RGPD

OBJECTIVO:
O objetivo deste documento é definir o tratamento de dados pessoais de modo a que esteja de acordo com o Regulamento Geral sobre a Proteção de Dados (RGPD). Este código de conduta está acessível a todos os colaboradores e parceiros de negócio, através da sua afixação em local acessível.


DEFINIÇÃO DE DADOS PESSOAIS:
Consideram-se dados pessoais toda a informação, de qualquer natureza relativa a características pessoais de todos os colaboradores da empresa Higiguima Representações Sociedade Unipessoal, Lda.


TRATAMENTO DE DADOS PESSOAIS:
Por tratamento de dados pessoais entende-se qualquer operação sobre dados pessoais. A recolha de dados deverá ser efetuada para finalidades determinadas e estar limitada à informação necessária, nomeadamente, para o desempenho das atividades dos Recursos Humanos & Formação, para a interligação com as instituições bancárias, com a Autoridade Tributária e Aduaneira (Finanças) e com a Segurança Social. A informação pessoal deverá ser recolhida, processada e utilizada com o consentimento por escrito das pessoas implicadas, quando não for um dado necessário para o desempenho da atividade em causa.
Os dados pessoais recolhidos deverão ser exatos e deverão ser atualizados, se necessário, devendo ser tomadas as medidas adequadas para que sejam apagados ou retificados os dados inexatos e incompletos.
Caso o titular dos dados pretenda exercer os seus direitos nos termos dos arts. 12º e seguintes do RGPD, deve-o fazer por escrito e entregá-lo no Departamento de Recursos Humanos/Gerência.

Direitos dos titulares dos dados pessoais:

  1. Retirar o consentimento relativamente ao tratamento efetuado aos dados pessoais;
  2. Opor-se à continuação do tratamento dos dados pessoais;
  3. Solicitar ao Responsável pelo Tratamento dos Dados Pessoais o acesso aos mesmos, bem como a respetiva retificação ou apagamento, incluindo o exercício do “direito a ser esquecido”;
  4. Apresentar queixa à CNPD, obtendo, para o efeito, junto da empresa Higiguima Representações, Sociedade Unipessoal, Lda., os contactos da mesma;
  5. Ser informado(a), a pedido, sobre as finalidades do tratamento, as categorias de dados envolvidos, a identidade dos destinatários a quem tenham sido divulgados e o período de conservação dos dados pessoais.


Código de Conduta Proteção de Dados
Os dados pessoais e sensíveis estão armazenados em locais com acesso restrito. Quando os dados não forem necessários para um determinado propósito, ou quando os fins que motivaram o seu armazenamento tiverem sido cumpridos, a informação deve ser apagada ou destruída de acordo com as disposições legais.
Em anexo, encontra-se um quadro resumo com a forma com que se trata os dados pessoais/sensíveis.

BOAS PRÁTICAS:

  • Garantir através de recibos de leitura ou de envio que o email foi bem recebido;
  • Adicionalmente pode-se apagar o email dos itens enviados;
  • Apagar dados que não sejam estritamente necessários;
  • Guardar toda a documentação com dados pessoais em suporte físico nos armários com acesso restrito;
  • Os dados sensíveis em suporte físico, a serem processados, devem ficar dentro de uma caixa fechada por forma a evitar o livre acesso;
  • Não deixar os documentos com dados pessoais ou sensíveis em cima da mesa sem vigilância ou noutro local onde não consiga garantir o sigilo;
  • Nunca partilhar passwords de acesso ao PC ou outros acessos como email, estes são pessoais e intransmissíveis;
  • Sempre que se afasta do PC bloqueá-lo (ctrl + alt + del + ”bloquear”);
  • Não fazer “print scrn” ou tirar fotografias quando há dados sensíveis no ecrã;
  • Não guardar dados sensíveis localmente no PC;
  • Aquando o envio por email, proteger o ficheiro com dados pessoais ou sensíveis através de password. A password deve ser transmitida apenas por telefone;
  • Apagar o ficheiro no PC para prevenir acessos não controlados;
  • Não utilizar o verso de fotocopias com dados pessoais ou sensíveis como folhas de rascunho;
  • Não fornecer qualquer informação com dados pessoais pelo telefone, nem por outra via;
  • Não aceitar a transmissão de dados pessoais ou sensíveis por terceiros, isto é, a informação terá de ser dada pelo titular dos dados;
  • O envio de informação sensível por correio, deve ser feita através de correio registado com aviso de receção;
  • Não transportar documentos com dados pessoais, a menos que tal seja estritamente inevitável


SUBCONTRATANTES:
O art.o 28.o do RGPD estabelece que o responsável pelo tratamento recorre apenas a subcontratantes que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas de uma forma que o tratamento satisfaça os requisitos do RGPD e assegure a defesa dos direitos dos titulares dos dados.
Para garantir que os nossos subcontratantes cumprem com o RGPD solicitamos, por carta registada e aviso de receção, a declaração de compliance, devidamente assinada e carimbada que faz parte integrante deste código de conduta, ou de um código de conduta do subcontratante ou de um procedimento de certificação que demonstre o cumprimento de todas as obrigações.


TERCEIROS:
Todos aqueles que tenham acesso aos dados pessoais recolhidos pelo Responsável pelo Tratamento e que não tenham a qualidade de subcontratantes, trabalhadores e outros com qualquer vínculo contratual formalizado por escrito, deverão apresentar a declaração como Responsável do dever de sigilo e confidencialidade a que se obrigam.

INCIDENTES:
Definição de incidentes

  • Acesso malicioso ao PC;
  • Um acesso indevido aos dados;
  • Envio de dados pessoais ao titular errado;
  • Roubo de um PC;
  • Alteração de dados pessoais sem autorização do titular dos dados.

O que fazer?
Informar de imediato o Responsável da Proteção de Dados para criar um relatório interno no sistema informático específico com as devidas causas apuradas e medidas a implementar;
Comunicar á comissão nacional de proteção de dados (CNPD) num prazo de 72 horas e a cada um dos titulares de dados, se a violação de dados implicar um risco grave para os seus direitos, liberdades e garantias.