Esta diretiva de proteção de dados aplica-se à Opensoft SA que se compromete a cumpri-la de acordo com a legislação nacional e internacional dos direitos de proteção de dados.
A diretiva de proteção de dados define as condições e pressupostos para o armazenamento, processamento e intercâmbio de dados, de acordo com o exigido pela diretiva de proteção de dados europeia (Diretiva 95/46/CE do Parlamento Europeu e do Conselho para a proteção de pessoas físicas no processamento de dados pessoais e a livre circulação de dados).
Princípios para o processamento de dados pessoais
1. Equidade e legalidade
No processamento de dados pessoais deverão ser preservados os direitos do envolvido. Os dados pessoais devem ser recolhidos e processados de modo legítimo e íntegro.
2.Vinculação
O processamento de dados pessoais só deve servir às finalidades para as quais foi determinado antes da recolha dos dados. Qualquer alteração posterior ao âmbito da recolha dos dados têm de ser justificadas.
3. Transparência
A recolha dos dados pessoais deve ser efetuado junto ao envolvido que deve ser informado sobre a forma como os seus dados são tratados. No processo de recolha dos dados, o envolvido deverá, pelo menos, poder reconhecer ou ser informado adequadamente sobre o seguinte:
- Informação sobre o departamento responsável pelos dados
- Finalidade do processamento de dados
- Terceiros ou categorias de terceiros aos quais os dados serão, eventualmente, transmitidos
4.Essencialidade e economia nos dados
Previamente ao processamento dos dados pessoais, deve-se verificar se os dados recolhidos são necessários para atingir o objetivo pretendido com o processamento. Os dados devem ser anonimizados, exceto quando não for possível atingir o objetivo do processamento dos dados e quando a relação entre o esforço de anonimizar os dados em relação à finalidade pretendida for inadequada.
Os dados pessoais não deverão ser guardados para eventuais finalidades futuras, exceto quando for estipulado ou permitido pela legislação do país.
5.Apagamento de dados
Os dados pessoais que não sejam mais necessários devem ser apagados depois da prescrição do período de conservação de dados, tendo em conta o especificado por lei ou previsto nos processos internos da empresa. Em casos excecionais, como a existência de importância histórica dos dados, os dados devem ser conservados por mais tempo até que os interesses dignos de proteção possam ser esclarecidos legalmente.
6.Exatidão dos fatos e atualidade dos dados
Os dados pessoais devem ser guardados de forma correta, integral e, se necessário, na versão mais recente. Deverão ser tomadas as medidas necessárias para assegurar que os dados incorretos, incompletos ou desatualizados sejam eliminados, corrigidos, completados ou atualizados.
7. Confidencialidade e segurança dos dados
Os dados pessoais são confidenciais, por isso têm de ser tratados com sigilo. Através de medidas técnicas e organizacionais adequadas, os dados devem ser protegidos contra o acesso não autorizado, processamento ou encaminhamento indevidos, assim como contra destruição, perda ou alteração.
Admissibilidade do processamento de dados
O levantamento, o processamento e a utilização de dados pessoais são admissíveis, se for verificada uma das circunstâncias fatuais mencionadas abaixo. Qualquer uma destas circunstâncias fatuais é necessária se a finalidade para o levantamento, processamento e a utilização de dados pessoais tiver sofrido alterações em relação à finalidade inicial.
1. Dados de clientes e parceiros
1.1 Processamento de dados para uma relação contratual
Os dados pessoais do interessado, do cliente ou do parceiro afetado podem ser processados para fundamentar, efetuar e terminar um contrato. Esta situação abrange também as atividades de acompanhamento do parceiro contratual, desde não ultrapasse a finalidade do contrato.
Na preparação de um contrato, ou seja, na sua fase inicial, é permitido o processamento de dados pessoais para a criação de propostas, a preparação de solicitações de compra ou o cumprimento de outras necessidades do interessado relacionadas com a conclusão do contrato. É permitido contactar os interessados utilizando os dados fornecidos por eles.
1.2 Processamento de dados para fins publicitários
Se o envolvido contactar a Opensoft com um pedido de informação, o processamento de dados será permitido para atender este pedido.
O processamento de dados pessoais para fins de publicidade ou pesquisa de mercado e opinião é permitido, desde que esteja de acordo com a finalidade para a qual os dados foram originalmente recolhidos. O envolvido deve ser informado sobre a utilização dos seus dados para fins publicitários e poderá optar por não autorizar essa utilização.
No âmbito da comunicação com o envolvido, o consentimento do envolvido para o processamento dos dados poderá ser realizado através de um dos canais de contato disponíveis, como correio tradicional, correio eletrónico e telefone.
Se o envolvido se opuser à utilização dos seus dados para fins publicitários, a utilização dos seus dados para esta finalidade será inadmissível e os dados terão de ser bloqueados para este fim. Além disso, deverão ser respeitadas as restrições de alguns países relativas à utilização de dados para fins publicitários.
1.3 Consentimento no processamento de dados
O processamento de dados poderá ser realizado por consentimento do envolvido. No entanto, o envolvido deverá ser informado antes do consentimento do processamento dos dados.
Deverá existir um comprovativo da declaração de consentimento que deverá ser obtida por escrito ou via eletrónica. Em alguns casos, por exemplo, no aconselhamento telefónico, o consentimento também poderá ser registado verbalmente, mas terá de ser gravado.
1.4 Processamento de dados devido a permissão legal
O processamento de dados pessoais é permitido, se normas jurídicas nacionais exigirem, pressuporem ou autorizarem o processamento de dados. O tipo e a abrangência do processamento de dados necessários para o processamento juridicamente é orientado por normas jurídicas.
1.5 Processamento de dados devido a interesses legítimos
O processamento de dados pessoais também pode ocorrer se houver a necessidade de atender a um interesse legítimo da Opensoft. Por interesses legítimos consideram-se os de ordem jurídica (por exemplo, execução de créditos em aberto) ou económica (por exemplo, evitar interferências contratuais). Não deverá ser efetuado um processamento de dados pessoais por um interesse legítimo, se, em casos individuais, existir evidências que os interesses do envolvido, dignos de proteção, se sobrepõem ao interesse do processamento. A cada processamento devem ser examinados os interesses que carecem de proteção.
1.6 Processamento de dados dignos de proteção especial
O processamento de dados pessoais dignos de proteção especial só pode ser efetuado por lei ou mediante o consentimento expresso do envolvido.
O processamento destes dados será também permitido se for expressamente necessário para reivindicar, exercer ou defender direitos legais perante o envolvido. Antes de qualquer processamento de dados dignos de proteção especial, o responsável pela proteção de dados deverá ser informado antecipadamente.
1.7 Decisões individuais automatizadas
Processamentos de dados pessoais automatizados através dos quais são analisadas características individuais de personalidade (por exemplo, credibilidade) não devem ser a única base de exclusão para decisões com consequências jurídicas negativas ou graves prejuízos para o envolvido. O envolvido deverá ser informado dos factos e do resultado de uma decisão individual automatizada e deverá ser-lhe dada a oportunidade de se manifestar.
1.8 Dados de utilizador e Internet
Quando são recolhidos, processados e utilizados dados pessoais em páginas web ou em apps, os envolvidos devem ser informados sobre as observações relativas à proteção de dados e, se for o caso, sobre a política de cookies. As instruções de proteção de dados e de cookies devem ser integradas de modo a que os envolvidos possam identificá-las com facilidade e acede-las de forma imediata e sempre que desejarem. Se forem criados perfis de utilizadores para avaliação do comportamento de utilização de páginas web e apps, esse facto deve constar na política de proteção de dados. Estes dados só podem ser recolhidos se for permitido pela legislação em vigor ou o envolvido der consentimento. Deverá ser concedido ao envolvido a oportunidade de contestação (opt-out) nas instruções de proteção de dados.
Se nas páginas web ou em apps for permitido o acesso a dados pessoais numa área privada, estes só podem ser acedidos após a identificação e autenticidade do envolvido ser executada.
2. Dados de colaboradores
2.1 Processamento de dados para vínculo laboral
Para o vínculo laboral poderão ser recolhidos os dados necessários para a celebração, execução e rescisão do contrato de trabalho.
Os dados pessoais de candidatos a ofertas de emprego poderão ser processados para dar início a um vínculo laboral. Após uma recusa, os dados do candidato deverão ser eliminados, tendo em conta os prazos legais em vigor, exceto se o candidato tiver consentido que os dados continuem armazenados para consulta em processos de seleção futuros. Caso exista uma relação de trabalho, o processamento de dados deve estar sempre submetido à finalidade do contrato de trabalho.
Se, no processo inicial da relação de trabalho ou na relação de trabalho existente, for necessário o levantamento de informações adicionais sobre o candidato à vaga/trabalhador junto de terceiros, devem ser cumpridas as exigências legais em vigor. Em casos ambíguos, deverá ser obtido o consentimento do candidato.
Deverá existir uma legitimação jurídica para processamentos de dados de colaboradores que se encontrem no contexto laboral, mas que não servem originalmente para o cumprimento do contrato de trabalho. Estas podem ser imposições legais, regulamentações coletivas com representantes dos trabalhadores, um consentimento do colaborador ou interesses legítimos da empresa.
2.2 Processamento de dados devido a permissão legal
O processamento de dados pessoais de colaboradores será permitido, caso existam normas jurídicas nacionais que o exijam, pressuponham ou autorizem o processamento de dados. O tipo e a abrangência do processamento de devem orientar-se por essas normas jurídicas. Sempre que possível deverão ser levados em consideração os interesses do colaborador dignos de proteção.
2.3 Consentimento no processamento de dados
O processamento de dados com consentimento do envolvido deve ser acompanhado por uma declaração de consentimento (que será sempre voluntária). A declaração de consentimento deverá ser obtida, preferencialmente, por escrito ou via eletrónica, mas em circunstâncias excecionais o consentimento poderá ser concedido verbalmente. De qualquer forma, todas as declarações de consentimento têm de ficar devidamente documentadas.
2.4 Processamento de dados devido a interesses legítimos
O processamento de dados pessoais dos colaboradores pode ser efetuado se existir a necessidade de cumprir um interesse legítimo da Opensoft. Por interesses legítimos entendem-se os de ordem jurídica (por exemplo, a reivindicação, o exercício ou a defesa de exigências jurídicas) ou económica (por exemplo, avaliação de empresas).
O processamento de dados pessoais não deve ser executado para satisfazer um interesse legítimo, se existir indícios que os interesses do colaborador, dignos de proteção, se sobrepõem ao interesse do processamento. Assim, a cada processamento deve existir uma verificação dos interesses dignos de proteção.
As medidas de controle que exijam um processamento de dados pessoais só poderão ser tomadas, caso exista uma obrigação jurídica ou um motivo justificado. Mesmo existindo um motivo justificado, a proporcionalidade da medida de controle deve ser verificada. Os interesses legítimos da empresa na realização da medida de controle (por exemplo, cumprimento das disposições jurídicas e regulamentos internos da empresa) devem ser ponderados em relação a um possível interesse do colaborador em proteger os seus dados. O interesse legítimo da empresa e os eventuais interesses dos trabalhadores dignos de proteção, deverão ser apurados e documentados antes de qualquer medida. Além disso, deverão ser consideradas outras exigências, de acordo com o direito nacional, por exemplo o direito de voto do representante do colaborador e os direitos de informação dos envolvidos.
2.5 Processamento de dados dignos de proteção especial
Os dados pessoais dignos de proteção especial só deverão ser processados sob condições específicas. Por dados com proteção especial entendem-se aqueles que são relativos à raça ou etnia, posições políticas, convicção religiosa ou filosófica, filiações de sindicatos e à saúde ou vida sexual do envolvido. A legislação nacional pode classificar outras categorias de dados na categoria de proteção especial. Os dados relacionados com delitos só poderão ser processados sob condições especiais determinadas pela legislação do país.
O processamento dos dados dignos de proteção especial deverá ser explicitamente permitido ou estipulado, por parte da legislação nacional. Um processamento também poderá ser permitido, se for necessário, para que seja possível possa atender direitos e obrigações no âmbito do direito do trabalho. O colaborador também pode consentir o processamento de forma expressa e voluntária.
Qualquer processamento de dados com proteção especial, só pode ser efetuado depois do responsável pela proteção de dados ser informado.
2.6 Decisões automatizadas
Se, no contexto de uma relação laboral, forem processados dados pessoais de forma automatizada, tendo por base a identificação de características individuais da personalidade dos envolvidos (por exemplo, no âmbito da seleção de pessoal), este não poderá ser usado como única base para decisões com consequências negativas ou grandes prejuízos para os colaboradores afetados.
No sentido de evitar decisões erradas, o processamento automático dos dados deve ser verificado por uma pessoa que faça uma avaliação dos dados. Esta avaliação deve ser utilizada como base para a decisão do processamento dos dados de forma automatizada. Além disso, os colaboradores em questão deverão ser informados dos factos e do resultado do processamento automatizados dos dados, dando-lhes a possibilidade de se manifestarem sobre o processo e resultados.
2.7 Telecomunicação e internet
Telefones, endereços de email, intranet, internet e redes sociais internas são disponibilizados pela empresa para o exercício das tarefas de cada colaborador. Estes equipamentos e recursos de trabalho podem ser utilizados de acordo com as disposições legais vigentes e as normas internas. No caso de uma utilização autorizada para fins particulares, devem ser respeitados o sigilo das telecomunicações e a legislação relativa às telecomunicações a nível nacional, sempre que aplicável.
Não são realizados controlos à comunicação telefónica e por e-mail ou da utilização da intranet e internet. Para combater ataques à estrutura tecnológica ou a utilizadores específicos, podem ser implementadas medidas de proteção na rede da Opensoft que bloqueiem conteúdos tecnicamente nocivos. As avaliações destes dados pessoais só podem ser efetuadas mediante uma suspeita concreta e fundamentada de violação da legislação ou das diretivas da empresa. Este tipo de controlo deve cumprir a legislação nacional, assim como os regulamentos corporativos existentes.
Transmissão de dados pessoais
Uma transmissão de dados pessoais para destinatários que não pertencem à empresa rege-se pelas condições de admissibilidade do processamento de dados pessoais. O destinatário dos dados deverá comprometer-se a utilizar os dados apenas para as finalidades determinadas.
Se for feita uma transmissão dos dados a um destinatário fora da empresa que se encontre num país terceiro, este terá que garantir um nível de proteção de dados semelhante ao definido pela diretiva europeia de proteção de dados. Isto não se aplica se a transmissão ocorrer devido a uma imposição legal.
No caso de uma transmissão de dados de terceiros à empresa deve haver garantia de que os dados só poderão ser utilizados para as finalidades previstas.
Direitos do envolvido
Cada envolvido é detentor dos direitos sobre a sua informação, assim como vários direitos associados, tais como:
- O envolvido pode exigir informação sobre quais os dados pessoais e qual a origem dos dados que estão guardados pela empresa. O envolvido tem também o direito de saber qual a finalidade desses dados.
- No caso de transmissões de dados pessoais a terceiros deverá ser prestada informação sobre a identidade do destinatário.
- Se os dados pessoais estiverem incorretos ou incompletos, o envolvido tem o direito de exigir a correção ou alteração dos mesmos.
- O envolvido tem o direito de se opor à utilização dos seus dados pessoais para fins publicitários ou estudos de mercado. Neste caso, os dados terão de ser bloqueados para estas finalidades.
- O envolvido tem o direito de exigir a eliminação dos seus dados. Nesse caso, o sistema terá de guardar um registo de quando a ação de eliminação dos dados foi executada e quem a executou.
- O envolvido possui o direito de se opor contra o processamento dos seus dados. Este direito não é válido se existir uma norma jurídica que obrigue a execução do processamento.
- O envolvido tem o direito de apresentar uma reclamação à Comissão Nacional de Proteção de Dados, sempre que verificar o incumprimento da política de proteção de dados
A reivindicação destes direitos pode ser realizada pelo envolvido a qualquer momento e sem qualquer prejuízo para o mesmo. No entanto, em certos casos, o pedido poderá não ser imediatamente satisfeito (por exemplo, devido a requisitos legais).
Qualquer pedido realizado pelo envolvido será tratado com o cuidado de assegurar os seus direitos. É possível que seja necessária uma prova de identidade, uma vez que a partilha de dados pessoais será feita apenas com o envolvido.
Confidencialidade no processamento de dados
Os dados pessoais têm de ser tratados com confidencialidade, por isso é proibido aos colaboradores recolher, processar ou utilizar os dados indevidamente. Por tratamento indevido de dados entende-se todo o processamento executado por um colaborador fora do âmbito do cumprimento das suas tarefas e sem ter autorização para realizar processamento dos dados em causa. Deve ser aplicado o princípio need-to-know: os colaboradores só podem ter acesso a dados pessoais se for necessário para a realização das suas tarefas. Cada autorização para o tratamento de dados deve ser específica quanto ao tipo de dados que podem ser acedidos e qual a sua aplicação. As autorizações devem ser atualizadas sempre que necessário.
Os colaboradores não têm permissão de utilização de dados pessoais para fins particulares ou económicos, não podem transmiti-los a pessoas não autorizadas ou permitir-lhes qualquer tipo de acesso. Deve ser incutido aos trabalhadores o respeito e a obrigação da confidencialidade e do sigilo no tratamento de dados desde o início da relação de trabalho. Esta obrigação de confidencialidade permanece válida depois do encerramento da relação de trabalho.
Segurança do processamento dos dados
Os dados pessoais devem estar sempre protegidos contra o acesso não autorizado, o processamento ou a divulgação indevida, bem como contra a perda, falsificação ou destruição dos dados. Esta proteção aplica-se aos dados em formato digital e em papel.
Antes da introdução de novos sistemas de processamento de dados, sobretudo quando se trata de um novo sistema informático, devem ser definidas e implementadas medidas para garantir a proteção de dados pessoais tanto a nível técnico, como organizacional. Estas medidas devem guiar-se pelo avanço tecnológico, pelos riscos que um processamento de dados envolve, pela necessidade de proteção dos dados (apurada pelo processo de classificação de informação) e necessitam de ser validadas pela equipa responsável pela proteção de dados As medidas a nível técnico e organizacional têm de ser continuamente adaptadas à evolução tecnológica e às alterações organizacionais.
Controlo da proteção de dados
O cumprimento das diretivas e leis relativas à proteção de dados necessita de ser verificado regularmente. O responsável pela proteção de dados em parceria com outros elementos da empresa e, se necessário, inspetores externos estão responsáveis por essa verificação. Todos resultados destes controlos têm de ser comunicados ao responsável pela proteção de dados, que selecionará os mais relevantes para reportar à administração da empresa.
Incidentes que afetam a segurança de dados
Qualquer colaborador que verifique uma violação na segurança de dados (quer seja da lei em vigor ou de diretivas internas) deve comunicar imediatamente ao seu superior ou ao responsável pela proteção de dados . O superior fica encarregue de comunicar o incidente, o mais rápido possível, ao responsável pela proteção de dados quando existir um ou mais destes casos:
- transmissão indevida de dados pessoais a terceiros;
- acesso indevido de terceiros a dados pessoais;
- perda de dados pessoais.
Quando algum dos casos referidos acima ocorre, devem ser imediatamente ativados os procedimentos internos necessários ao cumprimento das obrigações legais de notificação de incidentes de segurança de dados.
Responsabilidades e sanções
A administração da empresa é responsável pelo processamento de dados e compromete-se a garantir que as exigências legais existentes na diretiva de proteção de dados serão cumpridas (por exemplo, as obrigações de notificação). O processamento correto do dados e a garantia da sua proteção é executado através do cumprimento da legislação apoiado por medidas organizacionais e técnicas definidas pela administração e que são cumpridas por todos os colaboradores.
Quando se preveem novos processamentos de dados pessoais quer seja por alterações aos processos internos, quer pela criação de novos projetos, os responsáveis pela proteção de dados devem ser informados. Caso se verifique a necessidade de processar dados que poderão colocar em risco os direitos dos envolvidos (especialmente dados pessoais com proteção especial), o responsável pela proteção dos dados deverá ser incluído no processo.
É necessário garantir que os colaboradores estejam formados sobre a proteção de dados de acordo com a função que desempenham, ou seja, quanto mais as suas tarefas estiverem associadas aos dados pessoais, maior deverá ser o conhecimento que têm sobre a legislação em vigor.
Responsável pelo Tratamento de Dados e Responsável pela Proteção de Dados
O responsável pela proteção dos dados é o elemento que faz cumprir e fiscaliza o cumprimento da legislação nacional e internacional relativa à proteção de dados.
Se tiver alguma dúvida relativamente à forma como tratamos os seus dados pessoais ou pretender exercer algum dos seus direitos, por favor contacte-nos através do email: rgpd@opensoft.pt