MANUAL PROCEDIMENTOS / CÓDIGO DE CONDUTA PARA APLICAÇÃO DO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS IMPRESSÕES POSITIVAS, UNIPESSOAL LDA.
Dados Pessoais
Os dados pessoais são informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica (E-mail) ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.
A entidade responsável pelo tratamento de dados é a Impressões Positivas Unipessoal, Lda.
•A Impressões Positivas designou encarregado de proteção de dados que poderá ser diretamente contactado através de carta para a Impressões Positivas DPO, Alameda da Empresa, 64 AL14, 4440-133 Vila Nova de Gaia.
Os dados pessoais dos Clientes são tratados por serem necessários à celebração e execução do contrato, ao cumprimento das obrigações legalmente impostas à Impressões Positivas, ao prosseguimento de interesses legítimos da Impressões Positivas ou porque foram objeto de consentimento expresso.
Os dados pessoais fornecidos pelo cliente ou gerados pela utilização dos serviços serão processados e armazenados informaticamente, destinando-se a ser utilizados pela Impressões Positivas para: Marketing e vendas, gestão de clientes e prestação de serviços, gestão contabilística, fiscal e administrativa, gestão de contencioso, gestão de rede e sistemas, controlo da segurança de informação e cumprimento de obrigações legais.
O tratamento de dados para fins de marketing será efetuado de acordo com a opção de consentimento manifestada pelo Cliente. O consentimento deve ser prévio, livre, informado específico e inequívoco, manifestado numa declaração escrita ou através da validação de uma opção. O Cliente pode opor-se ao tratamento dos dados para fins de marketing a qualquer momento e através de qualquer meio escrito.
• No caso de tratamento de dados pessoais de menores, que possam estar sujeitos a consentimento prévio, a Impressões Positivas exigirá que seja prestado consentimento por parte dos detentores das responsabilidades parentais, designadamente para efeitos de prestação de serviços, à distância, por via eletrónica.
• Os dados pessoais são conservados por períodos diferentes, consoante a finalidade a que se destinam e tendo em conta critérios legais, de necessidade e minimização do tempo de conservação.
A Impressões Positivas pode recorrer a subcontratantes para efeitos do tratamento de dados pessoais, nomeadamente para gestão de cliente, prestação do serviço, faturação e gestão de contencioso, ficando estas entidades obrigadas a desenvolver as medidas técnicas e organizativas adequadas à proteção dos dados e assegurar a defesa dos direitos do titular.
Em determinadas circunstâncias, certos dados pessoais poderão ter de ser comunicados a autoridades públicas, como por exemplo autoridade tributária e aduaneira, instituto de segurança social e tribunais.
É garantido aos Clientes o direito de acesso, retificação, oposição e esquecimento, este último com restrições consoante a área e finalidades de tratamento.
A Impressões Positivas recorre a fornecedores de serviços a terceiros para efetuar diversas operações comerciais. Desta forma, tem de partilhar a sua informação pessoal com estes fornecedores. Contudo, apenas é fornecida a informação pessoal necessária para efetuarem os serviços que solicitamos e exigimos que estes protejam esta informação e não a utilizem para qualquer outro fim. Por exemplo, podemos recorrer a um fornecedor de serviços para:
Satisfazer os seus pedidos de produtos e serviços e responder às suas questões. Hospedar os nossos sites e enviar as nossas mensagens de correio eletrónico ou outras comunicações. Enviar amostras de produtos, contactar vencedores de concursos, gerir pagamentos ou realizar outras ações em nosso nome. Analisar os nossos dados, por vezes combinados com dados de outras fontes, para lhe enviar comunicações. Realizar estudos e analisar dados para melhorar os nossos produtos, serviços e sites. Conforme permitido por lei, combinar informação pessoal sobre si que a Impressões Positivas tenha recolhido com informação pessoal sobre si que um parceiro comercial tenha recolhido, para que lhe possamos enviar conjuntamente comunicações promocionais personalizadas à sua medida. Nessas circunstâncias, o nosso parceiro comercial não poderá utilizar os dados da Impressões Positivas ou dados combinados para fins de marketing próprios e independentes. O nosso fornecedor de serviços apenas poderá utilizar um conjunto combinado de informação para lhe enviar comunicações conjuntas que esperamos que sejam do seu interesse. Se preferir não receber estas comunicações conjuntas, pode sempre optar por ser excluído seguindo as instruções fornecidas nas referidas comunicações; Efetuar outros serviços que solicitamos.
Direitos dos Clientes
Direito de informação/acesso e transparência Direito a obter a confirmação de quais são os seus dados pessoais que são tratados e informação sobre os mesmos, como por exemplo, quais as finalidades do tratamento, quais os prazos de conservação, entre outros. Direito de retificação Direito de solicitar a retificação dos seus dados pessoais que se encontrem inexatos ou solicitar que os dados pessoais incompletos sejam completados, como por exemplo a morada, o NIF, o email, os contactos telefónicos, ou outros. Direito ao apagamento dos dados ou “direito a ser esquecido”
Direito de obter o apagamento dos seus dados pessoais, desde que não se verifiquem fundamentos válidos para a sua conservação, como por exemplo os casos em que a Impressões Positivas tem de conservar os dados para cumprir uma obrigação legal de preservação para cobrança de prestação de serviços realizados, investigação, deteção e repressão de crimes ou porque se encontra em curso um processo judicial.
Direito à portabilidade Direito de receber os dados que forneceu à Impressões Positivas em formato digital de uso corrente e de leitura automática ou de solicitar a transmissão direta dos seus dados para outra entidade que passe a ser o novo responsável pelos seus dados pessoais, como por exemplo, receber as suas faturas ou transmitir os seus contactos para o novo responsável, mas neste caso apenas se for tecnicamente possível e sem encargos adicionais para a Impressões Positivas. Sendo legalmente admissível, mas, caso a portabilidade importe custos adicionais para a Impressões Positivas, os mesmos terão de ser suportados pelo Cliente.
Direito a retirar o consentimento ou direito de oposição
Direito de se opor ou retirar o seu consentimento, a qualquer momento a um tratamento de dados, como por exemplo no caso de tratamento de dados para fins de marketing, desde que não se verifiquem interesses legítimos que prevalecem sobre os seus interesses, direitos e liberdades, como por exemplo de defesa de um direito num processo judicial. Direito de limitação do tratamento Direito a solicitar a limitação do tratamento dos seus dados pessoais, sob a forma de: Suspensão do tratamento; limitação do âmbito do tratamento a certas categorias de dados ou finalidades de tratamento.
Direito de oposição e decisões individuais automatizadas
Quando o tratamento de dados pessoais, incluindo o tratamento para a definição de perfis, seja exclusivamente automático (sem intervenção humana) e possa produzir efeitos na sua esfera jurídica ou o afetar significativamente terá o direito a não ficar sujeito a nenhuma decisão que se baseie nesse tratamento automático, salvo as exceções previstas na lei e terá o direito a que a Impressões Positivas adote medidas adequadas para salvaguardar os seus direitos e liberdades e legítimos interesses, incluindo o direito a que haja intervenção humana na tomada de decisões, o direito de manifestar o ponto de vista do Cliente ou contestar a decisão tomada com base no tratamento automatizado de dados pessoais.
Direito a reclamar Direito de apresentar reclamação à autoridade de controlo, a CNPD, para além da empresa ou do DPO.
III. Recolha de dados A recolha de dados para tratamento deve processar-se nos termos da lei em vigor, no estrito cumprimento dos direitos, liberdades e garantias previstos na Constituição da República Portuguesa e efetuar-se de forma lícita, legal e transparente.
Consentimento para tratamento de dados dos Clientes
A Impressões Positivas deve obter o consentimento expresso (escrito) para tratamento de dados pessoais dos clientes, colaboradores, contabilistas e quaisquer entidades com quem estabeleça relações comerciais. Modelo: Exmos. Srs.Por forma a cumprir com o novo Regulamento Geral de Proteção de Dados, vimos por este meio, na qualidade de Responsáveis pelo Tratamento dos seus dados pessoais solicitar o seu consentimento, nos termos e para os efeitos dos arts. 4.º, 11), 6.º, n.º 1, a) e 7.º do RGPD. Deste modo, para que os seus dados pessoais possam continuar a ser objeto de tratamento torna-se necessário recolher o seu expresso consentimento nesse sentido.Agradecemos, pois, que caso continue a manter interesse no tratamento dos seus dados pessoais responda a este email para confirmar o processamento, respondendo ao presente e-mail apenas “sim, dou o meu consentimento para o processamento dos meus dados”.
Recolha de Dados dos Trabalhadores
Os novos colaboradores da Impressões Positivas verão aposto no seu contrato de trabalho uma cláusula específica que permita o tratamento dos seus dados pessoais, tratamento que é imperativo para efeitos de processamento de salários e regulação de toda a relação laboral durante e após cessação do vínculo. Os atuais colaboradores da Impressões Positivas, verão adicionado ao seu contrato de trabalho ou prestadores de serviços uma adenda nos seguintes termos (modelo):
Segredo Profissional
Todos os trabalhadores da Impressões Positivas que tratem com dados pessoais dos clientes, colaboradores, voluntários, fornecedores estão obrigados a manter o segredo sobre os mesmos, nomeadamente de não poder revelar ou utilizar os mesmos, a não ser em casos em que a lei obrigue, nomeadamente quando as entidades públicas exijam a transmissão de dados, nomeadamente, entidades policiais, tribunais, autoridade tributária, segurança social ou outras entidades públicas. VII. Obrigações do encarregado de proteção de dados Compete ao Encarregado de Proteção de Dados controlador dos processos de segurança para garantir a proteção de dados no dia-a-dia da empresa:
• Informa e aconselha em matéria de proteção de dados pessoais;
• Controla a conformidade do tratamento de dados pessoais com o RGPD e com outras disposições de proteção de dados da UE;
• Presta aconselhamento no que respeita à avaliação de impacto sobre proteção de dados e controla a sua realização;
• Coopera e funciona como ponto de ligação com a autoridade de controlo.
VIII. Esclarecimento e interpretação do Código de Conduta Os pedidos de esclarecimento de dúvidas na interpretação ou aplicação deste Código de Conduta deverão ser dirigidos ao encarregado pela proteção de dados, que responderá ou reencaminhará para o departamento correspondente para ser respondido. O encarregado pela proteção de dados promoverá a divulgação do Código de Conduta, a sensibilização e formação de todos os trabalhadores, bem como o acompanhamento da aplicação e a respetiva avaliação, em colaboração com a equipe de trabalho que constituir.
Incidentes (violações de segurança)
São considerados incidentes: – Acesso malicioso ou não autorizado à rede; – Acesso malicioso ou não autorizado a um dispositivo; – Um acesso indevido aos dados (causado ou não por um acesso malicioso ou não autorizado);
– Uma divulgação em massa de dados pessoais por causa de um acesso indevido ou um incidente – Envio de dados pessoais ao titular errado;
– Roubo/Furto de aparelhos (encriptados ou não);
– Alteração de dados pessoais sem autorização do titular dos dados. Procedimento O responsável pelo tratamento notifica desse facto a autoridade de controlo competente
– Comissão Nacional de Proteção de Dados (Rua de São Bento n.º 148-3º 1200-821 Lisboa
– Tel: +351 213928400
– Fax: +351 213976832
– e-mail: geral@cnpd.pt) num prazo máximo de 72 horas, no estrito cumprimento do artigo 33.º do Regulamento.
Preenchimento de lacunas
A todas as omissões ao previsto no presente Código de Conduta, será aplicado o estipulado no Regulamento Geral de Proteção de Dados, bem como a legislação nacional em vigor sobre este assunto.
Entrada em vigor
O presente código entra em vigor no dia 01 de maio de 2018.