BeHappy BeHappy

Declaração de Política de Sensibilização e Conformidade do RGPD BeHappy2Day UE/RU.

1.0. Introdução.

1.1. O Regulamento Geral de Proteção de Dados da UE (“RGPD”) entrou em vigor em toda a União Europeia em 25 de maio de 2018 e introduz as alterações mais significativas à legislação de proteção de dados em duas décadas. Baseado na privacidade desde a conceção e numa abordagem baseada no risco, o RGPD foi concebido para responder às exigências da era digital.

1.2. O século XXI traz consigo uma utilização mais alargada da tecnologia, novas definições do que são dados pessoais e um aumento acentuado do tratamento transfronteiriço. O novo regulamento visa normalizar as leis de proteção de dados e o tratamento de dados em toda a UE, conferindo às pessoas direitos mais fortes e mais coerentes de acesso e controlo das suas informações pessoais.

2.0. O nosso compromisso

Estamos comprometidos em garantir a segurança e a proteção das informações pessoais que processamos, adotando uma abordagem consistente e em conformidade com as normas de proteção de dados. Acreditamos que sempre tivemos um programa de proteção de dados robusto e eficaz que cumpre a legislação atual e os Princípios de Proteção de Dados. Contudo, reconhecemos as nossas obrigações de atualizar e expandir este programa para cumprir os requisitos do RGPD e da Lei de Proteção de Dados do Reino Unido.

2.1. A BeHappy2Day está empenhada em salvaguardar as informações pessoais sob a sua responsabilidade e em desenvolver um regime de proteção de dados eficaz, adequado à sua finalidade e que demonstre uma compreensão e apreciação do novo Regulamento. A nossa preparação e os nossos objetivos em matéria de conformidade com o RGPD encontram-se resumidos na presente declaração e incluem o desenvolvimento e a implementação de novas funções, políticas, procedimentos, controlos e medidas de proteção de dados garantir o cumprimento máximo e contínuo.

3.0. Como estamos a preparar-nos para o RGPD

3.1. Já dispomos de um nível consistente de proteção e segurança de dados em toda a nossa organização; no entanto, pretendemos estar totalmente em conformidade com o RGPD até 25 de maio de 2018. A nossa preparação inclui:

(a) Auditoria das informações: realizar uma auditoria da informação em toda a empresa para identificar e avaliar que informações pessoais detemos, de onde provêm, como e porquê são processadas e se e a quem são divulgadas.

(b) Políticas e procedimentos: revisão/implementação de novas políticas e procedimentos de proteção de dados para cumprir os requisitos e normas do RGPD e de qualquer legislação relevante em matéria de proteção de dados, incluindo:

(c) Proteção de dados: as nossas principais políticas e procedimentos de proteção de dados foram revistos para cumprir as normas e os requisitos do RGPD. Foram introduzidas medidas de responsabilização e governação para garantir uma compreensão aprofundada, uma comunicação eficaz e uma demonstração clara das nossas obrigações e responsabilidades; com especial destaque ao princípio da privacidade desde a conceção e à salvaguarda dos direitos dos titulares dos dados.

(d) Retenção e eliminação de dados – Atualizámos a nossa política e o nosso cronograma de retenção de dados para assegurar o cumprimento dos princípios de "minimização dos dados" e "limitação da conservação", garantindo que as informações pessoais são armazenadas, arquivadas e eliminadas de forma ética e em conformidade com o Regulamento Geral sobre a Proteção de Dados (RGPD). Dispomos de procedimentos específicos de eliminação de dados para cumprir a nova obrigação do "Direito ao Apagamento" (também conhecido como "Direito a ser Esquecido"), estando plenamente cientes das circunstâncias em que este e outros direitos dos titulares dos dados são aplicáveis, bem como das exceções, prazos de resposta e responsabilidades de notificação associadas.

(e) Violações de dados: os nossos procedimentos em matéria de violação de dados garantem que dispomos de salvaguardas e medidas para identificar, avaliar, investigar e comunicar qualquer violação de dados pessoais o mais rapidamente possível. Os nossos procedimentos são sólidos e foram divulgados a todos os funcionários, dando-lhes a conhecer as linhas de comunicação e as medidas a tomar.

(f) Transferências internacionais de dados e divulgações a terceiros: quando a BeHappy2Day armazena ou transfere informações pessoais para fora da UE, implementa procedimentos e salvaguardas robustos para proteger, encriptar e manter a integridade dos dados. Os nossos procedimentos incluem uma revisão contínua dos países com determinações de adequação suficientes, bem como disposições para regras empresariais vinculativas, cláusulas padrão de proteção de dados ou códigos de conduta aprovados para países que não as têm. Efetuamos controlos rigorosos de diligência devida a todos os destinatários de dados pessoais para avaliar e verificar se implementaram as garantias adequadas para proteger a informação, assegurar os direitos aplicáveis dos titulares dos dados e dispor de recursos legais eficazes para estes, quando necessário.

(g) Pedidos de acesso de sujeitos (SAR) - O utilizador tem o direito de saber quais as informações que detemos sobre si. Reestruturámos os nossos procedimentos de SAR para refletir o novo prazo de 30 dias para fornecer as informações solicitadas e para o fazer gratuitamente. Os nossos novos procedimentos especificam a forma de verificar o titular dos dados, as etapas envolvidas no tratamento de um pedido de acesso, as isenções aplicáveis e um conjunto de modelos de resposta, de modo a assegurar que as comunicações com os titulares dos dados são conformes, consistentes e adequadas.

(h) Base legal para o tratamento: estamos a rever todas as atividades de tratamento de dados pessoais para identificar a base legal para o processamento e para garantir que cada base é adequada à atividade a que se refere. Sempre que aplicável, mantemos registos das nossas atividades de tratamento, garantindo o cumprimento das nossas obrigações ao abrigo 30º do RGPD e do Anexo 1 da Lei de Proteção de Dados.

(i) Aviso/Política de privacidade: atualizamos o(s) nosso(s) Aviso(s) de Privacidade para assegurar a conformidade com o RGPD, garantindo que todas as pessoas cujas informações pessoais processamos foram informadas da razão pela qual precisamos delas, como são utilizadas, quais são os seus direitos, a quem são divulgadas as informações e quais as medidas existentes para proteger as suas informações.

(j) Obtenção de consentimento: estamos a rever os nossos mecanismos de obtenção de consentimento para o tratamento de dados pessoais, assegurando que os indivíduos compreendam claramente o que estão a fornecer, os motivos e a forma como utilizamos esses dados. Damos-lhes também a possibilidade de dar o seu consentimento de forma clara e definida, para que possamos processar as suas informações. Desenvolvemos processos rigorosos para registar o consentimento, garantindo que podemos comprovar a aceitação afirmativa, juntamente com registos com data e hora, e oferecendo uma forma fácil de visualizar e aceder para revogar o consentimento a qualquer momento.

(k) Marketing direto: Estamos a rever a redação e os processos de marketing direto, incluindo mecanismos claros de aceitação de subscrições de marketing, aviso e método claros de anulação da subscrição e fornecimento da funcionalidade de anulação da subscrição em todos os materiais de marketing subsequentes.

(l) Avaliações de impacto na proteção de dados (DPIAs): quando processamos informações pessoais consideradas de alto risco, que envolvem o processamento ou incluem dados de categoria especial/condenação criminal; desenvolvemos procedimentos rigorosos e modelos de avaliação para a realização de avaliações de impacto que estão totalmente em conformidade com os requisitos do artigo 35. Implementámos processos de documentação que registam cada avaliação, permitem-nos classificar o risco colocado pela atividade de processamento e implementar medidas de mitigação para reduzir o risco colocado aos titulares dos dados.

(m) Acordos de processamento: sempre que recorremos a terceiros para processar informações pessoais em nosso nome (seja o processamento de salários, recrutamento, alojamento, etc.), elaboramos acordos de processamento em conformidade com o RGPD e procedimentos de diligência devida para garantir que eles (assim como nós) cumprem e compreendem as suas/nossas obrigações no âmbito deste regulamento. Estas medidas incluem a revisão inicial e contínua do serviço prestado, a necessidade da atividade de processamento, as medidas técnicas e organizacionais em vigor e a conformidade com o RGPD.

(n) Dados de categorias especiais: quando obtemos e processamos informações de categorias especiais, fazemo-lo em total conformidade com os requisitos do artigo 9.º e aplicamos encriptação e proteção de alto nível a todos esses dados. Os dados de categoria especial só são processados quando necessário e após identificação da base apropriada no artigo 9.º, n.º 2, ou da condição prevista no Anexo 1 da Lei de Proteção de Dados. Quando nos baseamos no consentimento para o processamento, este é explícito e verificado por uma assinatura, com o direito de alterar ou retirar o consentimento claramente indicado.

4.0. Direitos dos titulares dos dados

4.1. Para além das políticas e procedimentos mencionados acima, que garantem que os indivíduos possam exercer os seus direitos de proteção de dados, disponibilizamos informações de fácil acesso no nosso site sobre o direito do titular dos dados de aceder a qualquer informação pessoal que a BeHappy2Day processe sobre ele e solicitar informações sobre:

  • Os dados pessoais que processamos sobre si
  • As finalidades do tratamento
  • As categorias dos dados pessoais em causa
    • Os destinatários a quem os dados pessoais são/serão divulgados
  • Durante quanto tempo tencionamos conservar os seus dados pessoais
  • Se os dados não forem recolhidos diretamente junto do titular, informações sobre a origem
  • O direito a que os dados incompletos ou inexatos sejam corrigidos ou completados e o processo para o solicitar
  • O direito de solicitar a eliminação dos dados pessoais (quando aplicável) ou de restringir o tratamento de acordo com as leis de proteção de dados, bem como de se opor a qualquer marketing direto da nossa parte e de ser informado de qualquer tomada de decisão automatizada que utilizemos
  • O direito de apresentar uma queixa ou de procurar uma solução judicial e quem contactar nesses casos

5.0. Segurança da informação, medidas técnicas e organizativas

5.1. A BeHappy2Day encara a privacidade e a segurança dos indivíduos e das suas informações pessoais com muita seriedade e toma todas as medidas e precauções razoáveis para proteger os dados pessoais que processa. Dispomos de políticas e procedimentos sólidos de segurança da informação para proteger as informações pessoais contra o acesso, alteração, divulgação ou destruição não autorizados e dispomos de várias camadas de medidas de segurança, incluindo: SSL, controlos de acesso, política de palavras-passe, encriptação, pseudonimização, práticas restritivas de acesso, sistemas de TI, autenticação, etc.

6.0. Funções e colaboradores do RGPD

6.1. Designamos Marina Bushmareva como responsável pelo tratamento de dados e designámos uma equipa de privacidade de dados para desenvolver e implementar o nosso roteiro para cumprir o novo regulamento de proteção de dados. A equipa é responsável por promover a sensibilização para o RGPD em toda a organização, avaliar o nosso grau de preparação para o RGPD, identificar lacunas e implementar novas políticas, procedimentos e medidas.

6.2. A BeHappy2Day compreende que a conscientização contínua dos colaboradores e a sua compreensão sobre a importância do cumprimento do RGPD são vitais para garantir a conformidade contínua com o regulamento. Por essa razão, envolvemos os nossos colaboradores nos nossos planos de preparação. Implementámos um programa de sensibilização para os colaboradores, específico para as exigências do RGPD, que será disponibilizado a todos os colaboradores antes de 25 de maio de 2018. Este programa faz parte do nosso processo contínuo de integração e do programa de formação anual.

Se tiver alguma dúvida sobre a nossa preparação para o RGPD, por favor, contacte Marina Bushmareva, que é a nossa Responsável pelo Tratamento de Dados, através do email admin@behappy2day.com

[ 0.0393 ]