Política de privacidade e proteção de dados

  • 20 Oct, 2020

1. Objetivo

1.1: A Política de Privacidade da Expandigo (doravante denominada “a Política”) define os requisitos para garantir a conformidade com as leis e regulamentos aplicáveis ​​à coleta, uso, processamento e transferência de dados pessoais.

2. Escopo

2.1: A Política se aplica a todos os funcionários em tempo integral e parcial da Empresa, contratados e qualquer outra categoria de colaboradores, fornecedores, parceiros, que tenham acesso aos dados pessoais coletados ou processados ​​por a empresa, independentemente da localização geográfica.

2.2: A Empresa estabelecerá seu status para todo o processamento de dados como um Controlador de Dados ou Processador de Dados atuando para outro Controlador de Dados.

3. Definições

Consentimento : consentimento significa "qualquer indicação específica e informada dada livremente de seus desejos, pela qual o Titular dos Dados significa que concorda com o processamento dos dados pessoais relacionados a ele". No entanto, consentimento pode ser obtido por vários métodos. Isso pode incluir cláusulas em contratos de trabalho, caixas de seleção em respostas a formulários de inscrição ou de compra e caixas de clique em formulários online onde os dados pessoais são inseridos. Na maioria dos países da União Europeia, o consentimento para o processamento de dados pessoais sensíveis deve ser claro e inequívoco. Isso geralmente significa que alguma forma de consentimento ativo específico é necessária.

Dados : Dados (tendo ou não uma letra inicial maiúscula), conforme usados ​​na Política, devem significar informações que:

  • está sendo processado por meio de equipamento operando automaticamente em resposta às instruções dadas para esse fim;
  • é registrado com a intenção de que seja processado por meio de tal equipamento;
  • é registrado como parte de um sistema de arquivo relevante ou com a intenção de que deva fazer parte de um sistema de arquivo relevante;
  • não se enquadra em nenhuma das opções acima, mas faz parte de um registro prontamente acessível que cobre um indivíduo.
  • Dados, portanto, incluem quaisquer dados digitais por computador ou equipamento automatizado, gravações telefônicas e qualquer informação manual que faça parte de um sistema de arquivo relevante.

Controlador de dados : controlador de dados significa uma pessoa que (sozinha ou com outros) determina as finalidades e a maneira pela qual quaisquer dados pessoais são, ou devem ser, processados. Geralmente, a própria empresa será o controlador de dados na maioria dos casos.

Exportador de dados : exportador de dados significa o controlador ou processador de dados que transfere os dados pessoais para o exterior.

Importador de dados : o importador de dados significa o controlador ou processador de dados que concorda em receber do exportador de dados dados pessoais para processamento posterior de acordo com os termos da Política e o contrato de transferência de dados relevante .

Processador de dados : processador de dados significa qualquer pessoa, que não seja um funcionário do controlador de dados, que processa os dados em nome do controlador de dados. Uma empresa pode ser um processador de dados se definido como tal nos termos contratuais com o controlador de dados.

Autoridade de proteção de dados : órgão encarregado da proteção de dados e privacidade. As autoridades são constituídas para defender os direitos de informação tanto de interesse público como privado.

Segurança de dados : medidas que o controlador e o processador devem implementar para conformidade com os princípios de proteção de dados desde a concepção e padrão e para garantir um nível de segurança apropriado para o risco aos direitos e liberdades dos indivíduos , levando em consideração o estado da técnica, o custo de implementação e a natureza, escopo, contexto e finalidades do processamento.

Titular dos dados : titular dos dados significa a pessoa a quem os dados se referem. Os titulares dos dados incluem clientes e usuários da web, indivíduos em listas de contato / e-mail ou bancos de dados de marketing, funcionários, contratados e fornecedores.

Estruturas de proteção de privacidade UE-EUA e Suíça-EUA : a UE-EUA. e Swiss-U.S. As estruturas do Privacy Shield foram projetadas pelo Departamento de Comércio dos Estados Unidos, pela Comissão Europeia e pela Administração Suíça, respectivamente, para fornecer às empresas de ambos os lados do Atlântico um mecanismo para cumprir os requisitos de proteção de dados ao transferir dados pessoais da União Europeia e da Suíça para os Estados Unidos em apoio ao comércio transatlântico. Em 12 de julho de 2016, a Comissão Europeia considerou a UE-EUA. Estrutura do Privacy Shield adequada para permitir transferências de dados de acordo com a legislação da UE. Em 12 de janeiro de 2017, o Governo Suíço anunciou a aprovação do Swiss-U.S. Estrutura do Privacy Shield como um mecanismo legal válido para cumprir os requisitos suíços ao transferir dados pessoais da Suíça para os Estados Unidos.

Dados pessoais : dados pessoais significam dados relacionados a um indivíduo vivo que pode ser identificado a partir desses dados ou desses dados e outras informações na posse de, ou que possam vir a estar na posse de, um controlador de dados ou processador de dados. Os dados pessoais não incluem informações que foram tornadas anônimas, codificadas ou de outra forma retiradas de seus identificadores, ou informações que estão publicamente disponíveis, a menos que combinadas com outras informações pessoais não públicas.

Processamento : o processamento cobre uma ampla variedade de operações relacionadas aos dados, incluindo a obtenção, registro ou retenção dos dados ou a realização de qualquer operação ou conjunto de operações nos dados, incluindo:

  • Organização, adaptação ou alteração;
  • Divulgação por transmissão, disseminação ou de outra forma; e
  • Alinhamento, combinação, bloqueio, apagamento ou destruição.

Sistema de arquivo relevante : sistema de arquivo relevante significa qualquer conjunto de informações relativas a indivíduos, sejam mantidos em arquivos manuais ou eletrônicos, estruturados, seja por referência a indivíduos ou por referência a critérios relativos a indivíduos, em tal forma que informações específicas relacionadas a um determinado indivíduo estão prontamente acessíveis. Portanto, qualquer banco de dados digital e / ou arquivos manuais organizados relacionados a indivíduos vivos identificáveis ​​se enquadram no escopo das leis e regulamentos de proteção de dados, enquanto um banco de dados de informações estatísticas ou financeiras puras (que não podem ser direta ou indiretamente relacionadas a quaisquer indivíduos vivos identificáveis) não vou.

Dados confidenciais : dados confidenciais significam dados pessoais contendo informações sobre o titular dos dados:

  • Raça ou origem étnica;
  • crenças religiosas ou outras crenças de natureza semelhante;
  • opiniões políticas;
  • Saúde ou condição física ou mental;
  • História ou orientação sexual;
  • Filiação sindical;
  • Comissão ou alegada prática de qualquer delito e quaisquer procedimentos judiciais relacionados.

Tecnologia : a tecnologia deve ser interpretada de forma ampla, incluindo qualquer meio de coleta ou processamento de dados, incluindo, sem limitações, computadores e redes, sistemas de telecomunicações, dispositivos de gravação de vídeo e áudio, dispositivos biométricos, circuito fechado de televisão, etc.

4. Conformidade do grupo

4.1: O programa de conformidade de dados da Empresa será supervisionado pelo Sr. Steven Clay Turner (doravante "oficial de privacidade de dados -DPO"), um dos dois fundadores da Empresa. O DPO pode ser assistido por funcionários de conformidade nomeados localmente e auditores internos e delegar competências a especialistas qualificados em proteção de dados.

4.2: O DPO ou um especialista em proteção de dados nomeado implementará a política e os procedimentos de proteção de dados internacionais da Empresa, bem como quaisquer obrigações adicionais estabelecidas pelas Leis de Proteção de Dados, incluindo e não se limitando a:

  • Determinar se a notificação a uma ou mais autoridades de proteção de dados é necessária como resultado do processamento de dados da empresa.
  • Definir programas em andamento para treinar funcionários para garantir a conformidade com a regulamentação de proteção de dados.
  • Estabelecer procedimentos e disposições padrão para cumprir a Política por clientes, fornecedores e quaisquer terceiros que possam receber dados pessoais da Empresa, tenham acesso a dados pessoais coletados ou processados ​​pela Empresa ou que forneçam informações à Empresa , independentemente da localização geográfica.
  • Estabelecer mecanismos para auditorias periódicas de conformidade com esta Política, procedimentos de implementação e legislação aplicável.
  • Estabelecer, manter e operar um sistema para respostas rápidas e apropriadas às solicitações do Titular dos Dados para exercer seus direitos.
  • Estabelecer, manter e operar um sistema para a divulgação automática imediata e apropriada às autoridades relevantes e titulares dos dados de qualquer perda de dados pessoais.
  • Informar quaisquer funcionários, gerentes seniores, diretores, contratados, etc. da Empresa sobre as potenciais penalidades corporativas e pessoais civis e criminais que podem ser avaliadas contra a Empresa e / ou seus funcionários, colaboradores, etc. por violação do aplicável legislação de proteção de dados.
  • Garantir que os planos de gestão de risco em relação à proteção de dados sejam implementados de forma eficaz e rápida.

5. Princípios de proteção de dados

5.1: A Empresa adotou os seguintes princípios para reger a coleta, uso, processamento e transmissão de dados pessoais:

  • Os dados pessoais devem ser processados ​​apenas de forma justa e legal.
  • Os dados pessoais devem ser obtidos apenas para fins especificados, explícitos, legais e legítimos e não devem ser processados ​​de forma incompatível com esses fins.
  • Os dados pessoais devem ser adequados, relevantes e não excessivos em relação aos fins para os quais são recolhidos e / ou processados.
  • Os dados pessoais não devem ser coletados ou processados ​​a menos que uma base legal para o processamento seja devidamente estabelecida.

5.2: Quaisquer medidas devem ser tomadas para:

  • Prevenir e / ou identificar a coleta, processamento e transmissão não autorizados ou ilegais de dados pessoais; e
  • Evite a perda acidental, destruição ou danos aos dados pessoais.

6. Transferências para terceiros

6.1: Os dados pessoais não devem ser transferidos para outra entidade, país ou território, a menos que medidas razoáveis ​​e apropriadas tenham sido tomadas para estabelecer e manter o nível necessário de segurança de dados.

6.2: Os dados pessoais podem ser comunicados a terceiros apenas por motivos consistentes com os fins para os quais os dados foram originalmente recolhidos ou outros fins autorizados por lei.

6.3: Todas as transferências de dados pessoais a terceiros para processamento posterior estarão sujeitas a acordos por escrito.

6.4: Os dados pessoais da UE não devem ser transferidos para um país ou território fora do Espaço Econômico Europeu (EEE), a menos que a transferência seja feita para um país ou território reconhecido pela UE como tendo um nível adequado de segurança de dados ou para o Estados Unidos sob a proteção de privacidade UE-EUA e Suíça-EUA.

6.5: Sujeito às disposições acima, os dados pessoais podem ser transferidos onde qualquer um dos seguintes se aplica:

  • O titular dos dados deu consentimento para a transferência proposta;
  • A transferência é necessária para a execução de um contrato entre o titular dos dados e a Empresa;
  • A transferência é necessária para a celebração ou execução de um contrato celebrado no interesse do titular dos dados entre a Empresa e um terceiro;
  • A transferência é necessária ou legalmente exigida por motivos de interesse público importantes ou para o estabelecimento, exercício ou defesa de ações judiciais;
  • A transferência é exigida por lei;
  • A transferência é necessária para proteger os interesses vitais do titular dos dados.

7. Prevenção de sistemas de TI não conformes

7.1: O Diretor de Informações (CIO) da Empresa deve estabelecer um procedimento para avaliar o impacto de qualquer tecnologia nova ou existente na privacidade e segurança dos dados pessoais.

7.2: Nenhum novo sistema ou nova versão de um sistema existente deve ser disponibilizado para uso até que o DPO tenha obtido a confirmação, por escrito, do CIO de que não haveria violação de qualquer legislação de proteção de dados.

8. Fontes de dados pessoais

8.1: Os dados pessoais devem ser coletados apenas do titular dos dados, a menos que a natureza da finalidade comercial exija a coleta dos dados de outras pessoas ou entidades.

8.2: Se os dados pessoais forem coletados de outra pessoa que não o titular dos dados, a unidade de negócios que coleta os dados deve ter a confirmação, por escrito, do fornecedor dos dados de que existe uma base legal para a transferência e processamento do dados pessoais para a empresa.

9. Direitos do titular dos dados

9.1: Os titulares dos dados terão o direito de obter as informações sobre seus próprios dados pessoais mantidos pela Empresa, fazendo uma solicitação por escrito.

9.2: A Empresa deve fornecer sua resposta a uma solicitação acima dentro de 40 dias a partir da data da solicitação por escrito, ou em um prazo mais curto, se exigido pela legislação de proteção de dados aplicável.

9.3: Os titulares dos dados têm o direito de exigir que a Empresa corrija ou complemente os dados pessoais errôneos, enganosos, desatualizados ou incompletos mantidos sobre eles.

10. Dados sensíveis

10.1: Dados pessoais confidenciais não devem ser processados, a menos que:

  • Esse processamento é especificamente autorizado ou exigido por lei.
  • O titular dos dados consente expressa e inequivocamente.
  • Quando o titular dos dados é física ou legalmente incapaz de dar consentimento, mas o tratamento é necessário para proteger um interesse vital do titular dos dados.
  • Dados relacionados a infrações criminais podem ser processados ​​apenas por ou sob o controle do departamento jurídico.

11. Garantia de qualidade de dados

11.1: Os dados pessoais devem ser mantidos apenas pelo período necessário para os usos permitidos.

11.2: Os dados pessoais serão apagados se o seu armazenamento violar qualquer lei de proteção de dados ou a pedido do titular dos dados.

12. Processamento intra-grupo

12.1: Se a Empresa depender de outra empresa do grupo para auxiliar em suas atividades de processamento, a Empresa celebrará um Contrato de Transferência de Dados com base nas Cláusulas Modelo da UE com essa outra empresa do grupo, a fim de garantir que a responsabilidade pelos dados seja claramente identificados, já que ambas as partes podem ser consideradas como controladores de dados.

12.2: Quando a outra empresa do grupo estiver localizada em um país diferente, as empresas do grupo envolvidas no processamento serão identificadas, respectivamente, como o exportador de dados e o importador de dados.

13. Processadores de terceiros

13.1: Da mesma forma, quando a Empresa depende de terceiros para auxiliar em suas atividades de processamento, a Empresa deve escolher um processador de dados que forneça medidas de segurança suficientes e tome medidas razoáveis ​​para garantir o cumprimento dessas medidas, e no caso de qualquer terceiro parte dentro dos EUA, que eles também estão registrados para EU-US, Swiss-USA Privacy Shield.

14. Contratos escritos para processadores terceirizados

14.1: A Empresa deverá celebrar um contrato por escrito com cada processador de dados exigindo que cumpra a legislação de proteção de dados e os requisitos de segurança impostos à Empresa de acordo com a legislação local.

15. Auditorias de processadores de dados de terceiros

15.1: Como parte do processo de auditoria de dados interna da Empresa, a Empresa deve conduzir verificações periódicas no processamento por processadores de dados terceirizados e, em particular, em relação aos procedimentos de transferência de dados, especialmente no que diz respeito às medidas de segurança. < / p>

16. Aviso aos funcionários e contratados de possíveis sanções por não conformidade

16.1: O DPO deve notificar os funcionários e contratados da Empresa que:

  • O não cumprimento da legislação de proteção de dados relevante pode desencadear responsabilidade criminal e civil, incluindo multas, prisão e indenização por danos; e
  • Eles podem ser pessoalmente responsáveis ​​quando uma ofensa é cometida pela Empresa com seu consentimento ou conivência, ou é atribuível a qualquer negligência de sua parte.
  • Prevenção de que pessoas não autorizadas tenham acesso aos sistemas de processamento de dados nos quais os dados pessoais são processados.
  • Impedir que pessoas autorizadas a usar um sistema de processamento de dados acessem dados além de suas necessidades e autorizações.
  • Garantir que os dados pessoais durante a transmissão eletrônica durante o transporte ou armazenamento em um suporte de dados não possam ser lidos, copiados, modificados ou removidos sem autorização.
  • Garantir que os dados pessoais sejam protegidos contra destruição ou perda indesejada.
  • Garantir que os dados coletados para diferentes fins podem e serão processados ​​separadamente.
  • Garantir que os dados não sejam mantidos por mais tempo do que o estipulado na política de retenção de dados, inclusive exigindo que os dados transferidos a terceiros sejam devolvidos ou destruídos.

18. Medição de conformidade

18.1: O DPO deve estabelecer um cronograma e implementar uma auditoria de conformidade de privacidade.

19. Implementação.

19.1: Esta Política estará disponível para os funcionários

19.2: Esta Política pode ser revisada a qualquer momento, mas pelo menos anualmente pelo DPO. Notificação de revisões significativas deve ser fornecida aos funcionários por meio do sistema de conformidade da empresa e a outros por meio do site da empresa.