I. Objetivo da Política de Privacidade
A presente Política de Privacidade descreve as orientações e princípios adotados pela Silvex para assegurar a proteção dos colaboradores e candidatos a colaboradores, enquanto titulares dos dados, estabelecendo diretrizes relativas aos seus direitos e ao tratamento e livre circulação dos dados pessoais.
Este documento apresenta orientações para agir com integridade e em conformidade com os requisitos regulatórios no âmbito da privacidade dos dados, devendo ser respeitado por todos os colaboradores da Silvex.
A Silvex preocupa-se em facultar aos seus colaboradores formação no âmbito da privacidade adequada às suas funções. Este facto não desresponsabiliza que todos os colaboradores tenham conhecimento desta Política de Privacidade e a compreendam. Pedidos de esclarecimento sobre a Política de Privacidade deverão ser remetidos para a Direcção de Recursos Humanos, através do e-mail protecaodedados@silvex.pt ou através da linha da extensão 333.
II. Âmbito e alterações
A Silvex reserva o direito de alterar esta política quando haja necessidade para tal. Esta política está sujeita a uma revisão periódica com o objectivo de garantir o alinhamento com as leis, regulamentos e boas práticas de negócio aplicáveis. As alterações a esta política serão feitas em coordenação com a Direcção dos Recursos Humanos e aprovadas pela Administração da Silvex. Em caso de alteração da política, os titulares de dados serão informados.
A versão actual desta política estará sempre disponível na Direcção de Recursos Humanos e todas as Secções bem como será disponibilizada aos candidatos ou a novos colaboradores antes da recolha de quaisquer dados pessoais.
III. Aplicação de leis nacionais
O Regulamento Geral de Protecção de Dados tem como objectivo principal assegurar o respeito pelo direito fundamental que cada pessoa tem em decidir sobre a utilização dos seus dados pessoais. O RGPD abrange todas as empresas que operem na União Europeia, estando previsto que a lei nacional de cada país tome precedência sobre este em caso de conflito, ou em situações cujos os requisitos definidos na lei nacional sejam mais rigorosos.
A Silvex é responsável por garantir a conformidade com esta política e com as leis em vigor. Na eventualidade de ser detectado qualquer conflito entre o conteúdo desta política e alguma lei ou directiva, os Responsáveis de Processamento de Dados (RPD) da Silvex devem ser imediatamente informados.
O Regulamento Geral de Protecção de Dados pode ser consultado em: http://eur-lex.europa.eu/legal-content/PT/TXT/?uri=OJ%3AL%3A2016%3A119%3ATOC
À altura da elaboração desta política de privacidade (Abril de 2018) estava ainda pendente a aprovação da legislação nacional que regulamenta a implementação do Regulamento em Portugal.
Uma vez aprovada, o tratamento de dados pessoais pela Silvex, também terá essa legislação em devida conta, podendo inclusivamente alterar a presente política em conformidade com os preceitos então aprovados.
IV. Direitos do titular de dados
Quanto aos pedidos de informação feitos sobre os dados pessoais, a Silvex garante a segurança dos dados solicitando a autenticação do titular dos dados. A Silvex assegura um período de resposta inferior a um mês, salvo em casos excepcionais para os quais, pela complexidade do pedido e/ou o número de pedidos realizados, seja definido um período extensível até 2 meses. Caso o prazo seja prorrogado, a Silvex comunicará ao titular dos dados, num prazo máximo de um mês após a data de recepção do pedido, os motivos do atraso na resposta ao pedido.
Todos os pedidos de informação serão analisados para verificação da satisfação em conformidade com os requisitos regulatórios. Sempre que exista um enquadramento legal que previna o titular dos dados de invocar certos direitos, a Silvex reserva o direito de não responder ao pedido comunicando ao titular dos dados os motivos pelos quais o seu pedido não será satisfeito e da possibilidade de apresentar reclamação a uma autoridade de controlo e intentar acção judicial. Quando os pedidos colocados por um titular sejam manifestamente infundados ou excessivos, a Silvex reserva o direito de exigir o pagamento de uma taxa equivalente aos custos administrativos incorridos pela Silvex para responder aos pedidos.
De seguida são enunciados os direitos dos colaboradores e candidatos a colaboradores, enquanto titulares dos dados, dando nota das suas particularidades e dos meios disponibilizados pela Silvex para que possam invocar esses direitos. Para cada direito são apresentados os meios de comunicação preferenciais para os invocar, contudo para outras situações não contempladas, o titular dos dados poderá colocar o seu pedido por um dos canais apresentados na secção XV. Contactos, nomeadamente por e-mail, correio registado ou através da extensão 333.
a. Direito a uma comunicação transparente
- A Silvex informa o titular dos dados, de forma clara e transparente, sobre o processamento dos seus dados pessoais, comunicando-lhe aquando da recolha dos dados pessoais a seguinte informação:
- A(s) finalidade(s) do tratamento a que os dados pessoais se destinam;
- Quais os fundamentos para o tratamento (interesses legítimos da Silvex, obrigação legal ou contratual ou outros), bem como as eventuais consequências de não fornecer esses dados;
- As categorias dos destinatários dos dados pessoais, se aplicável;
- Se os dados pessoais são transmitidos para um país terceiro ou uma organização internacional, caso esta situação ocorra;
- O prazo de conservação dos dados pessoais ou, se não for possível, os critérios usados para definir esse prazo;
- A existência de tomadas de decisão automatizadas, se aplicável;
- Os seus direitos enquanto titular dos dados (apresentados nesta secção), que inclui o direito de apresentar reclamação a uma autoridade de controlo;
- O contacto da Silvex.
Caso os dados não sejam recolhidos junto do titular, e este não tenha tido informação sobre a recolha, a Silvex assegura medidas que permitam, num prazo razoável após a obtenção dos dados pessoais, comunicar ao titular os pontos acima enunciados, complementando com a seguinte informação:
- A origem dos dados pessoais;
- A categoria dos dados que foram recolhidos.
A Silvex compromete-se a comunicar ao titular dos dados sempre que tenha intenção de utilizar os seus dados para outras finalidades que não as previamente comunicadas.
b. Direito de acesso
A Silvex assegura a existência de meios que permitam ao titular dos dados ter acesso aos dados pessoais que a Silvex retenha sobre ele e às seguintes informações enunciadas na secção a. Direito a uma comunicação transparente.
Se o titular dos dados o solicitar, a Silvex enviará uma cópia dos seus dados pessoais em fase de tratamento, em formato eletrónico.
Se a informação solicitada pelo titular prejudicar ou comprometer os direitos e as liberdades de terceiros, a Silvex, em conformidade com os requisitos regulatórios, não dará seguimento ao pedido de acesso.
c. Direito de rectificação
A Silvex assegura que o titular dos dados possa rectificar os seus dados pessoais, caso estes estejam incorrectos, ou completá-los, caso se encontrem incompletos.
Os colaboradores da Silvex, enquanto titulares dos dados, se estiverem para este efeito habilitados, poderão editar os seus dados no sistema interno da empresa. Caso não tenham acesso ao sistema, ou não estejam habilitados para esse efeito, assim como para todas as outras situações não contempladas nos pontos acima, devem requerê-lo à Direcção de Recursos Humanos utilizando os contactos indicados na secção XV. Contactos do presente documento.
d. Direito ao esquecimento
A Silvex assegura os meios necessários para o titular dos dados solicitar o “esquecimento” dos seus dados pessoais. Os pedidos recepcionados serão analisados e, se forem considerados válidos à luz dos requisitos regulatórios, a Silvex compromete-se a “esquecer” os dados dentro de um prazo razoável, a partir do término do período necessário para o fim a que se destina e que necessariamente legitima o tratamento dos dados pessoais do respectivo colaborador ou candidato a colaborador. Se os pedidos realizados não forem considerados válidos, a Silvex não os processará e comunicará ao titular dos dados os motivos associados a essa decisão.
e. Direito à objecção/oposição
A Silvex assegura os meios necessários para que o titular dos dados possa opor-se a determinados tratamentos de dados pessoais para determinadas finalidades, sem prejuízo de directivas ou leis em vigor. Se os pedidos realizados não forem considerados válidos, a Silvex não os processará e comunicará ao titular dos dados os motivos associados a essa decisão.
f. Limitação do processamento
A Silvex assegura os meios necessários para a limitação do tratamento dos seus dados pessoais, assegurando a exactidão dos dados e a limitação do tratamento durante o período de tempo necessariamente legítimo.
h. Direito à portabilidade
A Silvex assegura os meios necessários para que o titular dos dados possa requerer que uma cópia dos seus dados seja enviada para outra entidade. Estes dados serão transmitidos num formato digital e estruturado.
A Silvex reserva o direito de recusar pedidos de portabilidade sempre que este prejudique os direitos e as liberdades de terceiros, ou entre em conflito com algum requisito legal.
Em qualquer caso, a Silvex reserva-se o direito de exigir o pagamento de 10,00€ correspondentes aos custos administrativos incorridos para responder ao pedido e/ou processá-lo.
i. Tomada de decisão automática
A Silvex não toma decisões relativas aos seus colaboradores e candidatos a colaboradores com recurso a processos de decisão automática.
V. Princípios para o processamento de dados
a. Lícito, leal e transparente
Os dados pessoais são obtidos e processados de forma lícita e transparente, comunicando ao titular quais os dados recolhidos, as finalidades com que os dados são tratados, os destinatários a quem estes serão comunicados e qual o seu prazo de conservação.
b. Finalidades determinadas, explícitas e legítimas
Os dados pessoais são recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades.
c. Integridade e confidencialidade dos dados
A segurança dos dados pessoais é garantida através da adopção de medidas que permitem a protecção contra o tratamento não autorizado ou ilícito dos dados, bem como contra a sua perda, destruição ou danificação acidental.
d. Exactidão e actualização dos dados
A exactidão e atualização dos dados é garantida através da disponibilização de canais específicos que permitem ao titular dos dados comunicar eventuais actualizações, bem como medidas de revisão e análise da qualidade dos dados, garantindo os dados inexactos sejam apagados ou rectificados de imediato.
e. Minimização de dados
As operações de recolha de dados são alvo de análise prévia garantindo que apenas são recolhidos os dados pessoais pertinentes e estritamente necessários tendo em conta afinalidade do respectivo tratamento. Neste sentido, as operações de recolha de informação têm por base formulários com campos limitados de forma a garantir que o titular dos dados não comunica mais dados pessoais do que aqueles necessários à situação em causa.
f. Conservação dos dados apenas durante o período necessários para os fins a que se destinam
Os dados pessoais são conservados durante um período de tempo pré-definido, designado por período de retenção. Este é definido tendo em consideração o período necessário para a finalidade que são tratados. Após o período de retenção, os dados pessoais são eliminados ou anonimizados, deixando de ser possível relacionar os dados com o seu titular.
g. Responsabilidade pelos dados
A Silvex assume a responsabilidade pela recolha e processamento dos dados pessoais dos titulares, mesmo que o processamento seja realizado por terceiras entidades subcontratadas.
VI. Processos de recolha e tratamento de dados pessoais de colaboradores e candidatos a colaboradores
a. Gestão de processos regulares de selecção e recrutamento de colaboradores, com vista à celebração de contractos de trabalho ou de prestação de serviços.
Base de licitude: Interesse legítimo da responsável pelo tratamento em seleccionar os seus colaboradores de acordo com os critérios que a cada momento defina.
b. Celebração de contractos de trabalho, ou contractos de prestação de serviços, e gestão da execução dos mesmos, designadamente para fins de processamento de remunerações, gestão do talento e avaliação de desempenho, atribuição de veículos de trabalho, uso de equipamentos telefónicos e informáticos.
Base de licitude: Cumprimento de obrigações contratuais.
c. Gestão da execução dos contractos de trabalho celebrados, designadamente para fins de cumprimento de obrigações de natureza administrativa, judicial, previdencial e fiscal, formação profissional, medicina no trabalho em cumprimento das disposições de higiene, segurança e saúde no trabalho e celebração de apólices de seguro obrigatórias.
Base de licitude: Cumprimento de obrigações legais.
d. Controlo de assiduidade e de acesso a instalações através do emprego de dados biométricos.
Base de licitude: Disposições da lei portuguesa sobre o emprego de dados biométricos para identificação inequívoca de colaboradores e outras pessoas ou, na sua falta, o consentimento dos identificados.
e. Desenvolvimento de relações mais humanas com os colaboradores, em determinadas situações pessoais (nascimento de filhos ou adoção, casamento do colaborador, aniversários do colaborador e familiares do respetivo agregado, óbito de familiares, etc.).
Base de licitude: Interesse legítimo da Responsável pelo tratamento, no desenvolvimento de uma relação institucional mais personalizada com os seus colaboradores.
f. Protecção de pessoas e bens nas instalações da Responsável pelo Tratamento, mediante a recolha de imagens através de sistemas de videovigilância.
Base de licitude: Interesse público na prevenção e dissuasão de actos ilícitos e o interesse legítimo da Responsável pelo Tratamento na protecção dos seus próprios bens e dos bens dos seus colaboradores, fornecedores e clientes, bem como na protecção das mesmas pessoas.
VII. Obrigatoriedade da indicação de determinados dados; consequências do não fornecimento de dados
A falta de indicação dos demais dados solicitados, pode dificultar, e eventualmente impedir a execução da finalidade visada.
VIII. Prazos de conservação de dados
Os dados pessoais recolhidos durante qualquer processo de recrutamento, serão conservados por um período máximo de 5 (cinco) anos, nos casos em que o processo de recrutamento termine sem que o titular dos dados seja contratado, e durante toda a vigência do contrato e por um período adicional de 3 (três) anos contados da respetiva cessação, ou do termo do prazo de conservação determinado na lei, quando seja posterior ao da cessação, nos restantes casos.
Os dados pessoais recolhidos ao longo da vigência do contrato, serão conservados durante toda a vigência do contrato, e por um período adicional de 3 (três) anos contado da respectiva cessação, ou do termo do prazo de conservação determinado na lei, quando seja posterior ao da cessação.
Os dados recolhidos serão conservados pelos períodos indicados na medida em que se mostrem adequados e pertinentes para as finalidades a que se destinam, limitando-se o seu tratamento ao estritamente necessário a tais finalidades.
IX. Transmissão de dados pessoais a terceiras entidades
A Silvex mantém a responsabilidade sobre a idoneidade do processamento dos dados, mesmo quando os tratamentos são realizados por entidades subcontratadas.
Nesta transmissão dos dados pessoais, a Silvex assegura o cumprimento dos requisitos regulatórios aplicáveis.
No processo de aquisição destes serviços, a Silvex verifica se a entidade que pretende subcontratar apresenta um nível de protecção dos dados adequado. Para tal, a Silvex aplica um conjunto de medidas para que só sejam transmitidos dados a entidades que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas aos tratamentos dos dados pessoais, respeitem os requisitos regulatórios e assegurem a defesa dos direitos e liberdades dos titulares dos dados. Neste sentido, os dados só são transmitidos após a celebração de um contrato no qual esteja presente um conjunto de cláusulas pré-definidas que estabeleçam o objeto e a duração do tratamento, a natureza e finalidade do tratamento, o tipo de dados pessoais e as categorias dos titulares dos dados, as obrigações e os direitos de ambas as entidades.
Nestes contractos é definido que as entidades subcontratadas só podem efetuar única e exclusivamente os tratamentos solicitados pela Silvex e são impostos requisitos que asseguram o correto processamento destes dados, de acordo com os princípios enunciados na secção VI - Princípios para o processamento de dados, bem como a existência de mecanismos necessários à execução dos direitos enunciados na secção V - Direitos do titular de dados.
A Silvex toma as medidas necessárias para monitorizar a actividade realizada pela entidade subcontratada.
Os dados recolhidos para o cumprimento das obrigações administrativas, judiciais, previdenciais e tributária, poderão ter que ser transmitidos às Autoridades Públicas respectivas e seus agentes (Sindicatos e agentes sindicais, Autoridade para as Condições do Trabalho, Comissão para a Igualdade no trabalho, Tribunais, incluindo Agentes de Execução, Segurança Social, Autoridade Tributária e Aduaneira, etc.).
Atualmente não são transferidos dados para países terceiros, nem para organizações internacionais.
X. Confidencialidade do processamento
A obrigação de confidencialidade dos colaboradores da Silvex face aos dados recolhidos pela empresa é obtida na celebração do contrato de trabalho, é reforçada pela presente política de privacidade e mantém-se após cessadas as suas funções na organização. Qualquer recolha, processamento ou uso não autorizado de dados é estritamente proibido e alvo de processo disciplinar.
XI. Segurança do tratamento
Ao nível da conservação dos dados estão definidos procedimentos e controlos de segurança, quer a nível físico, quer a nível digital, para assegurar a integridade dos dados e controlo de acessos aos mesmos.
O acesso aos arquivos físicos da Silvex é condicionado a colaboradores autorizados para o efeito, estando os arquivos segregados por categorias de tratamento.
Ao nível da segurança dos sistemas de informação, a Silvex estabelece controlos de segurança a aplicar aos dados armazenados, em particular aos dados pessoais. Os acessos aos dados estão segregados e limitados pela necessidade, sendo efetuado o registo e monitorização aos logs de acesso. Sempre que possível são aplicados mecanismos de protecção dos dados como encriptação, anonimização ou pseudonimização dos dados. Estão definidos procedimentos e regras para realização de backups aos sistemas de informação. Estão ainda definidos um plano de continuidade de negócio da Silvex e respetivo plano de recuperação de desastre que permitem reduzir os riscos de perda ou integridade dos dados. Estes planos são revistos periodicamente e são realizados testes aos mesmos.
XII. Controlo da proteção de dados
XIII. Incidentes de proteção de dados
Estes canais devem ser usados pelos colaboradores da Silvex, enquanto titulares dos dados. Todos os colaboradores têm a responsabilidade de informar Direcção de Recursos Humanos quando deparados com a suspeita de ocorrência de um incidente, sendo dada a possibilidade de o fazer de modo anónimo.
Quando se verifica a ocorrência de um incidente que represente um risco para os titulares dos dados afectados, a Silvex acciona de imediato um conjunto de medidas de mitigação do risco e comunica o incidente à autoridade de controlo dentro de um prazo razoável, num prazo máximo de 72 horas após a sua identificação. Caso o risco para os titulares dos dados afectados seja considerado elevado, a Silvex assume o compromisso de lhes comunicar sem demora injustificada a ocorrência do incidente, a descrição das potenciais consequências, as medidas adoptadas (ou a adoptar) para reparar a situação e atenuar os seus eventuais efeitos negativos, bem como o nome e os contactos das pessoas encarregues de dar seguimento ao incidente.
XIV. Responsabilidades e sanções
A Silvex está sujeita a acções inspectivas por parte da autoridade de controlo, a Comissão Nacional de Protecção de Dados. O processamento ilícito de dados pessoais ou outras violações das leis de protecção de dados são passíveis de acção legal contra a Silvex. Colaboradores que sejam responsabilizados por violações da protecção de dados estão sujeitos a sanções disciplinares de acordo com a lei do trabalho em vigor, podendo ainda vir a responder por responsabilidade civil ou criminal.
XV. Contactos
- E-mail: protecaodedados@silvex.pt
- Morada: Silvex – Indústria de Plásticos e Papéis, S.A., A/C da Direcção de Recursos Humanos – RGPD Quinta da Brasileira, Lote 10, 2130-999 Benavente, Portugal
- Telefone: +351 263 519 180
b. Contactos para invocação dos direitos dos titulares:
- E-mail: protecaodedados@silvex.pt
- Morada: Quinta da Brasileira, Lote 10, 2130-999 Benavente, Portugal
- Linha de atendimento: +351 263 519 180
- Extensão de atendimento: 333