Versão actual: 1.1
Linode Contrato Modelo UE
Última actualização: 11 de Junho de 2019
A versão actual do Modelo de Contrato da UE pode ser encontrada aqui.
Acordo de Processamento de Dados Linode
Este documento é o Contrato Modelo da UE referenciado e incorporado na Linode Master Services Agreement, conforme corrigido ou modificado de tempos em tempos pela Linode. O modelo de contrato da UE só se aplicará aos Clientes Linode (i) localizados na União Europeia (a "UE") ou no Espaço Económico Europeu (o "EEE"); (ii) autorizados a aceder, transferir ou transmitir dados na UE ou no EEE; e (iii) que tenham concordado afirmativamente com o Acordo de Cliente Linode e com a Política de Privacidade, e só serão válidos e eficazes em relação aos mesmos.
Cláusulas Contratuais Padrão para Processadores
da Directiva 95/46/CE, com a redacção que lhe foi dada pelo Regulamento 2016/679, para a transferência de dados pessoais para processadores estabelecidos em países terceiros que não assegurem um nível adequado de protecção de dados:
Você, o titular da conta, representante autorizado do cliente Linode (o "exportador de dados")
E
Nós, Linode, LLC, com um endereço para os fins deste Modelo de Contrato da UE em 249 Arch Street, Philadelphia, Pennsylvania 08090, Estados Unidos da América (o "importador de dados")
Cada um uma"festa" e juntos as"festas,"
ACORDARAM nas seguintes cláusulas contratuais (as "Cláusulas") a fim de apresentar garantias adequadas no que respeita à protecção da privacidade e dos direitos e liberdades fundamentais dos indivíduos para a transferência pelo exportador de dados ao importador de dados dos dados pessoais especificados no Apêndice 1.
Cláusula 1
Definições
Para efeitos das Cláusulas:
- Os termos "dados pessoais", "categorias especiais de dados", "tratamento/tratamento", "responsável pelo tratamento", "responsável pelo tratamento", "pessoa em causa" e "autoridade de controle" têm o mesmo significado que na Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados;
- O "exportador de dados" significa o responsável pelo tratamento que transfere os dados pessoais;
- o importador de dados", o processador que aceita receber do exportador de dados dados dados pessoais destinados ao tratamento em seu nome após a transferência, de acordo com as suas instruções e os termos das cláusulas, e que não está sujeito a um sistema de um país terceiro que assegure uma protecção adequada na acepção do n.º 1 do artigo 25º da Directiva 95/46/CE, alterada pelo Regulamento 2016/679;
- o sub-processador" significa qualquer processador contratado pelo importador de dados ou por qualquer outro sub-processador do importador de dados que aceite receber do importador de dados ou de qualquer outro sub-processador do importador de dados dados dados dados pessoais exclusivamente destinados a atividades de processamento a serem realizadas em nome do exportador de dados após a transferência de acordo com as suas instruções, os termos das Cláusulas e os termos da subcontratação escrita;
- "a legislação aplicável em matéria de protecção de dados", a legislação que protege os direitos e liberdades fundamentais das pessoas e, em particular, o seu direito à vida privada no que respeita ao tratamento de dados pessoais aplicável a um responsável pelo tratamento de dados no Estado-Membro em que o exportador de dados se encontra estabelecido;
- Medidas de segurança técnicas e organizacionais", as medidas destinadas a proteger os dados pessoais contra a destruição acidental ou ilícita ou a perda acidental, alteração, divulgação ou acesso não autorizados, nomeadamente quando o tratamento implicar a transmissão de dados através de uma rede, e contra todas as outras formas de tratamento ilícito.
Cláusula 2
Detalhes da transferência
Os detalhes da transferência e em particular as categorias especiais de dados pessoais, quando aplicável, são especificados no Apêndice 1 que faz parte integrante das Cláusulas.
Cláusula 3
Cláusula do terceiro beneficiário
- O titular dos dados pode aplicar contra o exportador de dados esta cláusula, cláusula 4(b) a (i), cláusula 5(a) a (e), e (g) a (j), cláusula 6(1) e (2), cláusula 7, cláusula 8(2), e cláusulas 9 a 12 como terceiro beneficiário.
- O envolvido pode executar contra o importador de dados esta cláusula, cláusula 5(a) a (e) e (g), cláusula 6, cláusula 7, cláusula 8(2), e cláusulas 9 a 12, nos casos em que o exportador de dados tenha desaparecido de fato ou tenha deixado de existir em lei, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados por contrato ou por operação de lei, como resultado da qual assume os direitos e obrigações do exportador de dados, caso em que o envolvido pode executá-los contra tal entidade.
- O titular dos dados pode aplicar contra o subprocessador esta cláusula, cláusula 5(a) a (e) e (g), cláusula 6, cláusula 7, cláusula 8(2), e cláusulas 9 a 12, nos casos em que tanto o exportador de dados quanto o importador de dados desapareceram de fato ou deixaram de existir em lei ou se tornaram insolventes, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações legais do exportador de dados por contrato ou por operação de lei, como resultado da qual assume os direitos e obrigações do exportador de dados, caso em que o titular dos dados pode fazê-los valer contra tal entidade. Essa responsabilidade de terceiros do subprocessador será limitada às suas próprias operações de processamento de acordo com as Cláusulas.
- As partes não se opõem a que o titular dos dados seja representado por uma associação ou outro organismo, se o titular dos dados o desejar expressamente e se a legislação nacional o permitir.
Cláusula 4
Obrigações do exportador de dados
O exportador de dados concorda e garante:
- que o tratamento, incluindo a própria transferência, dos dados pessoais foi e continuará a ser efectuado em conformidade com as disposições pertinentes da legislação aplicável em matéria de protecção de dados (e, quando aplicável, foi notificado às autoridades competentes do Estado-membro onde o exportador de dados está estabelecido) e não viola as disposições pertinentes desse Estado;
- que instruiu e durante toda a duração dos serviços de tratamento de dados pessoais dará instruções ao importador de dados para tratar os dados pessoais transferidos apenas em nome do exportador de dados e em conformidade com a lei de protecção de dados aplicável e as cláusulas;
- que o importador de dados fornecerá garantias suficientes relativamente às medidas de segurança técnicas e organizacionais especificadas no Apêndice 2 do presente contrato;
- que, após avaliação dos requisitos da lei de protecção de dados aplicável, as medidas de segurança são adequadas para proteger os dados pessoais contra a destruição acidental ou ilícita ou perda acidental, alteração, divulgação ou acesso não autorizados, nomeadamente quando o tratamento implicar a transmissão de dados através de uma rede, e contra todas as outras formas de tratamento ilícito, e que estas medidas garantem um nível de segurança adequado aos riscos apresentados pelo tratamento e à natureza dos dados a proteger, tendo em conta o estado da técnica e o custo da sua aplicação;
- que irá assegurar o cumprimento das medidas de segurança;
- que, se a transferência envolver categorias especiais de dados, a pessoa em causa foi ou será informada antes, ou logo que possível após a transferência, de que os seus dados podem ser transmitidos a um país terceiro que não assegure uma protecção adequada na acepção da Directiva 95/46/CE;
- a transmitir qualquer notificação recebida do importador de dados ou de qualquer subcontratante nos termos da cláusula 5(b) e da cláusula 8(3) à autoridade de controlo da protecção de dados, se o exportador de dados decidir continuar a transferência ou levantar a suspensão;
- disponibilizar aos titulares dos dados, mediante pedido, uma cópia das cláusulas, com excepção do Apêndice 2, e uma descrição sumária das medidas de segurança, bem como uma cópia de qualquer contrato de subprocessamento de serviços que tenha de ser feito em conformidade com as cláusulas, a menos que as cláusulas ou o contrato contenham informações comerciais, caso em que poderá retirar tais informações comerciais;
- que, em caso de subprocessamento, a atividade de tratamento seja realizada de acordo com a cláusula 11 por um subprocessador que assegure pelo menos o mesmo nível de protecção dos dados pessoais e dos direitos do titular dos dados que o importador de dados nos termos das cláusulas; e
- que assegurará o cumprimento da cláusula 4(a) a (i).
Cláusula 5
Obrigações do importador de dados
O importador de dados concorda e garante:
- a tratar os dados pessoais apenas em nome do exportador de dados e em conformidade com as suas instruções e as cláusulas; se, por qualquer motivo, não puder fornecer tal conformidade, concorda em informar prontamente o exportador de dados da sua incapacidade de cumprir, caso em que o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato;
- que não tem razões para crer que a legislação que lhe é aplicável o impeça de cumprir as instruções recebidas do exportador de dados e as suas obrigações nos termos do contrato e que, em caso de alteração desta legislação susceptível de ter um efeito adverso substancial sobre as garantias e obrigações previstas nas cláusulas, notificará imediatamente a alteração ao exportador de dados logo que tenha conhecimento, caso em que o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato;
- que implementou as medidas de segurança técnica e organizacional especificadas no Apêndice 2 antes de processar os dados pessoais transferidos;
- de que notificará prontamente o exportador de dados:
- qualquer pedido legalmente vinculativo de divulgação dos dados pessoais por uma autoridade de aplicação da lei, salvo proibição em contrário, tal como uma proibição ao abrigo do direito penal para preservar a confidencialidade de uma investigação de aplicação da lei,
- qualquer acesso acidental ou não autorizado, e
- qualquer pedido recebido directamente dos titulares dos dados sem responder a esse pedido, a menos que tenha sido autorizado de outra forma;
- tratar pronta e adequadamente todas as consultas do exportador de dados relativas ao seu tratamento dos dados pessoais objecto da transferência e seguir o conselho da autoridade de controle no que diz respeito ao tratamento dos dados transferidos;
- a pedido do exportador de dados, apresentar as suas instalações de tratamento de dados para auditoria das atividades de tratamento abrangidas pelas cláusulas, que serão realizadas pelo exportador de dados ou por um organismo de inspecção composto por membros independentes e na posse das qualificações profissionais exigidas, vinculados por um dever de confidencialidade, seleccionados pelo exportador de dados, se for caso disso, de acordo com a autoridade de controle;
- colocar à disposição do titular dos dados, mediante pedido, uma cópia das cláusulas, ou de qualquer contrato existente para o subtratamento, a menos que as cláusulas ou contrato contenham informações comerciais, caso em que poderá suprimir tais informações comerciais, com excepção do Apêndice 2 que será substituído por uma descrição sumária das medidas de segurança nos casos em que o titular dos dados não possa obter uma cópia do exportador de dados;
- que, em caso de subprocessamento, tenha previamente informado o exportador de dados e obtido o seu consentimento prévio por escrito;
- que os serviços de processamento pelo subprocessador serão efectuados em conformidade com a cláusula 11;
- enviar imediatamente ao exportador de dados uma cópia de qualquer acordo de subprocessador que conclua ao abrigo das cláusulas.
Cláusula 6
Responsabilidade civil
- As partes concordam que qualquer pessoa em causa, que tenha sofrido danos como resultado de qualquer violação das obrigações referidas na cláusula 3 ou na cláusula 11 por qualquer parte ou subprocessador, tem direito a receber uma indemnização do exportador de dados pelos danos sofridos.
- Se o titular dos dados não puder apresentar um pedido de indemnização de acordo com o parágrafo 1 contra o exportador de dados, decorrente de uma violação pelo importador de dados ou pelo seu subcontratante de qualquer das suas obrigações referidas na cláusula 3 ou na cláusula 11, porque o exportador de dados desapareceu de fato ou deixou de existir na lei ou se tornou insolvente, o importador de dados concorda que o envolvido pode emitir uma reclamação contra o importador de dados como se fosse o exportador de dados, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações legais do exportador de dados por contrato ou por operação de lei, caso em que o envolvido pode fazer valer os seus direitos contra tal entidade. O importador de dados não pode confiar na violação das suas obrigações por um subprocessador para evitar as suas próprias responsabilidades.
- Se o titular dos dados não puder apresentar uma reclamação contra o exportador ou o importador de dados referidos nos n.ºs 1 e 2, decorrente de uma violação pelo subcontratante de qualquer das suas obrigações referidas na cláusula 3 ou na cláusula 11, porque tanto o exportador como o importador de dados desapareceram de fato ou deixaram de existir na lei ou se tornaram insolventes, o subcontratante concorda que o titular dos dados pode emitir uma reclamação contra o subcontratante no que diz respeito às suas próprias operações de tratamento de dados ao abrigo das cláusulas como se fosse o exportador ou o importador de dados, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações legais do exportador ou importador de dados por contrato ou por operação de lei, caso em que o titular dos dados pode fazer valer os seus direitos contra tal entidade. A responsabilidade do subprocessador será limitada às suas próprias operações de processamento de acordo com as Cláusulas.
Cláusula 7
Mediação e jurisdição
- O importador de dados concorda que se o titular dos dados invocar contra ele direitos de terceiros beneficiários e/ou reclamar compensação por danos ao abrigo das cláusulas, o importador de dados aceitará a decisão do titular dos dados:
- remeter o litígio para mediação, por uma pessoa independente ou, quando aplicável, pela autoridade de supervisão;
- remeter o litígio para os tribunais do Estado-Membro em que o exportador de dados se encontra estabelecido.
- As partes concordam que a escolha feita pelo titular dos dados não prejudicará os seus direitos substantivos ou processuais de procurar recursos em conformidade com outras disposições do direito nacional ou internacional.
Cláusula 8
Cooperação com as autoridades de supervisão
- O exportador de dados concorda em depositar uma cópia do presente contrato junto da autoridade de controlo se assim o solicitar ou se tal depósito for exigido ao abrigo da lei de protecção de dados aplicável.
- As partes concordam que a autoridade de controle tem o direito de realizar uma auditoria ao importador de dados e a qualquer subcontratante, que tem o mesmo âmbito e está sujeito às mesmas condições que se aplicariam a uma auditoria ao exportador de dados ao abrigo da lei de protecção de dados aplicável.
- O importador de dados informará imediatamente o exportador de dados sobre a existência de legislação aplicável ao mesmo ou a qualquer subprocessador que impeça a realização de uma auditoria ao importador de dados, ou a qualquer subprocessador, nos termos do n.º 2. Nesse caso, o exportador de dados terá o direito de tomar as medidas previstas na cláusula 5 (b).
Cláusula 9
Direito aplicável
As cláusulas são regidas pela lei do Estado-membro em que o exportador de dados se encontra estabelecido.
Cláusula 10
Variação do contrato
As partes comprometem-se a não variar ou modificar as Cláusulas. Isto não impede as partes de acrescentarem cláusulas sobre questões relacionadas com negócios, quando necessário, desde que não contradigam a Cláusula.
Cláusula 11
Subprocessamento
- O importador de dados não subcontratará nenhuma das suas operações de tratamento efectuadas em nome do exportador de dados ao abrigo das cláusulas sem o prévio consentimento escrito do exportador de dados. Se o importador de dados subcontratar as suas obrigações nos termos das cláusulas, com o consentimento do exportador de dados, só o fará mediante um acordo escrito com o subcontratante que imponha ao subcontratante as mesmas obrigações que são impostas ao importador de dados nos termos das cláusulas. Se o subcontratante não cumprir as suas obrigações em matéria de protecção de dados nos termos desse acordo escrito, o importador de dados permanecerá totalmente responsável perante o exportador de dados pelo cumprimento das obrigações do subcontratante ao abrigo desse acordo.
- O contrato prévio escrito entre o importador de dados e o subcontratante deve também prever uma cláusula de terceiro beneficiário, conforme estabelecido na cláusula 3, para os casos em que o titular dos dados não possa apresentar o pedido de indemnização referido no parágrafo 1 da cláusula 6 contra o exportador ou o importador de dados por terem desaparecido de fato ou terem deixado de existir em lei ou se terem tornado insolventes e nenhuma entidade sucessora ter assumido a totalidade das obrigações legais do exportador ou do importador de dados por contrato ou por força da lei. Essa responsabilidade de terceiros do subprocessador será limitada às suas próprias operações de processamento de acordo com as Cláusulas.
- As disposições relativas aos aspectos da protecção de dados para o subprocessamento do contrato referido no nº 1 serão regidas pela legislação do Estado-membro em que o exportador de dados se encontra estabelecido.
- O exportador de dados manterá uma lista de acordos de sub-tratamento celebrados ao abrigo das cláusulas e notificados pelo importador de dados nos termos da cláusula 5 (j), que deverá ser actualizada pelo menos uma vez por ano. A lista deve estar à disposição da autoridade de controle da protecção de dados do exportador de dados.
Cláusula 12
Obrigação após a cessação dos serviços de tratamento de dados pessoais
- As partes acordam que, no termo da prestação de serviços de tratamento de dados, o importador de dados e o subtransformador, à escolha do exportador de dados, devolverão todos os dados pessoais transferidos e as respectivas cópias ao exportador de dados ou destruirão todos os dados pessoais e certificarão ao exportador de dados que o fizeram, a menos que a legislação imposta ao importador de dados o impeça de devolver ou destruir a totalidade ou parte dos dados pessoais transferidos. Nesse caso, o importador de dados garante que garantirá a confidencialidade dos dados pessoais transferidos e que deixará de processar activamente os dados pessoais transferidos.
- O importador de dados e o subprocessador garantem que, a pedido do exportador de dados e/ou da autoridade de controle, submeterão as suas instalações de tratamento de dados a uma auditoria das medidas referidas no n.º 1.
Estas cláusulas foram revistas e aceitas pelo titular da conta em nome do exportador de dados, sem qualificação, na data indicada pela aceitação do titular da conta no portal do cliente e aceitas pelo responsável pela privacidade de dados da Linode, em nome do importador de dados, em data par.
Apêndice 1 do Modelo de Contrato da UE
Estas cláusulas foram revistas e aceitas pelo titular da conta em nome do exportador de dados, sem qualificação, na data indicada pela aceitação do titular da conta no portal do cliente e aceitas pelo responsável pela privacidade de dados da Linode, em nome do importador de dados, em data par.
- Data Efectiva. Este Modelo de Contrato da UE e todos os seus apêndices, alterados ou modificados de tempos a tempos, conforme exigido ou permitido por lei, entram em vigor e são válidos a partir da data de entrada em vigor do Processamento de Dados e do Acordo de Cliente.
- Subempreiteiros. O exportador de dados concorda e reconhece que o importador de dados, à única e absoluta discrição do importador de dados, pode contratar indivíduos ou entidades para prestar serviços limitados em nome do importador de dados (os "Subcontratados"). Todos os Subempreiteiros serão autorizados a aceder, manter e/ou transmitir Dados do Cliente, tal como esse termo é definido no Contrato de Processamento de Dados e de Cliente, para quaisquer fins permitidos pelo Contrato de Processamento de Dados e de Cliente.
- Exportador de dados. O exportador de dados é a parte não-Linode do Contrato Modelo da UE a que este Contrato Modelo está anexado. O exportador de dados é um usuário da Linode Services, conforme definido no Contrato de Cliente e Processamento de Dados.
- Importador de dados. O importador de dados é Linode, LLC, um fornecedor global de serviços de dados.
- Sujeitos dos dados. Os sujeitos dos dados incluem todas as partes que são autorizadas pelo importador ou exportador de dados a aceder, manter e/ou transmitir os dados do exportador de dados, incluindo, sem limitação, os representantes do exportador de dados, utilizadores finais, empregados, contratantes, filiais, associados, agentes e todas as outras partes descritas no Processamento de Dados e Acordo de Cliente.
- Categorias de Dados. Os dados pessoais transferidos incluem todos os Dados do Cliente, como esse termo é definido no Contrato de Processamento de Dados e de Cliente, acesso, manutenção e/ou transmissão pelo exportador de dados ou pelos titulares dos dados autorizados do exportador de dados no que diz respeito aos Serviços Linode.
- Operações de Processamento. Os dados pessoais transferidos estarão sujeitos às capacidades e políticas de processamento estabelecidas pelo Acordo de Processamento de Dados e de Cliente.
Apêndice 2 do Modelo de Contrato da UE
Estas cláusulas foram revistas e aceitas pelo titular da conta em nome do exportador de dados, sem qualificação, na data indicada pela aceitação do titular da conta no portal do cliente e aceitas pelo responsável pela privacidade de dados da Linode, em nome do importador de dados, em data par.
Descrição das medidas de segurança técnicas e organizacionais implementadas pelo importador de dados em conformidade com as cláusulas 4(d) e 5(c) (ou documento/legislação em anexo):
-
- 1. Controles Gerais. Conforme melhor descrito em Processamento de Dados e Contrato do Cliente, o importador de dados manterá políticas de segurança administrativa, física e técnica razoavelmente apropriadas para mitigar o risco de acesso não autorizado, transmissão ou divulgação de Dados do Cliente, conforme esse termo é definido em Processamento de Dados e Contrato do Cliente. O responsável pela privacidade de dados do importador de dados pode ser contatado no seguinte endereço:
Linode, LLC
Atenção: James Ackley, Data Privacy Officer
249 Arch Street
Filadélfia, Pennsylvania 19106
2. Pessoal. Como melhor descrito em Processamento de Dados e Contrato do Cliente, o pessoal do importador de dados não processará dados pessoais sem a autorização do exportador de dados. O importador de dados manterá medidas razoavelmente apropriadas para manter a confidencialidade dos dados pessoais durante o período legalmente mandatado após o término deste acordo.
O responsável pela privacidade de dados do importador de dados pode ser contatado pelo exportador de dados através do e-mail privacy@linode.com (ou através de outros meios que possam ser fornecidos pelo importador de dados).