CONTRATO DE PROCESSAMENTO DE DADOS DO LINKEDIN

Este Contrato de Processamento de Dados (“CPD”), celebrado pelo cliente do LinkedIn identificado no documento de pedido do LinkedIn aplicável a serviços do LinkedIn (“Cliente”) e à empresa LinkedIn, identificada no documento de pedido (“LinkedIn”), rege o processamento de dados pessoais que o Cliente carrega ou fornece de qualquer outra forma ao LinkedIn em conexão com os serviços e o processamento de todos os dados pessoais que o LinkedIn carrega ou fornece de outra forma ao Cliente em relação aos serviços.

Este CPD é incorporado ao contrato relevante de serviços do LinkedIn, anexado ou incorporado por referência ao documento de pedido previamente executado pelo Cliente, mencionado neste CPD em termos gerais como o “Contrato do LinkedIn”. Coletivamente, o CPD (incluindo as Cláusulas Contratuais Padrão, ou CCPs, conforme definidas neste documento), o Contrato do LinkedIn e os documentos de pedidos aplicáveis ​​são mencionados neste CPD como o “Contrato”. Em caso de conflito ou inconsistência entre termos do Contrato, as disposições dos seguintes documentos (em ordem de precedência) prevalecerão: (a) as CCPs; (b) este CPD; (c) o Contrato do LinkedIn e (d) o documento de pedido aplicável ao Contrato do LinkedIn. Exceto quando especificamente alterado neste CPD, o Contrato do LinkedIn e o documento de pedido aplicável ​​permanecem inalterados e em plena vigência e efeito.

1. DEFINIÇÕES.

“CCPs de Controlador para Controlador” são as Cláusulas Contratuais Padrão (Transferências de Controlador para Controlador - Conjunto II) no Anexo à Decisão da Comissão Europeia de 27 de dezembro de 2004  ou suas alterações ou substituições eventuais pela Comissão Europeia.

“CCPs de Controlador para Processador” são as Cláusulas Contratuais Padrão (Processadores) no Anexo à Decisão da Comissão Europeia de 5 de fevereiro de 2010 , ou suas alterações ou substituições eventuais pela Comissão Europeia.

“Dados Pessoais do Cliente” são os Dados Pessoais (i) que o Cliente carrega ou, de outra forma, fornece ao LinkedIn em relação ao uso dos serviços do LinkedIn ou (ii) para os quais o Cliente é, de outro modo, um controlador de dados.

“Controlador de Dados” é o Cliente.

“Processador de Dados” é o LinkedIn.

“Requisitos de Proteção de Dados” é a Diretiva, o Regulamento Geral Sobre a Proteção de Dados, Leis de Proteção de Dados Locais, qualquer legislação e regulamento subordinado que implementem o Regulamento Geral Sobre a Proteção de Dados e todas as Leis de Privacidade.

“Diretiva” é a Diretiva de Proteção de Dados da UE 95/46/EC (e suas alterações).

“Dados Pessoais da UE” são Dados Pessoais cujo compartilhamento de acordo com este Contrato é regulado pela Diretiva, pelo Regulamento Geral Sobre a Proteção de Dados e pelas Leis de Proteção de Dados Locais.

“Regulamento Geral Sobre a Proteção de Dados” é o Regulamento da União Europeia sobre a proteção de pessoas físicas no que diz respeito ao processamento de dados pessoais e à livre movimentação desses dados, e revoga a Diretiva 95/46/EC.

“Leis de Proteção de Dados Locais” são toda e qualquer legislação e regulamento subordinado que implemente a Diretiva ou o Regulamento Geral Sobre a Proteção de Dados que possa se aplicar ao Contrato.

Dados Pessoais” são as informações sobre uma pessoa física que: (a) possam ser utilizadas para identificar, contatar ou localizar uma pessoa física específica, incluindo dados que o Cliente decidir fornecer para o LinkedIn de serviços como sistemas de rastreamento de candidatos (ATSs) ou serviços de gerenciamento de relacionamento com clientes (CRM); (b) possam ser combinadas com outras informações associadas a uma pessoa física específica para identificar, contatar ou localizar uma pessoa física específica; ou (c) sejam definidas como “dados pessoais” ou “informações pessoais” pelas leis ou regulamentos aplicáveis referentes à coleta, ao uso, ao armazenamento ou à divulgação de informações sobre pessoas físicas identificáveis.

“Violação de Dados Pessoais” é toda e qualquer destruição acidental ou ilegal, perda, alteração, divulgação ou acesso não autorizados a Dados Pessoais do Cliente.

“Leis de Privacidade” são todas as leis, regulamentos e outros requisitos legais aplicáveis ​​relativos a (a) privacidade, segurança de dados, proteção ao consumidor, marketing, promoção, mensagens de texto, e-mail e outras comunicações; e (b) uso, coleta, retenção, armazenamento, segurança, divulgação, transferência, descarte e outros processamentos de todos e quaisquer Dados Pessoais.

“Processar” e seus cognatos significam qualquer operação ou conjunto de operações realizadas em relação a Dados Pessoais ou a Conjuntos de Dados Pessoais, seja ou não por meios automatizados, como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização, alinhamento ou combinação, restrição, apagamento ou destruição.   

“CCPs” são todas as CCPs de Controlador para Processador e as CCPs de Controlador para Controlador celebradas entre as partes deste Contrato.

“Subprocessador” é toda e qualquer entidade que forneça serviços de processamento para o LinkedIn para processamento do LinkedIn em nome do Cliente.

“Autoridade de Supervisão” é uma autoridade pública independente estabelecida por um Estado-membro da União Europeia nos termos do Artigo 51 do Regulamento Geral Sobre a Proteção de Dados.

2. NATUREZA DO PROCESSAMENTO DE DADOS.

Cada uma das partes concorda em processar os Dados Pessoais recebidos sob o Contrato apenas para os propósitos estabelecidos no Contrato. Para dirimir dúvidas, as categorias de Dados Pessoais processados ​​e as categorias de titulares de dados sujeitos a este CPD são descritas no Anexo A deste CPD.

3. CONFORMIDADE LEGAL

Cada uma das partes deverá cumprir suas respectivas obrigações sob todos os Requisitos de Proteção de Dados aplicáveis.

4. OBRIGAÇÕES DO CLIENTE.

O Cliente concorda em:

4.1   Fornecer instruções ao LinkedIn e determinar os propósitos e meios gerais do processamento de Dados Pessoais do Cliente pelo LinkedIn de acordo com o Contrato; e

4.2   Cumprir sua obrigação de proteção, segurança e outras com relação aos Dados Pessoais do Cliente prescritas pelos Requisitos de Proteção de Dados para os controladores de dados ao: (a) estabelecer e manter um procedimento para o exercício dos direitos das pessoas físicas cujos Dados Pessoais do Cliente sejam processados ​​em nome do Cliente; (b) processar apenas os dados que tenham sido coletados de forma legal e válida, e garantir que esses dados sejam relevantes e proporcionais aos respectivos usos; e (c) garantir o cumprimento das disposições deste Contrato por seus funcionários ou por terceiros que acessem ou utilizem Dados Pessoais do Cliente em seu nome.

5. OBRIGAÇÕES DO LINKEDIN.

5.1 Requisitos de processamento. Caberá ao LinkedIn:

a. Processar Dados Pessoais do Cliente (i) apenas com o objetivo de fornecer, apoiar e melhorar os serviços do LinkedIn (incluindo fornecer estatísticas e outros relatórios), usando medidas de segurança técnicas e organizacionais apropriadas; e (ii) em conformidade com as instruções recebidas do Cliente. O LinkedIn não usará ou processará os Dados Pessoais do Cliente para qualquer outra finalidade. O LinkedIn informará imediatamente o Cliente, por escrito, se não puder cumprir os requisitos das Seções 5-8 deste CPD, em cujo caso o Cliente poderá rescindir o Contrato ou adotar qualquer outra medida razoável, incluindo suspender as operações de processamento de dados;

b. Informar o Cliente imediatamente se, na opinião do LinkedIn, uma instrução do Cliente violar os Requisitos de Proteção de Dados aplicáveis;

c. Se o LinkedIn estiver coletando Dados Pessoais do Cliente de pessoas físicas em nome do Cliente, seguir as instruções do Cliente com relação à coleta de Dados Pessoais do Cliente (inclusive com relação ao fornecimento de notificação e exercício de escolha);

d.  Executar medidas comercialmente razoáveis para garantir que (i) os funcionários e (ii) os demais prestadores contratados para realizar serviços em nome do LinkedIn cumpram os termos do Contrato;

e. Garantir que seus funcionários, agentes autorizados e quaisquer Subprocessadores sejam obrigados a cumprir, reconhecer e respeitar a confidencialidade dos Dados Pessoais do Cliente, inclusive após o término de seu respectivo emprego, contrato ou tarefa;

f. Se for necessário contratar Subprocessadores para ajudar a cumprir obrigações de acordo com este CPD ou delegar todas ou parte das atividades de processamento a tais Subprocessadores, (i) excluindo aqueles da lista de Subprocessadores que o LinkedIn mantém on-line (atualmente disponível em https: / /legal.linkedin.com/customer-subprocessors ), será necessário obter o consentimento prévio por escrito do Cliente para tal subcontratação, com tal consentimento não devendo ser indevidamente negado; (ii) permanecer responsável perante o Cliente pelos atos e omissões dos Subprocessadores em relação à proteção de dados nos casos em que esses Subprocessadores ajam de acordo com as instruções do LinkedIn; e (iii) firmar acordos contratuais com tais Subprocessadores, obrigando-os a fornecer o mesmo nível de proteção de dados e segurança de informações fornecido neste Contrato;

g.  Mediante solicitação, fornecer ao Cliente um resumo das políticas de privacidade e segurança do LinkedIn e

h. Informar o Cliente se o LinkedIn realizar uma avaliação de segurança independente.

5.2 Aviso ao Cliente. O LinkedIn informará o Cliente se tomar conhecimento sobre:

a. Qualquer não conformidade do LinkedIn ou de seus funcionários com as Seções 5 a 8 deste CPD ou com os Requisitos de Proteção de Dados relacionados à proteção dos Dados Pessoais do Cliente processados ​​sob este CPD;

b. Qualquer solicitação legalmente vinculativa de divulgação de Dados Pessoais do Cliente por uma autoridade policial, a menos que o LinkedIn seja proibido por lei de informar o Cliente, por exemplo, para preservar a confidencialidade de uma investigação pelas autoridades policiais;

c. Qualquer aviso, consulta ou investigação por uma Autoridade de Supervisão com relação aos Dados Pessoais do Cliente; ou

d. Qualquer reclamação ou solicitação (em particular, solicitações de acesso, correção ou bloqueio de Dados Pessoais do Cliente) recebida diretamente dos titulares de dados do Cliente. O LinkedIn não responderá a nenhuma solicitação sem autorização prévia por escrito do Cliente.

5.3  Assistência ao Cliente. O LinkedIn fornecerá assistência razoável ao Cliente em relação a:

a. Quaisquer solicitações de titulares de dados do Cliente em relação a acesso ou correção, exclusão, restrição, portabilidade, bloqueio ou exclusão de Dados Pessoais do Cliente processados ​​pelo LinkedIn para o Cliente. No caso de um titular de dados enviar tal solicitação diretamente ao LinkedIn, o LinkedIn enviará imediatamente tal solicitação ao Cliente;

b. A investigação de Violações de Dados Pessoais e a notificação à Autoridade de Supervisão e aos titulares de dados do Cliente em relação a essas violações de dados pessoais; e

c. Quando apropriada, a preparação de avaliações de impacto sobre a proteção de dados e, quando necessário, a realização de consultas a qualquer Autoridade de Supervisão.

5.4  Processamento Obrigatório. Se o LinkedIn for obrigado pelos Requisitos de Proteção de Dados a processar quaisquer Dados Pessoais do Cliente por um motivo que não seja fornecer os serviços descritos no Contrato, o LinkedIn informará o Cliente sobre tal obrigação antes de qualquer processamento, a menos que o LinkedIn seja legalmente proibido de informar o Cliente sobre tal processamento (por exemplo, como resultado de obrigações de sigilo que possam existir sob as leis em vigor nos Estados Membros da UE).

5.5  Segurança. Caberá ao LinkedIn:

a.  Manter medidas de segurança organizacional e técnica adequadas (inclusive em relação a pessoal, instalações, hardware e software, armazenamento e redes, controles de acesso, monitoramento e registro, vulnerabilidade e detecção de violações, resposta a incidentes, criptografia de Dados Pessoais do Cliente enquanto em trânsito e em repouso) para proteger contra acesso não autorizado ou acidental, perda, alteração, divulgação ou destruição de Dados Pessoais do Cliente;

b.  Responsabilizar-se pela suficiência das garantias de segurança, privacidade e confidencialidade de todo o pessoal do LinkedIn em relação aos Dados Pessoais do Cliente e por qualquer falha por parte do pessoal do LinkedIn em cumprir os termos deste CPD;

c. Tomar medidas razoáveis ​​para confirmar que todos os funcionários do LinkedIn protejam a segurança, privacidade e confidencialidade dos Dados Pessoais do Cliente, de acordo com os requisitos deste CPD; e

d.  Notificar o Cliente sobre qualquer Violação de Dados Pessoais por parte do LinkedIn, de seus Subprocessadores ou de terceiros que atuem em nome do LinkedIn, sem demora indevida e, em todos os casos, dentro de um período de 48 horas após a Violação de Dados Pessoais.

6. AUDITORIA, CERTIFICAÇÃO.

6.1 Auditoria da Autoridade de Supervisão. Se uma Autoridade de Supervisão ​​exigir uma auditoria das instalações de processamento de dados nas quais o LinkedIn processa os Dados Pessoais do Cliente para verificar ou monitorar a conformidade do Cliente com os Requisitos de Proteção de Dados, o LinkedIn cooperará com tal auditoria. O Cliente é responsável por todos os custos e taxas relacionados à tal auditoria, incluindo todos os custos e taxas razoáveis ​​para todo e qualquer período em que o LinkedIn gaste em tal auditoria, além das tarifas dos serviços executados pelo LinkedIn.

6.2 Auditorias. Mediante solicitação do Cliente (não excedendo uma solicitação por ano civil), por e-mail para DPO@linkedin.com, o LinkedIn deve certificar a conformidade com as Seções 5 a 8 deste CPD por escrito. O LinkedIn fornecerá ao Cliente, a cada ano, um parecer ou relatório de Controle da Organização do Serviço fornecido por uma empresa de auditoria terceirizada credenciada sob a Statement on Standards for Attestation Engagements (SSAE) Nº 16 (“SSAE 16”) (que informa sobre os Controles em uma Organização de Serviço) ou conforme as normas da International Standard on Assurance Engagements (ISAE) 3402 (“ISAE 3402”) (Relatórios de Garantia de Controle em uma Organização de Serviço) aplicáveis ​​aos serviços sob o Contrato (cada um desses relatórios, um “Relatório”). Se um Relatório não fornecer, no julgamento razoável do Cliente, informações suficientes para garantir a conformidade do LinkedIn com os termos deste CPD, o Cliente ou uma empresa de auditoria terceirizada credenciada pelo Cliente e pelo LinkedIn poderão auditar a conformidade do LinkedIn com os termos deste CPD durante o horário comercial, com aviso prévio razoável para o LinkedIn e seguindo procedimentos de confidencialidade razoáveis. O Cliente é responsável por todos os custos e taxas relacionados a tal auditoria, incluindo todos os custos e taxas razoáveis ​​para todo e qualquer período em que o LinkedIn gaste em tal auditoria, além das tarifas dos serviços executados pelo LinkedIn.  Antes do início de tal auditoria, o Cliente e o LinkedIn devem concordar mutuamente sobre o escopo, o período e a duração da auditoria. O Cliente notificará imediatamente o LinkedIn sobre qualquer falta de conformidade detectada durante o curso de uma auditoria.  O cliente não poderá auditar o LinkedIn mais de uma vez por ano.

7. TRANSFERÊNCIAS DE DADOS.

Para transferências de dados pessoais da UE para o LinkedIn para processamento pelo LinkedIn em uma jurisdição que não seja na UE, na CEE ou em países aprovados pela Comissão Europeia que forneçam uma proteção de dados “adequada”, o LinkedIn concorda que (a) fornecerá pelo menos o mesmo nível de proteção de privacidade para os Dados Pessoais da UE, conforme exigido pela estrutura de Privacy Shield de EUA-UE e EUA-Suíça; ou (b) usará o formato das CCPs de Controlador para Processador disponíveis em https://business.linkedin.com/c/15/10/eu-scc. Se as transferências de dados em conformidade com a Seção 7 deste CPD se basearem em CCPs de Controlador para Processador para permitir a transferência legal de Dados Pessoais da UE, conforme estabelecido na sentença anterior, as partes concordam que os titulares de dados para quem uma entidade do LinkedIn processa Dados Pessoais da UE são outros beneficiários sob as CCPs de Controlador para Processador. Se o LinkedIn não puder cumprir ou ficar impossibilitado de cumprir esses requisitos, os dados pessoais da UE serão processados ​​e utilizados exclusivamente no território de um estado membro da União Europeia e qualquer movimentação de Dados Pessoais da UE para um país não pertencente à UE requer o prévio consentimento por escrito do Cliente. O LinkedIn notificará imediatamente o Cliente de qualquer incapacidade de cumprir as cláusulas desta Seção 7.

8. DEVOLUÇÃO E EXCLUSÃO DE DADOS.

As partes concordam que no término dos serviços de processamento de dados ou mediante solicitação razoável do Cliente, o LinkedIn deverá devolver, e fará com que qualquer Subprocessador, quando o Cliente julgar adequado, devolva todos os Dados Pessoais do Cliente e cópias de tais dados ao Cliente ou destrua com segurança e demonstre de forma satisfatória para o Cliente que tomou tais medidas, a menos que os Requisitos de Proteção de Dados impeçam o LinkedIn de devolver ou destruir todos ou parte dos Dados Pessoais do Cliente divulgados. Nesse caso, o LinkedIn concorda em preservar a confidencialidade dos Dados Pessoais do Cliente mantidos por ele e que somente processará ativamente os Dados Pessoais do Cliente após essa data, a fim de cumprir a legislação em vigor.

9. CENÁRIOS DE CONTROLADOR PARA CONTROLADOR.

Cada parte, na medida em que, juntamente com a outra parte, atue como controlador de dados, conforme definição do termo nos Requisitos de Proteção de Dados aplicáveis, com relação aos Dados Pessoais, deverá cooperar razoavelmente com a outra parte para permitir o exercício de direitos de proteção de dados, conforme estabelecido no Regulamento Geral Sobre a Proteção de Dados e em outros Requisitos de Proteção de Dados. Quando ambas as partes atuarem isoladamente como controladoras de dados com relação a Dados Pessoais, e a transferência de dados entre as partes resultar em uma transferência de dados pessoais da UE para uma jurisdição que não seja na UE, na CEE ou na Comissão Europeia e que ofereça proteção de dados “adequada”, cada uma das partes concorda em (a) fornecer pelo menos o mesmo nível de proteção de privacidade para os Dados Pessoais da UE exigido pelas estruturas de Privacy Shield dos EUA-UE e EUA-Suíça; ou (b) usar as CCPs de Controlador para Controlador, incorporadas aqui por referência.  Se as transferências de dados sob este CPD dependerem de CCPs de Controlador para Controlador para permitir a transferência legal de Dados Pessoais, conforme estabelecido na sentença anterior, as partes concordam que os seguintes termos se aplicam: (i) Os titulares de dados para quem um Cliente processa Dados Pessoais da UE são beneficiários nos termos das CCPs de Controlador para Controlador; (ii) O Anexo A deste CPD deverá ser aplicado como Anexo B das CCPs de Controlador para Controlador; e iii) para efeitos da seção II h), o importador de dados processará os Dados Pessoais da UE, a seu critério, em conformidade com “as disposições pertinentes de qualquer decisão da Comissão nos termos do artigo 25(6) da Diretiva 95/46/CE, quando o importador de dados estiver em conformidade com as disposições relevantes de tal autorização ou decisão e estiver estabelecido em um país ao qual tal autorização ou decisão pertença, mas não esteja coberto por tal autorização ou decisão para fins de transferência(s) dos dados pessoais.” As partes reconhecem e concordam que cada uma atua de forma independente como Controladora de Dados com relação a Informações Pessoais e as partes não são controladoras solidárias, conforme definido no Regulamento Geral Sobre a Proteção de Dados.

10. PROCESSADORES DE DADOS TERCEIRIZADOS.

O Cliente reconhece que, no fornecimento de alguns serviços (como ATSs e CRMs), o LinkedIn, por instrução do Cliente, pode transferir os Dados Pessoais do Cliente para processadores de dados terceirizados e interagir, de outro modo, com tais processadores. O Cliente concorda que, se e na medida em que tais transferências ocorram, o Cliente é responsável por firmar acordos contratuais separados com esses processadores de dados terceirizados, obrigando-os a cumprir obrigações de acordo com os Requisitos de Proteção de Dados. Para dirimir dúvidas, esses processadores de dados terceirizados não são Subprocessadores.

11. VIGÊNCIA.

Este CPD permanecerá em vigor enquanto o LinkedIn realizar operações de processamento de Dados Pessoais em nome do Cliente ou até o término do Contrato do LinkedIn (e todos os Dados Pessoais terem sido devolvidos ou excluídos de acordo com a Seção 8 acima).

12. LEI APLICÁVEL, JURISDIÇÃO E FORO.

Não obstante qualquer disposição em contrário do Contrato, este CPD será regido pelas leis da Irlanda, e qualquer ação ou processo relacionado a este CPD (incluindo aqueles decorrentes de disputas ou reivindicações não contratuais) será resolvido em Dublin, na Irlanda.

ANEXO A

ANEXO B - DESCRIÇÃO DA TRANSFERÊNCIA

1.    Titulares de dados. Os dados pessoais transferidos dizem respeito às seguintes categorias de titulares de dados:

Dependendo dos serviços usados ​​pelo exportador de dados:

  • Candidatos potenciais e reais e funcionários do exportador de dados;
  • Líderes de vendas e marketing do exportador de dados; e
  • erceiros que tenham ou possam ter relação comercial com o exportador de dados (por exemplo, anunciantes, clientes, assinantes corporativos e prestadores de serviço).

2.    Objetivos da Transferência. A transferência é feita para os seguintes fins:

A transferência destina-se a permitir que o exportador de dados determine as finalidades e os meios do processamento de dados pessoais obtidos através dos produtos do importador de dados para apoiar práticas de vendas, recrutamento, marketing, educacionais ou outras práticas comerciais do exportador de dados.

3.     Categorias de dados. Os dados pessoais transferidos dizem respeito às seguintes categorias de dados:

Os dados transferidos são dados pessoais fornecidos pelo exportador de dados ao importador de dados em conexão com o uso dos serviços de recrutamento, vendas, marketing e/ou aprendizagem on-line da LinkedIn Ireland, referidos como Dados Pessoais do Cliente no Contrato de Assinatura do LinkedIn. Esses dados pessoais podem incluir nome, sobrenome, endereço de e-mail, informações de contato, histórico de formação acadêmica e profissional fornecidos em currículos, dados de CRM relativos a leads de vendas e listas de clientes e quaisquer notas fornecidas pelo exportador de dados em relação ao precedente.

4.    Destinatários. Os dados pessoais transferidos podem ser divulgados apenas para os seguintes destinatários ou categorias de destinatários:

Funcionários e outros representantes do importador de dados que tenham um propósito comercial legítimo para o processamento de tais dados pessoais.

5.    Dados confidenciais (caso apropriado). Os dados pessoais transferidos dizem respeito às seguintes categorias de dados confidenciais:

Nenhuma.

6.    Informações de Registro de Proteção de Dados do Exportador de Dados (quando aplicável).

Nenhuma.

7.    Informações úteis adicionais (limites de armazenamento e outras informações relevantes).

Os dados pessoais transferidos entre as partes somente poderão ser retidos pelo período de tempo permitido pelo Contrato. Cada uma das partes, na medida em que, juntamente com a outra parte, atue como controlador de dados com relação aos Dados Pessoais, deverá cooperar razoavelmente com a outra parte para permitir o exercício dos direitos de proteção de dados, conforme estabelecido nos Requisitos de Proteção de Dados.

8.    Informações de contato. Pontos de contato para questões referentes a proteção de dados:

Importador de dados: Signatário do Contrato entre as partes  

Exportador de dados: Signatário do Contrato entre as partes        

LinkedIn – Confidencial e Protegido

Última atualização: 12 de outubro de 2018