1. Finalidade, âmbito e utilizadores

GRINCOP – Gráfica, Informática e Cópia, Lda., a seguir, a "empresa", esforça-se por cumprir as leis e regulamentos aplicáveis relativos à proteção dos dados pessoais nos países onde opera. Esta política estabelece os princípios básicos pelos quais a empresa trata os dados pessoais dos consumidores, clientes, fornecedores, parceiros de negócios, funcionários e outras pessoas, e indica as responsabilidades de seus departamentos comerciais e funcionários ao lidar com dados pessoais.

Esta política aplica-se à empresa e suas subsidiárias, controladas de forma direta ou indireta, que realizam negócios na União Europeia (UE) ou processam os dados pessoais dos titulares dos dados dentro da UE.

Os utilizadores deste documento são todos empregados, permanentes ou temporários, e todos os contratados que trabalham em nome da empresa.

2. Documentos de referência

  • O RGPD UE 2016/679 (Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação destes dados e à revogação da Diretiva 95/46/CE)
  • Legislação nacional ou regulamentos pertinentes para a execução do RGPD
  • Outras leis e regulamentos nacionais
  • Política de proteção de dados pessoais dos funcionários
  • Política de retenção de dados
  • Procedimento para solicitar o acesso aos titulares dos dados
  • Diretrizes para a avaliação de impacto da proteção de dados
  • Procedimento de transferência de dados pessoais transfronteiriços
  • Procedimento de aviso de violação de segurança

 

3. Definições

As seguintes definições de termos utilizados no presente documento são do artigo 4º do RGPD da União Europeia:

Dados pessoais: informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade singular, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;

Dados pessoais sensíveis: Dados pessoais que, pela sua natureza, são particularmente sensíveis em relação aos direitos e liberdades fundamentais, uma vez que o contexto do seu tratamento pode

representar riscos significativos para os direitos e liberdades fundamentais. Os dados pessoais devem ser incluídos entre os dados pessoais que revelem a origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, afiliações sindicais, dados genéticos, dados biométricos, visando inequivocamente identificar uma pessoa natural, dados de saúde ou dados relacionados à vida sexual ou orientação sexual de uma pessoa natural.

Responsável pelo tratamento dos dados: A pessoa singular ou coletiva, a autoridade pública, o serviço ou outro organismo que, isoladamente ou em conjunto com outros, determina os fins e os meios do tratamento.

Subcontratante: Pessoa singular ou coletiva, autoridade pública, serviço ou outro organismo que trate de dados pessoais em nome do responsável pelo tratamento.

Tratamento: uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.

Anonimato: Eliminar irreversivelmente a identificação de dados pessoais de tal forma que a pessoa não possa ser identificada, usando tempo razoável, custo e tecnologia, quer pela pessoa responsável ou por qualquer outra pessoa. Os princípios do processamento de dados pessoais não se aplicam a dados anónimos, já que não são dados pessoais.

Pseudonimização: O tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável. A pseudonimização reduz, mas não elimina completamente, a capacidade de associar dados pessoais a um titular de dados. Uma vez que os dados pseudonimizados ainda são considerados dados pessoais, o tratamento destes dados deve respeitar os princípios de processamento de dados pessoais.

Tratamento transfronteiriço de dados pessoais: O tratamento de dados pessoais que ocorre no contexto das atividades de estabelecimentos em mais do que um Estado-Membro de um responsável pelo tratamento ou um subcontratante na União, caso o responsável pelo tratamento ou o subcontratante esteja estabelecido em mais do que um Estado-Membro; ou: O tratamento de dados pessoais que ocorre no contexto das atividades de um único estabelecimento de um responsável pelo tratamento ou de um subcontratante, mas que afeta substancialmente, ou é suscetível de afetar substancialmente, titulares de dados em mais do que um Estados-Membro.

Autoridade de controlo: A autoridade pública independente estabelecida por um Estado-membro em conformidade com o disposto no artigo 51º;

Autoridade de controlo principal: A autoridade supervisora com a principal responsabilidade de tratar uma atividade transfronteiriça de processamento de dados, por exemplo, quando um titular dos dados

apresentar um pedido relativo ao tratamento dos seus dados pessoais; É responsável, entre outros, por receber os avisos de violação da segurança dos dados, ser notificado sobre a atividade de tratamento de risco e terá plena autoridade no que diz respeito às suas funções para garantir o cumprimento das disposições do RGPD UE.

Autoridade de controlo local: Manter no seu próprio território e supervisionar qualquer tratamento de dados local que afete os interessados ou efetuado por um membro responsável ou da UE, ou não membro da UE, quando o tratamento for dirigido os titulares dos dados residentes no seu território. As suas funções e competências incluem a realização de investigação e aplicação de medidas administrativas e coimas, promovendo a sensibilização do público para os riscos, regras, segurança e direitos relacionados com o tratamento de dados pessoais, bem como aceder às instalações do encarregado e do subcontratante, incluindo qualquer equipamento e meios de processamento de dados.

Estabelecimento principal em relação a uma pessoa responsável: No que se refere a um responsável pelo tratamento com estabelecimentos em vários Estados-Membros, o local onde se encontra a sua administração central na União, a menos que as decisões sobre as finalidades e os meios de tratamento dos dados pessoais sejam tomadas noutro estabelecimento do responsável pelo tratamento na União e este último estabelecimento tenha competência para mandar executar tais decisões, sendo neste caso o estabelecimento que tiver tomado as referidas decisões considerado estabelecimento principal.

Estabelecimento principal em relação a um subcontratante: No que se refere a um subcontratante com estabelecimentos em vários Estados-Membros, o local onde se encontra a sua administração central na União ou, caso o subcontratante não tenha administração central na União, o estabelecimento do subcontratante na União onde são exercidas as principais atividades de tratamento no contexto das atividades de um estabelecimento do subcontratante, na medida em que se encontre titular a obrigações específicas nos termos do presente regulamento.

Grupo empresarial: Um grupo composto pela empresa que exerce o controlo e pelas empresas controladas;

4. Princípios básicos sobre o tratamento de dados pessoais

Os princípios de proteção de dados descrevem as responsabilidades básicas das organizações que lidam com dados pessoais. O n. º 2 do artigo 5. º do RGPD estipula que "o responsável pelo tratamento é responsável pelo cumprimento dos princípios relativos ao tratamento de dados pessoais, será capaz de prová-lo”.

4.1. Legalidade, equidade e transparência

Os dados pessoais devem ser tratados de forma legal, imparcial e transparente em relação ao interessado.

4.2. Limitação das finalidades

Os dados pessoais devem ser recolhidos para fins específicos, explícitos e legítimos e não devem ser tratados de forma incoerente com tais fins.

4.3. Minimização dos dados

Os dados pessoais devem ser adequados, pertinentes e limitados ao que é necessário em relação aos fins para os quais são tratados. A empresa deve aplicar anonimato ou pseudonimização aos dados pessoais, se possível, para reduzir o risco relativo aos titulares dos dados.

4.4. Exatidão

Exatos e atualizados sempre que necessário; devem ser adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora

4.5. Limitação da conservação

Os dados pessoais não devem ser mantidos mais do que o necessário para os fins para os quais os dados são tratados.

4.6. Integridade e confidencialidade

Tendo em conta o estado da tecnologia e outras medidas de segurança disponíveis, o custo de execução e a probabilidade e severidade dos riscos de dados pessoais, a empresa deve aplicar medidas técnicas ou organizacionais apropriadas para lidar com dados pessoais, de modo a assegurar que sejam tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas.

4.7. Responsabilidade pró-ativa

Os responsáveis pelo tratamento serão responsáveis pelo cumprimento dos princípios acima descritos e poderão prová-lo.

 5. Desenvolvimento de proteção de dados em atividades empresariais

A fim de demonstrar a conformidade com os princípios da proteção de dados, uma organização tem de desenvolver a proteção de dados em suas atividades de negócios.

5.1. Aviso aos titulares dos dados

(consulte o ponto 6.1. Aviso aos titulares dos dados)

5.2. Escolha e consentimento do titular dos dados

(consulte o ponto 6.2. Obtenção de consentimento)

5.3. Recolha

A empresa deve esforçar-se para recolher o menor número de dados pessoais quanto possível. Se os dados pessoais forem recolhidos de terceiros, deve garantir que os dados pessoais são recolhidos legalmente.

5.4. Uso, conservação e eliminação (apagamento)

A finalidade, os métodos, a limitação de conservação e o período de conservação de dados pessoais devem ser consistentes com as informações contidas no aviso de privacidade. A empresa deve manter a exatidão, a integridade, a confidencialidade e a relevância dos dados pessoais de acordo com a finalidade do tratamento. Os mecanismos de segurança apropriados destinados a proteger os dados pessoais devem ser usados para evitar roubo, uso indevido ou abuso e violações de segurança de dados pessoais. O responsável, é responsável por cumprir os requisitos listados nesta seção.

5.5. Comunicação a terceiros

Desde que a empresa utilize um fornecedor externo ou um parceiro de negócios para tratar dados pessoais em seu nome, o responsável deve garantir que este subcontratante irá fornecer medidas de segurança para salvaguardar os dados pessoais apropriados aos riscos associados.

A empresa deve exigir contratualmente que o subcontratante forneça o mesmo nível de proteção de dados. O subcontratante só deve tratar os dados pessoais para cumprir as suas obrigações contratuais com a empresa e não para outros fins. Quando a empresa trata dados pessoais em conjunto com um subcontratante, a empresa deve especificar explicitamente as responsabilidades de cada uma das partes no contrato de serviços ou em qualquer outro documento legal vinculativo, como o acordo de processamento de dados com o subcontratante.

5.6. Transferência de dados pessoais para fora da UE

Antes de transferir dados pessoais para fora da UE devem ser utilizadas garantias adequadas, incluindo a assinatura de um acordo de transferência de dados, tal como indicado pela União Europeia e, se necessário, a autorização da autoridade de proteção de dados pertinente deve ser obtida. A entidade que recebe os dados pessoais deve respeitar os princípios de tratamento de dados pessoais estabelecidos no processo de transferência de dados transfronteiriços.

5.7. Direitos de acesso dos titulares dos dados

Ao agir como responsável pelos dados, o responsável é responsável por fornecer aos interessados um mecanismo de acesso razoável que lhes permite o acesso aos seus dados pessoais, bem como a atualização, retificação, eliminação ou transmissão dos seus dados pessoais, quando apropriado ou exigido por lei.

5.8. Portabilidade dos dados

O titular dos dados tem o direito de receber, a seu pedido, uma cópia dos dados pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento, num formato estruturado, de uso corrente e de leitura automática, e tem o direito de transmitir esses dados a outro responsável pelo tratamento sem que o responsável a quem os dados pessoais foram fornecidos o possa impedir. O responsável é responsável por garantir que os referidos pedidos sejam processados no

prazo de um mês, que não sejam excessivos e que não afetem os direitos dos dados pessoais de outras pessoas.

5.9. Direito ao esquecimento

Mediante pedido, os titulares dos dados têm o direito de obter da empresa a supressão dos seus dados pessoais. Quando a empresa agir como responsável, o responsável deve tomar as medidas necessárias (incluindo medidas técnicas) para informar terceiros que utilizam ou processam esses dados para cumprir o pedido.

 6. Diretrizes de tratamento lícito

Os dados pessoais devem ser tratados apenas quando explicitamente autorizados pelo responsável.

A empresa deve decidir se deseja realizar a avaliação de impacto da proteção de dados para cada atividade de processamento de dados Diretrizes de avaliação de impacto da proteção de dados.

6.1. Aviso aos titulares dos dados

No momento da recolha ou antes da recolha de dados pessoais para qualquer tipo de atividades de tratamento, incluindo a venda de produtos, serviços ou atividades comerciais, o responsável é responsável por comunicar adequadamente aos titulares dos dados sobre os seguintes aspetos: Os tipos de dados pessoais recolhidos, os fins de tratamento, os métodos de tratamento, os direitos dos titulares em relação aos seus dados pessoais, o período de retenção, eventuais transferências internacionais de dados, se os dados serão partilhados com terceiros e as medidas de segurança da empresa para proteger os dados pessoais. Esta informação é fornecida através de um aviso de privacidade.

Se a empresa tiver múltiplas atividades de processamento de dados, terá de desenvolver avisos diferentes que variam consoante a atividade de tratamento e as categorias de dados pessoais recolhidos; por exemplo, um aviso pode ser escrito para e-mail e outro para correio postal.

Quando os dados pessoais são partilhados com um terceiro, o responsável deve garantir que os titulares dos dados tenham sido notificados disso por um aviso de privacidade.

Quando os dados pessoais são transferidos para um país terceiro, de acordo com a política de transferência de dados transfronteiras, o aviso de privacidade deve refletir esta questão e indicar claramente onde e para que entidade os dados pessoais são transferidos.

Quando os dados pessoais confidenciais são recolhidos, o encarregado de proteção de dados deve garantir que o aviso de privacidade indica, explicitamente, o propósito para o qual esses dados pessoais confidenciais são coletados.

6.2. Obtenção de consentimento

Desde que o tratamento de dados pessoais se baseie no consentimento do interessado ou em outras razões legais, o responsável é responsável por manter um registo desse consentimento, é responsável por fornecer aos titulares dos dados as opções para fornecer consentimento e deve informar e garantir que o seu consentimento (desde que o consentimento seja utilizado com uma base jurídica para o tratamento) pode ser retirado em qualquer momento.

Quando a recolha de dados pessoais estiver relacionada com uma criança menor de 16 anos, o responsável deve garantir que o consentimento parental é entregue antes da recolha, usando o pedido de consentimento parental.

Quando há solicitações para corrigir, modificar ou destruir registos de dados pessoais, o responsável deve garantir que essas solicitações sejam processadas dentro de um prazo razoável bem como manter um registo dessas solicitações.

Os dados pessoais só devem ser tratados para os fins para os quais foram inicialmente recolhidos. No caso de a empresa pretender tratar dados pessoais recolhidos para outro propósito, a empresa deve buscar o consentimento dos titulares dos dados através de um novo pedido de consentimento claro e conciso. Qualquer pedido deve incluir o objetivo inicial para o qual os dados foram recolhidos e também o(s) novo(s) fim(s) adicional(s). O pedido de consentimento também deve incluir a razão para a alteração e o(s) novo(s) propósito(s). O responsável é responsável pelo cumprimento das regras do presente número.

Agora e no futuro, o responsável deve assegurar que os métodos de recolha respeitem as leis pertinentes, as boas práticas e as normas da indústria.

O responsável é responsável pela criação e retenção de um registo de avisos de privacidade.

 7. Organização e responsabilidades

A responsabilidade de garantir o tratamento adequado dos dados pessoais incide sobre todos aqueles que trabalham para a empresa e têm acesso aos dados pessoais tratados pela empresa.

As principais áreas de responsabilidade para o tratamento dos dados pessoais recaem sobre as seguintes posições da organização:

A direção ou quem possui poderes de tomada de decisão relevante na entidade: Tomar decisões e aprovar as estratégias gerais da empresa em matéria de proteção de dados pessoais.

O responsável é responsável pela gestão do programa de proteção de dados pessoais e pelo desenvolvimento e promoção de políticas para a proteção integral dos dados pessoais;

O responsável em conjunto com o departamento jurídico, monitoriza e analisa as mudanças nas leis e regulamentos sobre os dados pessoais, desenvolve o cumprimento dos requisitos, e ajuda os departamentos comerciais a alcançar os seus objetivos.

O Diretor de Tecnologia de Informação (TI), é responsável por:

  • Proteger todos os sistemas, serviços e equipamentos usados para conservação de dados que atendam às normas de segurança aceitáveis.
  • Realizar verificações regulares para garantir que o hardware e o software funcionem corretamente.

 O Diretor de Marketing, é responsável por:

  • Aprovar quaisquer declarações de proteção de dados incluídas em comunicações como e-mails e cartas.
  • Abordar qualquer consulta de proteção de dados de jornalistas ou meios de comunicação social.
  • Quando necessário, trabalhar com o responsável para garantir que as iniciativas de marketing cumpram os princípios de proteção de dados.

O Diretor de recursos humanos é responsável por:

  • Melhorar o conhecimento de todos os funcionários sobre a proteção de dados pessoais do utilizador.
  • Organizar formações sobre conhecimento especializado e conscientização sobre proteção de dados pessoais para funcionários que trabalham com dados pessoais.
  • Proteger integralmente os dados pessoais dos colaboradores. Deve garantir que os dados pessoais dos funcionários sejam tratados com base nas necessidades e fins de negócios legítimos do empregador.

O Diretor de compras é responsável por transmitir responsabilidades de proteção de dados pessoais aos fornecedores e melhorar os níveis de conhecimento dos fornecedores na proteção de dados pessoais, bem como reduzir os requisitos de dados pessoais a qualquer fornecedor. O departamento de compras deve garantir que a empresa se reserva o direito de auditar os seus fornecedores.

8. Diretrizes para o estabelecimento da autoridade de controlo principal

8.1. A necessidade de estabelecer a autoridade de controlo principal

A nomeação de uma autoridade de controlo principal só é pertinente se a empresa proceder ao tratamento transfronteiriço de dados pessoais.

O tratamento transfronteiriço de dados é efetuado se:

  1. O tratamento de dados pessoais é efetuado pelas filiais da sociedade que se encontram sediadas noutros Estados-Membros;
    Ou
  2. O tratamento de dados pessoais realiza-se num único estabelecimento da empresa na União Europeia, mas afeta substancialmente ou pode afetar substancialmente os interessados em mais do que um Estado-membro.

 

Se a empresa tiver apenas estabelecimentos num Estado-membro e as suas atividades de tratamento afetarem apenas os interessados nesse Estado-membro, não é necessário estabelecer uma autoridade de controlo primária. A única autoridade competente é a autoridade de controlo no país onde a sociedade está legalmente estabelecida.

8.2. Sede da empresa e autoridade de controlo principal

8.2.1. Sede do responsável pelo tratamento de dados

A Administração/Gerência da empresa precisa de indicar claramente onde se encontra situada a sede da empresa para que a autoridade de controlo principal possa ser determinada.

Se a empresa se encontra num Estado-membro da UE e toma decisões relativas às atividades de tratamento transfronteiras no local da sua sede, haverá uma única autoridade de controlo principal para as atividades de tratamento de dados efetuadas pela empresa.

Se a empresa tiver vários estabelecimentos, que operem de forma independente e tomem decisões sobre os propósitos e meios de processamento de dados pessoais, torna-se necessário que a Administração/Gerência reconheça que há mais de uma autoridade de controlo principal.

8.2.2. Sede do encarregado pelo tratamento de dados

Quando a empresa atua como encarregada pelo tratamento de dados, então o estabelecimento principal será o lugar onde se encontra a Administração/Gerência. Se o local da Administração/Gerência não estiver localizado na UE, o estabelecimento principal será estabelecido onde as principais atividades da UE forem executadas.

8.2.3. Estabelecimento principal de responsáveis e encarregados para empresas fora da UE

Se a empresa não tiver um estabelecimento principal na UE, porém com subsidiária(s) na UE, então a autoridade de controlo competente é a autoridade de controlo local.

Se a empresa não tiver um estabelecimento principal, nem tão pouco filiais na UE, deve nomear um representante na UE, e a autoridade local competente é a autoridade de controlo local onde o representante está localizado.

 9. Resposta a violações de segurança de dados.

Quando a empresa notar uma violação de segurança de dados pessoais presumidos e reais, responsável deve realizar um inquérito interno e tomar medidas corretivas apropriadas em tempo útil, de acordo com a política de violação de segurança de dados. Sempre que exista um risco para os direitos e liberdades dos interessados, a empresa deve notificar as autoridades de proteção de dados pertinentes, sem demora indevida e, sempre que possível, no prazo de 72 horas.

 10. Auditoria e responsabilidade pró-ativa

O departamento de auditoria ou outro departamento relevante é responsável pela auditoria de verificação da implementação da política de proteção de dados pessoais.

Qualquer funcionário que viole esta política estará sujeito a ação disciplinar, para além responsabilidade civil ou penal se a sua conduta violar leis ou regulamentos.

 11. Conflitos de legislação

Esta política destina-se a cumprir as leis e regulamentos do local de estabelecimento e dos países em que opera GRINCOP – Gráfica, Informática e Cópia, Lda.. Em caso de conflito entre esta política e as leis e regulamentos aplicáveis, prevalecem os últimos.

 12. Validade e gestão do documento

Este documento é válido desde 25/05/2018. O proprietário deste documento é o responsável, que deve revisar e, se necessário, atualizar o documento pelo menos uma vez por ano.