Código de Conduta de Proteção de Dados Pessoais
Artigo 1º
(Objetivos)
O Código de Conduta de Proteção de Dados Pessoais elaborado no âmbito do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 – Regulamento Geral sobre a Proteção de Dados (RGPD), visa consagrar e estabelecer procedimentos e normas de conduta profissional a respeitar no exercício das atividades de recolha, tratamento, conservação e eliminação dos dados pessoais.
Artigo 2º
(Definições)
Para efeitos do presente Código de Conduta, são consideradas as seguintes definições conforme previstas no artigo 4º do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016:
1) Dados pessoais: informação relativa a uma pessoa singular identificada ou identificável (“titular dos dados”); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;
2) Tratamento: uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;
3) Limitação do tratamento: a inserção de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro;
4) Definição de perfis: qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações;
5) Pseudonimização: o tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável;
6) Ficheiro: qualquer conjunto estruturado de dados pessoais, acessível segundo critérios específicos, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;
7) Responsável pelo tratamento: a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro;
8) Subcontratante: uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes;
9) Destinatário: uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que recebem comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro. Contudo, as autoridades públicas que possam receber dados pessoais no âmbito de inquéritos específicos nos termos do direito da União ou dos Estados-Membros não são consideradas destinatários; o tratamento desses dados por essas autoridades públicas deve cumprir as regras de proteção de dados aplicáveis em função das finalidades do tratamento;
10) Terceiro: a pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais;
11) Consentimento: do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;
12) Violação de dados pessoais: uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;
13) Dados genéticos: os dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular que deem informações únicas sobre a fisiologia ou a saúde dessa pessoa singular e que resulta designadamente de uma análise de uma amostra biológica proveniente da pessoa singular em causa;
14) Dados biométricos: dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos
15) Dados relativos à saúde: dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde.
16) Autoridade de Controlo: uma autoridade pública independente criada por um Estado-Membro para fiscalizar a aplicação do RGPD, a fim de defender os direitos, liberdades fundamentais das pessoas singulares relativamente ao tratamento e facilitar a livre circulação desses dados na União
ORDEM DOS CONTABILISTAS
Artigo 3º
(Princípios de proteção e tratamento de dados)
I) Princípio da responsabilidade pelo tratamento dos dados em conformidade com o RGPD
O Responsável pelo Tratamento ou Subcontratante tem de aplicar as medidas técnicas e organizativas adequadas para assegurar e poder comprovar que o tratamento de dados é realizado em conformidade com o Regulamento.
O pedido de autorização e a notificação feitos anteriormente à CNPD são agora substituídos pela autorresponsabilização do Responsável pelo Tratamento e Subcontratantes.
Cabe assim aos responsáveis pelo tratamento e subcontratantes assumirem a responsabilidade de respeito pelo RGPD e deterem as provas documentais de tal tratamento.
II) Princípio da segurança do tratamento
Tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, âmbito, contexto e finalidades do tratamento, bem como os riscos para os direitos e liberdades das pessoas singulares, devemos aplicar as medidas técnicas e organizativas mais adequadas para assegurar um nível de segurança adequado ao risco; a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento; a disponibilidade e o acesso aos dados pessoais de forma eficaz no caso de um incidente físico ou técnico e avaliarmos regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento.
III) Princípio da licitude, lealdade e transparência
Licitude: O tratamento dos dados só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:
1) O titular dos dados tiver dado o seu consentimento expresso, mediante um ato positivo do qual resulte a clara e informada autorização para o tratamento dos seus dados pessoais para uma ou mais finalidades;
2) O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados;
3) O tratamento seja necessário para cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;
4) O tratamento seja necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular;
5) O tratamento seja necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento;
6) o tratamento seja necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.
Lealdade: O tratamento dos dados tem de respeitar a finalidade para a qual os dados foram recolhidos e não podem ser tratados para fins diferentes sem o consentimento do titular dos dados
Transparência: O titular dos dados deve ser informado por forma a conhecer o tratamento a que foram sujeitos os seus dados pessoais.
IV) Princípio da limitação das finalidades e da conservação
Os dados pessoais deverão ser recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser tratados para finalidades distintas a menos que exista um claro interesse superior que o preveja, nomeadamente, fins de arquivo de interesse público.
O período de conservação dos dados deve ser o prazo estritamente necessário, devendo neste aspeto conhecer-se e respeitar-se os prazos de conservação e arquivo previstos na lei.
V) Princípio da minimização dos dados
O responsável pelo tratamento e o subcontratante devem orientar o momento da recolha de dados pelo princípio da minimização, devendo recolher apenas os dados pessoais que considere adequados, pertinentes e limitados ao tratamento que pretende fazer.
VI) Princípio da exatidão
Os dados pessoais devem estar permanentemente exatos e atualizados sempre que necessário, devendo ser adotados mecanismos para garantir a exatidão e atualização permanentes.
VII) Princípio da integridade e confidencialidade
Os dados são tratados de uma forma que garante a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental.
O tratamento informático dos dados pessoais, respeita as regras entendidas como adequadas no sentido de assegurar a confidencialidade, integridade e segurança dos dados: segurança no acesso às aplicações ou sistemas pela utilização de password ou outro método de autenticação ou identificação; possibilidade de rastreamento dos acessos, da informação produzida e processada.
Artigo 4º
(Direitos dos Titulares dos Dados)
1) Direito de Informação: O titular dos dados pessoais tem o direito a ser informado sobre os termos e condições do tratamento dos seus dados pessoais no momento da sua recolha ou, se os dados não forem recolhidos junto do próprio titular, a ser informado num prazo razoável após a sua obtenção dos dados pessoais, salvo exceções prevista no Regulamento Geral de Proteção de Dados.
2) Direito de Acesso: O titular dos dados pessoais tem o direito a ter conhecimento de que os seus dados pessoais são ou não objeto de tratamento e, se o forem, tem o direito de aceder aos seus dados pessoais, às informações relativamente às finalidades do tratamento, categorias de dados pessoais em causa, destinatários, prazos de conservação, processo de eliminação, entre outras.
3) Direito de Retificação: O titular dos dados pessoais tem o direito de obter, sem demora injustificada a retificação ou atualização dos seus dados pessoais que estejam incorretos ou desatualizados.
4) Direito ao Apagamento dos Dados/Esquecimento: O titular dos dados pessoais tem o direito de obter o apagamento/eliminação/esquecimento dos seus dados pessoais, sem demora injustificada, dentro dos limites legalmente previstos.
5) Direito à Limitação do Tratamento: O titular dos dados pessoais tem o direito de obter a limitação do tratamento, se se aplicar uma das condições previstas no Regulamento Geral de Proteção de Dados.
6) Direito de Portabilidade dos Dados: O titular dos dados pessoais tem o direito de receber os seus dados pessoais transmitidos, de forma simples, acessível e de leitura automática.
7) Direito de Oposição: O titular dos dados pessoais tem o direito de se opor, a qualquer momento, ao tratamento dos dados pessoais que lhe digam respeito, dentro dos limites legalmente admissíveis.
8) Direito de não ficar sujeito a decisões individuais automatizadas: O titular dos dados pessoais tem o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado dos seus dados pessoais, incluindo a definição de perfis, que produza efeitos na sua esfera jurídica ou que o afete significativamente.
Artigo 5º
(Exercício dos direitos dos titulares dos dados)
A AEMINIUM, na qualidade de Responsável pelo Tratamento de Dados, obriga-se a cumprir os direitos dos titulares de dados pessoais de informação, acesso, retificação, apagamento/esquecimento, limitação, portabilidade, oposição e a não ficar sujeito a decisões individuais automatizada, através do cumprimento do dever de informar os titulares dos dados, dos seus direitos e de que forma os poderão exercer, sem prejudicar os direitos e liberdades de terceiros.
O Dever de Informação será realizado através das respetivas declarações existentes para as várias finalidades ou de aditamentos aos contratos de trabalho e prestação de serviços já celebrados ou cláusulas a incluir nos contratos a celebrar no futuro.
A AEMINIUM tem um Encarregado de Proteção de Dados (EPD/DPO) responsável por analisar os pedidos dos titulares dos dados pessoais para o exercício dos seus direitos que assume a responsabilidade de responder a tais pedidos, salvo exceções devidamente fundamentadas, no prazo máximo de 30 dias.
Quaisquer pedidos de informações sobre o tratamento dos dados pessoais, bem como quaisquer questões relacionadas com o exercício de direitos, deverá ser realizado através dos seguintes contactos:
E-mail: protecao.dados@outlook.pt
Morada: Rua Visconde de Alverca nº 14, 3150-120 Condeixa
Artigo 6º
(Limitações ao exercício dos direitos dos titulares dos dados)
O exercício dos direitos dos titulares dos dados será limitado quando certa medida legislativa interna ou comunitária faça prevalecer outros interesses, considerados superiores aos direitos dos titulares, desde que tal limitação respeite a essência dos direitos e liberdades fundamentais e constitua uma medida necessária e proporcional numa sociedade democrática para assegurar, designadamente:
1) A segurança do Estado;
2) A defesa;
3) A segurança pública;
4) A prevenção, investigação, deteção ou repressão de infrações penais, ou a execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública;
5) Outros objetivos importantes do interesse público geral da União ou de um Estado-Membro, nomeadamente um interesse económico ou financeiro importante da União ou de um Estado-Membro, incluindo nos domínios monetário, orçamental ou fiscal, da saúde pública e da segurança social;
6) A defesa da independência judiciária e dos processos judiciais;
7) A prevenção, investigação, deteção e repressão de violações de deontologia de profissões regulamentadas;
8) Uma missão de controlo, de inspeção ou de regulamentação associada, ainda que ocasionalmente, ao exercício da autoridade pública;
9) A defesa do titular dos dados ou dos direitos e liberdades de outrem
10) A execução de ações cíveis.
Artigo 7º
(Operações de tratamento de dados pessoais)
O tratamento de dados pessoais é realizado na medida do estritamente necessário, através de sistemas ou ferramentas informáticas, tais como e-mail, processamento de texto; bases de dados; folhas de cálculo, Software de ERP ou CRM; processamento salarial, site institucional e página de Facebook.
Artigo 8º
(Recolha dos dados pessoais)
A recolha de dados só pode ser realizada para finalidades determinadas e estar limitada à informação estritamente necessária para o processo da atividade em causa, cumprindo os deveres da licitude e de informação.
Sempre que seja necessário o consentimento do titular dos dados pessoais, este tem de resultar de uma manifestação de vontade expressa, informada e voluntária – ato positivo inequívoco.
O pedido de consentimento é realizado através dos contactos atuais dos titulares dos dados para que prestem o seu consentimento de forma livre e esclarecida ou, através de declarações, aditamento aos contratos celebrados e cláusulas a incluir nos contratos a celebrar no futuro.
Artigo 9º
(Finalidades da Recolha de Dados Pessoais)
Relações contratuais: os dados pessoais são tratados para celebração e manutenção de contratos, nomeadamente, de trabalho, prestação de serviços, entre outros, necessários ao desenvolvimento da atividade da AEMINIUM.
Prestações de Serviços: para o desenvolvimento da nossa atividade, se necessário, podemos ainda partilhar os dados pessoais recolhidos com os nossos prestadores de serviços que atuam em nosso nome, Seguradora, Medicina no Trabalho, Higiene e Segurança no Trabalho, entre outras ou com entidades terceiras para cumprimento de obrigações legais, tais como a Subsistema de Saúde; Autoridade Tributária, Segurança Social e ACT.
Marketing: Os dados pessoais, são igualmente tratados para efeitos de promoção e divulgação dos serviços da AEMINIUM, caso o titular dos dados tenha autorizado.
Artigo 10º
(Dever de informação)
O titular dos dados dispõe do direito à informação e à transparência das informações, comunicações e regras para o exercício dos direitos pelo que enquanto responsável pelo tratamento, devemos garantir que aquando da recolha dos dados do titular, são facultadas as informações legalmente exigidas
Este dever apenas deixa de existir quando o titular dos dados já tenha conhecimento de todas estas informações ou, no caso de dados recolhidos na ausência do titular dos dados, quando o titular já tenha conhecimento das informações; se comprove a impossibilidade de disponibilizar a informação; a obtenção ou divulgação dos dados esteja expressamente prevista na lei ou os dados pessoais devam permanecer confidenciais em virtude de uma obrigação de sigilo profissional.
Artigo 11º
(Política de acesso aos dados pessoais)
A AEMINIUM, recolhe e trata os dados pessoais estritamente necessários para a sua boa gestão e prestação das suas atividades e serviços:
1) Os dados pessoais recolhidos incluem, nomeadamente, o nome, os elementos de identificação, contactos, saúde, subsistema de saúde, número de utente, e quaisquer outros quando estritamente necessários para a realização dos serviços do Laboratório.
2) A proteção dos direitos dos menores é particularmente importante, pelo que a recolha de dados pessoais de menores de 16 anos está dependente do consentimento dos respetivos pais/responsáveis parentais.
3) Todos aqueles que têm acesso a dados pessoais recolhidos pela AEMINIUM e que não têm a qualidade de subcontratantes, trabalhadores ou outros com qualquer vínculo contratual formalizado por escrito, têm de assinar a respetiva declaração com a obrigação do dever de sigilo e confidencialidade.
4) De forma a minimizar comportamentos de risco e responsabilizar objetivamente os intervenientes, a recolha dos dados pessoais é realizada pelo número mais reduzido possível de pessoas que, encaminham a informação na medida do estritamente necessário para a restante equipa, de forma a reunir todas as condições para o exercício do trabalho de cada um.
5) Existem regras de controlo quanto aos contactos telefónicos internos e externos, por forma a não violarem quaisquer dados pessoais.
6) O tratamento da correspondência recebida e expedida, é realizado de forma a que a mesma seja tratada e encaminhada para os seus destinatários sem violar a privacidade dos vários intervenientes.
7) As chaves de acesso aos vários departamentos/divisões que tenham dados pessoais, são guardadas em local seguro e confidencial, de acesso restrito a quem tem de aceder necessariamente.
Artigo 12º
(Direito à Imagem)
O Direito à Imagem faz parte integrante dos direitos, liberdades e garantias expressamente consagrado na Constituição da República Portuguesa e protegido no atual Regulamento Geral de Proteção de Dados.
A reserva da imagem e o direito de escolher se a mesma deverá/poderá ser utilizada é pessoal e intransmissível.
Nessa medida, a AEMINIUM, só utiliza a imagem dos trabalhadores, prestadores de serviços, clientes e outros, após recolha do seu consentimento, prestado de forma livre, específica, informada, explicita e inequívoca e com informação da finalidade pretendida.
O período de conservação das imagens é o estritamente necessário para a finalidade determinada e têm o direito de, a qualquer momento, solicitar o acesso às imagens que lhe digam respeito, ao apagamento, o direito de se opor ao tratamento ou retirar o presente consentimento.
O documento de cedência do direito à imagem é assinado por todos aqueles que pretendemos recolher e divulgar a sua imagem.
O Direito à imagem em Eventos Públicos com grande número de participantes é respeitado e protegido – colocamos o respetivo aviso de que serão recolhidas imagens para divulgação e promoção do evento e das entidades envolvidas.
Artigo 13º
(Segurança e proteção)
A AEMINIUM, tem de assegurar a confidencialidade, proteção e segurança dos dados pessoais dos seus trabalhadores, clientes, sócios e quaisquer outros a que tenha acesso.
Para tanto, implementou medidas técnicas e organizativas adequadas para proteger os dados pessoais contra qualquer forma de tratamento indevido ou ilegítimo e contra qualquer perda acidental ou destruição destes dados.
Para o efeito, dispõe de sistemas e equipas destinadas a garantir a segurança dos dados pessoais tratados, criando e atualizando procedimentos que previnam acessos não autorizados, perdas acidentais e/ou destruição dos dados pessoais, comprometendo-se a respeitar a legislação relativa à proteção de dados pessoais e a tratar estes dados apenas para os fins para que foram recolhidos, assim como a garantir que estes dados são tratados com adequados níveis de segurança e confidencialidade.
Para garantir a permanente sensibilização dos nossos colaboradores, desenvolvemos ainda ações de formação junto dos mesmos, os quais assumem o compromisso de não revelar a terceiros ou utilizar para fins contrários à lei, qualquer informação pessoal, cujo conhecimento lhes advenha do exercício das suas funções.
Quando há a necessidade de transmitir dados pessoais a terceiros, a AEMINIUM tem definidas regras claras de contratualização do tratamento de dados pessoais com os seus subcontratantes, e exige que estes adotem as medidas técnicas e organizacionais apropriadas para proteger os seus dados pessoais
Todos os documentos existentes em suporte físico estão devidamente identificados e guardados ou arquivados num local que garante a sua integridade e segurança, não acessível por parte de terceiros ou de trabalhadores que não devam ter acesso a essa informação.
Os dados pessoais de caráter sensível estão conservados em local de acesso totalmente restrito e condicionado e só os trabalhadores estritamente necessários é que terão acesso aos mesmos, oferecendo garantias de segurança e à prova de vulnerabilidades, perda, destruição e outros.
O acesso aos documentos tratados em suporte informático está condicionado aos trabalhadores estritamente necessários para o cabal desempenho das suas funções, não colocando em causa a sua máxima confidencialidade, com nome de utilizador e palavras passe, pessoais e intransmissíveis; a existência de firewall e antivírus atualizados.
Artigo 14º
(Deveres dos Trabalhadores)
Os nossos trabalhadores, estão obrigados a guardar rigoroso sigilo sobre quaisquer informações ou conhecimentos de natureza pessoal, técnica, institucional ou outra, adquiridos, direta ou indiretamente durante a relação laboral ou por causa desta, relativos à entidade empregadora ou a quaisquer outras pessoas, singulares ou coletivas, que com aquela se relacionem, nomeadamente, outros trabalhadores, prestadores de serviços, clientes, familiares, salvo se previamente autorizados por escrito.
São expressamente proibidas quaisquer reproduções, cópias, modificações, comunicações públicas, distribuição ou qualquer outro tipo de cedência, gratuita ou onerosa, de quaisquer documentos, incluindo programas informáticos, publicações, informações contidas em bases de dados, ou qualquer outro material intelectual pertencente ou relativo à AEMINIUM ou a qualquer terceiro que com esta se relacione, salvo se previamente autorizados por escrito.
Os contratos de trabalho preveem o respeito pelo dever de sigilo e confidencialidade e facultamos todas as informações constantes no artigo 13.º do RGPD.
O incumprimento das obrigações dos trabalhadores, constituirá infração disciplinar grave e impeditiva da subsistência da relação de trabalho, sem prejuízo de incorrer na obrigação de indemnizar os lesados pelos prejuízos patrimoniais e/ou não patrimoniais.
(Subcontratantes)
Como responsável pelo tratamento de dados pessoais, por vezes, temos necessidade de recorrer a entidades terceiras para a prestação de determinados serviços que poderá implicar o acesso e tratamento de dados pessoais, em nome e por conta da AEMINIUM.
Ao transmitir dados pessoais a terceiros, temos de prestar garantias de que os nossos subcontratantes oferecem as medidas de tratamento e segurança exigidas para que o tratamento realizado cumpra as exigências do RGPD, inclusive a segurança e proteção dos direitos dos titulares dos dados, nos termos do acordo de subcontratação celebrado com as referidas entidades subcontratantes.
Poderá ainda, ocorrer a transmissão de dados pessoais a entidades terceiras, quando tais comunicações de dados sejam necessárias ou adequadas:
a) à luz da lei aplicável,
b) no cumprimento de obrigações legais/ordens judiciais, ou
c) para responder a solicitações de autoridades públicas ou governamentais.
Os dados poderão ser fornecidos aos nossos prestadores de serviços de higiene e segurança no trabalho, medicina no trabalho, entidades bancárias, AT, Segurança Social, ACT, entre outros, para assegurar as finalidades em causa e que têm, obrigatoriamente os mesmos deveres de conservação e utilização dos dados pessoais cedidos.
A AEMINIUM compromete-se a tomar todas as medidas razoáveis para garantir a proteção efetiva dos dados pessoais que trata, não comercializa a sua base de dados com terceiros e também não transfere quaisquer dados pessoais para países terceiros.
Para tanto, a AEMINIUM solicita a todos os subcontratantes que prestem as garantias técnicas e organizativas de Compliance com o RGPD de forma que evidencie que a escolha ou continuidade do subcontratante se baseou na prova de compliance.
Artigo 16º
(Responsável pelo Tratamento de Dados)
Para além das entidades públicas que, independentemente da dimensão, estão obrigadas a nomear um Encarregado de Proteção de Dados (EPD/DPO), no que respeita às entidades privadas, essa obrigatoriedade existe sempre que a atividade privada desenvolvida, a título principal, implique:
a) Operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam
um controlo regular e sistemático dos titulares dos dados em grande escala; ou
b) Operações de tratamento em grande escala das categoriais especiais de dados nos
termos do artigo 9.º do RGPD, ou de dados pessoais relacionados com condenações penais e contraordenacionais nos termos do artigo 10.º do RGPD.
Compete ao responsável pelo tratamento ou ao subcontratante assegurar e poder comprovar que o tratamento é realizado em conformidade com as disposições do RGPD, e atenta a quantidade e categoria sensível de dados recolhidos e tratados, a AEMINIUM considerou importante e conveniente designar um Encarregado de Proteção de Dados (EPD/DPO) para facilitar o cumprimento das disposições do RGPD.
No entanto, o EPD/DPO nomeado não é pessoalmente responsável em caso de incumprimento do disposto no RGPD, mas dispõe de autonomia e de recursos suficientes para desempenhar eficazmente as suas funções.
Em conformidade, foi comunicado à autoridade de controlo competente o contacto do EPD/DPO e publicado no site institucional e nos diversos documentos elaborados para efeitos do RGPD.
Artigo 17º
(Funções e Responsabilidades do Encarregado de Proteção de Dados) (EPD/DPO)
Para assegurar o cumprimento do RGPD, o EPD/DPO nomeado tem como funções, sem prejuízo de outras que se considerem necessárias:
a) Informar e aconselhar o responsável pelo tratamento ou o subcontratante, bem como todos os trabalhadores que tratem os dados, a respeito das suas obrigações no que respeita ao tratamento de dados pessoais;
b) Controlar a conformidade com o presente regulamento, com outras disposições de proteção de dados da União ou dos Estados-Membros e com as políticas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal, bem como a necessidade de proceder a auditorias (periódicas ou não);
c) Cooperar com a autoridade de controlo;
d) Ponto de contacto para a autoridade de controlo sobre questões relacionadas com o tratamento, incluindo a consulta prévia e consulta a autoridade de controlo sobre qualquer outro assunto;
e) Sensibilizar os utilizadores para a importância da deteção atempada de incidentes de segurança e para a necessidade de informar imediatamente o responsável pela segurança, sempre que for detetado código malicioso;
f) Assegurar as relações com os titulares dos dados nas matérias abrangidas pelo RGPD e pela legislação nacional em matéria de proteção de dados.
Artigo 18º
(Prazos de Conservação)
1 – Contratos de Trabalho/Trabalhadores:
A) 5 anos: Prazo de conservação dos documentos laborais, nomeadamente, os registos de trabalho suplementar; registos dos tempos de trabalho; contratos de trabalho e aditamentos; documentos de cessação do contrato de trabalho; mapas de férias e de horários de trabalho; registos de sanções disciplinares; registo individualizado do trabalhador, acidentes de trabalho, consulta anual aos trabalhadores sobre matérias de segurança, higiene e saúde no local de trabalho, planos de formação profissional e respetivos comprovativos, pelo período de 5 anos após cessação do contrato de trabalho, atendendo aos prazos de prescrição das contraordenações laborais e da Segurança Social.
B) Permanente: Os dados relativos a declarações contributivas para efeitos de aposentação ou reforma são conservados sem limite de prazo, a fim de auxiliar o titular na reconstituição das carreiras contributivas.
C) 1 ano: Prazo de conservação dos dados constantes nos Curriculum Vitae por forma a cumprir os princípios da exatidão e minimização.
D) 5 anos: A Lei 105/97 de 13 de setembro, artigo 6º, prevê a conservação pelo período de 5 anos os registos de todos os recrutamentos realizados para garantir a igualdade de tratamento de ambos os sexos, no trabalho e no emprego.
E) 10 anos: Quanto à documentação de caráter fiscal, ou seja, relativa à retribuição, processamento de salários e quaisquer pagamentos deverá ser conservada pelo período mínimo de 10 anos.
F) 12 anos: A documentação produzida de 2014 a 2016 deve ser conservada pelo período de 12 anos. A Lei n.º 2/2014, de 16 de janeiro aplica-se apenas para a documentação produzida a partir de 2014 e durou 2 anos, sendo atualmente de 10 anos, resultado do OE de 2016, que reduziu de 12 para 10 anos o prazo de conservação do processo de documentação fiscal e conservação dos livros, registos contabilísticos e respetivos documentos de suporte.
G) 40 anos: Quando envolve riscos sérios para a saúde e património genético do trabalhador, relativamente à conservação dos resultados da vigilância da saúde do trabalhador, respetivo posto de trabalho ou função que devem constar da ficha médica de cada trabalhador;
H) 30 anos: Quando o trabalhador é exposto a riscos devidos ao ruído.
2 – Clientes:
A) 15 dias – Prazo de conservação das Amostras recolhidas, salvo prazo de conservação previsto em legislação específica.
B) 2 anos – Prazo de conservação das Alíquotas congeladas em casos específicos conforme Manual de Boas Práticas Laboratoriais de Patologia Clínica ou Análises Clínicas – Este prazo não prejudica a conservação se existir previsão legal específica.
C) 5 anos – Manutenção e conservação de arquivos: O laboratório conserva, por qualquer processo, preferencialmente informático, pelo menos durante cinco anos, sem prejuízo de outros prazos que venham a ser estabelecidos por legislação aplicável.
a) Os resultados nominativos dos exames analíticos realizados;
b) Os resultados dos programas de avaliação externa da qualidade, cartas de controlo e registos de cartas de controlo;
c) Os contratos celebrados quanto à recolha dos resíduos;
d) Os acordos relativos à aquisição de reagentes e equipamentos;
e) Os protocolos de colaboração com outros laboratórios;
f) Procedimentos de colheitas, receção e aceitação de amostras;
g) Lista e plano de manutenção e calibração dos equipamentos;
h) Plano anual de formação e avaliação dos colaboradores;
i) Manual de procedimentos gerais e operativos;
j) O registo estatístico dos exames laboratoriais efetuados;
k) As cópias ou extratos de contratos relativos à aquisição e manutenção dos equipamentos descontinuados que funcionaram no laboratório;
l) O registo das medidas tomadas para corrigir eventuais anomalias detetadas, pelo menos, durante um ano.
D) 10 anos: Uma vez que realizam pagamentos e faturação, os dados devem ser conservados pelo período mínimo de 10 anos. Este prazo não prejudica a conservação da informação se existir previsão legal específica.
E) 12 anos: A Lei 2/2014 de 16 de janeiro, alterou o prazo de conservação entre 01/01/2014 a 01/01/2017 em que os livros, registos contabilísticos e respetivos documentos de suporte devem ser conservados em boa ordem durante o prazo de 12 anos.
3 – Prestadores de Serviços/ Subcontratantes:
A) 5 anos: Após o fim da relação contratual – Este prazo não prejudica a conservação da informação se existir previsão legal específica.
B) 10 anos: Dados contabilísticos e fiscais – uma vez que realizam pagamentos e faturação, os dados devem ser conservados pelo período mínimo de 10 anos.
C) 12 anos: A Lei 2/2014 de 16 de janeiro, alterou o prazo de conservação entre 01/01/2014 a 01/01/2017 em que os livros, registos contabilísticos e respetivos documentos de suporte devem ser conservados em boa ordem durante o prazo de 12 anos.
Artigo 19º
(Eliminação de Dados Pessoais)
Quando os dados pessoais deixam de ser necessários para um determinado propósito, ou quando os fins que motivaram o seu armazenamento tiverem sido cumpridos ou terminado o prazo de conservação definido, a informação deve ser eliminada.
A eliminação de documentos de arquivo é um ato de gestão que tem por objetivo, libertar o arquivo de processos e documentos já sem interesse para a atividade da Empresa e aos quais já não lhe é reconhecido qualquer interesse ou valor, seja como prova de direitos e obrigações, seja para fins de natureza legal, que justifique a sua conservação.
A conservação dos dados pessoais pressupõe o cumprimento do:
i) Princípio da Exatidão: Os dados só poderão ser conservados se estiverem atualizados.
ii) Princípio da Minimização: Os dados só devem ser conservados pelo período estritamente necessário à finalidade para a qual foram recolhidos.
Por este motivo, a eliminação de documentos é realizada regularmente, sempre que nos arquivos exista um número razoável de processos e documentos em condições de serem eliminados.
Para salvaguarda de potenciais situações de risco no processo de eliminação de documentação confidencial, esta é feita de modo a que seja impossível a reconstituição dos documentos logo que prescrevam os respetivos prazos de conservação.
A eliminação dos documentos é acompanhada pelo preenchimento de um Auto de Eliminação que fica arquivado para fazer prova do mesmo.
Artigo 20º
(Interpretação e aplicação do Código de Conduta)
Todas e quaisquer dúvidas relativamente à interpretação ou aplicação do presente Código de Conduta deverão ser dirigidos à AEMINIUM que, como Responsável pelo Tratamento de Dados, responderá ou reencaminhará para o departamento competente.
A AEMINIUM promoverá a divulgação do Código de Conduta, a sensibilização e formação de todos os trabalhadores, bem como o acompanhamento da aplicação e a respetiva avaliação, em colaboração com a equipa de trabalho constituída.
Artigo 21º
(Lacunas)
Em tudo o que não esteja previsto no presente Código de Conduta, será aplicável o Regulamento Geral de Proteção de Dados, bem como a legislação nacional em vigor.