Política de Privacidade

Everynet BV

Política de protecção de dados (revista em Agosto de 2019)

1. Introdução

Esta Política estabelece as obrigações da Everynet BV, uma empresa registada na Holanda com o número comercial 63446529, com sede social em Whitepark, Poortweg 4-6, 2612 PA, Delft (“a Empresa”) relativamente à protecção de dados e aos direitos dos seus clientes, potenciais clientes líderes, parceiros tecnológicos e fornecedores, no que diz respeito aos seus dados pessoais ao abrigo do Regulamento da UE 2016/679 Regulamento Geral de Protecção de Dados (“GDPR”).

A GDPR define “dados pessoais” como qualquer informação relativa a uma pessoa singular identificada ou identificável (uma “pessoa em causa”); uma pessoa singular identificável é aquela que pode ser identificada, directa ou indirectamente, em particular por referência a um identificador como um nome, um número de identificação, dados de localização, um identificador em linha, ou a um ou mais factores específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.

Esta Política estabelece as obrigações da Empresa relativamente à recolha, processamento, transferência, armazenamento, e eliminação de dados pessoais. Os procedimentos e princípios aqui estabelecidos devem ser sempre seguidos pela Empresa, pelos seus empregados, agentes, empreiteiros, ou outras partes que trabalhem em nome da Empresa.

A Empresa está empenhada não só na letra da lei, mas também no espírito da lei e dá grande importância ao tratamento correcto, legal e justo de todos os dados pessoais, respeitando os direitos legais, a privacidade e a confiança de todos os indivíduos com quem negoceia.

2. Os Princípios da Protecção de Dados

Esta Política visa assegurar o cumprimento do GDPR. A GDPR estabelece os seguintes princípios com os quais qualquer parte que trate dados pessoais deve cumprir. Todos os dados pessoais devem ser:

  • Processado de forma legal, justa e transparente em relação à pessoa a quem os dados dizem respeito.
  • Recolhidos para fins específicos, explícitos e legítimos e não posteriormente processados de forma incompatível com esses fins. O processamento posterior para fins de arquivo no interesse público, fins de investigação científica ou histórica ou fins estatísticos não serão considerados incompatíveis com os fins iniciais.
  • Adequado, relevante, e limitado ao necessário em relação aos fins para os quais é processado.
  • Precisas e, quando necessário, actualizadas. Devem ser tomadas todas as medidas razoáveis para assegurar que os dados pessoais incorrectos, tendo em conta os fins para os quais são processados, sejam apagados, ou rectificados sem demora.
  • Conservados numa forma que permita a identificação das pessoas em causa apenas durante o tempo necessário para os fins para os quais os dados pessoais são tratados. Os dados pessoais podem ser armazenados por períodos mais longos, na medida em que os dados pessoais serão tratados exclusivamente para fins de arquivo no interesse público, para fins de investigação científica ou histórica, ou para fins estatísticos, sob reserva da aplicação das medidas técnicas e organizacionais adequadas exigidas pela GDPR, a fim de salvaguardar os direitos e liberdades da pessoa em causa.
  • Processado de forma a garantir a segurança adequada dos dados pessoais, incluindo a protecção contra o processamento não autorizado ou ilegal e contra a perda, destruição ou danos acidentais, utilizando medidas técnicas ou organizacionais adequadas.

3. Os Direitos dos Sujeitos dos Dados

A GDPR estabelece os seguintes direitos aplicáveis aos titulares dos dados (consulte as partes desta política indicadas para mais pormenores):

  • O direito a ser informado (Parte 12).
  • O direito de acesso (Parte 13);
  • O direito à rectificação (Parte 14);
  • O direito de apagar (também conhecido como o “direito a ser esquecido”) (Parte 15);
  • O direito de restringir o processamento (Parte 16);
  • O direito à portabilidade dos dados (Parte 17);
  • O direito de objecção (Parte 18); e
  • Direitos no que diz respeito à tomada de decisões automatizada e à definição de perfis (Partes 19 e 20).

4. Processamento de dados lícito, justo e transparente

4.1. A GDPR procura assegurar que os dados pessoais sejam tratados de forma legal, justa e transparente, sem afectar negativamente os direitos da pessoa em causa. A GDPR declara que o tratamento de dados pessoais será lícito se se aplicar pelo menos uma das seguintes disposições:

  • O titular dos dados deu o seu consentimento para o tratamento dos seus dados pessoais para um ou mais fins específicos;
  • O tratamento é necessário para a execução de um contrato em que a pessoa em causa é parte, ou para tomar medidas a pedido da pessoa em causa antes de celebrar um contrato com esta;
  • O tratamento é necessário para o cumprimento de uma obrigação legal a que o responsável pelo tratamento de dados está sujeito;
  • O tratamento é necessário para proteger os interesses vitais da pessoa em causa ou de outra pessoa singular;
  • O tratamento é necessário para o desempenho de uma tarefa de interesse público ou para o exercício da autoridade oficial investida no responsável pelo tratamento dos dados; ou
  • O tratamento é necessário para os fins dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, excepto quando tais interesses são anulados pelos direitos e liberdades fundamentais da pessoa em causa que exigem a protecção de dados pessoais, em particular quando a pessoa em causa é uma criança.

4.2. [Se os dados pessoais em questão forem “dados de categoria especial” (também conhecidos como “dados pessoais sensíveis”) (por exemplo, dados relativos à raça, etnia, política, religião, filiação sindical, genética, biometria (se utilizados para fins de identificação), saúde, vida sexual, ou orientação sexual da pessoa em causa), pelo menos uma das seguintes condições deve ser satisfeita:

  • A pessoa em causa deu o seu consentimento explícito para o tratamento de tais dados para um ou mais fins especificados (a menos que a legislação da UE ou dos Estados-Membros da UE a proíba de o fazer);
  • O tratamento é necessário para o cumprimento das obrigações e o exercício dos direitos específicos do responsável pelo tratamento ou da pessoa em causa no domínio do emprego, da segurança social e da legislação de protecção social (na medida em que seja autorizado pela legislação da UE ou dos Estados-Membros da UE ou por uma convenção colectiva nos termos da legislação dos Estados-Membros da UE que preveja salvaguardas adequadas para os direitos e interesses fundamentais da pessoa em causa);
  • O tratamento é necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa singular quando o titular dos dados é física ou legalmente incapaz de dar o seu consentimento;
  • O responsável pelo tratamento de dados é uma fundação, associação ou outro organismo sem fins lucrativos com fins políticos, filosóficos, religiosos ou sindicais, e o tratamento é efectuado no decurso das suas actividades legítimas, desde que o tratamento diga respeito apenas aos membros ou ex-membros desse organismo ou a pessoas que tenham contactos regulares com ele em relação aos seus objectivos e que os dados pessoais não sejam divulgados fora do organismo sem o consentimento das pessoas em causa;
  • O tratamento diz respeito a dados pessoais que são claramente tornados públicos pela pessoa em causa;
  • O processamento é necessário para a condução de acções judiciais ou sempre que os tribunais actuem na sua capacidade judicial;
  • O tratamento é necessário por razões substanciais de interesse público, com base na legislação da UE ou dos Estados-Membros da UE, que deve ser proporcional ao objectivo prosseguido, respeitar a essência do direito à protecção de dados e prever medidas adequadas e específicas para salvaguardar os direitos e interesses fundamentais da pessoa em causa;
  • O tratamento é necessário para efeitos de medicina preventiva ou ocupacional, para a avaliação da capacidade de trabalho de um trabalhador, para o diagnóstico médico, para a prestação de cuidados ou tratamentos médicos ou sociais, ou para a gestão de sistemas ou serviços de saúde ou de assistência social com base na legislação da UE ou de um Estado-Membro da UE, ou nos termos de um contrato com um profissional de saúde, sujeito às condições e salvaguardas referidas no artigo 9(3) do GDPR;
  • O tratamento é necessário por razões de interesse público no domínio da saúde pública, por exemplo, protecção contra ameaças transfronteiriças graves para a saúde ou garantia de elevados padrões de qualidade e segurança dos cuidados de saúde e dos medicamentos ou dispositivos médicos, com base na legislação da UE ou dos Estados-Membros da UE que prevê medidas adequadas e específicas para salvaguardar os direitos e liberdades da pessoa em causa (em particular, o sigilo profissional); ou
  • O tratamento é necessário para fins de arquivo no interesse público, para fins de investigação científica ou histórica, ou para fins estatísticos, nos termos do n.º 1 do artigo 89º do PIBR baseado na legislação da UE ou dos Estados-Membros da UE, que deve ser proporcional ao objectivo prosseguido, respeitar a essência do direito à protecção de dados, e prever medidas adequadas e específicas para salvaguardar os direitos fundamentais e os interesses da pessoa em causa].

5. Fins Especificados, Explícitos e Legítimos

5.1. A Empresa recolhe e processa os dados pessoais definidos na Parte 21 da presente Política. Isto inclui:

  • Dados pessoais recolhidos directamente dos titulares dos dados
  • Dados pessoais obtidos de terceiros.

5.2. A Empresa apenas recolhe, processa e detém dados pessoais para os fins específicos estabelecidos na Parte 21 desta Política (ou para outros fins expressamente permitidos pela GDPR).

5.3. Os titulares dos dados são mantidos sempre informados sobre a finalidade ou finalidades para as quais a Empresa utiliza os seus dados pessoais. Consulte a Parte 12 para mais informações sobre como manter os sujeitos dos dados informados.

6. Processamento de dados adequado, relevante e limitado

A Empresa apenas recolherá e processará dados pessoais para e na medida do necessário para a finalidade ou fins específicos dos quais as pessoas em causa foram informadas (ou serão informadas), tal como previsto na Parte 5, acima, e como previsto na Parte 21, abaixo.

7. Precisão dos dados e actualização dos dados

  • A Empresa deve assegurar que todos os dados pessoais recolhidos, processados e conservados pela mesma sejam mantidos exactos e actualizados. Isto inclui, mas não está limitado à rectificação de dados pessoais a pedido de uma pessoa em causa, tal como estabelecido na Parte 14, abaixo.
  • A exactidão dos dados pessoais deve ser verificada no momento da sua recolha e, posteriormente, a intervalos regulares. Se se verificar que algum dado pessoal está impreciso ou desactualizado, serão tomadas sem demora todas as medidas razoáveis para alterar ou apagar esses dados, conforme o caso.

8. Retenção de dados

  • A Empresa não deve conservar dados pessoais por mais tempo do que o necessário à luz da finalidade ou finalidades para as quais esses dados pessoais foram originalmente recolhidos, conservados e tratados.
  • Quando os dados pessoais já não forem necessários, serão tomadas todas as medidas razoáveis para os apagar ou eliminar sem demora.
  • Para mais informações sobre a abordagem da Empresa à retenção de dados, incluindo períodos de retenção para tipos específicos de dados pessoais detidos pela Empresa, consulte a nossa Política de Retenção de Dados.

9. Processamento seguro

A Empresa deve assegurar que todos os dados pessoais recolhidos, detidos e processados sejam mantidos em segurança e protegidos contra o processamento não autorizado ou ilegal e contra a perda, destruição ou danos acidentais. Mais pormenores sobre as medidas técnicas e organizacionais que serão tomadas são fornecidos nas Partes 22 a 27 da presente Política.

10. Responsabilização e Gravação de Registos

10.1. O responsável pela protecção de dados da empresa é Jonathan Pearce (ver secção 0 para detalhes de contacto)

10.2. O responsável pela protecção de dados será responsável pela supervisão da implementação desta Política e pelo controlo do cumprimento da presente Política, das outras políticas relacionadas com a protecção de dados da Empresa, bem como da GDPR e de outra legislação aplicável à protecção de dados.

10.3. A Empresa deve manter registos internos escritos de toda a recolha, detenção e tratamento de dados pessoais, os quais devem incorporar as seguintes informações:

  • O nome e os detalhes da Empresa, o seu Responsável pela Protecção de Dados, e quaisquer processadores de dados de terceiros aplicáveis;
  • Os fins para os quais a Empresa recolhe, detém e processa dados pessoais;
  • Detalhes sobre as categorias de dados pessoais recolhidos, detidos e tratados pela Empresa, e as categorias de pessoas a que esses dados pessoais se referem;
  • Detalhes de quaisquer transferências de dados pessoais para países não pertencentes ao EEE, incluindo todos os mecanismos e salvaguardas de segurança;
  • Detalhes sobre quanto tempo os dados pessoais serão retidos pela Empresa (consulte a Política de Retenção de Dados da Empresa); e
  • Descrições detalhadas de todas as medidas técnicas e organizacionais tomadas pela Empresa para garantir a segurança dos dados pessoais.

11. Avaliações de impacto da protecção de dados

11.1. A Empresa realizará Avaliações de Impacto da Protecção de Dados para todo e qualquer novo projecto e/ou novas utilizações de dados pessoais que envolvam a utilização de novas tecnologias e o processamento envolvido seja susceptível de resultar num elevado risco para os direitos e liberdades das pessoas em causa ao abrigo da GDPR.

11.2. As avaliações de impacto da protecção de dados devem ser supervisionadas pelo responsável pela protecção de dados e devem abordar os seguintes aspectos

  • O(s) tipo(s) de dados pessoais que serão recolhidos, conservados e processados;
  • A(s) finalidade(s) para a(s) qual(is) os dados pessoais devem ser utilizados;
  • Os objectivos da Empresa;
  • Como os dados pessoais devem ser utilizados;
  • As partes (internas e/ou externas) que devem ser consultadas;
  • A necessidade e proporcionalidade do tratamento dos dados relativamente à(s) finalidade(s) para a qual estão a ser tratados;
  • Riscos colocados às pessoas em causa;
  • Riscos colocados tanto dentro como para a Empresa; e
  • Medidas propostas para minimizar e lidar com os riscos identificados.

12. Manter os sujeitos dos dados informados

12.1. A Empresa fornecerá as informações previstas na Parte 12.2 a todas as pessoas em causa:

  • Quando os dados pessoais são recolhidos directamente das pessoas em causa, estas serão informadas da sua finalidade no momento da recolha; e
  • Quando os dados pessoais são obtidos de uma terceira parte, as pessoas em causa serão informadas da sua finalidade:
    se os dados pessoais forem utilizados para comunicar com a pessoa em causa, quando é feita a primeira comunicação; ou
    se os dados pessoais tiverem de ser transferidos para outra parte, antes dessa transferência ser feita; ou
    logo que razoavelmente possível e, em qualquer caso, não mais de um mês após a obtenção dos dados pessoais.

12.2. Devem ser fornecidas as seguintes informações:

  • Detalhes da Empresa, incluindo, mas não só, a identidade do seu Responsável pela Protecção de Dados;
  • A(s) finalidade(s) para a qual os dados pessoais estão a ser recolhidos e serão tratados (conforme detalhado na Parte 21 da presente Política) e a base jurídica que justifica essa recolha e tratamento;
  • Quando aplicável, os interesses legítimos sobre os quais a Empresa está a justificar a sua recolha e tratamento dos dados pessoais;
  • Se os dados pessoais não forem obtidos directamente da pessoa em causa, as categorias de dados pessoais recolhidos e tratados;
  • Quando os dados pessoais devem ser transferidos para um ou mais terceiros, detalhes sobre esses terceiros;
  • Quando os dados pessoais devem ser transferidos para um terceiro situado fora do Espaço Económico Europeu (o “EEE”), os detalhes dessa transferência, incluindo mas não se limitando às salvaguardas em vigor (ver Parte 28 desta Política para mais detalhes);
  • Detalhes sobre a retenção de dados;
  • Detalhes dos direitos do sujeito dos dados ao abrigo do GDPR;
  • Detalhes do direito da pessoa em causa de retirar o seu consentimento para o tratamento dos seus dados pessoais pela Empresa em qualquer altura;
  • Detalhes do direito da pessoa em causa de apresentar queixa ao Gabinete do Comissário da Informação (a “autoridade de controlo” ao abrigo do GDPR);
  • Quando aplicável, pormenores de qualquer requisito ou obrigação legal ou contratual que exija a recolha e tratamento dos dados pessoais e pormenores de quaisquer consequências de não os fornecer;
  • Detalhes de qualquer tomada de decisão automatizada ou perfil que terá lugar utilizando os dados pessoais, incluindo informações sobre como as decisões serão tomadas, o significado de tais decisões, e quaisquer consequências.

13. Acesso aos dados

  • Os titulares dos dados podem fazer pedidos de acesso de sujeitos (“SAR”) em qualquer altura para saberem mais sobre os dados pessoais que a Empresa detém sobre eles, o que está a fazer com esses dados pessoais, e porquê.
  • Os trabalhadores que desejem fazer uma SAR devem fazê-lo utilizando um Formulário de Pedido de Acesso ao Assunto, enviando o formulário ao Responsável pela Protecção de Dados da Empresa (ver secção 0).
  • As respostas às SAR devem normalmente ser dadas no prazo de um mês após a sua recepção, podendo no entanto ser prorrogadas por um máximo de dois meses se a SAR for complexa e/ou forem feitos numerosos pedidos. Se esse tempo adicional for necessário, a pessoa em causa será informada.
  • Todas as SAR recebidas serão tratadas pelo Responsável pela Protecção de Dados da Empresa (ver secção 0).
  • A Empresa não cobra uma taxa pelo tratamento de SARs normais. A Empresa reserva-se o direito de cobrar taxas razoáveis por cópias adicionais de informação que já tenha sido fornecida a um titular dos dados, e por pedidos manifestamente infundados ou excessivos, particularmente quando tais pedidos são repetitivos.

14. Rectificação de dados pessoais

  • Os titulares dos dados têm o direito de exigir à Empresa que rectifique quaisquer dos seus dados pessoais que estejam incorrectos ou incompletos.
  • A Empresa rectificará os dados pessoais em questão, e informará a pessoa em causa dessa rectificação, no prazo de um mês após a pessoa em causa ter informado a Empresa sobre a questão. O período pode ser prolongado por até dois meses no caso de pedidos complexos. Se esse tempo adicional for necessário, a pessoa em causa será informada.
  • No caso de quaisquer dados pessoais afectados terem sido divulgados a terceiros, estes serão informados de qualquer rectificação que deva ser feita a esses dados pessoais.

15. Apagamento de dados pessoais

15.1. Os titulares dos dados têm o direito de solicitar que a Empresa apague os dados pessoais que detém sobre eles nas seguintes circunstâncias:

  • Já não é necessário que a Empresa detenha esses dados pessoais com respeito à(s) finalidade(s) para a(s) qual(is) foram originalmente recolhidos ou processados;
  • O titular dos dados deseja retirar o seu consentimento à Empresa que detém e trata os seus dados pessoais;
  • A pessoa em causa opõe-se a que a Empresa detenha e processe os seus dados pessoais (e não existe um interesse legítimo superior que permita à Empresa continuar a fazê-lo) (ver Parte 18 da presente Política para mais pormenores relativos ao direito de oposição);
  • Os dados pessoais foram tratados de forma ilegal;
  • Os dados pessoais precisam de ser apagados para que a Empresa cumpra uma obrigação legal específica

15.2. A menos que a Empresa tenha motivos razoáveis para recusar o apagamento de dados pessoais, todos os pedidos de apagamento devem ser satisfeitos, e o titular dos dados informado do apagamento, no prazo de um mês após a recepção do pedido do titular dos dados. O período pode ser prolongado por até dois meses no caso de pedidos complexos. Se esse tempo adicional for necessário, a pessoa em causa será informada.

15.3. No caso de quaisquer dados pessoais que devam ser apagados em resposta a um pedido da pessoa em causa terem sido divulgados a terceiros, estes serão informados do apagamento (a menos que seja impossível ou exija um esforço desproporcionado para o fazer).

16. Restrição do processamento de dados pessoais

  • Os titulares dos dados podem solicitar que a Empresa cesse o processamento dos dados pessoais que detêm sobre eles. Se uma pessoa em causa fizer tal pedido, a Empresa reterá apenas a quantidade de dados pessoais relativos a essa pessoa (se houver) que seja necessária para assegurar que os dados pessoais em questão não sejam tratados posteriormente.
  • No caso de quaisquer dados pessoais afectados terem sido divulgados a terceiros, estes serão informados das restrições aplicáveis ao seu tratamento (a menos que seja impossível ou exija um esforço desproporcionado para o fazer).

17. Portabilidade dos dados

17.1 A Empresa processa dados pessoais utilizando meios automatizados, tais como sistemas de software, correio electrónico e outros métodos electrónicos.

17.2. Sempre que as pessoas em causa tenham dado o seu consentimento à Empresa para tratar os seus dados pessoais de tal forma, ou o tratamento seja necessário para a execução de um contrato entre a Empresa e a pessoa em causa, as pessoas em causa têm o direito, ao abrigo da GDPR, de receber uma cópia dos seus dados pessoais e de os utilizar para outros fins (nomeadamente a sua transmissão a outros controladores de dados).

17.3. Para facilitar o direito de portabilidade dos dados, a Empresa disponibilizará todos os dados pessoais aplicáveis aos titulares dos dados nos seguintes formatos:

  • Por escrito
  • por e-mail

17.4. Sempre que tecnicamente viável, se solicitado por uma pessoa em causa, os dados pessoais serão enviados directamente ao responsável pelo tratamento de dados requerido.

17.5. Todos os pedidos de cópias de dados pessoais devem ser satisfeitos no prazo de um mês após o pedido do titular dos dados. O período pode ser prolongado por até dois meses no caso de pedidos complexos ou numerosos. Se esse tempo adicional for necessário, a pessoa em causa será informada.

18. Objecções ao tratamento de dados pessoais

  • Os titulares dos dados têm o direito de se oporem ao tratamento dos seus dados pessoais pela Empresa com base em interesses legítimos, marketing directo (incluindo a definição de perfis).
  • Quando uma pessoa em causa se opuser ao tratamento dos seus dados pessoais pela Empresa com base nos seus legítimos interesses, a Empresa cessará imediatamente esse tratamento, a menos que se possa demonstrar que os motivos legítimos da Empresa para esse tratamento prevalecem sobre os interesses, direitos e liberdades da pessoa em causa, ou que o tratamento é necessário para a realização de acções judiciais.
  • Quando uma pessoa em causa se opuser ao tratamento dos seus dados pessoais pela Empresa para fins de marketing directo, a Empresa cessará imediatamente esse tratamento.

19. Tomada de decisões automatizada

19.1. A Empresa utiliza dados pessoais em processos de decisão automatizados para referenciamento

19.2. Sempre que tais decisões tenham um efeito legal (ou similarmente significativo) sobre os titulares dos dados, estes têm o direito de contestar tais decisões ao abrigo da GDPR, solicitar a intervenção humana, expressar o seu próprio ponto de vista, e obter uma explicação da decisão da Empresa.

19.3. O direito descrito na Parte 19.2 não se aplica nas seguintes circunstâncias:

  • A decisão é necessária para a celebração, ou execução de um contrato entre a Empresa e a pessoa em causa;
  • A decisão é autorizada por lei; ou
  • A pessoa em causa deu o seu consentimento explícito.

20. Perfilação

20.1. A Empresa utiliza dados pessoais para fins de caracterização. Por exemplo, para fazer corresponder produtos e serviços aos requisitos pré-definidos dos clientes.

20.2. Quando os dados pessoais são utilizados para fins de caracterização, aplica-se o seguinte:

  • Devem ser fornecidas às pessoas em causa informações claras que expliquem o perfil, incluindo o significado e as prováveis consequências do perfil;
  • Devem ser utilizados procedimentos matemáticos ou estatísticos adequados;
  • Devem ser implementadas medidas técnicas e organizacionais para minimizar o risco de erros. Se ocorrerem erros, tais medidas devem permitir a sua fácil correcção; e
  • Todos os dados pessoais tratados para fins de caracterização devem ser protegidos a fim de evitar efeitos discriminatórios decorrentes da caracterização (ver Partes 22 a 26 da presente Política para mais pormenores sobre a segurança dos dados).

21. Dados Pessoais Recolhidos, Retidos, e Processados

Os seguintes dados pessoais são recolhidos, detidos e processados pela Empresa (para mais informações sobre a retenção de dados, consulte a Política de Retenção de Dados da Empresa):

Necessidade de verificar relativamente ao formulário de contacto do website e outras fontes de dados

Ref. dados

Tipo de Dados

Finalidade dos dados

Cliente 1

Nome Dados de contacto da empresa

Necessário para identificar e categorizar o cliente, a fim de receber notícias e actualizações correctas

Página Web visitada

Interesse do produto/serviço

Informação de facturação

22. Segurança de dados – Transferência de dados pessoais e comunicações

A Empresa deve assegurar que sejam tomadas as seguintes medidas relativamente a todas as comunicações e outras transferências que envolvam dados pessoais:

  • Todas as mensagens de correio electrónico contendo dados pessoais devem ser encriptadas Todas as mensagens de correio electrónico contendo dados pessoais devem ser marcadas como “confidencial”;
  • Os dados pessoais só podem ser transmitidos através de redes seguras; a transmissão através de redes não seguras não é permitida em nenhuma circunstância;
  • Os dados pessoais não podem ser transmitidos através de uma rede sem fios se existir uma alternativa com fios que seja razoavelmente praticável;
  • Os dados pessoais contidos no corpo de um e-mail, quer enviados ou recebidos, devem ser copiados do corpo desse e-mail e armazenados em segurança. O próprio e-mail deve ser eliminado. Todos os ficheiros temporários a eles associados devem também ser eliminados.
  • Quando os dados pessoais devem ser enviados por fax, o destinatário deve ser informado com antecedência da transmissão e deve estar à espera pelo telecopiador para receber os dados;
  • Quando os dados pessoais devem ser transferidos em papel, devem ser transmitidos directamente ao destinatário pelo correio ou entregues pessoalmente ao destinatário.
  • Todos os dados pessoais a serem transferidos fisicamente, quer em suporte de papel quer em suporte electrónico amovível, devem ser transferidos num contentor adequado marcado com a menção “confidencial”.

23. Segurança de dados – Armazenamento

A Empresa deve assegurar que sejam tomadas as seguintes medidas no que respeita ao armazenamento de dados pessoais:

  • Todas as cópias electrónicas de dados pessoais devem ser armazenadas em segurança, utilizando palavras-passe e encriptação de dados;
  • Todas as cópias impressas de dados pessoais, juntamente com quaisquer cópias electrónicas armazenadas em suportes físicos amovíveis, devem ser guardadas em segurança numa caixa, gaveta, armário ou similar fechado à chave;
  • Todos os dados pessoais armazenados electronicamente devem ser armazenados diariamente com cópias de segurança armazenadas no local e fora dele. Todas as cópias de segurança devem ser encriptadas
  • Nenhum dado pessoal deve ser armazenado em qualquer dispositivo móvel (incluindo, entre outros, portáteis, tablets e smartphones), quer esse dispositivo pertença à Empresa ou não, sem a aprovação formal por escrito do responsável pela protecção de dados da Empresa (ver secção 0) e, no caso de tal aprovação, estritamente de acordo com todas as instruções e limitações descritas no momento em que a aprovação é dada, e por um período não superior ao absolutamente necessário; e
  • Nenhum dado pessoal deve ser transferido para qualquer dispositivo que pertença pessoalmente a um empregado e os dados pessoais só podem ser transferidos para dispositivos pertencentes a agentes, contratantes, ou outras partes que trabalhem em nome da Empresa, se a parte em questão tiver concordado em cumprir integralmente a letra e o espírito desta Política e da GDPR (o que pode incluir a demonstração à Empresa de que foram tomadas todas as medidas técnicas e organizacionais adequadas).

24. Segurança de dados – Eliminação

Quando quaisquer dados pessoais devem ser apagados ou eliminados por qualquer razão (incluindo quando foram feitas cópias e já não são necessários), devem ser apagados e eliminados de forma segura. Para mais informações sobre a eliminação e eliminação de dados pessoais, consulte a Política de Retenção de Dados da Empresa.

25. Segurança de dados – Utilização de dados pessoais

25.1 A Empresa deve assegurar que sejam tomadas as seguintes medidas no que diz respeito à utilização de dados pessoais:

  • Nenhum dado pessoal pode ser partilhado informalmente e se um empregado, agente, sub-empreiteiro, ou outra parte que trabalhe em nome da Empresa requerer o acesso a quaisquer dados pessoais aos quais ainda não tenha acesso, tal acesso deverá ser formalmente solicitado ao Responsável pela Protecção de Dados da Empresa (ver secção 0). Não podem ser transferidos dados pessoais a quaisquer empregados, agentes, empreiteiros ou outras partes, quer trabalhem ou não em nome da Empresa, sem autorização do Responsável pela Protecção de Dados da Empresa (ver secção 0). Os dados pessoais devem ser sempre tratados com cuidado e não devem ser deixados sem vigilância ou à vista de empregados, agentes, subempreiteiros não autorizados, ou

25.2 outras partes em qualquer altura;

  • Se os dados pessoais estiverem a ser visualizados num ecrã de computador e o computador em questão for deixado sem vigilância durante qualquer período de tempo, o utilizador deve bloquear o computador e o ecrã antes de o deixar; e
  • Quando os dados pessoais na posse da Empresa forem utilizados para fins de marketing, será da responsabilidade do responsável pela protecção de dados da Empresa (ver secção 0) assegurar que seja obtido o consentimento adequado e que nenhum sujeito dos dados tenha optado por não os utilizar, quer directamente, quer através de um serviço de terceiros.

26. Segurança de dados – Segurança informática

A Empresa deve assegurar que sejam tomadas as seguintes medidas no que diz respeito à segurança informática e da informação:

  • Todas as palavras-passe utilizadas para proteger dados pessoais devem ser alteradas regularmente e não devem utilizar palavras ou frases que possam ser facilmente adivinhadas ou de outra forma comprometidas. Todas as palavras-passe devem conter uma combinação de letras maiúsculas e minúsculas, números, e símbolos. Todo o software utilizado pela Empresa foi concebido para requerer tais palavras-passe;
  • Em nenhuma circunstância deverá ser escrita ou partilhada qualquer palavra-passe entre quaisquer empregados, agentes, empreiteiros ou outras partes que trabalhem em nome da Empresa, independentemente da sua antiguidade ou departamento. Se uma palavra-passe for esquecida, deve ser redefinida utilizando o método aplicável. O pessoal informático não tem acesso a palavras-passe;
  • Todo o software (incluindo, mas não limitado a, aplicações e sistemas operativos) deve ser mantido actualizado. O pessoal de TI da Empresa será responsável pela instalação de toda e qualquer actualização relacionada com a segurança, não mais de 6 meses após as actualizações serem disponibilizadas pela editora ou fabricante OU tão cedo quanto razoável e praticamente possível.

27. Medidas organizativas

A Empresa deve assegurar que sejam tomadas as seguintes medidas no que respeita à recolha, detenção e tratamento de dados pessoais:

  • Todos os empregados, agentes, empreiteiros ou outras partes que trabalhem em nome da Empresa devem ser plenamente informados tanto das suas responsabilidades individuais como das responsabilidades da Empresa ao abrigo da GDPR e da presente Política, e deve ser-lhes fornecida uma cópia da presente Política;
  • Apenas os empregados, agentes, subcontratados ou outras partes que trabalhem em nome da Empresa que necessitem de acesso e utilização de dados pessoais a fim de desempenharem correctamente as suas funções atribuídas terão acesso aos dados pessoais na posse da Empresa;
  • Todos os empregados, agentes, empreiteiros, ou outras partes que trabalhem em nome da Empresa que lidem com dados pessoais receberão a formação adequada para o fazer;
  • Todos os empregados, agentes, empreiteiros, ou outras partes que trabalhem em nome da Empresa que lidem com dados pessoais serão devidamente supervisionados;
  • Todos os empregados, agentes, empreiteiros ou outras partes que trabalhem em nome da Empresa que lidem com dados pessoais serão obrigados e encorajados a ter cuidado, cautela e discrição ao discutir assuntos relacionados com dados pessoais, seja no local de trabalho ou de outro modo;
  • Os métodos de recolha, conservação e tratamento de dados pessoais serão avaliados e revistos regularmente;
  • Todos os dados pessoais detidos pela Empresa serão revistos periodicamente, tal como estabelecido na Política de Retenção de Dados da Empresa;
  • O desempenho dos funcionários, agentes, contratantes ou outras partes que trabalham em nome da Empresa que lidam com dados pessoais será avaliado e revisto regularmente;
  • Todos os empregados, agentes, empreiteiros, ou outras partes que trabalhem em nome da Empresa que tratem dados pessoais serão obrigados a fazê-lo de acordo com os princípios da GDPR e desta Política por contrato;
  • Todos os agentes, contratantes ou outras partes que trabalhem em nome da Empresa que lidem com dados pessoais devem assegurar que todos e quaisquer dos seus empregados envolvidos no processamento de dados pessoais sejam mantidos nas mesmas condições que os empregados relevantes da Empresa decorrentes da presente Política e da GDPR; e
  • Se qualquer agente, empreiteiro ou outra parte que trabalhe em nome da Empresa que trate de dados pessoais falhar nas suas obrigações ao abrigo desta Política, essa parte indemnizará e isentará a Empresa de quaisquer custos, responsabilidades, danos, perdas, reclamações ou procedimentos que possam resultar dessa falha.

28. Transferência de dados pessoais para um país fora do EEE

28.1. A Empresa pode, de tempos a tempos, transferir (“transferência” inclui a disponibilização remota) de dados pessoais para países fora do EEE.

28.2. A transferência de dados pessoais para um país fora do EEE só terá lugar se se aplicar uma ou mais das seguintes disposições:

  • A transferência é para um país, território, ou um ou mais sectores específicos desse país (ou uma organização internacional), que a Comissão Europeia tenha determinado garantir um nível adequado de protecção dos dados pessoais;
  • A transferência é para um país (ou organização internacional) que oferece garantias adequadas sob a forma de um acordo juridicamente vinculativo entre autoridades ou organismos públicos; regras empresariais vinculativas; cláusulas-tipo de protecção de dados adoptadas pela Comissão Europeia; cumprimento de um código de conduta aprovado por uma autoridade de supervisão (por exemplo, o Gabinete do Comissário da Informação); certificação ao abrigo de um mecanismo de certificação aprovado (como previsto no GDPR); cláusulas contratuais acordadas e autorizadas pela autoridade de supervisão competente; ou disposições inseridas em acordos administrativos entre autoridades ou organismos públicos autorizados pela autoridade de supervisão competente;
  • A transferência é feita com o consentimento informado do(s) sujeito(s) dos dados relevantes;
  • A transferência é necessária para a execução de um contrato entre a pessoa em causa e a Empresa (ou para as medidas pré-contratuais tomadas a pedido da pessoa em causa);
  • A transferência é necessária por importantes razões de interesse público;
  • A transferência é necessária para a condução de acções judiciais;
  • A transferência é necessária para proteger os interesses vitais do titular dos dados ou de outras pessoas, quando o titular dos dados é física ou legalmente incapaz de dar o seu consentimento; ou
  • A transferência é feita a partir de um registo que, ao abrigo da legislação holandesa ou da UE, se destina a fornecer informações ao público e que está aberto ao acesso do público em geral ou, de outra forma, àqueles que possam demonstrar um interesse legítimo em aceder ao registo.

29. Notificação de Violação de Dados

29.1 Todas as violações de dados pessoais devem ser imediatamente comunicadas ao Responsável pela Protecção de Dados da Empresa.

29.2 Se ocorrer uma violação de dados pessoais e essa violação for susceptível de resultar num risco para os direitos e liberdades das pessoas em causa (por exemplo, perda financeira, quebra de confidencialidade, discriminação, danos à reputação, ou outros danos sociais ou económicos significativos), o responsável pela protecção de dados deve assegurar que o Gabinete do Comissário da Informação seja informado da violação sem demora e, em qualquer caso, no prazo de 72 horas após ter tomado conhecimento da mesma.

29.3 No caso de uma violação de dados pessoais ser susceptível de resultar num risco elevado (ou seja, um risco superior ao descrito na Parte 29.2) para os direitos e liberdades das pessoas em causa, o encarregado da protecção de dados deve assegurar que todas as pessoas afectadas sejam informadas da violação directamente e sem atrasos injustificados.

29.4 As notificações de violação de dados devem incluir as seguintes informações:

  • As categorias e o número aproximado de pessoas em causa;
  • As categorias e o número aproximado de registos de dados pessoais em causa;
  • O nome e dados de contacto do responsável pela protecção de dados da Empresa (ou outro ponto de contacto onde se possam obter mais informações);
  • As prováveis consequências da violação;
  • Detalhes das medidas tomadas, ou propostas para serem tomadas, pela Empresa para resolver a violação incluindo, quando apropriado, medidas para mitigar os seus possíveis efeitos adversos.

30. Implementação da Política

Esta Política será considerada eficaz a partir de 25 de Maio de 2018.

Nenhuma parte desta Política terá efeito retroactivo e, portanto, só se aplicará a assuntos que ocorram nesta data ou depois dela.

Esta Política foi aprovada e autorizada por:

Nome: Fabrizio Iacono

Posição: Chefe de Finanças

Data: 15 de Fevereiro de 2023

Revisão prevista até: 15 de Fevereiro de 2024

Assinatura:

Email:
fabrizio.iacono@everynet.com

Telefone: +44 7920 723590

Endereço: 50 Sloane Avenue, Londres SW3 3DD UK