Versão atual: 1.1
Linode Contrato Modelo UE
Última atualização: 11 de junho de 2019
A versão atual do Contrato Modelo da UE pode ser encontrada aqui.
Contrato de processamento de dados da Linode
Este documento é o Contrato Modelo da UE referenciado e incorporado no Contrato de Serviços Principais da Linode, conforme alterado ou modificado de tempos em tempos pela Linode. O Contrato Modelo da UE somente se aplicará aos Clientes da Linode (i) localizados na União Europeia (a "UE") ou na Área Econômica Europeia (a "EEA"); (ii) que têm permissão para acessar, transferir ou transmitir dados na UE ou na EEA; e (iii) que concordaram afirmativamente com o Contrato de Cliente da Linode e com a Política de Privacidade, e somente serão válidos e efetivos com relação aos mesmos.
Cláusulas contratuais padrão para processadores
Para os fins do Artigo 26(2) da Diretiva 95/46/EC, conforme alterada pelo Regulamento 2016/679, para a transferência de dados pessoais para processadores estabelecidos em países terceiros que não garantem um nível adequado de proteção de dados:
Você, o Titular da Conta, representante autorizado do Cliente Linode (o "exportador de dados")
E
Nós, Linode, LLC, com um endereço para os fins deste Contrato Modelo da UE em 249 Arch Street, Philadelphia, Pennsylvania 08090, Estados Unidos da América (o "importador de dados")
Cada uma delas é uma"parte" e, juntas, as"partes".
CONCORDARAM com as seguintes Cláusulas Contratuais (as "Cláusulas"), a fim de introduzir garantias adequadas com relação à proteção da privacidade e dos direitos e liberdades fundamentais dos indivíduos para a transferência, pelo exportador de dados ao importador de dados, dos dados pessoais especificados no Anexo 1.
Cláusula 1
Definições
Para os fins das Cláusulas:
- "dados pessoais", "categorias especiais de dados", "processamento/tratamento", "controlador", "processador", "titular dos dados" e "autoridade supervisora" terão o mesmo significado que na Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas físicas no que diz respeito ao processamento de dados pessoais e à livre circulação desses dados;
- "exportador de dados" significa o controlador que transfere os dados pessoais;
- 'o importador de dados' significa o processador que concorda em receber do exportador de dados dados dados pessoais destinados ao processamento em seu nome após a transferência, de acordo com suas instruções e os termos das Cláusulas, e que não está sujeito a um sistema de um terceiro país que garanta proteção adequada na acepção do Artigo 25(1) da Diretiva 95/46/EC, conforme alterada pelo Regulamento 2016/679;
- "o subprocessador" significa qualquer processador contratado pelo importador de dados ou por qualquer outro subprocessador do importador de dados que concorde em receber do importador de dados ou de qualquer outro subprocessador do importador de dados dados dados pessoais destinados exclusivamente a atividades de processamento a serem realizadas em nome do exportador de dados após a transferência, de acordo com suas instruções, os termos das Cláusulas e os termos do subcontrato por escrito;
- "a lei de proteção de dados aplicável" significa a legislação que protege os direitos e liberdades fundamentais dos indivíduos e, em particular, seu direito à privacidade com relação ao processamento de dados pessoais aplicável a um controlador de dados no Estado Membro em que o exportador de dados está estabelecido;
- "medidas de segurança técnicas e organizacionais" significa as medidas destinadas a proteger os dados pessoais contra destruição acidental ou ilegal, perda acidental, alteração, divulgação ou acesso não autorizado, especialmente quando o processamento envolve a transmissão de dados por uma rede, e contra todas as outras formas ilegais de processamento.
Cláusula 2
Detalhes da transferência
Os detalhes da transferência e, em particular, as categorias especiais de dados pessoais, quando aplicáveis, estão especificados no Apêndice 1, que é parte integrante das Cláusulas.
Cláusula 3
Cláusula do terceiro beneficiário
- O titular dos dados pode fazer valer contra o exportador de dados esta Cláusula, a Cláusula 4(b) a (i), a Cláusula 5(a) a (e) e (g) a (j), a Cláusula 6(1) e (2), a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 a 12 como terceiro beneficiário.
- O titular dos dados pode fazer valer contra o importador de dados esta Cláusula, a Cláusula 5(a) a (e) e (g), a Cláusula 6, a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 a 12, nos casos em que o exportador de dados tenha desaparecido de fato ou tenha deixado de existir legalmente, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados por contrato ou por força de lei, como resultado do qual ela assume os direitos e as obrigações do exportador de dados, caso em que o titular dos dados pode fazê-los valer contra essa entidade.
- O titular dos dados pode fazer valer contra o subprocessador esta Cláusula, a Cláusula 5(a) a (e) e (g), a Cláusula 6, a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 a 12, nos casos em que tanto o exportador de dados quanto o importador de dados tenham de fato desaparecido ou deixado de existir legalmente ou tenham se tornado insolventes, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados por contrato ou por força de lei, como resultado do qual ela assume os direitos e obrigações do exportador de dados, caso em que o titular dos dados pode aplicá-los contra essa entidade. Essa responsabilidade de terceiros do subprocessador será limitada às suas próprias operações de processamento nos termos das Cláusulas.
- As partes não se opõem a que um titular de dados seja representado por uma associação ou outro órgão se o titular de dados assim o desejar expressamente e se permitido pela legislação nacional.
Cláusula 4
Obrigações do exportador de dados
O exportador de dados concorda e garante:
- que o processamento, incluindo a própria transferência, dos dados pessoais foi e continuará a ser realizado de acordo com as disposições relevantes da lei de proteção de dados aplicável (e, quando aplicável, foi notificado às autoridades relevantes do Estado Membro onde o exportador de dados está estabelecido) e não viola as disposições relevantes desse Estado;
- que instruiu e, durante toda a duração dos serviços de processamento de dados pessoais, instruirá o importador de dados a processar os dados pessoais transferidos somente em nome do exportador de dados e de acordo com a lei de proteção de dados aplicável e as Cláusulas;
- que o importador de dados fornecerá garantias suficientes com relação às medidas de segurança técnicas e organizacionais especificadas no Apêndice 2 deste contrato;
- que, após a avaliação dos requisitos da lei de proteção de dados aplicável, as medidas de segurança são adequadas para proteger os dados pessoais contra destruição acidental ou ilegal, perda acidental, alteração, divulgação ou acesso não autorizado, em particular quando o processamento envolver a transmissão de dados por uma rede, e contra todas as outras formas ilegais de processamento, e que essas medidas garantem um nível de segurança adequado aos riscos apresentados pelo processamento e à natureza dos dados a serem protegidos, considerando o estado da técnica e o custo de sua implementação;
- que garantirá a conformidade com as medidas de segurança;
- que, se a transferência envolver categorias especiais de dados, o titular dos dados tenha sido informado ou será informado antes ou o mais rápido possível após a transferência de que seus dados poderão ser transmitidos a um terceiro país que não ofereça proteção adequada no sentido da Diretiva 95/46/CE;
- encaminhar qualquer notificação recebida do importador de dados ou de qualquer subprocessador de acordo com a Cláusula 5(b) e a Cláusula 8(3) à autoridade supervisora de proteção de dados se o exportador de dados decidir continuar a transferência ou suspender a suspensão;
- disponibilizar aos titulares dos dados, mediante solicitação, uma cópia das Cláusulas, com exceção do Apêndice 2, e uma descrição resumida das medidas de segurança, bem como uma cópia de qualquer contrato de serviços de subprocessamento que deva ser feito de acordo com as Cláusulas, a menos que as Cláusulas ou o contrato contenham informações comerciais, caso em que ele poderá remover essas informações comerciais;
- que, no caso de subprocessamento, a atividade de processamento seja realizada de acordo com a Cláusula 11 por um subprocessador que forneça, no mínimo, o mesmo nível de proteção para os dados pessoais e os direitos do titular dos dados que o importador de dados de acordo com as Cláusulas; e
- que garantirá a conformidade com a Cláusula 4(a) a (i).
Cláusula 5
Obrigações do importador de dados
O importador de dados concorda e garante:
- processar os dados pessoais somente em nome do exportador de dados e em conformidade com suas instruções e com as Cláusulas; se não puder fornecer essa conformidade por qualquer motivo, concorda em informar imediatamente o exportador de dados sobre sua incapacidade de cumprir, caso em que o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato;
- que não tem motivos para acreditar que a legislação aplicável a ela a impeça de cumprir as instruções recebidas do exportador de dados e suas obrigações nos termos do contrato e que, no caso de uma alteração nessa legislação que possa ter um efeito adverso substancial sobre as garantias e obrigações fornecidas pelas Cláusulas, ela notificará imediatamente a alteração ao exportador de dados assim que tiver conhecimento, caso em que o exportador de dados terá o direito de suspender a transferência de dados e/ou rescindir o contrato;
- que implementou as medidas de segurança técnicas e organizacionais especificadas no Apêndice 2 antes de processar os dados pessoais transferidos;
- que notificará prontamente o exportador de dados:
- qualquer solicitação juridicamente vinculativa de divulgação dos dados pessoais por uma autoridade de aplicação da lei, a menos que seja proibido de outra forma, como uma proibição nos termos da lei penal para preservar a confidencialidade de uma investigação de aplicação da lei,
- qualquer acesso acidental ou não autorizado, e
- qualquer solicitação recebida diretamente dos titulares dos dados sem responder a essa solicitação, a menos que tenha sido autorizado a fazê-lo de outra forma;
- lidar pronta e adequadamente com todas as consultas do exportador de dados relacionadas ao seu processamento dos dados pessoais sujeitos à transferência e acatar a orientação da autoridade supervisora com relação ao processamento dos dados transferidos;
- a pedido do exportador de dados, submeter suas instalações de processamento de dados à auditoria das atividades de processamento cobertas pelas Cláusulas, que será realizada pelo exportador de dados ou por um órgão de inspeção composto por membros independentes e que possuam as qualificações profissionais exigidas, vinculados a um dever de confidencialidade, selecionado pelo exportador de dados, quando aplicável, de acordo com a autoridade supervisora;
- disponibilizar ao titular dos dados, mediante solicitação, uma cópia das Cláusulas ou de qualquer contrato existente para subprocessamento, a menos que as Cláusulas ou o contrato contenham informações comerciais, caso em que ele poderá remover essas informações comerciais, com exceção do Apêndice 2, que deverá ser substituído por uma descrição resumida das medidas de segurança nos casos em que o titular dos dados não puder obter uma cópia do exportador de dados;
- que, no caso de subprocessamento, ela tenha informado previamente o exportador de dados e obtido seu consentimento prévio por escrito;
- que os serviços de processamento pelo subprocessador serão executados de acordo com a Cláusula 11;
- enviar imediatamente ao exportador de dados uma cópia de qualquer contrato de subprocessador celebrado nos termos das Cláusulas.
Cláusula 6
Responsabilidade civil
- As partes concordam que qualquer titular de dados que tenha sofrido danos como resultado de qualquer violação das obrigações mencionadas na Cláusula 3 ou na Cláusula 11 por qualquer parte ou subprocessador tem o direito de receber uma indenização do exportador de dados pelos danos sofridos.
- Se um titular de dados não puder apresentar um pedido de indenização de acordo com o parágrafo 1 contra o exportador de dados, decorrente de uma violação pelo importador de dados ou seu subprocessador de qualquer uma de suas obrigações mencionadas na Cláusula 3 ou na Cláusula 11, porque o exportador de dados desapareceu de fato ou deixou de existir legalmente ou se tornou insolvente, o importador de dados concorda que o titular dos dados poderá fazer uma reclamação contra o importador de dados como se fosse o exportador de dados, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados por contrato ou por força de lei, caso em que o titular dos dados poderá fazer valer seus direitos contra essa entidade. O importador de dados não poderá se basear em uma violação de suas obrigações por um subprocessador para evitar suas próprias responsabilidades.
- Se um titular de dados não puder apresentar uma reivindicação contra o exportador ou importador de dados mencionado nos parágrafos 1 e 2, decorrente de uma violação pelo subprocessador de qualquer uma de suas obrigações mencionadas na Cláusula 3 ou na Cláusula 11, porque tanto o exportador quanto o importador de dados desapareceram de fato ou deixaram de existir legalmente ou se tornaram insolventes, o subprocessador concorda que o titular dos dados poderá emitir uma reivindicação contra o subprocessador de dados com relação às suas próprias operações de processamento nos termos das Cláusulas como se fosse o exportador ou o importador de dados, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador ou importador de dados por contrato ou por força de lei, caso em que o titular dos dados poderá fazer valer seus direitos contra essa entidade. A responsabilidade do subprocessador será limitada às suas próprias operações de processamento nos termos das Cláusulas.
Cláusula 7
Mediação e jurisdição
- O importador de dados concorda que, se o titular dos dados invocar contra ele direitos de terceiros beneficiários e/ou solicitar indenização por danos nos termos das Cláusulas, o importador de dados aceitará a decisão do titular dos dados:
- encaminhar a disputa para mediação, por uma pessoa independente ou, quando aplicável, pela autoridade supervisora;
- encaminhar a disputa aos tribunais do Estado Membro em que o exportador de dados está estabelecido.
- As partes concordam que a escolha feita pelo titular dos dados não prejudicará seus direitos substantivos ou processuais de buscar soluções de acordo com outras disposições da legislação nacional ou internacional.
Cláusula 8
Cooperação com autoridades de supervisão
- O exportador de dados concorda em depositar uma cópia deste contrato com a autoridade supervisora, se ela assim o solicitar ou se tal depósito for exigido pela lei de proteção de dados aplicável.
- As partes concordam que a autoridade supervisora tem o direito de conduzir uma auditoria do importador de dados e de qualquer subprocessador, que tem o mesmo escopo e está sujeita às mesmas condições que se aplicariam a uma auditoria do exportador de dados de acordo com a lei de proteção de dados aplicável.
- O importador de dados informará prontamente o exportador de dados sobre a existência de legislação aplicável a ele ou a qualquer subprocessador que impeça a realização de uma auditoria do importador de dados ou de qualquer subprocessador, nos termos do parágrafo 2. Nesse caso, o exportador de dados terá o direito de tomar as medidas previstas na Cláusula 5 (b).
Cláusula 9
Legislação aplicável
As Cláusulas serão regidas pela lei do Estado Membro no qual o exportador de dados está estabelecido.
Cláusula 10
Variação do contrato
As partes se comprometem a não variar ou modificar as Cláusulas. Isso não impede que as partes acrescentem cláusulas sobre questões relacionadas aos negócios, quando necessário, desde que não contradigam a Cláusula.
Cláusula 11
Subprocessamento
- O importador de dados não subcontratará nenhuma de suas operações de processamento realizadas em nome do exportador de dados nos termos das Cláusulas sem o consentimento prévio por escrito do exportador de dados. Quando o importador de dados subcontratar suas obrigações nos termos das Cláusulas, com o consentimento do exportador de dados, ele deverá fazê-lo somente por meio de um contrato por escrito com o subprocessador que imponha ao subprocessador as mesmas obrigações impostas ao importador de dados nos termos das Cláusulas. Caso o subprocessador não cumpra suas obrigações de proteção de dados nos termos do referido contrato por escrito, o importador de dados permanecerá totalmente responsável perante o exportador de dados pelo cumprimento das obrigações do subprocessador nos termos do referido contrato.
- O contrato prévio por escrito entre o importador de dados e o subprocessador também deverá prever uma cláusula de terceiro beneficiário, conforme estabelecido na Cláusula 3, para os casos em que o titular dos dados não puder apresentar o pedido de indenização referido no parágrafo 1 da Cláusula 6 contra o exportador de dados ou o importador de dados porque eles desapareceram de fato ou deixaram de existir legalmente ou se tornaram insolventes e nenhuma entidade sucessora assumiu todas as obrigações legais do exportador de dados ou do importador de dados por contrato ou por força de lei. Essa responsabilidade de terceiros do subprocessador será limitada às suas próprias operações de processamento nos termos das Cláusulas.
- As disposições relacionadas aos aspectos de proteção de dados para o subprocessamento do contrato mencionado no parágrafo 1 serão regidas pela lei do Estado Membro no qual o exportador de dados está estabelecido.
- O exportador de dados manterá uma lista de acordos de subprocessamento celebrados nos termos das Cláusulas e notificados pelo importador de dados nos termos da Cláusula 5 (j), que será atualizada pelo menos uma vez por ano. A lista deverá estar disponível para a autoridade supervisora de proteção de dados do exportador de dados.
Cláusula 12
Obrigação após o término dos serviços de processamento de dados pessoais
- As partes concordam que, ao término da prestação de serviços de processamento de dados, o importador de dados e o subprocessador deverão, a critério do exportador de dados, devolver todos os dados pessoais transferidos e suas cópias ao exportador de dados ou destruir todos os dados pessoais e certificar ao exportador de dados que o fizeram, a menos que a legislação imposta ao importador de dados o impeça de devolver ou destruir todos ou parte dos dados pessoais transferidos. Nesse caso, o importador de dados garante que garantirá a confidencialidade dos dados pessoais transferidos e não processará mais ativamente os dados pessoais transferidos.
- O importador de dados e o subprocessador garantem que, mediante solicitação do exportador de dados e/ou da autoridade supervisora, submeterão suas instalações de processamento de dados a uma auditoria das medidas mencionadas no parágrafo 1.
Estas Cláusulas foram revisadas e acordadas pelo Titular da Conta em nome do exportador de dados, sem qualificação, na data indicada pela aceitação do Titular da Conta no portal do cliente e aceitas pelo Diretor de Privacidade de Dados da Linode, em nome do importador de dados na mesma data.
Apêndice 1 do modelo de contrato da UE
Estas Cláusulas foram revisadas e acordadas pelo Titular da Conta em nome do exportador de dados, sem qualificação, na data indicada pela aceitação do Titular da Conta no portal do cliente e aceitas pelo Diretor de Privacidade de Dados da Linode, em nome do importador de dados na mesma data.
- Data de vigência. Este Contrato Modelo da UE e todos os seus apêndices, conforme alterados ou modificados periodicamente, conforme exigido ou permitido por lei, são efetivos e válidos a partir da data de vigência do Processamento de Dados e do Contrato do Cliente.
- Subcontratados. O exportador de dados concorda e reconhece que o importador de dados, a critério exclusivo e absoluto do importador de dados, poderá contratar indivíduos ou entidades para prestar serviços limitados em nome do importador de dados (os "Subcontratados"). Todos os Subcontratados terão permissão para acessar, manter e/ou transmitir os Dados do Cliente, conforme esse termo é definido no Contrato de Processamento de Dados e do Cliente, para quaisquer fins permitidos pelo Contrato de Processamento de Dados e do Cliente.
- Exportador de dados. O exportador de dados é a parte que não faz parte da Linode no Contrato de Processamento de Dados e de Cliente ao qual este Contrato Modelo da UE está anexado. O exportador de dados é um usuário dos Serviços da Linode, conforme definido no Contrato de Processamento de Dados e de Cliente.
- Importador de dados. O importador de dados é a Linode, LLC, um provedor global de serviços de dados.
- Sujeitos de dados. Os titulares dos dados incluem todas as partes que são autorizadas pelo importador ou exportador de dados a acessar, manter e/ou transmitir os dados do exportador de dados, incluindo, sem limitação, os representantes do exportador de dados, usuários finais, funcionários, contratados, afiliados, associados, agentes e todas as outras partes descritas no Contrato de Processamento de Dados e de Cliente.
- Categorias de dados. Os dados pessoais transferidos incluem todos os Dados do Cliente, como esse termo é definido no Processamento de Dados e no Contrato do Cliente, acesso, mantido e/ou transmitido pelo exportador de dados ou pelos sujeitos de dados autorizados do exportador de dados com relação aos Serviços da Linode.
- Operações de processamento. Os dados pessoais transferidos estarão sujeitos às capacidades e políticas de processamento estabelecidas pelo Contrato de Cliente e Processamento de Dados.
Apêndice 2 do modelo de contrato da UE
Estas Cláusulas foram revisadas e acordadas pelo Titular da Conta em nome do exportador de dados, sem qualificação, na data indicada pela aceitação do Titular da Conta no portal do cliente e aceitas pelo Diretor de Privacidade de Dados da Linode, em nome do importador de dados na mesma data.
Descrição das medidas de segurança técnicas e organizacionais implementadas pelo importador de dados de acordo com as Cláusulas 4(d) e 5(c) (ou documento/legislação anexada):
-
- 1. Controles gerais. Conforme descrito com mais detalhes no Processamento de Dados e no Contrato do Cliente, o importador de dados manterá políticas de segurança administrativa, física e técnica razoavelmente adequadas para mitigar o risco de acesso, transmissão ou divulgação não autorizados dos Dados do Cliente, conforme esse termo é definido no Processamento de Dados e no Contrato do Cliente. O responsável pela privacidade de dados do importador de dados pode ser contatado no seguinte endereço:
Linode, LLC
Atenção: James Ackley, Diretor de Privacidade de Dados
249 Arch Street
Filadélfia, Pensilvânia 19106
2. Pessoal. Conforme melhor descrito no Processamento de Dados e no Contrato do Cliente, o pessoal do importador de dados não processará dados pessoais sem a autorização do exportador de dados. O importador de dados manterá medidas razoavelmente apropriadas para manter a confidencialidade dos dados pessoais durante o período legalmente exigido após o término deste contrato.
O Diretor de Privacidade de Dados do importador de dados pode ser contatado pelo exportador de dados por e-mail em privacy@linode.com (ou por outros meios que possam ser fornecidos pelo importador de dados).