Contrato de Processamento de Dados do LinkedIn

12 de dezembro de 2022

Índice

  • Contrato de Processamento de Dados do LinkedIn (CPD)
  • Apenso A: Descrição da transferência
  • Apenso B: Adendo ao CCPA
  • Apenso C: Termos e Alterações Específicas da Glint
  • Apenso D: Medidas Técnicas e Organizacionais, incluindo Medidas Técnicas e Organizacionais para Garantir a Segurança dos Dados

Este Contrato de Processamento de Dados (CPD), celebrado entre o cliente do LinkedIn identificado no documento de pedido aplicável do LinkedIn para serviços do LinkedIn (“Cliente”) e a empresa LinkedIn, identificada no documento do pedido (juntamente com suas afiliadas, “LinkedIn”), rege o processamento de Dados Pessoais que o Cliente transfere ou de outro modo fornece ao LinkedIn em relação aos serviços, ao processamento de Dados Pessoais pelo LinkedIn em nome do Cliente em conexão aos serviços e ao processamento de Dados Pessoais que o LinkedIn transfira, ou de outro modo forneça, ao Cliente em conexão com os serviços. Termos específicos dos serviços da Glint do LinkedIn são fornecidos de acordo com o Anexo C deste CPD.

Este CPD é incorporado ao contrato relevante de serviços do LinkedIn, anexado ou incorporado por referência ao documento de pedido previamente executado pelo Cliente, mencionado neste CPD em termos gerais como o “Contrato do LinkedIn”. Coletivamente, o CPD (incluindo as Cláusulas Contratuais Padrão ou CCPs, conforme definidas neste documento), o Contrato do LinkedIn e os documentos de pedidos aplicáveis são mencionados neste CPD como o “Contrato”. No caso de conflito ou inconsistência entre qualquer um dos termos do Contrato, prevalecerão as disposições dos seguintes documentos (em ordem de precedência): (a) as CCPs; (b) o documento de pedido aplicável ao Contrato do LinkedIn; (c) este CPD; (d) o Contrato do LinkedIn. Exceto quando especificamente alterado neste CPD, o Contrato do LinkedIn e o documento de pedido aplicável permanecem inalterados e em plena vigência e vigor.

1. DEFINIÇÕES

“CCPA” significa a Lei de Privacidade do Consumidor da Califórnia de 2018, conforme alterada pela Lei de Direitos de Privacidade da Califórnia de 2020, juntamente com qualquer legislação ou regulamentação subordinada.

“Dados Pessoais do Cliente” são Dados Pessoais que o Cliente carrega ou fornece ao LinkedIn em relação ao uso dos serviços do LinkedIn.

“Requisitos de Proteção de Dados” significa o Regulamento Geral sobre a Proteção de Dados e quaisquer leis, regulamentos e outros requisitos legais aplicáveis referentes a (a) privacidade, segurança de dados e proteção de Dados Pessoais e (b) processamento de quaisquer Dados Pessoais. Os Requisitos de Processamento de Dados podem incluir, entre outros, o GDPR do Reino Unido, a Lei Federal Suíça sobre Proteção de Dados de 2020, a Lei Geral de Proteção de Dados do Brasil, a CCPA, a Lei de Privacidade do Colorado, a Lei de Privacidade de Dados de Connecticut, a Lei de Privacidade do Consumidor de Utah e a Lei de Proteção de Dados de Consumidores de Virginia.

“Dados Pessoais da UE” são os Dados Pessoais cujo compartilhamento, de acordo com este Contrato, é regulado pelo Regulamento Geral sobre a Proteção de Dados.

“Regulamento Geral sobre a Proteção de Dados”, ou “GDPR”, significa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, juntamente com qualquer legislação ou regulamento subordinado que execute o Regulamento Geral sobre a Proteção de Dados.

“Dados Pessoais” são as informações sobre uma pessoa física que: (a) possam ser utilizadas para identificar, contatar ou localizar uma pessoa física específica; (b) possam ser combinadas com outras informações que possam ser usadas para identificar, contatar ou localizar uma pessoa física específica ou (c) sejam definidas como “dados pessoais” ou “informações pessoais” pelas leis ou regulamentos aplicáveis referentes a coleta, uso, armazenamento ou divulgação de informações sobre pessoas físicas identificáveis.

“Violação de Dados Pessoais” é toda e qualquer destruição, perda, alteração, divulgação ou acesso não autorizado, acidental ou ilegal, a Dados Pessoais do Cliente.

“Processar” e seus cognatos significam qualquer operação ou conjunto de operações realizadas em relação a Dados Pessoais ou a conjuntos de Dados Pessoais, seja ou não por meios automatizados, como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização, alinhamento ou combinação, restrição, apagamento ou destruição.   

“CCPs” significa as Cláusulas Contratuais Padrão da Comissão Europeia celebradas entre as partes ao abrigo do Contrato.

“Subprocessador” é toda e qualquer entidade que forneça serviços de processamento para o LinkedIn para processamento de Dados Pessoais do Cliente ao LinkedIn.

Autoridade de Supervisão” é uma autoridade pública independente (i) estabelecida por um Estado Membro da União Europeia nos termos do artigo 51 do Regulamento Geral sobre a Proteção de Dados; ou (ii) a autoridade pública que rege a proteção de dados, que possui autoridade de supervisão e jurisdição sobre o Cliente.

“GDPR do Reino Unido” significa o Regulamento Geral sobre a Proteção de Dados do Reino Unido, alterado pela Lei de Proteção de Dados de 2018.

“Dados Pessoais do Reino Unido” são os Dados Pessoais cujo compartilhamento, de acordo com este Contrato, é regulado pelo GDPR do Reino Unido.

2. NATUREZA DO PROCESSAMENTO DE DADOS

As partes concordam em Processar os Dados Pessoais recebidos sob o Contrato apenas para os propósitos estabelecidos no Contrato. Para dirimir dúvidas, as categorias de Dados Pessoais Processados e as categorias de titulares de dados sujeitas a este CPD são descritas no Anexo A deste CPD.

3. CONFORMIDADE LEGAL

Cada uma das partes deverá cumprir suas respectivas obrigações sob todos os Requisitos de Proteção de Dados aplicáveis.

4. OBRIGAÇÕES DO CLIENTE

4.1   O Cliente concorda em: (i) determinar os propósitos e meios gerais do Processamento pelo LinkedIn de Dados Pessoais do Cliente de acordo com o Contrato; e (ii) cumprir com as suas obrigações de proteção, segurança e outras obrigações em relação aos Dados Pessoais do Cliente estabelecidos pelos Requisitos de Proteção de Dados para controladoras de dados.  

4.2   O Cliente concorda em designar, a pedido do LinkedIn, um único ponto de contato (o “Administrador Principal”) responsável por (i) receber e responder a solicitações dos titulares de dados que o LinkedIn recebe relacionadas aos Dados Pessoais do Cliente; e (ii) notificar o LinkedIn sobre a resposta pretendida do Cliente a uma solicitação do titular de dados relacionada a acesso ou retificação, apagamento, restrição, portabilidade, bloqueio ou exclusão dos Dados Pessoais do Cliente que o LinkedIn processa para o Cliente e autoriza o LinkedIn a executar essas respostas em nome do Cliente.

5. OBRIGAÇÕES DO LINKEDIN

5.1 Requisitos de processamento. Caberá ao LinkedIn:

a. Processar Dados Pessoais do Cliente (i) apenas com o objetivo de fornecer, dar suporte e melhorar os serviços do LinkedIn (incluindo fornecer estatísticas e outros relatórios), usando medidas de segurança técnicas e organizacionais apropriadas; e (ii) em conformidade com as instruções recebidas do Cliente. O LinkedIn não usará ou processará os Dados Pessoais do Cliente para nenhuma outra finalidade. O LinkedIn informará imediatamente o Cliente, por escrito, se não puder cumprir os requisitos das Seções 5-8 deste CPD, em cujo caso o Cliente poderá rescindir o Contrato ou adotar qualquer outra medida razoável, incluindo suspender as operações de processamento de dados;

b. Informar o Cliente imediatamente se, na opinião do LinkedIn, uma instrução do Cliente violar os Requisitos de Proteção de Dados aplicáveis;

c. Se o LinkedIn estiver coletando Dados Pessoais do Cliente de pessoas físicas em nome do Cliente, seguir as instruções do Cliente com relação à coleta de Dados Pessoais do Cliente (inclusive com relação ao fornecimento de notificação e exercício de escolha);

d. Executar medidas para garantir que (i) os funcionários contratados pelo LinkedIn e (ii) outras pessoas contratadas para realizar serviços em nome do LinkedIn cumpram os termos do Contrato;

e. Garantir que seus funcionários, agentes autorizados e quaisquer Subprocessadores sejam obrigados a cumprir, reconhecer e respeitar a confidencialidade dos Dados Pessoais do Cliente, inclusive após o término do seu respectivo emprego, contrato ou tarefa;

f. Se for necessário contratar Subprocessadores para ajudar a cumprir obrigações de acordo com este CPD ou delegar todas ou parte das atividades de processamento a tais Subprocessadores, (i) excluindo aqueles da lista de Subprocessadores que o LinkedIn e suas Afiliadas mantêm on-line (atualmente disponível em https://legal.linkedin.com/customer-subprocessors), cujo uso o Cliente aprova, será necessário obter o consentimento prévio por escrito do Cliente para tal subprocessamento, sendo que tal consentimento não será indevidamente negado; (ii) permanecer responsável perante o Cliente pelos atos e omissões dos Subprocessadores em relação à proteção de dados nos casos em que esses Subprocessadores ajam de acordo com as instruções do LinkedIn; e (iii) firmar acordos contratuais com tais Subprocessadores, obrigando-os a fornecer o mesmo nível de proteção de dados e segurança de informações previsto neste Contrato; e

g. Mediante solicitação, fornecer ao Cliente um mapeamento das políticas de segurança do LinkedIn referentes aos controles estabelecidos no padrão da Organização Internacional de Normalização (ISO)/Comissão Eletrotécnica Internacional (IEC) 27001.  

5.2 Aviso ao Cliente. O LinkedIn informará o Cliente se tomar conhecimento sobre:

a. Qualquer não conformidade do LinkedIn ou de seus funcionários com as Seções 5 a 8 deste CPD ou com os Requisitos de Proteção de Dados relacionados à proteção dos Dados Pessoais do Cliente Processados sob este CPD;

b. Qualquer solicitação legalmente vinculativa de divulgação de Dados Pessoais do Cliente por uma autoridade, a menos que o LinkedIn seja proibido por lei de informar o Cliente, por exemplo, para preservar a confidencialidade de uma investigação pelas autoridades;

c. Qualquer aviso, consulta ou investigação por uma Autoridade de Supervisão com relação aos Dados Pessoais do Cliente; ou

d. Qualquer reclamação ou solicitação (em particular, solicitações de acesso, correção, apagamento, restrição, portabilidade, bloqueio ou titulares de dados do Cliente. O LinkedIn não responderá de forma substancial a nenhuma solicitação sem autorização prévia por escrito do Cliente.

5.3 Assistência ao Cliente. O LinkedIn fornecerá assistência razoável ao Cliente em relação a:

a. Solicitações de titulares de dados do Cliente em relação a acesso ou correção, exclusão, restrição, portabilidade, bloqueio ou exclusão de Dados Pessoais do Cliente processados pelo LinkedIn para o Cliente. No caso de um titular de dados enviar tal solicitação diretamente ao LinkedIn, o LinkedIn enviará imediatamente tal solicitação ao Cliente;

b. A investigação de Violações de Dados Pessoais e a notificação à Autoridade de Supervisão e aos titulares de dados do Cliente em relação a essas Violações de Dados Pessoais; e

c. Quando apropriada, a preparação de avaliações de impacto sobre a proteção de dados e, quando necessário, a realização de consultas a qualquer Autoridade de Supervisão.

5.4 Processamento Obrigatório. Se o LinkedIn for obrigado pelos Requisitos de Proteção de Dados a Processar quaisquer Dados Pessoais do Cliente por um motivo que não seja fornecer os serviços descritos no Contrato, o LinkedIn informará o Cliente sobre tal obrigação antes de qualquer Processamento, a menos que o LinkedIn seja legalmente proibido de informá-lo (por exemplo, como resultado de obrigações de sigilo que possam existir de acordo com a legislação em vigor nos Estados Membros da UE).

5.5 Segurança. Caberá ao LinkedIn:

a. Manter medidas de segurança organizacional e técnica adequadas (que podem incluir, em relação a pessoal, instalações, hardware e software, armazenamento e redes, controles de acesso, monitoramento e registro, detecção de vulnerabilidades e violações, resposta a incidentes, criptografia de Dados Pessoais do Cliente em trânsito e em local fixo) com o objetivo de proteger contra acesso não autorizado ou acidental, perda, alteração, divulgação ou destruição de Dados Pessoais do Cliente, incluindo as medidas de segurança estipuladas no Anexo D deste CPD que será aplicado como o Anexo II das CCPs;

b. Responsabilizar-se pela suficiência das garantias de segurança, privacidade e confidencialidade de todo o pessoal do LinkedIn em relação aos Dados Pessoais do Cliente e por qualquer falha por parte do pessoal do LinkedIn em cumprir os termos deste CPD;

c. Tomar medidas razoáveis para confirmar que todos os funcionários do LinkedIn protejam a segurança, privacidade e confidencialidade dos Dados Pessoais do Cliente, de acordo com os requisitos deste CPD, que será aplicado como o Anexo II das CCPs; e

d. Notificar o Cliente sobre qualquer Violação dos Dados Pessoais por parte do LinkedIn, de seus Subprocessadores ou de terceiros que atuem em nome do LinkedIn, sem demora indevida e, em todos os casos, dentro de um prazo de 48 horas após a Violação de Dados Pessoais.

e. Se uma Violação de Dados Pessoais resultar de (i) negligência ou má conduta intencional do LinkedIn (ou de qualquer Subprocessador do LinkedIn, de acordo com a Seção 5.1 (f)) ou (ii) falha material do LinkedIn em cumprir os termos deste CPD, o LinkedIn arcará com todos os custos associados à investigação e à correção da Violação de Dados Pessoais. O LinkedIn fornecerá um reembolso razoável ao Cliente por quaisquer custos associados à notificação de indivíduos afetados, conforme exigido por lei, ou ao fornecimento de monitoramento de crédito ou outros serviços de correção adequados aos indivíduos, desde que o LinkedIn, como processador, cumpra seus compromissos estipulados em 5.3 (b) deste CPD.

6. AUDITORIA, CERTIFICAÇÃO

6.1 Auditoria do Cliente pela Autoridade de Supervisão. Se uma Autoridade de Supervisão exigir uma auditoria das instalações de processamento de dados nas quais o LinkedIn processa os Dados Pessoais do Cliente para verificar ou monitorar a conformidade desse Cliente com os Requisitos de Proteção de Dados, o LinkedIn cooperará com tal auditoria. O Cliente é responsável por todos os custos e taxas relacionados à tal auditoria, incluindo todos os custos e taxas razoáveis para todo e qualquer tempo que o LinkedIn gaste em tal auditoria, além das tarifas dos serviços executados pelo LinkedIn.

6.2 Auditorias. Mediante solicitação, o LinkedIn fornecerá anualmente ao Cliente um parecer ou relatório de Controle da Organização de Serviços fornecido por uma empresa de auditoria terceirizada e credenciada conforme a Declaração sobre Padrões de Auditoria (Statement on Stardards for Attestation Engagements, SSAE) No. 18 (“SSAE 18”) (Relatórios sobre Controles em uma Organização de Serviços) ou a Norma Internacional de Asseguração (ISAE) 3402 (“ISAE 3402”) (Relatórios de Garantia sobre Controles em Organização de Serviços) aplicáveis aos serviços sob o Contrato (cada um desses relatórios, um “Relatório”). Se um Relatório não fornecer, de acordo com o julgamento razoável do Cliente, informações suficientes para garantir a conformidade do LinkedIn com os termos deste CPD, o Cliente ou uma empresa de auditoria terceirizada credenciada pelo Cliente e pelo LinkedIn poderão auditar a conformidade do LinkedIn com os termos deste CPD durante o horário comercial, com aviso prévio e seguindo procedimentos de confidencialidade razoáveis. O Cliente é responsável por todos os custos e taxas relacionados a tal auditoria, incluindo todos os custos e taxas razoáveis para todo e qualquer período em que o LinkedIn gaste em tal auditoria, além das tarifas dos serviços executados pelo LinkedIn. Antes do início de tal auditoria, o Cliente e o LinkedIn devem concordar mutuamente sobre o escopo, o período e a duração da auditoria. O Cliente notificará imediatamente o LinkedIn sobre qualquer falta de conformidade detectada durante o curso de uma auditoria. O cliente não poderá auditar o LinkedIn mais de uma vez por ano.

7. TRANSFERÊNCIAS DE DADOS

7.1 Para transferências de Dados Pessoais da UE para o LinkedIn para processamento pelo LinkedIn em uma jurisdição que não seja uma jurisdição na UE, no EEE ou nos países que ofereçam proteção de dados “adequada” aprovados pela Comissão Europeia, cada parte concorda que usará o Módulo 2 das CCPs para transferências de Controlador para Processador que são incorporadas ao presente instrumento por referência. As partes concordam que os seguintes termos se aplicam: (i) a Comissão de Proteção de Dados da Irlanda será a Autoridade Supervisora competente de acordo com a Cláusula 13 das CCPs; (ii) os titulares dos dados para os quais uma entidade do LinkedIn processe Dados Pessoais da UE são terceiros beneficiários de acordo com as CCPs aplicáveis; (iii) as CCPs serão regidas pela lei da Irlanda, que permite direitos de terceiros beneficiários de acordo com a Cláusula 17 das CCPs; e (iv) qualquer disputa decorrente das CCPs será resolvida pelos tribunais da Irlanda de acordo com a Cláusula 18 das CCPs. O Anexo A deste CPD será aplicado como o Anexo I das CCPs e o Anexo D será aplicado no o Anexo II das CCPs.

7.2 Se o LinkedIn não puder cumprir ou ficar impossibilitado de cumprir esses requisitos, os Dados Pessoais da UE serão processados e utilizados exclusivamente no território de um estado-membro da União Europeia e qualquer movimentação de Dados Pessoais da UE para um país não pertencente à UE requer o prévio consentimento por escrito do Cliente. O LinkedIn notificará imediatamente o Cliente sobre qualquer incapacidade de cumprir as disposições desta Seção 7. Não obstante o disposto acima, quando as transferências contempladas sob esta Seção 7 resultarem em transferências de Dados Pessoais do Reino Unido para o LinkedIn para processamento pelo LinkedIn em uma jurisdição que não seja no Reino Unido ou em países aprovados pelo Gabinete do Comissário de Informação do Reino Unido como oferecedores de proteção de dados ‘adequada’, (1) cada parte concorda que usará as CCPs de Controlador para Processador de 2010 enquanto tais CCPs forem legalmente permitidas para tais transferências de Dados Pessoais do Reino Unido, e (2) os Anexos A e D serão aplicados como Anexo I e Anexo II, respectivamente. Caso o Gabinete do Comissário de Informação do Reino Unido confirme que um “Adendo do Reino Unido às Cláusulas Contratuais Padrão da UE” (“Adendo do Reino Unido”) é obrigatório para fundamentação lícita nas CCPs para transferências de Dados Pessoais do Reino Unido, então (a) as CCPs usadas para Dados Pessoais da UE também serão aplicadas às transferências de Dados Pessoais do Reino Unido; (b) o Adendo do Reino Unido será considerado celebrado entre o Cliente e o LinkedIn; e (c) as CCPs entre as partes serão consideradas alteradas conforme especificado no Adendo do Reino Unido em relação à transferência de tais Dados Pessoais do Reino Unido. O Comissário de Informação do Reino Unido é a Autoridade Supervisora exclusiva para as transferências de Dados Pessoais do Reino Unido no âmbito deste Contrato.

8. DEVOLUÇÃO E EXCLUSÃO DE DADOS

As partes concordam que no término dos serviços de processamento de dados ou mediante solicitação razoável do Cliente, o LinkedIn deverá devolver, e fará com que qualquer Subprocessador, quando o Cliente julgar adequado, devolva todos os Dados Pessoais do Cliente e cópias de tais dados ao Cliente ou destrua com segurança e demonstre de forma satisfatória para o Cliente que tomou tais medidas, a menos que os Requisitos de Proteção de Dados impeçam o LinkedIn de devolver ou destruir todos ou parte dos Dados Pessoais do Cliente divulgados. Nesse caso, o LinkedIn concorda em preservar a confidencialidade dos Dados Pessoais do Cliente mantidos por ele e que somente processará ativamente os Dados Pessoais do Cliente após essa data, a fim de cumprir a legislação em vigor. Para maior clareza, o LinkedIn pode continuar a Processar Dados Pessoais do cliente que tenham sido agregados de forma a não identificarem indivíduos ou clientes, para melhorar os sistemas e serviços do LinkedIn.  

9. CENÁRIOS DE CONTROLADOR PARA CONTROLADOR

Certos Serviços podem oferecer visualização e exportação integradas de Dados Pessoais de usuários do LinkedIn que o Cliente pode já acessar no site do LinkedIn, LinkedIn.com, de acordo com as configurações de privacidade dos usuários. Para fins do GDPR, quando já houver uma exportação de Dados Pessoais realizada por usuários ou quando o Cliente já pode acessar esses Dados Pessoais, o Cliente e o LinkedIn serão controladores independentes dos Dados Pessoais originalmente derivados dos Serviços do LinkedIn.  As partes concordam que, para esses casos, o LinkedIn e o Cliente, cada qual, atuam como controladores de dados em relação à cópia específica deles dos Dados Pessoais. Cada parte, na medida em que, juntamente com a outra parte, atue como controladora de dados, conforme definição do termo nos Requisitos de Proteção de Dados aplicáveis, com relação aos Dados Pessoais, deverá cooperar razoavelmente com a outra parte para permitir o exercício dos direitos de proteção de dados, conforme estabelecidos nos Requisitos de Proteção de Dados. Quando ambas as partes atuarem isoladamente como controladoras de dados com relação a Dados Pessoais, e a transferência de dados entre as partes resultar em uma transferência de Dados Pessoais da UE para uma jurisdição que não seja na UE, no EEE ou nos países que ofereçam proteção de dados “adequada” aprovados pela Comissão Europeia, cada uma das partes concorda que usará o Módulo 1 das CCPs, que são incorporadas ao presente instrumento por referência. As partes concordam que os seguintes termos se aplicam: (i) a Comissão de Proteção de Dados da Irlanda será a Autoridade Supervisora competente de acordo com a Cláusula 13 das CCPs; (ii) os titulares dos dados para os quais uma entidade do LinkedIn processe Dados Pessoais da UE são terceiros beneficiários de acordo com as CCPs aplicáveis; (iii) as CCPs serão regidas pela lei da Irlanda, que permite direitos de terceiros beneficiários de acordo com a Cláusula 17 das CCPs; e (iv) qualquer disputa decorrente das CCPs será resolvida pelos tribunais da Irlanda de acordo com a Cláusula 18 das CCPs. Não obstante o disposto acima, quando as transferências contempladas nesta Seção 9 resultarem em uma transferência de Dados Pessoais do Reino Unido para uma jurisdição que não seja no Reino Unido ou em países aprovados pelo Gabinete do Comissário de Informação do Reino Unido como oferecedores de proteção de dados ‘adequada’, (1) as CCPs de Controlador para Controlador de 2004, que são incorporadas ao presente por referência, serão aplicadas enquanto tais CCPs forem legalmente permitidas para tais transferências de Dados Pessoais do Reino Unido, (2) o Anexo A e o Anexo D serão aplicados como Anexo B e Anexo II, respectivamente, e (3) para os fins da Seção II(h), o importador de dados processará os Dados Pessoais do Reino Unido, a critério dele, de acordo com os princípios de processamento de dados dispostos no Anexo A das CCPs de Controlador para Controlador. Caso o Gabinete do Comissário de Informação do Reino Unido confirme que um Adendo do Reino Unido é obrigatório para fndamentação legal nas CCPs contempladas nesta Seção 9 para transferências de Dados Pessoais do Reino Unido, então (a) as CCPs usadas para os Dados Pessoais da UE nos termos desta Seção 9 também serão aplicadas a transferências de Dados Pessoais do Reino Unido; (b) o Adendo do Reino Unido será considerado celebrado entre o Cliente e o LinkedIn; e (c) as CCPs entre as partes serão consideradas alteradas conforme especificado no Adendo do Reino Unido em relação à transferência de tais Dados Pessoais do Reino Unido..

As partes reconhecem e concordam que cada uma atua de forma independente como Controladora de Dados com relação a Dados Pessoais e as partes não são controladoras conjuntas, conforme definido no Regulamento Geral sobre a Proteção de Dados e no GDPR do Reino Unido.

10. PROCESSADORES DE DADOS TERCEIRIZADOS

O Cliente reconhece que, no fornecimento de alguns serviços (como Sistemas de Rastreamento de Candidatos, Sistemas de Gerenciamento de Aprendizado e Sistemas de Gerenciamento de Clientes), o LinkedIn, mediante recebimento de instruções do Cliente, pode transferir os Dados Pessoais do Cliente para processadores de dados terceirizados e interagir, de outro modo, com tais processadores. O Cliente concorda que, se e na medida em que tais transferências ocorram, o Cliente é responsável por firmar acordos contratuais separados com esses processadores de dados terceirizados, obrigando-os a cumprir obrigações de acordo com os Requisitos de Proteção de Dados. Para dirimir dúvidas, esses processadores de dados terceirizados não são Subprocessadores.

11. VIGÊNCIA

Este CPD permanecerá em vigor enquanto o LinkedIn realizar operações de processamento de Dados Pessoais em nome do Cliente ou até o término do Contrato do LinkedIn (e todos os Dados Pessoais terem sido devolvidos ou excluídos de acordo com a Seção 8 acima).

12. LEI APLICÁVEL, JURISDIÇÃO E FORO

Não obstante qualquer disposição em contrário do Contrato, este CPD será regido pelas leis da Irlanda, e qualquer ação ou processo relacionado a este CPD (incluindo aqueles decorrentes de disputas ou reivindicações não contratuais) será resolvido em Dublin, na Irlanda. No entanto, quando surgir uma disputa acerca do processamento de Dados Pessoais do Reino Unido de acordo com este CPD, essa disputa será regida pelas leis da Inglaterra e do País de Gales.

SCHEDULE A
ANNEX 1 - DESCRIPTION OF THE TRANSFER

Categorias de titulares dos dados cujos Dados Pessoais são transferidos:

): Usuários registrados do Módulo 1 (Controlador para Controlador): Usuários registrados do LinkedIn.com (“Usuários do LinkedIn”)

Módulo 2 (Controlador para Processador):

Serviços

(como aplicável)

Categorias de titulares dos dados cujos Dados Pessoais são transferidos:

Talentos/Contratações

 - Funcionários, prestadores de serviço, parceiros e/ou clientes do exportador de dados

 

- Candidatos potenciais e reais do exportador de dados

 

- Terceiros que constem na ferramenta de Sistema de Rastreamento de Candidatos do exportador de dados (normalmente, seriam terceiros que têm, ou podem ter, um relacionamento com o exportador de dados, tais como candidatos ou funcionários potenciais ou reais)

Learning

- Funcionários, prestadores de serviço, estudantes, usuários não padrão (conforme aprovado individualmente pelo LinkedIn) e/ou clientes da biblioteca do exportador de dados

 

Glint/Engage

- Funcionários do exportador de dados

 

- Terceiros que tenham ou possam ter relação comercial com o exportador de dados (por exemplo, prestadores de serviço).

Soluções de Vendas

- Funcionários, prestadores de serviço, parceiros e/ou clientes do exportador de dados

 

- Terceiros que constem na ferramenta de Gestão do Relacionamento com o Cliente do exportador de dados (normalmente, seriam terceiros que têm, ou podem ter, um relacionamento comercial com o exportador de dados, tais como clientes e clientes potenciais)

Soluções de Marketing

- Funcionários, prestadores de serviço, parceiros e/ou clientes do exportador de dados

 

- Usuários do LinkedIn que interagiram com as propriedades do exportador de dados ou se enquadrem no alvo da publicidade do exportador


Categorias de Dados Pessoais transferidos:

Módulo 1 (Controlador para Controlador)

Os dados transferidos são os Dados Pessoais dos Usuários do LinkedIn que o Cliente já pode acessar no site do LinkedIn, LinkedIn.com, de forma consistente com as configurações de privacidade do usuário, fornecidos pelo exportador de dados (LinkedIn) para o importador de dados (Cliente) em associação ao uso pelo Cliente dos serviços on-line de recrutamento, vendas, e/ou de aprendizagem do LinkedIn, e subsequentemente processados pelo Cliente para seus próprios fins. Tais Dados Pessoais podem incluir nome, sobrenome, e-mail, informações de contato, formação acadêmica, e histórico empregatício.

Módulo 2 (Controlador para Processador)

 Os dados transferidos são dados pessoais fornecidos pelo exportador de dados ao importador de dados em associação ao uso dele dos serviços de recrutamento, vendas, marketing, contratação de funcionários e/ou aprendizagem on-line da LinkedIn Ireland, referidos como Dados Pessoais do Cliente no Contrato de Processamento de Dados.

Tais Dados Pessoais do Cliente podem incluir, dependendo da entrada/interação do Cliente ou do titular de licença do Cliente

Serviços

(como aplicável)

Categorias de Dados Pessoais do Cliente
Talentos/Contratações

- Informações de usuário de Talentos/Contratações (podem incluir nome, e-mail, cargo)

 

- Anúncios de Vagas (dados de uso do criador do anúncio de vaga, dados do candidato, triagem de perguntas e respostas)

 

- Dados de uso do produto  (incluindo Projetos de Contratação, conteúdo de mensagens do Recruiter, currículos enviados por upload como parte da candidatura à vaga, observações sobre um perfil de candidato)

 

- Dados do candidato (dados do currículo, dados de contato e outras informações de perfil submetidas como parte de uma candidatura)  

 

- Relatório de utilização para usuários de Soluções de Talentos

 

- (se aplicável) Recruiter Systems Connect (status do candidato, avisos de candidatura, ação tomada, perfis stub, respostas InMail)

 

- Endereço IP, características do dispositivo/navegador

Learning

- Informações do usuário do Learning (pode incluir ID do usuário, ID único, nome, e-mail)

 

- (se aplicável) Número do cartão da biblioteca + senha

 

- Dados de uso do Produto (incluindo atividade de aprendizagem, favoritos, gostaram, observações e resultados de teste)

 

- Endereço IP, características do dispositivo/navegador

Glint/Engage

- Informações pessoais sobre seu pessoal (podem incluir nome, e-mail emitido pela empresa, número de identificação emitido pelo empregador, localidade de trabalho, função, código de departamento, nível de escolaridade do funcionário, ano de nascimento, gênero binário, dados de serviço contínuo, outras informações pessoais em sistema de informação de recursos humanos do exportador de dados (HRIS); endereço IP, características do dispositivo/navegador)

 

- Informações de Logon da Empresa (se usar SSO)

 

- Dados de uso do produto (incluindo as opiniões de quem responder à Pesquisa fornecidas em resposta às perguntas da pesquisa e feedback dos funcionários fornecido em resposta às perguntas de feedback de desempenho).

Sales Solutions

- Informações de usuário do Sales Navigator

 

- Dados de uso do produto (incluindo InMail/Mensagens, Observações, Marcações, apresentações de SmartLinks e detalhes de contato criados pelo usuário)

 

- Relatório de utilização para o usuário do Sales Navigator e

 

- (se aplicável) qualquer dado de CRM sincronizado ao Sales Navigator

 

- Endereço IP, características do dispositivo/navegador

Soluções de Marketing

- Dados de logon da empresa do titular de licença e dados de uso do produto

 

- (se aplicável) Dados de CRM

 

- (se aplicável) Potenciais clientes de vendas e marketing

 

- (se aplicável) Informações de segmentação de contatos de Matched Audience incluindo e-mail com Hash, Nome e sobrenome, Empregador, Cargo, País, IDs de dispositivos móveis

 

- (se aplicável) Dados de Insight Tag, incluindo pseudônimo do usuário, endereço IP, características do dispositivo e navegador, registro temporal, URL.

 

- (se aplicável) Critérios de publicidade recebidos pela LinkedIn Audience Networks por meio do processo de Real Time Bidding    


Dados confidenciais transferidos (se aplicável) e restrições ou salvaguardas aplicadas que levem totalmente em consideração a natureza dos dados e os riscos envolvidos, tais como, por exemplo, limitação estrita da finalidade, restrições de acesso (incluindo acesso apenas para funcionários que seguiram treinamento especializado), manutenção de um registro de acesso aos dados, restrições para transferências posteriores ou medidas de segurança adicionais:

Não

Se Sim, inclua uma descrição das restrições aplicadas ou salvaguardas estabelecidas aqui:

N/D

A frequência das transferências (por exemplo, se os dados são transferidos de forma pontual ou contínua):

Contínua

Natureza do processamento

Coleta, organização, estruturação, uso, armazenamento, combinação, disponibilização nas propriedades do LinkedIn de acordo com os serviços relevantes. 

Finalidade(s) da transferência de dados e processamento adicional:

  • Fornecer, manter e melhorar serviços (de acordo com o CPD) para o exportador de dados,
  • Fornecer suporte ao cliente para o exportador de dados,
  • Cumprir de qualquer outra forma as obrigações do LinkedIn (e, se aplicável, as da sua afiliada) de acordo com seu respectivo contrato de serviços com o exportador de dados; e
  • Conformidade com a legislação aplicável.

O período durante o qual os Dados Pessoais serão retidos ou, se tal retenção não for possível, os critérios usados para determinar esse período:

O LinkedIn reterá os dados pela duração do prazo dos serviços especificados no documento de pedido e de acordo com a Seção 8 do CPD.

Para transferências para (sub-)processadores, também especificar o assunto, a natureza e a duração do processamento:

O LinkedIn usa subprocessadores para apoiar seu ambiente de infraestrutura, fornecedores locais e internacionais de telecomunicações e serviços de rede, pessoas jurídicas envolvidas no armazenamento de dados e material de entrega de conteúdo. Os Dados Pessoais processados por subprocessadores são processados para os fins e pela duração do contrato de serviços do LinkedIn ou documento de pedido relevante. Para obter mais informações, consulte a lista de subprocessadores do LinkedIn localizada no seguinte endereço da web: https://legal.linkedin.com/customer-subprocessors, que também será aplicada como o Anexo III das CCPs, quando aplicável.

Disposições Gerais

Para Contratações, Learning e Vendas, os Dados Pessoas dos Usuários do LinkedIn que são usuários do Cliente e que optarem por conectar seu perfil pessoal de Usuário do LinkedIn.com à licença corporativa fornecida pelo Cliente não estão incluídos neste documento e são regidos, em vez disso, pelas Cláusulas Contratuais Padrão separadas entre a LinkedIn Ireland Unlimited Company como a exportadora de dados e a LinkedIn Corporation como a importadora de dados. 

SCHEDULE B
ADDENDUM TO LINKEDIN DATA PROCESSING AGREEMENT
California Consumer Privacy Act

Este Adendo é celebrado pelo cliente do LinkedIn identificado no documento de pedido do LinkedIn aplicável para serviços do LinkedIn (“Cliente”) e pela empresa LinkedIn identificada no documento de pedido (“LinkedIn”), e altera o Contrato de Processamento de Dados do LinkedIn entre o Cliente e o LinkedIn (“CPD”) com relação ao processamento de Dados Pessoais de Clientes dos Consumidores da Califórnia nos termos do CCPA. Os termos com iniciais maiúsculas utilizados, mas não definidos neste Adendo, serão explicados no CPD. Os termos em maiúscula não definidos no CPD terão os significados atribuídos a eles na CCPA.

A CCPA não permite venda. As partes concordam que, para os fins da CCPA, o LinkedIn atua como um provedor de serviços da CCPA para Dados Pessoais do Cliente. Ao assinar o documento de pedido,

  • O Cliente não Vende Dados Pessoais do Cliente para o LinkedIn O LinkedIn usará apenas Dados Pessoais do Cliente para os fins permitidos pela CCPA e conforme especificado no Contrato. O LinkedIn se compromete a não Vender ou Compartilhar (conforme os termos são definidos pela CCPA) Dados pessoais do Cliente.
  • O LinkedIn se compromete a não combinar Dados Pessoais do Cliente com outras informações pessoais, exceto conforme permitido pela CCPA.
  • Caso o LinkedIn receba informações do Cliente que tenham sido desidentificadas, conforme definido de acordo com os Requisitos de Proteção de Dados aplicáveis, o LinkedIn se compromete a não tentar reidentificar os dados, a tomar as medidas razoáveis para manter e usar as informações de maneira desidentificada, exceto conforme permitido por lei, e a obrigar contratualmente recebedores autorizados a cumprir com os Requisitos de Proteção de Dados aplicáveis para informações que tenham sido desidentificadas.
  • O LinkedIn se compromete a informar o Cliente no prazo exigido pela CCPA, se o LinkedIn determinar que não pode mais cumprir suas obrigações previstas na CCPA.
  • O LinkedIn atesta que leu e entendeu este Adendo e o cumprirá, inclusive evitando qualquer ação que possa levar à interpretação de que a outra Parte vendeu Dados Pessoais ou Informações Pessoais protegidas pela CCPA.

SCHEDULE C
GLINT-SPECIFIC TERMS AND AMENDMENTS

Os seguintes termos e condições alteram o CPD em relação apenas aos produtos e serviços do LinkedIn oferecidos sob a marca Glint (incluindo Glint Engage e Glint Perform). Para evitar dúvidas, se o Cliente adquirir os serviços da Glint, conforme os termos do Contrato (“Serviços da Glint”), além dos serviços da marca LinkedIn, as seguintes alterações se aplicam apenas a esses produtos ou serviços da Glint e o CPD será aplicado sem alterações aos serviços da marca LinkedIn.

As seguintes cláusulas são adicionadas ao CPD como uma nova Seção 4.3:

   4.3. Aviso e Escolha. 

   a. O Cliente concorda em fornecer avisos apropriados a seus Usuários do Cliente dos Serviços da Glint sobre e, se exigido pelos Requisitos de Proteção de Dados, obter o consentimento apropriado ou outra base legal apropriada de tais Usuários do Cliente para: (i) a coleta, transferência e processamento de Informações Pessoais do Cliente Dados através dos serviços do LinkedIn e (ii) uso pelo Cliente de provedores de serviços ou terceiros aos quais o Cliente instrua o LinkedIn a enviar Dados Pessoais do Cliente ou a fornecer Dados Pessoais do Cliente ao LinkedIn. Sem limitação dos termos gerais acima expostos, o Cliente pode fornecer Dados Pessoais ao LinkedIn com o objetivo de permitir que o LinkedIn forneça os serviços do LinkedIn. O Cliente afirma que possui direito, autoridade e plenos poderes necessários para fornecer os Dados Pessoais ao LinkedIn. 

   b. O Cliente decidirá sobre o conteúdo dos “Avisos de Confidencialidade do Usuário” que será fornecido aos Usuários do Cliente (por exemplo, para o Glint Engage, um Aviso de Confidencialidade para uma pesquisa) referente ao grau de confidencialidade e limite de agregação que um Usuário do Cliente terá e, se aplicável, as divulgações exigidas sob qualquer Requisito de Proteção de Dados (por exemplo, Art. 13 do Regulamento Geral sobre a Proteção de Dados). Por opção do Cliente, o Cliente pode usar um Aviso de Confidencialidade do Usuário padrão do LinkedIn. O Administrador Principal do cliente fornecerá ao LinkedIn o Aviso de Confidencialidade do Usuário no prazo mínimo de três (3) dias úteis antes do uso. O Cliente concorda em não modificar ou excluir qualquer parte do Aviso de Confidencialidade do Usuário ou incluir quaisquer declarações em todas as comunicações com um Usuário do Cliente que imponha qualquer obrigação ao LinkedIn ou de qualquer forma modifique, contrarie ou complemente o Aviso de Confidencialidade do Usuário fornecido ao LinkedIn. O Cliente é o único e exclusivo responsável por garantir que o uso dos Dados Pessoais do Cliente e o Aviso de Confidencialidade do Usuário cumpram todos os Requisitos de Proteção de Dados aplicáveis. 

As seguintes cláusulas são adicionadas ao CPD como uma nova Seção 4.4:

   4.4. Agregação e Não Identificação. Na medida em que um Aviso de Confidencialidade do Usuário informe aos Usuários do Cliente que o Cliente receberá os dados do LinkedIn apenas de forma agregada, o Cliente concorda que não receberá nem tentará discernir esses Dados Pessoais do Cliente de uma forma capaz de identificar Usuários Individuais do Cliente com Dados Pessoais do Cliente.

A primeira sentença da Seção 5.1.a do CPD é substituída pela seguinte sentença:

   Processar Dados Pessoais do Cliente (i) apenas para o propósito de fornecer, dar suporte e melhorar os Serviços da Glint (inclusive fornecendo informações agregadas e não identificáveis para melhorar os Serviços da Glint e os serviços do LinkedIn e fornecendo dados de benchmarking de pesquisa aos clientes do LinkedIn, com a remoção de informações que possam identificar o titular dos dados e o Cliente), usando medidas de segurança técnicas e organizacionais apropriadas; e (ii) em conformidade com as instruções recebidas do Cliente. 

A seção 5.1.g do CPD é substituída na íntegra pela seguinte cláusula:

   Mediante solicitação, fornecer ao Cliente um resumo das políticas de segurança do LinkedIn aplicáveis aos serviços da marca Glint.

A seção 8 do CPD é substituída na íntegra pelas seguintes cláusulas:

   As partes concordam que, ao término dos serviços de processamento de dados, o LinkedIn terá a obrigação de cumprir, e fazer com que os Subprocessadores cumpram, a opção do Cliente, a menos que os Requisitos de Proteção de Dados impeçam o LinkedIn de devolver ou destruir os Dados Pessoais do Cliente divulgados no todo ou em parte: ( i) devolver ao Cliente todos os Dados Pessoais do Cliente, incluindo respostas a pesquisas, se o Aviso de Confidencialidade do Usuário divulgado ao Cliente receber respostas que identifiquem os indivíduos ou (ii) destruí-los com segurança e demonstrar ao Cliente que tomou essas medidas ou (iii) exportar Dados Pessoais do Cliente de forma não agregada para o novo provedor de serviços do Cliente sob um contrato por escrito separado e razoavelmente satisfatório para o LinkedIn, segundo o qual o Cliente e o destinatário dos dados aceitam a responsabilidade pelos Dados Pessoais do Cliente após a transferência ou exportação. O LinkedIn concorda em preservar a confidencialidade dos Dados Pessoais do Cliente mantidos por ele e que somente processará ativamente os Dados Pessoais do Cliente após essa data, a fim de cumprir os Requisitos de Proteção de Dados aplicáveis. Para maior clareza, após o término do Contrato do LinkedIn, o LinkedIn pode continuar a processar Dados Pessoais do Cliente que tenham sido agregados de forma a não identificarem indivíduos ou clientes, para melhorar os sistemas e serviços do LinkedIn.

As seções 9 e 10 do CPD não se aplicarão no contexto de produtos ou serviços da Glint.

SCHEDULE D
Annex II to the SCCs
TECHNICAL AND ORGANISATIONAL MEASURES INCLUDING TECHNICAL AND ORGANISATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA

1. Medidas Gerais de Segurança

O Importador de Dados cumprirá as medidas de segurança padrão do setor (incluindo aquelas relacionadas a funcionários, instalações, hardware e software, armazenamento e redes, controles de acesso, monitoramento e registro em log, detecção de vulnerabilidades e violações e medidas de resposta a incidentes necessárias para proteger contra acesso não autorizado ou acidental, perda, alteração, divulgação ou destruição dos Dados Pessoais do Exportador de Dados fornecidos pelo Exportados de Dados ao Importador de Dados), bem como com todas as leis, regulamentos e normas de privacidade e segurança de dados aplicáveis.  

2. Informações de contato

A equipe de segurança do Importador de Dados pode ser contactada em security@linkedin.com para quaisquer problemas de segurança ou perguntas relacionadas ao produto.

3Conformidade

O Importador de Dados está em conformidade com os padrões e práticas estabelecidos no seguinte endereço da web: https://security.linkedin.com/trust-and-compliance. O Exportador de Dados deve entrar em contato com o gerente de contas do LinkedIn para obter informações adicionais sobre as certificações de segurança listadas no endereço da web.

 4. Programa de Segurança da Informação

O objetivo do Programa de Segurança da Informação do LinkedIn é manter a confidencialidade, integridade e disponibilidade de seus computadores e sistemas de comunicação de dados, atendendo às exigências da legislação, do setor e do contrato. O Importador de Dados deverá estabelecer, implementar e manter um programa de segurança da informação que inclua medidas de segurança técnica e organizacional e medidas físicas, além de políticas e procedimentos para proteger os dados do Exportador de Dados processados pelo Importador de Dados contra perda acidental; destruição ou alteração; divulgação ou acesso não autorizado; ou destruição ilegal.

4.1 Desenvolvimento Seguro de Software

O Importador de Dados deverá manter políticas e procedimentos para garantir que o desenvolvimento de sistemas, dispositivos, aplicativos e infraestrutura seja realizado de maneira segura. Isso inclui análise e teste de todos os aplicativos, produtos e serviços do Importador de Dados para a averiguação de vulnerabilidades e defeitos comuns de segurança, empregando estratégia de defesa profunda por meio do uso de várias camadas de limites e tecnologias de segurança, testes periódicos de penetração e avaliação de segurança desses serviços, definindo configurações e requisitos da linha de base para correção de sistemas de terceiros.

4.2 Segurança de Recursos Humanos

O Importador de Dados deverá manter uma política que defina os requisitos para a aplicação de medidas de segurança relacionadas a alterações no status do emprego. Isso inclui verificação de antecedentes, reconhecimento e aderência às políticas de segurança do Importador de Dados, integração e rescisão para funcionários e terceiros.

4.3 Classificação e Proteção de Dados

O Importador de Dados deverá manter políticas e procedimentos para classificação e proteção de dados, junto com requisitos para a classificação de dados que contenham Dados Pessoais levando em consideração as leis, regulamentos e obrigações contratuais aplicáveis. O Importador de Dados também deverá manter requisitos de criptografia de dados, regras para transmissão de dados e requisitos para mídia removível, além de requisitos sobre como o acesso a esses dados deve ser regulado.

4.4 Segurança de Rede

O Importador de Dados deverá manter políticas e procedimentos envolvendo a infraestrutura de rede usada para processar dados do Exportador de Dados, estabelecer e aplicar práticas seguras de rede e definir acordos de nível de serviço com serviços de rede internos e externos. 

4.5 Segurança Física e Ambiental

O Importador de Dados deverá manter políticas e procedimentos de segurança física e ambiental, definir requisitos para proteger áreas que contenham informações confidenciais e garantir que os serviços de informações críticas sejam protegidos contra interceptação, interferência ou dano.

4.6 Continuidade dos Negócios e Recuperação de Desastres

O Importador de Dados deverá manter políticas e procedimentos para garantir que o Importador de Dados possa continuar desempenhando funções críticas de negócios caso ocorra algum evento extraordinário. Isso inclui procedimentos de resiliência e recuperação de desastres para o centro de dados para funções de dados e processamento críticas aos negócios.

5. Controle de Acesso

O Importador de Dados deverá manter medidas de controle de acesso projetadas para restringir o acesso às instalações, aplicativos, sistemas, dispositivos de rede e sistemas operacionais do Importador de Dados a um número limitado de pessoas que tenham necessidade empresarial para tal acesso. O Importador de Dados deverá garantir que esse acesso seja removido quando não for mais necessário e realizar revisões de acesso periodicamente.

6. Avaliações de Risco

O Importador de Dados possui um procedimento de gerenciamento de riscos documentado e um processo de Ciclo de Vida de Desenvolvimento de Software seguro. O Importador de Dados realiza avaliações de risco de seus produtos e infraestrutura regularmente, incluindo a revisão das políticas de classificação de dados e análises direcionadas de fluxos de dados altamente confidenciais.

O Importador de Dados realiza testes nos aplicativos e na infraestrutura de cada novo produto lançado, além de reavaliações periódicas da sua rede e alterações de recursos. O Importador de Dados utiliza o controle de acesso e a revisão de código por pares, o que garante que vírus não sejam introduzidos no código e a detecção de tal abuso. O Importador de Dados usa uma combinação de teste de penetração manual e ferramentas automatizadas.

7. Avaliações de risco de terceiros

O Importador de Dados realiza auditoria de segurança em provedores de serviços terceirizados para avaliar e monitorar riscos. Essa avaliação inclui uma revisão do escopo de informações confidenciais e dados pessoais transferidos ou processados pelo provedor de serviços e a finalidade do trabalho. O Importador de Dados também realizará uma avaliação de risco que pode incluir a organização do provedor de serviços e medidas técnicas de segurança, a confidencialidade de qualquer informação processada pelo provedor de serviços, limitações de armazenamento e procedimentos e cronogramas de exclusão de dados.

8. Medidas Complementares

Além das medidas gerais de segurança estabelecidas acima, o Importador de Dados implementou as seguintes medidas técnicas e organizacionais complementares:

  • Os Dados Pessoais do Cliente, conforme definido no Contrato de Processamento de Dados, são transferidos através de redes públicas para os centros de dados do Importador de Dados nos Estados Unidos e são armazenados em servidores protegidos por firewall.
  • Novos clientes da Glint podem escolher entre os locais de armazenamento de dados Glint US ou Glint EU para hospedar seus Dados Pessoais de Cliente específicos da Glint.
  • O importador de dados criptografa todos os Dados Pessoais de Cliente em trânsito nas redes públicas, dependendo da capacidade do Exportador de Dados de oferecer suporte à criptografia. Certos dados altamente confidenciais (incluindo, mas não se limitando a, senhas, tokens de autenticação, informações de salário e pagamento) também são criptografados em repouso. O LinkedIn somente usará padrões testados e aceitos pelo setor para algoritmos criptográficos.
  • Os dados do Importador de Dados são replicados em todos os seus centros de dados em um ambiente seguro.
  • O Importador de Dados emprega lógica de aplicativo com autorização apropriada para proteger os dados do inquilino. As solicitações de acesso são revisadas para garantir que apenas o acesso apropriado seja concedido. Os logs de acesso ao servidor e ao banco de dados são retidos para fins de auditoria.
  • O Importador de Dados implanta medidas de segurança padrão do setor para todas as suas linhas de produtos, conforme estabelecido em https://security.linkedin.com/trust-and-compliance, incluindo 27001 e ISO 27018 e PCI DSS para Soluções de Talentos, Soluções de Aprendizagem, Soluções de Marketing ou Soluções de Vendas. Os funcionários e prestadores de serviço do Importador de Dados são treinados em relação a medidas de segurança técnicas e organizacionais específicas.
  • Os servidores são monitorados por ferramentas de monitoramento de rede padrão e próprias do setor para evitar qualquer violação de segurança em potencial.
  • Os sistemas e bancos de dados corporativos são protegidos por senha.
  • O VPN e o acesso direto à rede do LinkedIn são limitados aos dispositivos fornecidos ou aprovados pela empresa.
  • A autenticação de dois fatores está em operação para o acesso por VPN.
  • As senhas dos clientes e usuários são processadas com hash e sais e armazenadas em um banco de dados separado e seguro.
  • As chaves do banco de dados de cartão de crédito são alternadas regularmente.
  • Monitoramento ativo e automatizado de logs de acesso críticos e detecção de anomalias.