ACT DIGITAL, sich der Bedeutung und Notwendigkeit bewusst, ihre Datenverarbeitungsvorgänge an eine neue und umfassende Regulierung zum Thema anzupassen – in diesem Fall das Allgemeine Datenschutzgesetz (Gesetz Nr. 13.709/2018 – „LGPD“), das im August 2018 verabschiedet wurde –, hat im Jahr 2019 ihren Konformitätsprozess mit dem neuen Gesetz eingeleitet.
Diese Datenschutz- und Personendatenschutzrichtlinie, im Folgenden als „RICHTLINIE“ bezeichnet, soll die Verwaltung der Daten natürlicher Personen, die vom Unternehmen verarbeitet werden, anleiten. Sie zielt auf den Schutz personenbezogener Daten und die verschiedenen bestehenden Datenverarbeitungstätigkeiten und -vorgänge bei ACT DIGITAL ab.
Dieses Dokument ist Teil des Compliance-Programms von ACT DIGITAL zur Einhaltung der LGPD.
Bei der Durchführung der in ihren Statuten vorgesehenen Aktivitäten führt ACT DIGITAL Datenverarbeitungsvorgänge durch, die das beste Interesse der betroffenen Personen verfolgen und deren Rechte respektieren. Je nach den Definitionen der LGPD kann das Unternehmen als „Verantwortlicher für personenbezogene Daten“, „Auftragsverarbeiter von personenbezogenen Daten“ oder sowohl als „Verantwortlicher“ als auch „Auftragsverarbeiter“ agieren. In allen Rollen bekräftigt ACT DIGITAL ihr Engagement für die Einhaltung der anwendbaren Datenschutz- und Personendatenschutzbestimmungen.
1. DEFINITIONEN:
DATENVERARBEITUNGSVERANTWORTLICHE („AGENTEN DER DATENVERARBEITUNG“): Der Verantwortliche und der Auftragsverarbeiter von personenbezogenen Daten.
ANONYMISIERUNG: Die Anwendung technischer, zumutbarer und zum Zeitpunkt der Datenverarbeitung verfügbarer Mittel, durch die ein Datum die Möglichkeit des direkten oder indirekten Bezugs zu einer natürlichen Person verliert. Anonymisierte Daten gelten gemäß der LGPD nicht als personenbezogene Daten.
NATIONALE DATENSCHUTZBEHÖRDE („ANPD“): Ein Organ der öffentlichen Verwaltung, das für die Überwachung, Umsetzung und Durchsetzung der LGPD im gesamten Staatsgebiet zuständig ist. Die ANPD wurde durch die LGPD als Bundesbehörde mit technischer Autonomie eingerichtet, die dem Büro des Präsidenten der Republik untersteht. Ihre Natur ist vorübergehend und kann durch die Exekutive in eine indirekte Bundesbehörde mit besonderem autarken Status umgewandelt werden.
VERANTWORTLICHER FÜR PERSONENBEZOGENE DATEN („CONTROLADOR“): Eine natürliche oder juristische Person des öffentlichen oder privaten Rechts, die für Entscheidungen bezüglich der Datenverarbeitung verantwortlich ist.
PERSONENBEZOGENE DATEN: Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören auch Daten, die zur Erstellung eines Verhaltensprofils einer bestimmten natürlichen Person verwendet werden.
SENSIBLE PERSONENBEZOGENE DATEN: Daten über rassische oder ethnische Herkunft, religiöse Überzeugung, politische Meinung, Gewerkschafts- oder Mitgliedschaft in religiösen, philosophischen oder politischen Organisationen, Gesundheitsdaten, Daten zum Sexualleben, genetische oder biometrische Daten, sofern sie einer natürlichen Person zugeordnet sind.
DATENSCHUTZBEAUFTRAGTER („EPD“) ODER DATA PROTECTION OFFICER („DPO“): Eine vom Datenverantwortlichen benannte natürliche oder juristische Person, die als Kommunikationskanal zwischen dem Verantwortlichen, den betroffenen Personen und der Nationalen Datenschutzbehörde fungiert.
ALLGEMEINES DATENSCHUTZGESETZ („LGPD“): Das Gesetz Nr. 13.709 vom 14. August 2018, das die Verarbeitung personenbezogener Daten in digitaler oder physischer Form durch natürliche oder juristische Personen des öffentlichen oder privaten Rechts regelt. Es zielt darauf ab, die Rechte der betroffenen Personen zu schützen und gleichzeitig die Nutzung von Daten für verschiedene Zwecke zu ermöglichen, wobei Interessen ausgeglichen und der Schutz der menschlichen Persönlichkeit mit technologischer und wirtschaftlicher Entwicklung in Einklang gebracht werden.
AUFTRAGSVERARBEITER VON PERSONENBEZOGENEN DATEN („OPERADOR“): Eine natürliche oder juristische Person des öffentlichen oder privaten Rechts, die im Namen des Verantwortlichen personenbezogene Daten verarbeitet.
BETROFFENE PERSON („TITULAR“): Die natürliche Person, auf die sich die verarbeiteten personenbezogenen Daten beziehen.
VERARBEITUNG PERSONENBEZOGENER DATEN („TRATAMENTO“): Jede Operation mit personenbezogenen Daten, wie Erhebung, Erzeugung, Empfang, Klassifizierung, Nutzung, Zugriff, Vervielfältigung, Übermittlung, Verteilung, Verarbeitung, Archivierung, Speicherung, Löschung, Bewertung, Kontrolle, Änderung, Kommunikation, Übertragung, Verbreitung oder Extraktion.
2. ZWECK:
Diese Richtlinie legt die Leitlinien von ACT DIGITAL für den Schutz und die Nutzung personenbezogener Daten fest, die in ihren Aktivitäten verarbeitet werden. Sie orientiert sich an der LGPD sowie anderen nationalen und internationalen Normen zum Datenschutz.
Als brasilianisches Unternehmen befolgt ACT DIGITAL strikt die Vorgaben des Allgemeinen Datenschutzgesetzes (LGPD, Gesetz Nr. 13.709/2018), das in ihrem Herkunftsland in Kraft ist.
3. EMPFÄNGER:
Diese Richtlinie gilt für:
die Mitarbeiter von ACT DIGITAL;
alle Dritten, ob natürliche oder juristische Personen, die für oder im Namen von ACT DIGITAL in Operationen tätig sind, die die Verarbeitung personenbezogener Daten betreffen und im Rahmen der von ACT DIGITAL durchgeführten Aktivitäten erfolgen;
externe Verantwortliche für die Verarbeitung personenbezogener Daten, die in irgendeiner Weise mit ACT DIGITAL in Verbindung stehen;
und die betroffenen Personen, deren personenbezogene Daten von ACT DIGITAL verarbeitet werden.
Die Einhaltung des Datenschutz-Compliance-Programms von ACT DIGITAL sowie der daraus resultierenden rechtlichen und regulatorischen Bestimmungen, einschließlich dieser Richtlinie, ist für alle oben genannten Empfänger obligatorisch, soweit sie mit ACT DIGITAL in Verbindung stehen. Alle Operationen, die die Verarbeitung personenbezogener Daten im Rahmen der von ACT DIGITAL durchgeführten Aktivitäten betreffen, unterliegen diesen Vorschriften.
4. ANWENDBARKEIT:
Diese Richtlinie legt Richtlinien und Regeln fest, um sicherzustellen, dass ihre Empfänger die gesetzlichen Bestimmungen zum Schutz personenbezogener Daten verstehen und einhalten – in allen Interaktionen mit aktuellen und zukünftigen betroffenen Personen, Dritten und externen Verantwortlichen für die Verarbeitung personenbezogener Daten.
Über die durch Datenschutzgesetze definierten Konzepte hinaus umfasst die vorliegende Richtlinie alle Daten, die von ACT DIGITAL gehalten, genutzt oder im Namen von ACT DIGITAL übermittelt werden – unabhängig vom Medium. Dazu gehören personenbezogene Daten, die auf Papier aufgezeichnet, in Computersystemen oder tragbaren Geräten gespeichert oder mündlich übermittelt werden.
5. HAUPTZIELE:
Diese Datenschutz- und Datenverarbeitungspolitik verfolgt die Hauptziele, die Verantwortung von ACT DIGITAL festzulegen sowie die notwendigen Richtlinien zu bestimmen, um das Engagement des Unternehmens für die Einhaltung der geltenden Datenschutzgesetze zu gewährleisten und zu verstärken. Außerdem beschreibt sie die Regeln, die für die Durchführung der Aktivitäten und Operationen der Verarbeitung personenbezogener Daten durch ACT DIGITAL und die Empfänger dieser Richtlinie gelten, um die Einhaltung der geltenden Datenschutzgesetze, insbesondere der LGPD, sicherzustellen.
Diese Richtlinie ist in Verbindung mit den folgenden Dokumenten zu betrachten, die allgemeine Informationen betreffen und sie, wo anwendbar, ergänzen:
Arbeitsverträge der Mitarbeiter von ACT DIGITAL sowie vergleichbare Dokumente, die Vertraulichkeitspflichten in Bezug auf vom Unternehmen gespeicherte Informationen enthalten;
Richtlinien und Sicherheitsvorschriften für den Informationsschutz sowie Nutzungsbedingungen, die die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen von ACT DIGITAL betreffen;
Alle internen Vorschriften zum Schutz personenbezogener Daten, die in regelmäßigen Abständen erstellt und aktualisiert werden.
6. GRUNDSÄTZE DES DATENSCHUTZES UND DER PRIVATSPHÄRE:
ACT DIGITAL wird bei der Verarbeitung personenbezogener Daten die folgenden Grundsätze des Datenschutzes einhalten:
ZWECKBINDUNG: ACT DIGITAL wird personenbezogene Daten nur für rechtmäßige, spezifische, eindeutige und dem Betroffenen mitgeteilte Zwecke verarbeiten, ohne die Möglichkeit einer späteren Verarbeitung, die mit diesen Zwecken unvereinbar ist.
ANGEMESSENHEIT: ACT DIGITAL wird personenbezogene Daten in einer Weise verarbeiten, die mit den dem Betroffenen mitgeteilten Zwecken sowie mit dem Kontext der Verarbeitung übereinstimmt.
NOTWENDIGKEIT: Die Verarbeitung personenbezogener Daten durch ACT DIGITAL wird auf das erforderliche Minimum beschränkt, wobei nur relevante, verhältnismäßige und nicht übermäßige Daten im Verhältnis zu den Verarbeitungszwecken erfasst werden.
FREIER ZUGANG: ACT DIGITAL wird den betroffenen Personen einen einfachen und kostenlosen Zugang zu Informationen über die Art und Dauer der Verarbeitung sowie über die Gesamtheit ihrer Daten gewährleisten.
DATENQUALITÄT: ACT DIGITAL wird sicherstellen, dass personenbezogene Daten der betroffenen Personen genau, klar, relevant und aktuell sind, entsprechend der Notwendigkeit und dem Zweck ihrer Verarbeitung.
TRANSPARENZ: ACT DIGITAL wird den betroffenen Personen klare, präzise und leicht zugängliche Informationen über die Verarbeitung sowie über die verantwortlichen Datenverarbeiter bereitstellen, unter Berücksichtigung von Geschäfts- und Betriebsgeheimnissen.
SICHERHEIT: ACT DIGITAL wird technische und administrative Maßnahmen ergreifen, um personenbezogene Daten vor unbefugtem Zugriff sowie vor zufälliger oder unrechtmäßiger Zerstörung, Verlust, Änderung, Offenlegung oder Verbreitung zu schützen.
PRÄVENTION: ACT DIGITAL wird Maßnahmen ergreifen, um Schäden im Zusammenhang mit der Verarbeitung personenbezogener Daten zu verhindern.
NICHT-DISKRIMINIERUNG: ACT DIGITAL wird sicherstellen, dass die Verarbeitung personenbezogener Daten nicht zu unrechtmäßigen oder missbräuchlichen diskriminierenden Zwecken erfolgt.
VERANTWORTUNG UND RECHENSCHAFTSPFLICHT: ACT DIGITAL verpflichtet sich, die Umsetzung wirksamer Maßnahmen nachzuweisen, um die Einhaltung der Datenschutzvorschriften zu gewährleisten und deren Wirksamkeit zu belegen.
7. RECHTSGRUNDLAGEN FÜR DIE VERARBEITUNG PERSONENBEZOGENER DATEN:
Alle Vorgänge zur Verarbeitung personenbezogener Daten im Rahmen der von ACT DIGITAL durchgeführten Aktivitäten müssen auf einer rechtlichen Grundlage beruhen, die ihre Durchführung legitimiert, unter Angabe des Zwecks und der Benennung der für die Verarbeitung Verantwortlichen.
ACT DIGITAL verpflichtet sich institutionell zur regelmäßigen Bewertung der Zwecke seiner Verarbeitungsvorgänge, unter Berücksichtigung des Kontexts, in dem diese Vorgänge stattfinden, der Risiken und Vorteile für die betroffene Person sowie des berechtigten Interesses des Unternehmens.
Die Verarbeitung personenbezogener Daten durch ACT DIGITAL kann erfolgen:
Mit der Einwilligung der betroffenen Person;
Zur Erfüllung einer gesetzlichen oder regulatorischen Verpflichtung;
Wenn dies für die Durchführung eines Vertrags oder vorvertraglicher Maßnahmen erforderlich ist, an denen die betroffene Person beteiligt ist;
Zur Ausübung von Rechten in Gerichts-, Verwaltungs- oder Schiedsverfahren;
Zum Schutz des Lebens oder der körperlichen Unversehrtheit der betroffenen Person oder Dritter;
Wenn dies zur Wahrung der berechtigten Interessen von ACT DIGITAL oder Dritten erforderlich ist;
Zum Schutz der Kreditwürdigkeit.
ACT DIGITAL führt Aufzeichnungen über seine Verarbeitungsvorgänge, kategorisiert nach Verarbeitungsarten, die jeweils nach ihrem Zweck beschrieben werden. Diese Aufzeichnungen dienen als Unterstützung bei der regelmäßigen Bewertung der Einhaltung der Datenschutzvorschriften.
Die Aufzeichnungen der Verarbeitung personenbezogener Daten können von der betroffenen Person sowie von zuständigen Behörden eingesehen werden, wobei die Rechte der betroffenen Person gewahrt bleiben.
8. RECHTSGRUNDLAGEN FÜR DIE VERARBEITUNG SENSIBLER PERSONENBEZOGENER DATEN:
ACT DIGITAL erkennt an, dass die Verarbeitung sensibler personenbezogener Daten mit höheren Risiken für die betroffene Person verbunden ist. Daher verpflichtet sich das Unternehmen zu besonderen Schutzmaßnahmen.
Dieses Engagement erstreckt sich auf die im Artikel 5, Absatz II der LGPD aufgeführten sensiblen personenbezogenen Daten sowie auf Finanzdaten, die für die Zwecke dieser Richtlinie und des LGPD-Compliance-Programms von ACT DIGITAL als sensible personenbezogene Daten behandelt werden.
Die personenbezogenen Daten von Kindern und Jugendlichen werden mit dem gleichen Maß an Sorgfalt behandelt wie sensible personenbezogene Daten und unterliegen zusätzlich den Bestimmungen von Kapitel II, Abschnitt III der LGPD sowie anderen anwendbaren Vorschriften.
Die Verarbeitung sensibler personenbezogener Daten durch ACT DIGITAL ist nur in folgenden Fällen zulässig:
Mit der spezifischen und ausdrücklichen Einwilligung der betroffenen Person oder ihres gesetzlichen Vertreters für festgelegte Zwecke;
Ohne Einwilligung der betroffenen Person, wenn die Verarbeitung unbedingt erforderlich ist für:
Die Erfüllung einer gesetzlichen oder regulatorischen Verpflichtung durch ACT DIGITAL;
Wissenschaftliche Studien, wenn ACT DIGITAL als Forschungsinstitution auftritt, wobei nach Möglichkeit eine Anonymisierung der sensiblen personenbezogenen Daten gewährleistet wird;
Die Ausübung von Rechten, einschließlich in Verträgen sowie in Gerichts-, Verwaltungs- und Schiedsverfahren;
Den Schutz des Lebens oder der körperlichen Unversehrtheit der betroffenen Person oder Dritter;
Die Gewährleistung von Betrugsprävention und Sicherheit der betroffenen Person, insbesondere bei Identifikations- und Authentifizierungsprozessen in elektronischen Systemen.
9. RECHTE DER BETROFFENEN PERSONEN:
ACT DIGITAL bekräftigt im Rahmen seiner Verarbeitungstätigkeiten seine Verpflichtung zur Wahrung der Rechte der betroffenen Personen, darunter:
RECHT AUF BESTÄTIGUNG DER VERARBEITUNG: Die betroffene Person kann bei ACT DIGITAL anfragen, ob eine Verarbeitung ihrer personenbezogenen Daten stattfindet.
RECHT AUF AUSKUNFT: Die betroffene Person kann eine Kopie aller gesammelten und gespeicherten personenbezogenen Daten anfordern und erhalten.
RECHT AUF BERICHTIGUNG: Die betroffene Person kann die Berichtigung unvollständiger, ungenauer oder veralteter personenbezogener Daten verlangen.
RECHT AUF LÖSCHUNG: Die betroffene Person kann die Löschung ihrer personenbezogenen Daten aus den Datenbanken von ACT DIGITAL beantragen, es sei denn, es besteht eine rechtliche Verpflichtung zur Speicherung oder eine Notwendigkeit für wissenschaftliche Forschung. ACT DIGITAL behält sich das Recht vor, die Methode der Löschung zu wählen, wobei die Sicherheit und Unwiederbringlichkeit der Daten gewährleistet sein muss.
RECHT AUF EINSCHRÄNKUNG DER VERARBEITUNG: Die betroffene Person kann jederzeit die Anonymisierung, Sperrung oder Löschung ihrer personenbezogenen Daten verlangen, wenn diese von einer zuständigen Behörde als unnötig, übermäßig oder nicht im Einklang mit der LGPD behandelt wurden.
RECHT AUF WIDERSPRUCH: Wenn personenbezogene Daten ohne Einwilligung verarbeitet werden, kann die betroffene Person Widerspruch einlegen, wobei die Begründung anhand der LGPD geprüft wird.
RECHT AUF DATENÜBERTRAGBARKEIT: Die betroffene Person kann verlangen, dass ihre personenbezogenen Daten an einen anderen Dienstleister oder Anbieter übertragen werden, unter Berücksichtigung des Geschäftsgeheimnisses und der technischen Infrastruktur von ACT DIGITAL.
RECHT AUF WIDERRUF DER EINWILLIGUNG: Die betroffene Person kann ihre zuvor erteilte Einwilligung widerrufen. Dies hat jedoch keine Auswirkungen auf die zuvor rechtmäßig durchgeführte Verarbeitung. In bestimmten Fällen kann ein Widerruf dazu führen, dass bestimmte Dienste nicht mehr bereitgestellt werden. Die betroffene Person wird in einem solchen Fall informiert.
ACT DIGITAL bekräftigt sein Engagement für Transparenz und angemessene Information und stellt Folgendes bereit:
Informationen über öffentliche und private Stellen, mit denen ACT DIGITAL Daten geteilt hat;
Informationen über die Möglichkeit, die Einwilligung nicht zu erteilen, sowie über die Konsequenzen einer Verweigerung.
10. PFLICHTEN FÜR DEN ANGEMESSENEN UMGANG MIT PERSONENBEZOGENEN DATEN:
Die Pflichten zum sorgfältigen, verantwortungsvollen und angemessenen Umgang mit personenbezogenen Daten erstrecken sich auf alle Empfänger dieser Richtlinie im Rahmen ihrer Arbeit und Aktivitäten bei ACT DIGITAL.
10.1. SPEZIFISCHE PFLICHTEN DER BETROFFENEN PERSONEN:
Die betroffenen Personen sind verpflichtet, ACT DIGITAL über Änderungen ihrer personenbezogenen Daten zu informieren, vorzugsweise auf folgende Weise:
Per E-Mail an die Personalabteilung von ACT DIGITAL;
Per E-Mail direkt an den Datenschutzbeauftragten (EPD) von ACT DIGITAL;
In physischer Form direkt an den EPD von ACT DIGITAL.
10.2. SPEZIFISCHE PFLICHTEN DER MITARBEITER VON ACT DIGITAL:
Der Austausch personenbezogener Daten zwischen den Einheiten von ACT DIGITAL ist zulässig, sofern der Zweck und die rechtliche Grundlage gewahrt bleiben und das Prinzip der Notwendigkeit beachtet wird.
10.3. PFLICHTEN DER MITARBEITER, DATENVERARBEITUNGSVERANTWORTLICHEN UND DRITTEN:
Keine personenbezogenen Daten ohne Genehmigung oder ohne entsprechende Befugnis weitergeben oder zugänglich machen;
Die erforderlichen Genehmigungen für die Verarbeitung einholen und über Dokumente verfügen, die ihre Berechtigung nachweisen;
Die Sicherheitsrichtlinien und Maßnahmen zur Vermeidung von Datenschutzvorfällen einhalten.
10.4. PFLICHTEN ALLER EMPFÄNGER DIESER RICHTLINIE:
Alle Empfänger dieser Richtlinie sind verpflichtet, den EPD von ACT DIGITAL zu kontaktieren, wenn sie Verdacht oder Kenntnis über Verstöße gegen diese Richtlinie oder die Datenschutzgrundsätze gemäß Punkt 7 haben.
11. PFLICHTEN FÜR DEN ORDENTLICHEN GEBRAUCH PERSONENBEZOGENER DATEN:
Die LGPD legt fest, dass die Haftung im Falle von materiellen, moralischen, individuellen oder kollektiven Schäden, die sich aus Verstößen gegen die Gesetzgebung zum Schutz personenbezogener Daten ergeben, solidarisch ist. Das bedeutet, dass alle an der Verarbeitung personenbezogener Daten beteiligten Akteure für eventuelle Schäden haftbar gemacht werden können.
In diesem Sinne impliziert die Möglichkeit, dass die ACT DIGITAL für Handlungen Dritter haftbar gemacht wird, die Notwendigkeit, alle Anstrengungen zu unternehmen, um sicherzustellen, dass solche Dritten die anwendbaren Datenschutzgesetze einhalten.
Daher müssen alle Verträge mit Dritten Klauseln zum Schutz personenbezogener Daten enthalten, die Pflichten und Verantwortlichkeiten in diesem Bereich festlegen und die Verpflichtung der Dritten zur Einhaltung der anwendbaren Datenschutzgesetze bestätigen.
Es wird außerdem betont, dass diese Verträge vom EPD der ACT DIGITAL und seinem technischen Team überprüft und gemäß dem geltenden Rechtsrahmen genehmigt werden.
Alle Dritten müssen eine Annahmeerklärung dieser Richtlinie, der Sicherheitsrichtlinie für Informationen und des Plans zur Reaktion auf Sicherheitsvorfälle unterzeichnen und sich damit verpflichten, die vertraglich vereinbarten Aktivitäten im Rahmen der Beziehung zur ACT DIGITAL ebenfalls diesen Regelungen zu unterwerfen.
Die ACT DIGITAL übernimmt keine Haftung für jegliche illegale oder unbefugte Nutzung von Informationen, sei es durch sie selbst oder durch jemanden, der in ihrem Namen handelt, aufgrund von unsachgemäßer Nutzung oder Verletzung ihrer Zugangsdaten, Fahrlässigkeit oder Fehlverhalten sowie für die unbefugte Nutzung oder den Verlust personenbezogener Daten, auf die sie keinen Zugriff oder keine Kontrolle hat.
12. COMPLIANCE-PROGRAMM FÜR DIE DATENSCHUTZGESETZE:
Das LGPD-Compliance-Programm soll das Engagement der ACT DIGITAL sicherstellen, für eine ordnungsgemäße Verarbeitung personenbezogener Daten zu legitimen Zwecken, die Gegenstand ihrer Aktivitäten sein können, und ihr Engagement für bewährte Praktiken in den Bereichen Privatsphäre und Datenschutz mit den folgenden Maßnahmen stärken:
Erstellung und Verbreitung von Informationen, unabhängig vom Format, die die individuellen Verantwortlichkeiten der Adressaten dieser Richtlinie im Bereich des Datenschutzes beschreiben;
Bereitstellung von Schulungen, Anleitungen und Beratungen für die Mitarbeiter der ACT DIGITAL und Dritte, einschließlich, aber nicht beschränkt auf Online-Kurse, Workshops, interne Besprechungen, regelmäßige Gespräche, Vorträge und andere Initiativen, sowohl in digitaler als auch in Präsenzform.
Einbindung von Datenschutzbedenken und -vorkehrungen in alle Phasen ihrer Aktivitäten, einschließlich, aber nicht beschränkt auf administrative Routinen, Forschungsaktivitäten, Dienstleistungserbringung, akademische Tätigkeiten und andere.
Identifizierung und vertiefte Bewertung der Risiken, die die Erreichung der Ziele der ACT DIGITAL im Bereich des Datenschutzes gefährden könnten; Definition, Erstellung und Umsetzung von Aktionsplänen und Richtlinien zur Minderung der identifizierten Risiken; sowie kontinuierliche Bewertung der Szenarien, um zu prüfen, ob die umgesetzten Maßnahmen keine neuen Richtlinien und Maßnahmen erfordern.
Mit dem Inkrafttreten der LGPD hat der EPD der ACT DIGITAL, unterstützt durch sein technisches Team, die folgenden Verantwortlichkeiten:
Durchführung des LGPD-Compliance-Programms bei der ACT DIGITAL und Überwachung dessen Einhaltung;
Überwachung der Einhaltung der anwendbaren Datenschutzgesetze gemäß den Richtlinien der ACT DIGITAL;
Beratung der Adressaten dieser Richtlinie hinsichtlich des Datenschutzregimes der ACT DIGITAL;
Sicherstellung, dass die Regeln und Richtlinien zum Datenschutz in den Routinen und Praktiken der ACT DIGITAL vermittelt/verankert werden;
Organisation von Schulungen zum Schutz personenbezogener Daten bei der ACT DIGITAL;
Erteilung von Auskünften, Bereitstellung von Informationen und Vorlage von Berichten über die Verarbeitung personenbezogener Daten und deren Auswirkungen gegenüber zuständigen Behörden (z. B. Staatsanwaltschaft, Nationale Behörde für den Schutz personenbezogener Daten usw.);
Beantwortung von Anfragen und Beschwerden von Betroffenen, deren Daten von einer Einheit der ACT DIGITAL verarbeitet wurden;
Unterstützung bei Audits oder anderen Maßnahmen zur Bewertung und Überwachung im Zusammenhang mit dem Datenschutz;
Erstellung von Datenschutz-Folgenabschätzungen, technischen Stellungnahmen und Überprüfung von Dokumenten in Bezug auf den Datenschutz.
13. SICHERHEIT DER INFORMATIONEN:
Die Normen für die Informationssicherheit und die Prävention von Vorfällen mit personenbezogenen Daten sind in der Sicherheitsrichtlinie für Informationen der ACT DIGITAL und in internen Regelungen und verwandten Dokumenten zum Thema enthalten.
Die ACT DIGITAL bekräftigt das in ihrer Sicherheitsrichtlinie für Informationen verankerte Engagement, geeignete technische und organisatorische Maßnahmen im Umgang mit personenbezogenen Daten anzuwenden und sich für den Schutz der personenbezogenen Daten der Betroffenen vor unbefugtem Zugriff, Verlust, Zerstörung, unbefugter Weitergabe und anderen Eventualitäten einzusetzen.
Unsere Website und zugehörigen Seiten verwenden einen Cloud-Server mit angemessenen Sicherheitsmaßnahmen, die den Verlust, die unsachgemäße Handhabung oder unbefugte Änderungen der über die Websites gesammelten persönlichen Informationen verhindern sollen.
Die Instanzen verfügen über eine sichere SSL-Verbindung, die eine sichere Datenübertragung durch Verschlüsselung gewährleistet. Der Zugriff auf diese Informationen ist nur den Personen in unserem Unternehmen gestattet, die einen legitimen Zweck für deren Nutzung haben, um Ihnen bessere Produkte und Dienstleistungen anzubieten, und die die Privatsphäre und Vertraulichkeit dieser Daten gewährleisten. Es sei jedoch darauf hingewiesen, dass Datenübertragungen über das Internet nicht vollständig vor unbefugten Abfangen geschützt sein können.
13.1 WEBSITE:
Die Website der ACT DIGITAL und ihre zugehörigen Seiten erfassen keine persönlichen Informationen, ohne dass Sie diese bereitgestellt haben. Sie können unsere Seiten besuchen und nach Informationen und Dienstleistungen suchen, ohne persönliche Daten angeben zu müssen. Allerdings kann die ACT DIGITAL und ihre zugehörigen Seiten auf folgenden Wegen persönliche Daten erfassen:
Anmeldeformular: Besucher, die weitere Informationen über Dienstleistungen, Lösungen oder andere Informationen wünschen, die nicht über die Website (z. B. per E-Mail oder Telefon) verfügbar sind, müssen sich über die Kontaktseite oder verwandte Seiten registrieren. Die Formulare können einige persönliche Daten erfordern, darunter, aber nicht beschränkt auf, Ihren Namen, Ihre E-Mail-Adresse, Postadresse, Telefonnummer, Firmenname, Position/Abteilung und/oder Interessen an den Dienstleistungen sowie andere angeforderte Informationen.
Kommunikation: Falls ein Besucher oder ein Unternehmen über die Website, E-Mail oder Telefon kommunizieren möchte, erfasst die ACT DIGITAL alle relevanten persönlichen Daten, um die Qualität der Kommunikation zu verbessern.
Externe Links der Website: Unsere Website und zugehörigen Seiten können Links zu anderen Websites enthalten. Bitte beachten Sie, dass wir nicht für die Datenschutzpraktiken dieser Websites verantwortlich sind. Externe Links können zu Websites führen, die „Cookies“ verwenden. Wir empfehlen Ihnen, die Datenschutzrichtlinien dieser externen Websites zu lesen, bevor Sie persönliche Daten angeben.
Für die Navigation auf der Website der ACT DIGITAL können folgende Informationen erfasst werden:
Name
Geschlecht
CPF
E-Mail-Adresse
Postadresse
Telefonnummer
Geburtsdatum
Informationen über Browser und Betriebssystem des Geräts
IP-Adresse
Besuchte Seiten
Geklickte Links und Buttons
13.2 COOKIES:
Die Website der ACT DIGITAL und ihre zugehörigen Seiten verwenden „Cookies“, um Informationen über das Nutzerverhalten zu speichern. Ein „Cookie“ ist eine Information, die von unserem Webserver an Ihren Computer gesendet und in Ihrem Browser gespeichert werden kann. Diese Information ist sehr nützlich, damit die Website der ACT DIGITAL und ihre zugehörigen Seiten ein besseres Online-Erlebnis bieten können, das an die Nutzungsbedingungen des Benutzers angepasst ist. Der Benutzer kann „Cookies“ verwalten und sie direkt im Browser aktivieren oder deaktivieren.
13.3 BENUTZERERFAHRUNG:
Wir können Tools zur Analyse der Benutzererfahrung von Google verwenden, um die Navigationsfreundlichkeit, das Interface und die Qualität der Informationen auf unseren Plattformen und Anwendungen zu verbessern. Diese Tools liefern Nutzungsdaten der Website und Apps auf vertrauliche und globale Weise, ohne Zugriff auf vertrauliche Benutzerdaten.
14. INTERNATIONALE ÜBERTRAGUNG PERSONENBEZOGENER DATEN:
In Fällen, in denen die ACT DIGITAL berechtigt ist, personenbezogene Daten unabhängig von der Zustimmung des Betroffenen zu verarbeiten, kann die ACT DIGITAL personenbezogene Daten in andere Länder übertragen, sofern alternativ:
Das Land von der ANPD als angemessenes Datenschutzniveau eingestuft wurde oder die Übertragung von der ANPD genehmigt wurde;
Solange keine Liste von Ländern mit angemessenem Niveau von der ANPD veröffentlicht wurde, das Land von der Europäischen Kommission durch einen Angemessenheitsbeschluss als Land mit angemessenem Niveau nach den GDPR-Kriterien eingestuft wurde;
Das Land über eine ähnliche Gesetzgebung wie Brasilien verfügt;
Der internationale Datenverarbeiter der ACT DIGITAL mindestens eine der folgenden Sicherheitsmaßnahmen bietet:
Regelmäßig herausgegebene Verhaltenskodizes oder von der Europäischen Kommission genehmigte „Binding Corporate Rules“;
Von der ANPD oder der Europäischen Kommission herausgegebene Standardvertragsklauseln;
Konformitäts- oder Angemessenheitszertifikate für den Datenschutz, die von von der ANPD oder der Europäischen Kommission anerkannten Stellen vergeben wurden.
In Fällen, in denen die ACT DIGITAL zur Verarbeitung personenbezogener Daten auf der Grundlage einer Einwilligung berechtigt ist, kann die ACT DIGITAL personenbezogene Daten in andere Länder übertragen, sofern sie eine ausdrückliche und hervorgehobene Einwilligung der Betroffenen für die Durchführung internationaler Datenübertragungen einholt, wobei im Voraus über den internationalen Charakter der Operation informiert wird.
15. SCHULUNG:
Die Adressaten dieser Richtlinie verpflichten sich, an den vom EPD der ACT DIGITAL vorgeschlagenen Schulungen, Workshops, Treffen und Schulungen teilzunehmen, um die Kultur des Datenschutzes im Unternehmen zu stärken.
Die Mitarbeiter der ACT DIGITAL, deren Funktionen die regelmäßige Verarbeitung personenbezogener Daten erfordern, oder die für die Umsetzung dieser Richtlinie Verantwortlichen verpflichten sich, an zusätzlichen Schulungen teilzunehmen, um ihre Pflichten und deren Erfüllung besser zu verstehen.
16. ÜBERWACHUNG:
Es wird erneut betont, dass die ACT DIGITAL ihr Engagement anerkennt, für eine ordnungsgemäße Verarbeitung personenbezogener Daten zu legitimen Zwecken zu sorgen, und ihr Engagement für bewährte Praktiken in den Bereichen Privatsphäre und Datenschutz bekräftigt. Sie verpflichtet sich, ihr LGPD-Compliance-Programm gemäß den von der ANPD oder anderen zuständigen Behörden herausgegebenen Normen und Empfehlungen aktuell zu halten.
Die ACT DIGITAL verpflichtet sich, diese Richtlinie regelmäßig zu überprüfen und nach eigenem Ermessen Änderungen vorzunehmen, um ihr dauerhaftes Engagement für den Schutz personenbezogener Daten zu stärken. Alle Änderungen werden rechtzeitig über die offiziellen Kanäle des Unternehmens kommuniziert.
Dokument: Richtlinie für Privatsphäre und Schutz personenbezogener Daten
Dimension: Normative Verfahrensstruktur
Art des normativen Instruments: Richtlinie
Kategorie des Themas: Kontrolle und Compliance
Thema: Compliance-System
Identifikation: PP.001.2024
Kontakt: [email protected]
ÜBERPRÜFUNG:
Name: Israel Aires da Silva
Position: IT-Koordinator | EPD
Version: 1.0/2024
GENEHMIGUNG:
Name: Paulo Victor Couto Quites
Position: Betriebsleiter
Interne Mitteilung Nr. 001/2024 – 23.05.2024
