ 12 – Disposições finais

(1) Caso disposições individuais deste acordo sejam inválidas, a validade das restantes disposições permanece inalterada.

(2) Aplica-se o direito da República Federal da Alemanha.

(3) O foro competente é Essen.

Estado: Março de 2026

Contacto para questões de proteção de dados: info@bonusvoice.de