POLÍTICA GERAL DE PROTEÇÃO DE DADOS (GDPR)
1. Declaração de Política
Todos os dias, nosso negócio receberá, utilizará e armazenará informações pessoais sobre nossos clientes, fornecedores, candidatos a entrevista e colegas. É importante que essas informações sejam tratadas de forma legal e apropriada, em conformidade com os requisitos da [Lei de Proteção de Dados de 2018] e do Regulamento Geral de Proteção de Dados (coletivamente referidos como 'Requisitos de Proteção de Dados').
Nós levamos nossas responsabilidades de proteção de dados a sério, porque respeitamos a confiança que nos é depositada para usar informações pessoais de forma apropriada e responsável.
2. Sobre Esta Política
Esta política, e quaisquer outros documentos mencionados nela, estabelece a base na qual processaremos quaisquer dados pessoais que coletamos ou processamos.
Esta política não faz parte do contrato de emprego de qualquer funcionário e pode ser alterada a qualquer momento.
O responsável pela Proteção de Dados (Data Protection Officer - DPO) da nossa empresa é Alex Smit, e é responsável por garantir a conformidade da empresa com os Requisitos de Proteção de Dados e com esta política. Quaisquer perguntas sobre a operação desta política ou quaisquer preocupações de que a política não tenha sido seguida devem ser encaminhadas, em primeiro lugar, ao DPO, ou relatadas de acordo com a nossa Política de Queixas da empresa (consulte o Manual do Funcionário).
3. O que são Dados Pessoais?
Dados pessoais significam dados (sejam armazenados eletronicamente ou em papel) relativos a um indivíduo vivo que possa ser identificado diretamente ou indiretamente a partir desses dados (ou a partir desses dados e de outras informações em nossa posse).
O processamento é qualquer atividade que envolva o uso de dados pessoais. Inclui a obtenção, o registro ou a retenção dos dados, a organização, a alteração, a recuperação, o uso, a divulgação, o apagamento ou a destruição. O processamento também inclui a transferência de dados pessoais para terceiros.
Dados pessoais sensíveis incluem dados pessoais sobre a origem racial ou étnica de uma pessoa, opiniões políticas, crenças religiosas ou filosóficas, filiação sindical, informações genéticas, biométricas, condição de saúde física ou mental, orientação sexual ou vida sexual. Também pode incluir dados sobre infrações penais ou condenações. Dados pessoais sensíveis só podem ser processados sob condições estritas, incluindo com o consentimento do indivíduo.
4. Princípios de Proteção de Dados
Qualquer pessoa que processe dados pessoais deve garantir que os dados sejam:
a. Processado de forma justa, legal e transparente.
b. Coletado para fins específicos, explícitos e legítimos, e qualquer processamento adicional é concluído para um propósito compatível.
c. Adequado, relevante e limitado ao que é necessário para os fins pretendidos.
d. Preciso e, quando necessário, mantido atualizado.
e. Mantido em uma forma que permita a identificação por não mais do que o necessário para os fins pretendidos.
f. Processado de acordo com os direitos do indivíduo e de maneira que garanta a segurança apropriada dos dados pessoais, incluindo proteção contra processamento não autorizado ou ilegal e contra perda, destruição ou danos acidentais, utilizando medidas técnicas ou organizacionais apropriadas.
g. Não transferido para pessoas ou organizações situadas em países sem proteção adequada e sem primeiro ter aconselhado o indivíduo.
5. Processamento Justo e Legal
Os Requisitos de Proteção de Dados não têm como objetivo impedir o processamento de dados pessoais, mas garantir que ele seja feito de forma justa e sem afetar negativamente os direitos do indivíduo.
De acordo com os Requisitos de Proteção de Dados, só processaremos dados pessoais quando forem necessários para um fim legal. Os fins legais incluem (entre outros): se o indivíduo deu seu consentimento, se o processamento é necessário para cumprir um contrato com o indivíduo, para cumprir uma obrigação legal ou para o interesse legítimo do negócio. Quando dados pessoais sensíveis estão sendo processados, condições adicionais devem ser atendidas.
6. Processamento para Fins Limitados
Durante o curso de nosso negócio, podemos coletar e processar os dados pessoais. Isso pode incluir dados que recebemos diretamente de um titular de dados (por exemplo, preenchendo formulários ou correspondendo conosco por correio, telefone, e-mail ou de outra forma) e dados que recebemos de outras fontes (incluindo, por exemplo, dados de localização, parceiros comerciais, subcontratados em serviços técnicos, de pagamento e de entrega, agências de referência de crédito e outros).
Só processaremos dados pessoais para os fins específicos estabelecidos na Tabela 1 ou para quaisquer outros fins especificamente permitidos pelos Requisitos de Proteção de Dados. Notificaremos esses fins ao titular dos dados quando coletarmos os dados pela primeira vez ou o mais breve possível depois.
7. Notificação aos Indivíduos
Se coletarmos dados pessoais diretamente de um indivíduo, informaremos a ele sobre:
a. O objetivo ou objetivos para os quais pretendemos processar esses dados pessoais, bem como a base legal para o processamento.
b. Quando confiamos nos interesses legítimos do negócio para processar dados pessoais, os interesses legítimos perseguidos.
c. Os tipos de terceiros, se houver, com os quais iremos compartilhar ou divulgar esses dados pessoais.
d. Como os indivíduos podem limitar nosso uso e divulgação de seus dados pessoais.
e. Informações sobre o período em que suas informações serão armazenadas, ou os critérios usados para determinar esse período.
f. Seu direito de solicitar como controlador acesso e retificação ou apagamento de dados pessoais ou restrição de processamento.
g. Seu direito de se opor ao processamento e seu direito à portabilidade dos dados.
h. Seu direito de retirar seu consentimento a qualquer momento (se o consentimento foi dado) sem afetar a legalidade do processamento antes da retirada do consentimento.
i. O direito de apresentar uma reclamação ao Escritório do Comissário de Informações.
j. Outras fontes de onde se originaram os dados pessoais sobre o indivíduo e se vieram de fontes publicamente acessíveis.
k. Se a prestação dos dados pessoais é um requisito legal ou contratual, ou um requisito necessário para celebrar um contrato, bem como se o indivíduo é obrigado a fornecer os dados pessoais e quais são as consequências de não fornecer os dados.
Se recebermos dados pessoais sobre um indivíduo de outras fontes, forneceremos a eles essas informações o mais rápido possível (além de informá-los sobre as categorias de dados pessoais envolvidas), mas no máximo dentro de 1 mês.
Também informaremos os titulares de dados cujos dados pessoais processamos que somos o controlador de dados em relação a esses dados, nossos detalhes de contato e quem é o DPO.
8. Processamento Adequado, Relevante e Não Excessivo
Só coletaremos dados pessoais na medida do necessário para o propósito específico notificado ao titular dos dados.
9. Dados Precisos
Garantiremos que os dados pessoais que possuímos sejam precisos e mantenhamos atualizados. Verificaremos a precisão de quaisquer dados pessoais no momento da coleta e em intervalos regulares posteriormente. Tomaremos todas as medidas razoáveis para destruir ou corrigir dados imprecisos ou desatualizados.
10. Processamento Oportuno
Não manteremos os dados pessoais por mais tempo do que for necessário para o(s) propósito(s) para o(s) qual(is) foram coletados. Tomaremos todas as medidas razoáveis para destruir, ou apagar de nossos sistemas, todos os dados que não forem mais necessários.
11. Processamento em conformidade com os Direitos do Titular dos Dados
Processaremos todos os dados pessoais de acordo com os direitos dos titulares dos dados, em particular o direito de:
a. Confirmação se os dados pessoais sobre o indivíduo estão sendo processados ou não.
b. Solicitar acesso a quaisquer dados mantidos sobre eles por um controlador de dados.
c. Solicitar retificação, apagamento ou restrição no processamento de seus dados pessoais.
d. Apresentar uma queixa a uma autoridade supervisora.
e. Opor-se ao processamento, incluindo para marketing direto.
12. Segurança dos Dados
Tomaremos medidas de segurança apropriadas contra o processamento ilegal ou não autorizado de dados pessoais, e contra a destruição, dano, perda, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados ou de outra forma processados de forma acidental ou ilegal. Caso ocorra transferência ilegal de dados, isso será investigado pelo oficial apropriado e os procedimentos disciplinares da empresa serão aplicados.
Colocaremos em prática procedimentos e tecnologias para manter a segurança de todos os dados pessoais desde o momento da determinação dos meios de processamento e ponto de coleta de dados até o ponto de destruição. Dados pessoais só serão transferidos para um processador de dados se ele concordar em cumprir esses procedimentos e políticas, ou se ele implementar medidas adequadas por si mesmo.
Iremos manter a segurança de dados protegendo a confidencialidade, integridade e disponibilidade dos dados pessoais, definidos da seguinte forma:
a. Confidencialidade significa que apenas pessoas autorizadas podem acessar os dados.
b. Integridade significa que os dados pessoais devem ser precisos e adequados para o propósito para o qual são processados.
c. Disponibilidade significa que usuários autorizados devem ser capazes de acessar os dados se precisarem deles para fins autorizados. Portanto, os dados pessoais devem ser armazenados no sistema de computador central de nossa empresa, em vez de PCs individuais.
Procedimentos de segurança incluem:
a. Controles de entrada. Qualquer estranho visto em áreas de acesso controlado deve ser relatado.
b. Mesas e armários trancáveis seguros. Mesas e armários devem ser mantidos trancados se contiverem informações confidenciais de qualquer tipo. (Informações pessoais são sempre consideradas confidenciais.)
c. Minimização de dados.
d. Métodos de descarte. Documentos em papel devem ser triturados. Dispositivos de armazenamento digital devem ser fisicamente destruídos quando não forem mais necessários.
e. Equipamentos. Funcionários devem garantir que os monitores individuais não mostrem informações confidenciais a pessoas que passam e que façam logout de seus PCs quando os deixam sem supervisão.
13. Pedidos de Acesso do Titular dos Dados
Os indivíduos devem fazer um pedido formal para informações que temos sobre eles. Funcionários que receberem um pedido devem encaminhá-lo imediatamente para o DPO ou um membro de Recursos Humanos.
Ao receber consultas telefônicas, apenas divulgaremos dados pessoais que temos em nossos sistemas se as seguintes condições forem atendidas:
a. Verificaremos a identidade do chamador para garantir que as informações sejam fornecidas apenas a uma pessoa autorizada.
b. Sugerimos que o chamador envie sua solicitação por escrito se não tivermos certeza sobre a identidade do chamador e quando sua identidade não puder ser verificada.
Se uma solicitação for feita eletronicamente, os dados serão fornecidos eletronicamente, sempre que possível.
Nossos funcionários encaminharão uma solicitação ao seu gerente direto para assistência em situações difíceis.
14. Alterações a esta Política
Reservamos o direito de alterar esta política a qualquer momento. Quando apropriado, notificaremos as alterações por meio de um banner de cookies no site.