ACT DIGITAL, świadoma znaczenia i konieczności dostosowania swoich operacji przetwarzania danych osobowych do nowych i szerokich regulacji w tej dziedzinie, w szczególności do Ustawy o Ogólnej Ochronie Danych (Ustawa nr 13.709/2018 – „LGPD”), uchwalonej w sierpniu 2018 roku, rozpoczęła w 2019 roku proces dostosowania się do nowej ustawy.
Niniejsza Polityka Prywatności i Ochrony Danych Osobowych, zwana dalej „POLITYKĄ”, ma na celu określenie zasad zarządzania danymi osób fizycznych przetwarzanymi przez firmę, z uwzględnieniem ochrony danych osobowych oraz różnych działań i operacji przetwarzania danych osobowych prowadzonych przez ACT DIGITAL.
Niniejszy dokument jest częścią programu compliance ACT DIGITAL w zakresie LGPD.
W ramach działań przewidzianych w swoich statutach, ACT DIGITAL przeprowadza operacje przetwarzania danych osobowych, kierując się najlepszym interesem podmiotów danych oraz poszanowaniem ich praw, mogąc być określana jako Administrator Danych Osobowych, Podmiot Przetwarzający Dane Osobowe, Administrator i Podmiot Przetwarzający Dane Osobowe, zgodnie z definicjami zawartymi w LGPD, podkreślając we wszystkich przypadkach swoje zaangażowanie w przestrzeganie obowiązujących przepisów dotyczących prywatności i ochrony danych osobowych.
1. DEFINICJE:
AGENCI PRZETWARZANIA DANYCH OSOBOWYCH: Administrator i podmiot przetwarzający dane osobowe.
ANONIMIZACJA: Wykorzystanie środków technicznych, rozsądnych i dostępnych w momencie przetwarzania danych osobowych, w wyniku których dane tracą możliwość powiązania, bezpośredniego lub pośredniego, z konkretną osobą. Dane zanonimizowane nie są uważane za dane osobowe w rozumieniu LGPD.
KRAJOWY URZĄD OCHRONY DANYCH („ANPD”): Organ administracji publicznej odpowiedzialny za nadzorowanie, wdrażanie i egzekwowanie przestrzegania LGPD na terenie całego kraju. ANPD został powołany przez LGPD jako organ administracji publicznej federalnej, posiadający autonomię techniczną, wchodzący w skład Kancelarii Prezydenta Republiki, przy czym jego status został określony jako przejściowy, z możliwością przekształcenia przez władzę wykonawczą w podmiot administracji publicznej federalnej pośredniej, podlegający specjalnemu reżimowi prawnemu i podporządkowany Kancelarii Prezydenta Republiki.
ADMINISTRATOR DANYCH OSOBOWYCH: Osoba fizyczna lub prawna, podmiot prawa publicznego lub prywatnego, który podejmuje decyzje dotyczące przetwarzania danych osobowych.
DANE OSOBOWE: Informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Za dane osobowe uważa się również informacje wykorzystywane do tworzenia profilu behawioralnego konkretnej osoby fizycznej.
DANE OSOBOWE WRAŻLIWE: Dane osobowe dotyczące pochodzenia rasowego lub etnicznego, przekonań religijnych, poglądów politycznych, przynależności do związków zawodowych lub organizacji o charakterze religijnym, filozoficznym lub politycznym, dane dotyczące zdrowia lub życia seksualnego, dane genetyczne lub biometryczne, gdy są powiązane z osobą fizyczną.
INSPEKTOR OCHRONY DANYCH („EPD”) LUB DATA PROTECTION OFFICER („DPO”): Osoba fizyczna lub prawna wyznaczona przez Agentów Przetwarzania do pełnienia funkcji kanału komunikacji pomiędzy Administratorem, podmiotami danych a Krajowym Urzędem Ochrony Danych.
USTAWA O OGÓLNEJ OCHRONIE DANYCH („LGPD”): Akt prawny (Ustawa nr 13.709 z 14 sierpnia 2018 r.), który reguluje przetwarzanie danych osobowych w formie cyfrowej lub fizycznej, prowadzone przez osoby fizyczne lub prawne, podmioty prawa publicznego lub prywatnego, mający na celu ochronę podmiotów danych osobowych, przy jednoczesnym umożliwieniu wykorzystania danych w różnych celach, równoważąc interesy i harmonizując ochronę osoby ludzkiej z rozwojem technologicznym i gospodarczym.
PODMIOT PRZETWARZAJĄCY DANE OSOBOWE: Osoba fizyczna lub prawna, podmiot prawa publicznego lub prywatnego, który przetwarza dane osobowe w imieniu Administratora.
PODMIOT DANYCH OSOBOWYCH („PODMIOT DANYCH”): Osoba fizyczna, której dane osobowe są przedmiotem przetwarzania.
PRZETWARZANIE DANYCH OSOBOWYCH („PRZETWARZANIE”): Wszelkie operacje wykonywane na danych osobowych, takie jak zbieranie, wytwarzanie, odbieranie, klasyfikowanie, wykorzystywanie, dostęp, reprodukcja, transmisja, dystrybucja, przetwarzanie, archiwizowanie, przechowywanie, usuwanie, ocena, kontrola informacji, modyfikacja, komunikacja, transfer, rozpowszechnianie lub ekstrakcja.
2. CEL:
Niniejsza Polityka określa wytyczne ACT DIGITAL dotyczące ochrony i wykorzystywania danych osobowych, które mogą być przetwarzane w ramach jej działalności, z uwzględnieniem LGPD oraz innych krajowych i międzynarodowych przepisów dotyczących prywatności i ochrony danych osobowych.
Firma ACT DIGITAL, będąc podmiotem brazylijskim, ściśle przestrzega wytycznych określonych w Ustawie o Ogólnej Ochronie Danych (LGPD), Ustawie nr 13.709/2018, obowiązującej w jej kraju pochodzenia.
3. ADRESACI:
Niniejsza Polityka ma zastosowanie do:
pracowników ACT DIGITAL; wszystkich podmiotów trzecich, zarówno osób fizycznych, jak i prawnych, działających na rzecz lub w imieniu ACT DIGITAL w operacjach związanych z przetwarzaniem danych osobowych, przeprowadzanych w ramach działalności prowadzonej przez ACT DIGITAL; agentów przetwarzania danych osobowych zewnętrznych wobec ACT DIGITAL, którzy w jakikolwiek sposób się z nią wiążą; oraz podmiotów danych osobowych, których dane są przetwarzane przez ACT DIGITAL. Przestrzeganie programu compliance ACT DIGITAL w zakresie przepisów o ochronie danych osobowych oraz aktów prawnych z niego wynikających, w tym niniejszej Polityki, jest obowiązkowe dla wszystkich wyżej wymienionych adresatów, w zakresie, w jakim wiążą się z ACT DIGITAL. Wszystkie operacje związane z przetwarzaniem danych osobowych, przeprowadzane w ramach działalności prowadzonej przez ACT DIGITAL, podlegają tym przepisom.
4. ZASTOSOWANIE:
Niniejsza Polityka określa wytyczne i zasady mające na celu zapewnienie, aby jej adresaci rozumieli i przestrzegali przepisów dotyczących ochrony danych osobowych we wszystkich interakcjach z obecnymi i przyszłymi podmiotami danych osobowych, podmiotami trzecimi oraz agentami przetwarzania danych osobowych zewnętrznymi wobec ACT DIGITAL.
Poza pojęciami zdefiniowanymi w przepisach dotyczących prywatności i ochrony danych osobowych, informacje objęte niniejszą Polityką obejmują wszystkie dane posiadane, wykorzystywane lub przekazywane przez lub na rzecz ACT DIGITAL, w dowolnym formacie. Obejmuje to dane osobowe zapisane na papierze, przechowywane w systemach komputerowych lub urządzeniach przenośnych, a także dane osobowe przekazywane ustnie.
5. GŁÓWNE CELE:
Niniejsza Polityka Prywatności i Ochrony Danych Osobowych ma na celu przede wszystkim określenie odpowiedzialności ACT DIGITAL oraz niezbędnych wytycznych, aby zapewnić i wzmocnić zaangażowanie Firmy w przestrzeganie obowiązujących przepisów o ochronie danych osobowych, a także opisanie zasad postępowania w ramach działań i operacji przetwarzania danych osobowych prowadzonych przez ACT DIGITAL oraz adresatów niniejszej Polityki, w zakresie działalności ACT DIGITAL, które gwarantują jej zgodność z obowiązującymi przepisami o ochronie danych osobowych, w szczególności z LGPD.
Niniejsza Polityka została opracowana w celu analizy wraz z obowiązkami przewidzianymi w poniższych dokumentach, które dotyczą informacji ogólnie i uzupełniają ją, gdy ma to zastosowanie:
Umowy o pracę pracowników ACT DIGITAL oraz inne podobne dokumenty, które określają obowiązki dotyczące poufności w odniesieniu do informacji przechowywanych przez Firmę; Polityki i procedury bezpieczeństwa informacji, a także warunki i zasady użytkowania, które dotyczą poufności, integralności i dostępności informacji ACT DIGITAL; Wszystkie wewnętrzne przepisy dotyczące ochrony danych osobowych, które zostaną opracowane i aktualizowane od czasu do czasu.
6. ZASADY PRYWATNOŚCI I OCHRONY DANYCH OSOBOWYCH:
ACT DIGITAL będzie przestrzegać następujących zasad ochrony danych osobowych podczas przetwarzania danych osobowych:
CELOWOŚĆ: ACT DIGITAL będzie przetwarzać dane osobowe wyłącznie w uzasadnionych, konkretnych, wyraźnych i poinformowanych celach, bez możliwości późniejszego przetwarzania w sposób niezgodny z tymi celami;
ADEKWATNOŚĆ: ACT DIGITAL będzie przetwarzać dane osobowe w sposób zgodny z celami przekazanymi podmiotowi danych i zgodnie z kontekstem przetwarzania;
KONIECZNOŚĆ: przetwarzanie danych osobowych przez ACT DIGITAL będzie ograniczone do minimum niezbędnego do realizacji jej celów, z uwzględnieniem danych istotnych, proporcjonalnych i nie nadmiernych w stosunku do celów przetwarzania;
SWOBODNY DOSTĘP: ACT DIGITAL zapewni podmiotom danych ułatwiony i bezpłatny dostęp do informacji na temat formy i czasu trwania przetwarzania, a także dotyczących kompletności ich danych;
JAKOŚĆ DANYCH: ACT DIGITAL zapewni podmiotom danych dokładność, przejrzystość, trafność i aktualność danych, zgodnie z potrzebami i w celu realizacji celów ich przetwarzania;
PRZEJRZYSTOŚĆ: ACT DIGITAL zapewni podmiotom danych jasne, precyzyjne i łatwo dostępne informacje na temat przetwarzania oraz odpowiednich agentów przetwarzania danych osobowych, z poszanowaniem tajemnic handlowych i przemysłowych;
BEZPIECZEŃSTWO: ACT DIGITAL zastosuje środki techniczne i administracyjne zdolne do ochrony danych osobowych przed nieautoryzowanym dostępem oraz przed przypadkowymi lub niezgodnymi z prawem sytuacjami zniszczenia, utraty, zmiany, przekazania lub rozpowszechnienia;
ZAPOBIEGANIE: ACT DIGITAL podejmie środki w celu zapobieżenia wystąpieniu szkód w wyniku przetwarzania danych osobowych;
NIE DYSKRYMINACJA: ACT DIGITAL zapewni brak możliwości przetwarzania danych osobowych w celach niezgodnych z prawem lub nadużyciach dyskryminacyjnych;
ODPOWIEDZIALNOŚĆ I ROZLICZALNOŚĆ: ACT DIGITAL zobowiązuje się wykazać przyjęcie skutecznych środków zdolnych do udowodnienia przestrzegania i realizacji przepisów o ochronie danych osobowych oraz skuteczności tych środków.
7. PODSTAWY PRAWNE PRZETWARZANIA DANYCH OSOBOWYCH:
Wszystkie operacje przetwarzania danych osobowych w ramach działalności prowadzonej przez ACT DIGITAL będą miały podstawę prawną uzasadniającą ich przeprowadzenie, z określeniem celu i wyznaczeniem odpowiedzialnych za przetwarzanie.
ACT DIGITAL zobowiązuje się do okresowej oceny celów swoich operacji przetwarzania danych, uwzględniając kontekst, w którym te operacje są prowadzone, ryzyka i korzyści, jakie mogą wynikać dla podmiotu danych, oraz uzasadniony interes firmy.
Przetwarzanie danych osobowych przez ACT DIGITAL może być prowadzone w następujących przypadkach:
Na podstawie wyrażenia zgody przez podmiot danych;
W celu wykonania obowiązku prawnego lub regulacyjnego;
Gdy jest to niezbędne do realizacji umowy lub procedur przedumownych, w których podmiot danych jest stroną;
Do wykonywania praw w postępowaniu sądowym, administracyjnym lub arbitrażowym;
W celu ochrony życia lub zdrowia podmiotu danych lub osób trzecich;
Gdy jest to niezbędne do realizacji uzasadnionych interesów ACT DIGITAL lub osób trzecich;
W celu ochrony wierzytelności.
ACT DIGITAL będzie prowadzić rejestry swoich operacji przetwarzania danych, klasyfikując je według kategorii, z określeniem ich celów, co ułatwi okresową ocenę zgodności z przepisami o ochronie danych osobowych.
Rejestry operacji przetwarzania danych osobowych mogą być udostępniane podmiotom danych oraz uprawnionym organom publicznym, z poszanowaniem praw podmiotów danych.
8. PODSTAWY PRAWNE PRZETWARZANIA DANYCH OSOBOWYCH WRAŻLIWYCH:
ACT DIGITAL uznaje, że przetwarzanie danych wrażliwych wiąże się z większym ryzykiem dla podmiotu danych, dlatego firma zobowiązuje się do szczególnej ochrony i ostrożności w ich przetwarzaniu.
Zobowiązanie to obejmuje dane wrażliwe wymienione w art. 5 ust. II LGPD, a także dane finansowe, które – zgodnie z niniejszą Polityką i Programem Zgodności LGPD ACT DIGITAL – będą traktowane na równi z danymi wrażliwymi.
Dane osobowe dzieci i młodzieży będą przetwarzane z takim samym poziomem ochrony jak dane wrażliwe, z uwzględnieniem przepisów rozdziału II, sekcji III LGPD oraz innych obowiązujących regulacji.
Przetwarzanie danych wrażliwych przez ACT DIGITAL może odbywać się wyłącznie:
Gdy podmiot danych lub jego przedstawiciel ustawowy wyrazi na to wyraźną i odrębną zgodę w określonych celach;
Bez zgody podmiotu danych, jeżeli przetwarzanie jest niezbędne do:
Wypełnienia obowiązku prawnego lub regulacyjnego przez ACT DIGITAL;
Przeprowadzenia badań, gdy ACT DIGITAL działa jako podmiot badawczy (z zapewnieniem anonimizacji danych, gdy to możliwe);
Wykonywania praw, w tym w umowach oraz postępowaniach sądowych, administracyjnych i arbitrażowych;
Ochrony życia lub zdrowia podmiotu danych lub osób trzecich;
Zapobiegania oszustwom i zapewnienia bezpieczeństwa podmiotu danych w procesach identyfikacji i uwierzytelniania w systemach elektronicznych.
9. PRAWA PODMIOTÓW DANYCH:
ACT DIGITAL zobowiązuje się do poszanowania praw podmiotów danych, w tym:
Potwierdzenia przetwarzania danych – podmiot danych może zapytać ACT DIGITAL, czy jego dane są przetwarzane;
Dostępu do danych – podmiot danych może zażądać kopii swoich danych;
Poprawy danych – podmiot danych może żądać sprostowania niekompletnych lub nieaktualnych danych;
Usunięcia danych – podmiot danych może zażądać usunięcia swoich danych, chyba że istnieje uzasadniona podstawa ich przechowywania (np. obowiązek prawny);
Zaprzestania nielegalnego przetwarzania – podmiot danych może żądać anonimizacji, blokady lub usunięcia danych przetwarzanych niezgodnie z prawem;
Sprzeciwu wobec przetwarzania – podmiot danych może wnieść sprzeciw, jeśli przetwarzanie nie opiera się na zgodzie;
Przenoszenia danych – podmiot danych może zażądać przekazania swoich danych innemu dostawcy, z poszanowaniem tajemnicy handlowej;
Cofnięcia zgody – podmiot danych może w każdej chwili wycofać zgodę, co nie wpłynie na legalność wcześniejszego przetwarzania.
ACT DIGITAL zapewnia również przejrzystość i informuje o:
Podmiotach, z którymi dzieli się danymi;
Możliwości odmowy zgody i konsekwencjach takiej decyzji.
10. OBOWIĄZKI DOTYCZĄCE WŁAŚCIWEGO UŻYTKOWANIA DANYCH OSOBOWYCH:
Wszyscy adresaci niniejszej Polityki są zobowiązani do należytej staranności w zakresie ochrony danych osobowych.
10.1. Obowiązki podmiotów danych:
Podmioty danych powinny informować ACT DIGITAL o zmianach swoich danych, kontaktując się z:
Działem Kadr (e-mail);
Inspektorem Ochrony Danych (e-mail lub pocztą tradycyjną).
10.2. Obowiązki pracowników ACT DIGITAL:
Udostępnianie danych między działami jest dozwolone tylko w uzasadnionych celach i zgodnie z zasadą minimalizacji.
10.3. Obowiązki pracowników, podmiotów przetwarzających i osób trzecich:
Zakaz udostępniania danych osobom nieupoważnionym;
Wymóg posiadania odpowiednich uprawnień do przetwarzania;
Przestrzeganie polityk bezpieczeństwa firmy.
10.4. Obowiązki wszystkich adresatów Polityki:
Należy zgłaszać Inspektorowi Ochrony Danych wszelkie podejrzenia:
Nielegalnego przetwarzania;
Naruszeń polityk bezpieczeństwa;
Nieuprawnionego usunięcia danych.
11. ODPOWIEDZIALNOŚĆ:
Zgodnie z LGPD, odpowiedzialność za szkody wynikające z naruszeń przepisów o ochronie danych jest solidarna. ACT DIGITAL dokłada wszelkich starań, aby zapewnić, że podmioty trzecie również przestrzegają tych przepisów.
Wszystkie umowy z podmiotami trzecimi muszą zawierać klauzule ochrony danych i podlegać akceptacji Inspektora Ochrony Danych.
12. PROGRAM ZGODNOŚCI Z PRZEPISAMI O OCHRONIE DANYCH OSOBOWYCH:
Program LGPD ACT DIGITAL obejmuje:
Szkolenia i świadomość pracowników;
Wdrażanie zasad ochrony danych na wszystkich etapach działalności;
Identyfikację i minimalizację ryzyka;
Stały nadzór Inspektora Ochrony Danych.
13. BEZPIECZEŃSTWO INFORMACJI:
ACT DIGITAL stosuje środki techniczne i organizacyjne, aby chronić dane przed nieuprawnionym dostępem lub utratą. Strona internetowa używa szyfrowania SSL, jednak transmisja danych przez Internet nie jest w pełni odporna na przechwycenie.
13.1. Strona internetowa:
Zbierane dane: imię, e-mail, adres, telefon, dane demograficzne, IP, historia przeglądania;
Formularze wymagają podania danych tylko w koniecznym zakresie.
13.2. Pliki cookies:
Używane w celu poprawy doświadczeń użytkownika. Można je wyłączyć w ustawieniach przeglądarki.
13.3. Analiza doświadczeń użytkownika:
Narzędzia analityczne (np. Google Analytics) pomagają ulepszać stronę, nie udostępniając danych osobowych.
14. MIĘDZYNARODOWE PRZENOSZENIE DANYCH OSOBOWYCH:
W przypadkach, gdy ACT DIGITAL jest upoważniona do przetwarzania danych osobowych bez zgody podmiotu danych, może przekazywać dane osobowe do innych krajów, jeśli spełniony jest jeden z poniższych warunków:
Kraj posiada odpowiedni poziom ochrony danych zatwierdzony przez ANPD (Krajowy Urząd Ochrony Danych) lub transfer został wyraźnie zezwolony przez ANPD;
Do czasu opublikowania przez ANPD listy krajów o odpowiednim poziomie ochrony, uznanie odpowiedniego poziomu ochrony może opierać się na decyzjach Komisji Europejskiej (np. w ramach RODO);
Kraj posiada przepisy podobne do brazylijskich w zakresie ochrony danych;
Podmiot przetwarzający dane za granicą zapewnia ACT DIGITAL co najmniej jedną z następujących gwarancji:
Zatwierdzone przez Komisję Europejską kodeksy postępowania lub wiążące reguły korporacyjne (binding corporate rules);
Wzorcowe klauzule umowne zatwierdzone przez ANPD lub Komisję Europejską;
Certyfikaty lub znaki zgodności z ochroną danych przyznane przez podmioty uznane przez ANPD lub Komisję Europejską.
Jeśli przetwarzanie opiera się na zgodzie, ACT DIGITAL może przekazywać dane za granicę wyłącznie po uzyskaniu wyraźnej i odrębnej zgody podmiotu danych, z wcześniejszym poinformowaniem o międzynarodowym charakterze transferu oraz (w razie potrzeby) o braku odpowiedniego poziomu ochrony w danym kraju.
15. SZKOLENIA:
Wszyscy adresaci niniejszej Polityki zobowiązują się do udziału w szkoleniach, warsztatach i spotkaniach organizowanych przez Inspektora Ochrony Danych (EPD) ACT DIGITAL, aby wzmocnić kulturę ochrony danych osobowych w firmie.
Pracownicy ACT DIGITAL, których obowiązki wiążą się z regularnym przetwarzaniem danych osobowych, są zobowiązani do udziału w dodatkowych szkoleniach, aby lepiej zrozumieć swoje obowiązki i zasady postępowania.
16. MONITORING I AKTUALIZACJA:
ACT DIGITAL zobowiązuje się do:
Stałego monitorowania swojego Programu Zgodności z LGPD, aby dostosować go do zmian w przepisach i wytycznych ANPD lub innych organów nadzorczych;
Okresowego przeglądu niniejszej Polityki i wprowadzania niezbędnych aktualizacji, aby zapewnić ciągłe doskonalenie ochrony prywatności i danych osobowych;
Komunikowania wszystkich zmian za pośrednictwem oficjalnych kanałów firmy.
INFORMACJE DOKUMENTU:
| Nazwa dokumentu | Polityka Prywatności i Ochrony Danych Osobowych |
|---|---|
| Wymiar | Struktura normatywna procedur |
| Typ dokumentu | Polityka |
| Kategoria | Kontrola i zgodność |
| Temat | System zgodności |
| Identyfikator | PP.001.2024 |
| Kontakt | [email protected] |
RECENZJA:
Imię i nazwisko: Israel Aires da Silva
Stanowisko: Koordynator IT | Inspektor Ochrony Danych (EPD)
Wersja: 1.0/2024
ZATWIERDZENIE:
Imię i nazwisko: Paulo Victor Couto Quites
Stanowisko: Dyrektor Operacyjny
Komunikat wewnętrzny nr 001/2024 – 23.05.2024
