TRADEDORK LTD
POLÍTICA DE PROTECÇÃO DE DADOS
Esta Política de Proteção de Dados (a Política) estabelece a forma como a Tradedork Ltd ("nós", "nos" e "nosso") trata os dados pessoais.
Se, em qualquer altura, tiver alguma dúvida sobre esta Política, as suas responsabilidades ou qualquer aspeto da lei de proteção de dados, contacte Chris Smith, o nosso Gestor de Conformidade de Dados na Tradedork.
1. Introdução
- O Regulamento Geral de Proteção de Dados do Reino Unido(RGPD do Reino Unido) e a Lei de Proteção de Dados de 2018 (DPA 2018) (em conjunto, leis de proteção de dados) aplicam-se ao tratamento de dados pessoais.
- A legislação relativa à proteção de dados exige que os dados pessoais sejam tratados de acordo com determinados princípios (ver ponto 2) e confere às pessoas direitos de acesso, correção e controlo da forma como utilizamos os seus dados pessoais (ver ponto 6).
- A lei de proteção de dados no Reino Unido é aplicada pelo Information Commissioner's Office(ICO), que é a entidade reguladora da proteção de dados no Reino Unido.
- Em resumo, as leis de proteção de dados exigem que:
4.1 processemos apenas dados pessoais para determinados fins;
4.2 processemos dados pessoais de acordo com os seis princípios de "bom tratamento de informação" (ver parágrafo 2);
4.3 forneçamos determinadas informações aos indivíduos sobre os quais processamos dados pessoais, que são normalmente fornecidas num aviso de privacidade - por exemplo, terá recebido um destes da nossa parte como um dos nossos funcionários e um estará disponível na nossa plataforma para os nossos utilizadores;
4.4 respeitar os direitos dos indivíduos sobre os quais processamos dados pessoais (incluindo fornecer-lhes acesso aos dados pessoais que mantemos sobre eles); e
4.5 manter registros adequados de como os dados são processados e, quando necessário, notificar o regulador e possivelmente o (s) indivíduo (s) afetado (s) quando houver uma violação de dados.
- Cada membro do nosso pessoal tem um papel importante a desempenhar na consecução destes objectivos. Por conseguinte, é da sua responsabilidade familiarizar-se com esta política.
2. O que são os princípios da proteção de dados?
As leis de proteção de dados estabelecem seis princípios para a manutenção e proteção dos dados pessoais, que constituem a base da legislação. Todos os dados pessoais devem ser:
- tratados de forma lícita, leal e transparente e apenas se estiverem reunidas determinadas condições específicas ("licitude, lealdade e transparência");
- recolhidos para fins específicos, explícitos e legítimos, e não processados de forma incompatível com esses fins ("limitação da finalidade");
- adequados e pertinentes e limitados ao que é necessário para os fins para os quais são tratados ("minimização dos dados");
- exactas e, se necessário, actualizadas ("exatidão");
- conservados apenas durante o tempo necessário para o efeito ("limitação da conservação"); e
- tratados de uma forma que garanta a segurança adequada dos dados pessoais através de medidas técnicas e organizativas apropriadas ("integridade e segurança").
3. Que tipo de informação pode constituir dados pessoais?
- Os dados pessoais serão dados relativos a um indivíduo e, por conseguinte, serão os seus dados pessoais se
1.1 identificarem a pessoa (por exemplo, nomes, moradas, números de telefone e endereços de correio eletrónico);
1.2 o seu conteúdo disser respeito à pessoa pessoalmente (por exemplo, registos médicos ou histórico do perfil de utilizador (por exemplo, preferências));
1.3 estiverem relacionados com bens da pessoa;
1.4 puderem ser processados para aprender, registar ou decidir algo sobre a pessoa (por exemplo, se for possível associar os dados à pessoa para lhe dizer algo sobre ela, isso estará relacionado com a pessoa (por exemplo detalhes salariais para um cargo em que há apenas um indivíduo nomeado nesse cargo));
1.5 afeta a privacidade do indivíduo, seja em sua capacidade pessoal, familiar, organizacional ou profissional (por exemplo, local de trabalho e endereços de e-mail de trabalho podem ser dados pessoais);
1.6 é uma expressão de opinião sobre o indivíduo; ou
1.7 é uma indicação de nossas intenções (ou de qualquer outra pessoa) em relação ao indivíduo (por exemplo, como uma reclamação recebida de um membro da equipe ou de um usuário de nossa plataforma será tratada).
- As informações sobre empresas ou outras pessoas colectivas que não sejam pessoas vivas não são dados pessoais. No entanto, as informações sobre directores, accionistas, funcionários e empregados, e sobre comerciantes em nome individual ou sócios, são frequentemente dados pessoais, pelo que as informações relacionadas com as empresas podem muitas vezes ser dados pessoais.
- Os dados de categoria especial ao abrigo das leis de proteção de dados são dados pessoais relacionados com a raça, opiniões políticas, saúde, crenças religiosas ou outras, registos sindicais, vida sexual, dados biométricos e dados genéticos de um indivíduo. Além disso, os dados relativos a condenações penais e infracções fazem parte de uma categoria especial, que é, em muitos aspectos, tratada da mesma forma que os dados de categoria especial. Anteriormente, estes tipos de dados pessoais eram designados por dados pessoais sensíveis e algumas pessoas poderão continuar a utilizar este termo.
4. Como é que processamos os dados pessoais?
- Todos os dias tratamos dados pessoais para vários fins e de várias formas. Praticamente tudo o que fazemos com os dados pessoais é considerado "tratamento" desses dados pessoais, incluindo a recolha, modificação, transferência, visualização, eliminação, conservação, cópia de segurança, arquivo, retenção, divulgação ou destruição. Assim, mesmo o simples armazenamento de dados pessoais é uma forma de tratamento. Podemos processar dados pessoais utilizando computadores ou manualmente, mantendo registos em papel.
- Exemplos de tratamento de dados pessoais podem incluir a utilização de dados pessoais para se corresponder com os utilizadores da nossa plataforma ou a conservação de dados pessoais nos nossos sistemas de armazenamento online ou bases de dados ou em documentos impressos.
5. Em que circunstâncias temos o direito de tratar dados pessoais?
- Para que os dados pessoais sejam processados legalmente, temos de os processar com base num dos fundamentos legais estabelecidos nas leis de proteção de dados.
- Para o processamento de dados pessoais comuns na nossa organização, estes podem incluir, entre outras coisas:
2.1 o indivíduo relevante deu o seu consentimento para o processamento;
2.2 o processamento é necessário para a execução de um contrato com o indivíduo relevante;
2.3 o processamento é necessário para o cumprimento de uma obrigação legal a que estamos sujeitos; ou
2.4 o processamento é necessário para alcançar os nossos interesses legítimos (ou de outra pessoa).
- Para processar legalmente categorias especiais de dados pessoais, devem ser cumpridas algumas outras condições. Normalmente, apenas esperamos processar dados pessoais de categorias especiais ou dados de condenações penais e infracções num contexto de emprego e, por conseguinte, as condições em que normalmente nos basearíamos podem incluir, entre outras coisas:
3.1 em relação a categorias especiais de dados pessoais:
3.1.1 quando o indivíduo deu o seu consentimento explícito para o processamento;
3.1.2 quando o processamento é necessário para o cumprimento das nossas obrigações ao abrigo da legislação laboral;
3.1.3 quando o processamento é necessário para proteger os interesses vitais do indivíduo relevante. O ICO indicou anteriormente que é improvável que esta condição seja cumprida, exceto em caso de vida ou morte ou outra situação extrema;
3.1.4 quando o processamento é necessário para a monitorização da igualdade de oportunidades; ou
3.1.5 quando o processamento é necessário para fins de medicina preventiva ou ocupacional ou para a avaliação da capacidade de trabalho do funcionário; e
3.2 em relação a dados de condenações penais e infracções, quando o indivíduo deu o seu consentimento explícito para o processamento.
6. Que direitos têm as pessoas relativamente aos seus dados pessoais?
- As pessoas têm determinados direitos ao abrigo das leis de proteção de dados(Direitos). Estes são:
1.1 o direito de acesso (também conhecido como "pedido de acesso do titular dos dados");
1.2 o direito à retificação;
1.3 o direito ao apagamento (também conhecido como o "direito a ser esquecido");
1.4 o direito de restringir o processamento;
1.5 o direito à portabilidade dos dados;
1.6 o direito de se opor; e
1.7 direitos em relação à tomada de decisões automatizadas e à definição de perfis.
- O exercício destes direitos pode ser feito por escrito, incluindo por correio eletrónico, e também verbalmente, devendo ser respondido por escrito sem demora injustificada e, em qualquer caso, no prazo de um mês a contar da receção do pedido. Este prazo pode ser prorrogado por mais dois meses, se necessário, tendo em conta a complexidade e o número de pedidos. Devemos informar o indivíduo de qualquer prorrogação no prazo de um mês a contar da receção do pedido, juntamente com os motivos do atraso.
- Se receber um pedido verbal relacionado com um direito, ou se acreditar que recebeu um pedido verbal para o exercício de um direito, deve transmitir a chamada ou a pessoa ao nosso Gestor de Conformidade de Dados. O nosso Gestor de Conformidade de Dados fará um registo escrito de todos os detalhes relevantes e explicará o procedimento. Se possível, tente que o pedido seja confirmado por escrito. Se não for possível transferir a pessoa, registar por escrito o pedido e os dados de contacto da pessoa que o faz. Se receber uma carta ou uma mensagem de correio eletrónico a exercer um direito, deve transmitir a carta ou a mensagem de correio eletrónico ao nosso Gestor de Conformidade de Dados, que responderá à pessoa em causa em nosso nome.
- O nosso Responsável pela Conformidade dos Dados coordenará a ação. O nosso Gestor de Conformidade de Dados escreverá ao indivíduo e explicará a situação legal e se iremos dar seguimento ao pedido.
- Podemos pedir informações adicionais para confirmar a identidade da pessoa que faz o pedido e podemos também pedir que o âmbito do pedido seja reduzido para facilitar as pesquisas a efetuar (mas a pessoa não tem de concordar com esse pedido da nossa parte). Quando os pedidos são manifestamente infundados ou excessivos ou são repetitivos, podemos cobrar uma taxa razoável tendo em conta os custos administrativos do fornecimento das informações (e o montante pode estar sujeito a limites) ou recusarmo-nos a responder. Se nos recusarmos a responder a um pedido, explicaremos o motivo ao indivíduo, informando-o do seu direito de apresentar queixa à autoridade de controlo e a um recurso judicial sem demora injustificada e, o mais tardar, no prazo de um mês.
- Se recebermos o pedido de um terceiro (por exemplo, um consultor jurídico), temos de tomar medidas para verificar se o pedido foi, de facto, instigado pelo indivíduo e se o terceiro está devidamente autorizado a fazer o pedido. Normalmente, isto significa contactar diretamente a pessoa em causa para verificar se o terceiro está devidamente autorizado a fazer o pedido.
- Se um indivíduo não concordar com o facto de termos cumprido corretamente um direito ou se não respondermos, pode requerer uma ordem a um tribunal ou apresentar queixa ao ICO, exigindo, em cada caso, que cumpramos corretamente o direito. Se o tribunal ou o ICO concordar com o indivíduo, pode ordenar-nos que cumpramos corretamente o direito e que tomemos as medidas necessárias para o fazer, bem como que notifiquemos terceiros a quem tenhamos transmitido os dados sobre o direito. Um tribunal pode também atribuir uma indemnização ao indivíduo por quaisquer danos que tenha sofrido em resultado do nosso incumprimento. O ICO pode também impor-nos uma coima civil. Estas coimas podem ser muito substanciais
7. Podemos transferir dados pessoais para fora do Reino Unido?
- Os dados pessoais não podem ser transferidos para fora do Reino Unido, a menos que o país de destino garanta um nível adequado de proteção dos direitos dos indivíduos em relação ao tratamento de dados pessoais ou que a Comissão estabeleça protecções adequadas. Estas protecções podem resultar de contratos especiais que temos de celebrar com o destinatário dos dados pessoais, do facto de este aceitar ficar vinculado a regras específicas de proteção de dados ou do facto de a legislação do próprio país do destinatário proporcionar proteção suficiente
- O utilizador não deve, em circunstância alguma, transferir quaisquer dados pessoais para fora do Reino Unido sem o consentimento prévio por escrito do nosso Gestor de Conformidade de Dados. Teremos também de informar as pessoas afectadas de qualquer transferência dos seus dados pessoais para fora do Reino Unido e poderemos ter de alterar o nosso aviso de privacidade para ter em conta a transferência de dados para fora do Reino Unido.
- Se estiver envolvido em qualquer novo tratamento de dados pessoais que possa envolver a transferência de dados pessoais para fora do Reino Unido, solicite a aprovação do nosso Gestor de Conformidade de Dados antes de implementar qualquer tratamento de dados pessoais que possa ter esse efeito.
8. Quais são as implicações de uma infração a esta política?
- Quaisquer infracções a esta política serão consideradas muito seriamente. Todo o pessoal deve ler esta Política cuidadosamente e certificar-se de que a conhece. A violação da presente política constitui uma infração disciplinar e será tratada no âmbito do nosso procedimento disciplinar e de capacidade.
- Se o utilizador não cumprir as leis de proteção de dados e/ou a presente Política, é encorajado a comunicar imediatamente esse facto ao nosso Gestor de Conformidade de Dados. Esta comunicação será tida em conta na avaliação da forma de lidar com qualquer violação, incluindo quaisquer incumprimentos que possam ser anteriores à entrada em vigor da presente Política.
- Além disso, se tiver conhecimento ou acreditar que qualquer outro representante nosso não está a cumprir as leis de proteção de dados e/ou a presente Política, deve comunicá-lo confidencialmente ao nosso Gestor de Conformidade de Dados. A nossa política de denúncia de irregularidades aplicar-se-á nestas circunstâncias e o utilizador pode optar por denunciar qualquer incumprimento ou violação através do nosso serviço de denúncia de irregularidades confidencial.
- Há uma série de consequências graves, tanto para si como para nós, se não cumprirmos as leis de proteção de dados. Estas incluem:
4.1 Para si:
4.1.1 Ação disciplinar ou despedimento
4.1.2 Sanções penais para infracções graves
4.1.3 Investigações e entrevistas
4.2 Para a nossa empresa:
4.2.1 Sanções penais
4.2.2 Multas civis até 17,5 milhões de libras ou 4% do volume de negócios mundial, consoante o valor mais elevado.
4.2.3 Avaliações, investigações e acções coercivas do ICO
4.2.4 Ordens judiciais
4.2.5 Pedidos de indemnização por parte de indivíduos
4.2.6 Má publicidade e perda de negócios
4.2.7 Drenagem de tempo e recursos de gestão
9. Que medidas práticas posso adotar para garantir a conformidade?
Embora deva aplicar sempre uma abordagem de senso comum à forma como utiliza e salvaguarda os dados pessoais e tratá-los com cuidado e respeito, apresentam-se a seguir alguns exemplos de coisas a fazer e a não fazer:
- Não levar os dados pessoais para fora das nossas instalações (exceto se for absolutamente necessário).
- Divulgar os seus logins e palavras-passe únicos para qualquer um dos nossos sistemas de TI apenas a pessoal autorizado (por exemplo, TI) e não a qualquer outra pessoa.
- Nunca deixe quaisquer objectos que contenham dados pessoais sem vigilância num local público, por exemplo, num comboio, num café ou em locais não seguros, por exemplo, no seu carro, durante a noite - isto inclui ficheiros em papel, telemóveis, computadores portáteis, tablets, cartões de memória, etc.
- Encriptar computadores portáteis, dispositivos móveis e dispositivos de armazenamento amovíveis que contenham dados pessoais, trancá-los e mantê-los fora de alcance quando não estiverem a ser utilizados.
- Proteger com palavra-passe documentos e bases de dados que contenham dados pessoais mais sensíveis.
- Utilize a eliminação de resíduos confidenciais para quaisquer papéis que contenham dados pessoais, não os coloque no lixo comum, num contentor ou num contentor de lixo, etc., a menos que tenham sido previamente triturados.
- Quando estiver num local público, por exemplo, num comboio ou num café, ou mesmo no escritório, tenha cuidado com quem pode ver as informações no ecrã de qualquer dispositivo que esteja a utilizar quando tem informações pessoais expostas e, se necessário, mude de local ou de tarefa. Além disso, quando falar ao telefone num local público, ou mesmo no escritório, tenha o cuidado de não utilizar os nomes completos das pessoas ou outras informações de identificação, uma vez que não sabe quem poderá ouvir a conversa. Em vez disso, utilize as iniciais ou apenas o primeiro nome para preservar a confidencialidade.
- Nunca actue de acordo com as instruções de alguém, a menos que tenha a certeza absoluta da sua identidade e, se não tiver a certeza, tome medidas para determinar a sua identidade. Isto é particularmente verdade quando as instruções dizem respeito a informações que podem ser sensíveis ou prejudiciais se chegarem às mãos de terceiros ou quando as instruções envolvem dinheiro, bens ou objectos valiosos ou não podem ser facilmente revertidas.
- Não transferir dados pessoais para terceiros sem o consentimento prévio por escrito de um membro sénior da empresa.
- Notificar imediatamente o nosso Gestor de Conformidade de Dados de qualquer suspeita de violação de segurança ou perda de dados pessoais (incluindo a perda de dispositivos ou materiais que contenham dados pessoais).
ANEXO 1 DA POLÍTICA DE PROTECÇÃO DE DADOS
VIOLAÇÕES DE DADOS
1. Violações de dados
- Uma violação de dados inclui qualquer perda de dados que nos pertençam ou sejam utilizados por nós, quer um terceiro obtenha ou não acesso aos dados. Assim, por exemplo, isto inclui:
1.1 perda de um computador, portátil, telemóvel ou suporte de armazenamento amovível, perda de ficheiros físicos em papel ou destruição não segura dos nossos dados;
1.2 perda dos nossos dados armazenados num computador ou servidor devido a corrupção do disco rígido ou pirataria informática ou a um ataque (por exemplo, ransomware, malware, vírus) à nossa rede e sistemas informáticos (ou de terceiros);
1.3 enviar um e-mail ou correio para a pessoa errada que contém nossos dados ou enviar um e-mail para um grupo de destinatários usando o campo "para" quando seus endereços de e-mail não deveriam ter sido divulgados para os outros destinatários;
1.4 permitir que alguém ouça uma conversa telefônica quando detalhes de identificação são divulgados; ou
1.5 dados sendo divulgados ou revelados a alguém que não tem o direito de ver ou conhecer esses dados.
- A lista acima não é exaustiva e as violações de dados podem assumir muitas formas. Exigimos a comunicação de violações de dados, quer os dados estejam ou não relacionados com um indivíduo, pelo que qualquer tipo de violação de dados nos deve ser comunicado.
2. O que tens de fazer?
- Assim que tiver conhecimento de qualquer violação de dados que envolva os nossos dados, deve notificar IMEDIATAMENTE o nosso Gestor de Conformidade de Dados. Deve também certificar-se de que a receção da notificação é acusada, para evitar que o destinatário esteja fora do escritório ou de férias. Se não receber um aviso de receção no prazo de 2 horas, informe imediatamente o Diretor Imran Ahmed sobre a violação de dados. Cabe-lhe a si garantir que a violação de dados é notificada e que a notificação é recebida. Não se limite a enviar uma mensagem de correio eletrónico ou deixar uma mensagem de voz e esquecer o assunto.
- Terá de fornecer detalhes e antecedentes relativos à violação de dados, incluindo detalhes sobre o tipo de dados perdidos, a quantidade de dados perdidos, a quem se referem, como foram perdidos e a identidade de qualquer terceiro que tenha adquirido os dados (se conhecido). Deve também fornecer quaisquer outras informações que nos possam ser solicitadas e, nalguns casos, podemos pedir-lhe que preencha um formulário detalhando a violação de dados com o máximo de informações que tiver disponível. Mesmo que não disponha imediatamente de todas estas informações, não demore a notificar-nos da violação de dados. O tempo é crucial.
- O requisito de notificação aplica-se quer o utilizador esteja ou não envolvido ou seja a causa da violação de dados. Se tiver conhecimento de uma violação de dados, deve notificar-nos independentemente da sua causa. Todas as notificações que digam respeito a um colega ou outro trabalhador serão tratadas de forma confidencial, de acordo com a nossa política de denúncia de irregularidades.
4. Quais são as consequências da falta de notificação?
- Se notificar uma violação de dados de acordo com esta política, mesmo que seja responsável por causar ou contribuir para a violação de dados, por exemplo devido a erro humano, preferimos ter conhecimento da violação de dados. O facto de ter comunicado a violação funcionará a seu favor, e é um facto da vida que, por vezes, ocorrem violações de dados.
- No entanto, se tiver conhecimento de uma violação de dados relacionada com os nossos dados e não notificar essa violação de acordo com esta Política, consideraremos esse facto como uma falta grave. Isto aplica-se quer a violação de dados tenha sido causada ou contribuída por si, quer tenha apenas conhecimento de uma violação de dados causada ou contribuída por um colega ou terceiro, ou mesmo apenas tenha conhecimento de uma violação de dados em que ninguém teve culpa.
5. Porque é que se deve notificar?
- Ao abrigo da lei de proteção de dados, temos o dever de informar o ICO de violações de dados que envolvam dados pessoais que controlamos, o mais rapidamente possível, nos casos em que a violação de dados possa resultar em danos para os indivíduos. Temos de informar o ICO o mais rapidamente possível e, em qualquer caso, no prazo de 72 horas após termos tido conhecimento da violação de dados. Este período de tempo começa a contar a partir do momento em que toma conhecimento da violação de dados e não a partir do momento em que nos notifica a violação de dados. Por conseguinte, a notificação deve ser efectuada imediatamente.
- A sua notificação permitir-nos-á avaliar se temos ou não de notificar o ICO relativamente à violação de dados. Se não notificarmos o ICO quando o deveríamos fazer, podemos estar sujeitos a coimas até 2% do volume de negócios mundial do grupo ou 8,7 milhões de libras, consoante o valor mais elevado. Estes riscos são muito substanciais e, por este motivo, a não notificação de qualquer violação de dados de que tenha conhecimento é tratada como falta grave e pode resultar em despedimento ou rescisão de contrato.
6. O que acontece depois da notificação?
- Depois de notificar uma violação de dados, avaliaremos o que deve ser feito a seguir. Poderá ser necessário comunicar a violação de dados ao ICO. Poderemos também ter de comunicar a violação de dados aos indivíduos cujos dados foram afectados pela violação de dados.
- Poderemos também ter de tomar medidas para tentar atenuar o impacto da violação de dados, conter a violação de dados ou reverter a violação de dados. Estas medidas são mais fáceis de tomar se tivermos conhecimento da violação de dados o mais rapidamente possível e sem atrasos.
- Poderemos também ter de alterar os nossos sistemas, procedimentos e protecções para evitar ou reduzir o risco de uma tal violação de dados no futuro. Normalmente, há sempre algo a aprender com uma violação de dados.
- Aconteça o que acontecer, registaremos a violação de dados no nosso registo de violações de dados, o que nos poderá ajudar a detetar padrões ou áreas de risco particular ao longo do tempo, de modo a podermos tomar medidas para prevenir ou reduzir o risco de violações de dados repetidas.
ANEXO 2 DA POLÍTICA DE PROTECÇÃO DE DADOS
DOCUMENTO POLÍTICO ADEQUADO
1. Introdução
O presente documento define a forma como protegeremos os dados de categoria especial e os dados de condenações penais e infracções e cumpre o requisito da Lei de Proteção de Dados de 2018 de que exista um documento de política adequado quando esses dados pessoais em determinadas circunstâncias.
2. Por que razão tratamos dados de categorias especiais e dados relativos a condenações penais e infracções
- Processamos dados de categorias especiais para as seguintes finalidades:
1.1 avaliar a aptidão de um funcionário para trabalhar;
1.2 cumprir as obrigações de saúde e segurança;
1.3 cumprir a Lei da Igualdade de 2010;
1.4 verificar o direito dos candidatos e funcionários de trabalhar no Reino Unido; e
1.5 verificar se os candidatos são adequados para o emprego ou para a continuação do emprego.
- Tratamos os dados relativos a condenações penais e infracções para as seguintes finalidades:
2.1 verificar se os candidatos são adequados para o emprego ou para a continuação do emprego; e
2.2 assegurar que o pessoal está autorizado a conduzir veículos da empresa e providenciar um seguro para a condução desses veículos.
3. Conformidade com os princípios da proteção de dados
- Legalidade, equidade e transparência
1.1 Só trataremos os dados pessoais de forma justa e legal e para fins específicos. A lei de proteção de dados restringe as nossas acções relativas a dados pessoais a fins legais especificados. Só podemos processar dados de categorias especiais e dados de condenações penais e infracções se tivermos um fundamento jurídico para o processamento e se se aplicar uma das condições específicas de processamento relacionadas com dados de categorias especiais ou dados de condenações penais e infracções. Identificaremos e documentaremos o fundamento jurídico e a condição específica de tratamento invocada para cada atividade de tratamento.
1.2 Quando recolhermos dados de categorias especiais e dados de condenações penais e de infracções junto das pessoas em causa, quer diretamente junto das pessoas em causa, quer indiretamente (por exemplo, junto de terceiros), forneceremos às pessoas em causa um aviso de privacidade que contenha todas as informações exigidas pela legislação em matéria de proteção de dados, num aviso de privacidade conciso, transparente, inteligível, facilmente acessível e numa linguagem clara e simples que possa ser facilmente compreendida.|
Trabalhadores, contratantes e empregados | |
Dados relativos à saúde Consentimento (artigo 6.º, n.º 1, alínea a), do RGPD do Reino Unido). Cumprimento de uma obrigação legal (Artigo 6 (1)(c) do RGPD do Reino Unido). Necessário para a execução de um contrato com o titular dos dados (Artigo 6(1)(b) do RGPD do Reino Unido). Nos interesses legítimos da organização, que não são ultrapassados pelos direitos e liberdades fundamentais da pessoa em causa (artigo 6.º, n.º 1, alínea f), do RGPD do Reino Unido). | A pessoa em causa deu o seu consentimento explícito para o tratamento (artigo 9.º, n.º 2, alínea a), do RGPD do Reino Unido). Necessário para efeitos do cumprimento das obrigações e do exercício de direitos específicos do responsável pelo tratamento ou da pessoa em causa no domínio do emprego e da segurança social e da legislação em matéria de proteção social (artigo 9.º, n.º 2, alínea b), do RGPD do Reino Unido e n.º 1, Anexo 1, DPA 2018). Necessário para proteger os interesses vitais da pessoa em causa ou de outra pessoa singular quando a pessoa em causa é física ou legalmente incapaz de dar o seu consentimento (artigo 9.º, n.º 2, alínea c), do RGPD do Reino Unido). Necessários para efeitos de medicina preventiva ou do trabalho, para a avaliação da capacidade de trabalho do trabalhador, diagnóstico médico, prestação de cuidados ou tratamentos de saúde ou sociais ou gestão de sistemas e serviços de saúde ou sociais, desde que esses dados sejam tratados por ou sob a responsabilidade de um profissional ou de outra pessoa sujeita a uma obrigação legal de sigilo profissional ou a regras estabelecidas por um organismo nacional competente (artigo 9.º, n.º 2, alínea h), do RGPD do Reino Unido e n.º 2, Anexo 1, DPA 2018). |
Dados relativos à origem racial ou étnica Consentimento (nº 1, alínea a), do artigo 6º). Cumprimento de uma obrigação legal (artigo 6.º, n.º 1, alínea c)). Interesses legítimos da organização que não são ultrapassados pelos direitos e liberdades fundamentais da pessoa em causa (alínea f) do n.º 1 do artigo 6. | A pessoa em causa deu o seu consentimento explícito para o tratamento (artigo 9.º, n.º 2, alínea a), do RGPD do Reino Unido). Necessário para efeitos do cumprimento das obrigações e do exercício de direitos específicos do responsável pelo tratamento ou da pessoa em causa no domínio do emprego e da segurança social e da legislação em matéria de proteção social (artigo 9.º, n.º 2, alínea b), do RGPD do Reino Unido e n.º 1, Anexo 1, DPA 2018). Necessário para identificar ou manter sob análise a existência ou ausência de igualdade de oportunidades ou de tratamento entre grupos de pessoas especificados em relação a essa categoria, com o objetivo de permitir que essa igualdade seja promovida ou mantida. (Artigo 9(2)(g) do RGPD do Reino Unido e Parágrafo 8, Anexo 1, DPA 2018) Realizado como parte de um processo de identificação de indivíduos adequados para ocupar cargos superiores numa organização específica, num tipo de organização ou organizações em geral ou necessário para efeitos de promoção ou manutenção da diversidade nas origens raciais e étnicas de indivíduos que ocupam cargos superiores na organização ou organizações e, em ambos os casos, pode ser razoavelmente realizado sem o consentimento do titular dos dados. (Artigo 9(2)(g) do RGPD do Reino Unido e Parágrafo 9, Anexo 1, DPA 2018) |
Dados relativos a condenações penais e infracções Cumprimento de uma obrigação legal (alínea c) do n.º 1 do artigo 6. No interesse legítimo da organização, que não é ultrapassado pelos direitos e liberdades fundamentais da pessoa em causa (alínea f) do n.º 1 do artigo 6. | Necessário para efeitos do cumprimento das obrigações e do exercício de direitos específicos do responsável pelo tratamento ou da pessoa em causa no domínio do emprego e da segurança social e da legislação em matéria de proteção social (artigo 9.º, n.º 2, alínea b), do RGPD do Reino Unido e n.º 1, Anexo 1, DPA 2018). Prevenção ou deteção de actos ilícitos (artigo 10.º do RGPD do Reino Unido e parágrafos 10 e 36 do Anexo 1 da DPA 2018). Requisitos regulamentares relativos a actos ilícitos e desonestidade (artigo 10.º do RGPD do Reino Unido e parágrafos 12 e 36 do Anexo 1, APD 2018). |
| |
- Limitação do objetivo
Só recolheremos dados pessoais para fins específicos, explícitos e legítimos e informaremos os titulares dos dados sobre esses fins num aviso de privacidade publicado. Não utilizaremos os dados pessoais para fins novos, diferentes ou incompatíveis com os divulgados aquando da sua obtenção inicial, a menos que tenhamos informado o titular dos dados dos novos fins e que este tenha dado o seu consentimento, se necessário.
- Minimização de dados
Apenas recolheremos ou divulgaremos os dados pessoais mínimos necessários para a finalidade para a qual os dados são recolhidos ou divulgados. Asseguraremos que não recolhemos dados excessivos e que os dados pessoais recolhidos são adequados e relevantes para os fins pretendidos.
- Exatidão
Asseguramos que os dados pessoais que detemos e utilizamos são exactos, completos, actualizados e relevantes para a finalidade para a qual são recolhidos por nós. Verificamos a exatidão de quaisquer dados pessoais no momento da recolha e, posteriormente, a intervalos regulares. Tomamos todas as medidas razoáveis para destruir ou alterar dados pessoais inexactos ou desactualizados.
- Limitação de armazenamento
5.1 Apenas mantemos os dados pessoais num formato identificável durante o tempo necessário para os fins para os quais foram recolhidos, ou quando temos a obrigação legal de o fazer. Quando já não necessitarmos dos dados pessoais, estes serão eliminados ou tornados permanentemente anónimos.
5.2 Mantemos uma Política de Retenção de Dados e procedimentos relacionados para garantir que os dados pessoais são eliminados após um período de tempo razoável para os fins para os quais foram mantidos, a menos que sejamos legalmente obrigados a reter esses dados por mais tempo.
5.3 Garantiremos que os titulares dos dados são informados do período durante o qual os dados são armazenados e como esse período é determinado em qualquer aviso de privacidade aplicável.
- Segurança, integridade, confidencialidade
Levamos muito a sério a segurança dos dados de categorias especiais e dos dados relativos a condenações e infracções penais. Dispomos de salvaguardas administrativas, físicas e técnicas adequadas para proteger os dados pessoais contra o processamento ilegal ou não autorizado, ou contra perdas ou danos acidentais.
- Princípio de responsabilidade
7.1 Somos responsáveis por, e capazes de demonstrar, a conformidade com os princípios acima referidos. O nosso Gestor de Conformidade de Dados é responsável por garantir que estamos em conformidade com os princípios acima referidos.
7.2 Iremos:
7.2.1 assegurar que são mantidos registos de todas as actividades de processamento de dados pessoais e que estes são fornecidos ao ICO a pedido;
7.2.2 efetuar uma avaliação do impacto da proteção de dados para qualquer processamento de dados pessoais de alto risco para compreender como o processamento pode afetar os titulares dos dados e consultar o ICO, se necessário;
7.2.3 assegurar que é nomeado um Gestor de Conformidade de Dados para prestar aconselhamento independente e monitorizar o tratamento de dados pessoais, e que o Gestor de Conformidade de Dados tem acesso para reportar ao mais alto nível de gestão; e
7.2.4 ter processos internos para assegurar que os dados pessoais só são recolhidos, utilizados ou tratados de uma forma que esteja em conformidade com a lei de proteção de dados.
4. Políticas relativas à conservação e ao apagamento de dados pessoais
- Asseguraremos que, sempre que forem tratados dados de categorias especiais ou dados de condenações penais e de infracções:
1.1 o tratamento seja registado e o registo estabeleça, sempre que possível, um período de tempo adequado para o apagamento seguro e permanente das diferentes categorias de dados, de acordo com a nossa Política de Conservação de Dados;
1.2. Quando já não necessitarmos de dados de categorias especiais ou de dados de condenações penais e de infracções para a finalidade para que foram recolhidos, apagá-los-emos ou torná-los-emos permanentemente anónimos o mais rapidamente possível;
1.3. Quando os registos forem destruídos, asseguraremos que são eliminados de forma segura e permanente.
- Os titulares dos dados recebem um aviso de privacidade que estabelece a forma como os seus dados pessoais serão tratados quando obtemos os seus dados pessoais pela primeira vez, incluindo o período durante o qual os dados pessoais serão armazenados ou, se tal não for possível, os critérios utilizados para determinar esse período.
5. Revisão
- Este documento de política adequado sobre o tratamento de dados de categorias especiais e de dados relativos a condenações penais e infracções é revisto anualmente.
- Este documento de política adequado será conservado sempre que processarmos dados de categorias especiais e dados de condenações e infracções penais e durante um período de, pelo menos, seis meses após termos deixado de efetuar esse processamento.
- Será fornecida uma cópia desta política ao ICO, a pedido e gratuitamente.