APÊNDICE DE TRATAMENTO DE DADOS PESSOAIS

Este Apêndice de Tratamento de Dados Pessoais (doravante, este “Apêndice”) faz parte dos Termos e Condições Gerais para a Assinatura dos Serviços SMU OS e é aplicável ao Contrato, conforme nele estabelecido. Os termos em maiúscula usados neste Apêndice terão o significado que lhes é dado nos Termos e Condições.

O presente Apêndice é aplicável ao potencial tratamento de dados pessoais de residentes (titulares de dados pessoais) da União Europeia. As Partes do Contrato concordam com o seguinte:

  1. Objetivo da atribuição de tratamento de dados pessoais

Em virtude das disposições deste Apêndice, a Empresa é autorizada, na sua condição de OPERADOR, sob o Regulamento (doravante, o “OPERADOR”), para tratar em nome do Cliente, na sua condição de controlador (doravante, o “CONTROLADOR”), os dados pessoais necessários para fornecer o serviço que constitui o assunto do presente documento.

O tratamento de dados pessoais consistirá no seguinte:

  • Gestão de serviços para funcionários do Controlador.

Conclusão das atividades de tratamento a serem realizadas:

X

Coleta

X

Registro

X

Estruturação

X

Modificação

X

Manutenção

X

Extração

X

Acesso

X

Comunicação por transmissão

Difusão

X

Interconexão

Comparação

X

Limitação

X

Exclusão

X

Eliminação

Comunicação

Outras:
…………………….

  1. Identificação das informações afetadas

A fim de executar as obrigações decorrentes do cumprimento do objeto da presente atribuição, o CONTROLADOR fornece ao OPERADOR as seguintes informações:

• Dados de RH.

FINALIDAD

CATEGORÍAS DE INTERESADOS

CATEGORIAS
DE DADOS PESSOAIS

GESTÃO DE SERVIÇOS PARA FUNCIONÁRIOS

FUNCIONÁRIOS E TRABALHADORES

Todos os dados necessários para CUMPRIR COM OS SERVIÇOS

  • Nome e sobrenome
  • Dados para contato e dados de identificação do empregador (nome da empresa/organização, cargo, funções, entre outros)
  • Datos relacionados con los servicios prestados

  1. Vigência

A vigência deste Apêndice será igual à vigência do Contrato. Uma vez que o Contrato for rescindido, o OPERADOR retornará ao CONTROLADOR os dados pessoais e apagará qualquer cópia que tiver em seu poder.

  1. Obrigações do operador

O operador e toda sua equipe concordam em:

  1. Usar os dados pessoais objeto de tratamento, ou aqueles coletados para sua inclusão, apenas para o propósito desta atribuição. Em nenhum caso, eles serão autorizados a usar os dados para fins pessoais.
  2. Tratar os dados de acordo com as instruções dadas pelo controlador. Se o operador considerar que quaisquer instruções violam o RGPD ou outras disposições relacionadas à proteção de dados da União Europeia ou de seus Estados membros, o operador deve informar imediatamente o controlador.
  3. Manter um registro escrito de todas as categorias de atividades de tratamento realizadas em nome do controlador. Tal registro deve conter o seguinte:
  1. Nome e dados para contato do(s) operador(es) e de todos os controladores em nome dos quais o operador está agindo e, quando aplicável, o representante do controlador ou do operador, assim como o encarregado de proteção de dados.
  2. As categorias do tratamento realizado por cada controlador.
  3. Se aplicável, as transferências de dados pessoais para um país terceiro ou uma organização internacional, incluindo a identificação desse país ou organização internacional, e, no caso das transferências estabelecidas no artigo 49, secção 1, segundo parágrafo do RGPD, a documentação referente as salvaguardas adequadas.
  1. Uma descrição geral das medidas técnicas e organizacionais de segurança relacionadas com
  1. A pseudonimização e criptografia de dados pessoais.
  2. A capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de tratamento.
  3. A capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo hábil no caso de um incidente físico ou técnico.
  4. O processo para testar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do tratamento.
  1. Não transmitir os dados a terceiros, a menos que o operador tenha a autorização expressa do controlador, nos cenários legalmente admissíveis.

O operador pode transmitir os dados para outros operadores do mesmo controlador, de acordo com as instruções dadas pelo controlador. Nesse caso, o controlador deve identificar previamente por escrito a entidade que receberá os dados, os dados a serem compartilhados e as medidas de segurança a serem aplicadas para prosseguir com a comunicação.

Se o operador tiver de transferir dados pessoais para um país terceiro ou uma organização internacional sob a Lei da União Europeia ou a lei dos Estados membros que possa ser aplicável, deverá informar previamente o controlador desse requisito legal, a menos que tal lei o proíba por importantes razões de interesse público.

  1. Subcontratação.

Pelo presente, o operador é autorizado a fazer subcontrato com as empresas que realizam tarefas de produção auxiliares para prestar os serviços contratados entre as partes. O cumprimento das obrigações envolveu as seguintes atividades de tratamento:

  • Produção de suportes
  • Tarefas logísticas
  • Produção de aplicativos de gerenciamento

Em qualquer caso, os dados do subempreiteiro devem ser atualizados na política de privacidade do Cliente, incluindo, no mínimo, dados corporativos, dados para contato e tipo de serviço prestado, no seguinte link (https://os.starmeup.com/pt/termos-e-condicoes-gerais-para-a-assinatura-dos-servicos-do-smu-os/).

Para fazer subcontrato com outras empresas, o operador deve informar ao controlador por escrito, especificando a empresa subcontratada e seus dados para contato de forma clara e precisa. A subcontratação pode ser realizada desde que o controlador não manifeste sua oposição dentro de 7 dias.

O subempreiteiro, que também é considerado como um operador, é igualmente obrigado a cumprir as obrigações aqui estabelecidas para o operador e as instruções transmitidas pelo controlador. O operador original regulará o novo relacionamento de modo que o novo operador esteja sujeito às mesmas condições (instruções, obrigações, medidas de segurança, entre outras) e aos mesmos requisitos formais que ele, com relação ao tratamento adequado de dados pessoais e à salvaguarda dos direitos das pessoas afetadas. Se o operador subcontratado cometer uma violação, o operador original será totalmente responsável perante o controlador pelo cumprimento das obrigações.

  1. Manter o dever de sigilo em relação aos dados pessoais aos quais teve acesso sob esta atribuição, mesmo após o término do seu objeto.
  1. Garantir que as pessoas autorizadas a tratar dados pessoais concordem, expressamente e por escrito, em respeitar a confidencialidade e cumprir as medidas de segurança relevantes, das quais devem ser convenientemente informadas.
  1. Disponibilizar para o controlador a documentação que suporta o cumprimento da obrigação estabelecida na seção anterior..
  1. Garantir o treinamento necessário em termos de proteção de dados pessoais para as pessoas autorizadas a tratar dados pessoais.
  1. Auxiliar o controlador na resposta ao exercício dos direitos:

1. De acesso, retificação, exclusão e objeção

2. De limitação de tratamento

3. De portabilidade de dados

4. A não ser objeto de tomada de decisão individual automatizada (incluindo a criação de perfis)

Quando as pessoas afetadas exercem os seus direitos de acesso, retificação, exclusão e objeção, de limitação de tratamento, de portabilidade de dados e a não ser objeto de tomada de decisão individual automatizada perante o operador, este deve informar o controlador por e-mail, para o endereço normalmente usado pelas partes. A notificação deverá ser enviada imediatamente e, em nenhum caso, após dois dias úteis a partir da data em que a solicitação é recebida, junto com —conforme o caso— quaisquer informações adicionais que possam ser relevantes para atender à solicitação

  1. Direito à informação

O controlador deve facilitar o direito à informação quando os dados são coletados. Em qualquer caso, o operador deve ser o mais transparente possível e disponibilizar suas políticas de privacidade para que possam ser facilmente acessadas e consultadas.

  1. Notificação de violações à segurança de dados

O operador deverá notificar o controlador —sem demora e, em qualquer caso, antes do prazo máximo de 48 horas, através do canal habitual de comunicação— sobre quaisquer violações da segurança dos dados pessoais sob sua responsabilidade das que tenha conhecimento, junto com todas as outras informações relevantes para a documentação e comunicação do incidente.

O controlador deve informar as violações da segurança dos dados à Autoridade de Proteção de Dados, de acordo com os parâmetros abaixo.

A notificação não será necessária quando for improvável que tal violação de segurança constitua um risco para os direitos e liberdades das pessoas afetadas.

No mínimo, as seguintes informações serão fornecidas, se estiverem disponíveis:

  1. Descrição da natureza da violação da segurança dos dados pessoais, incluindo, sempre que possível, as categorias e o número aproximado de titulares afetados, assim como as categorias e o número aproximado de registos de dados pessoais afetados.
  2. O nome e os dados para contato do encarregado de proteção de dados ou outro ponto de contato onde informações adicionais podem ser obtidas.
  3. Descrição das consequências potenciais da violação da segurança dos dados pessoais.
  4. Descrição das medidas adotadas ou apresentadas para remediar a violação da segurança dos dados pessoais, incluindo, se aplicável, as medidas usadas para mitigar os efeitos potencialmente negativos.

Enquanto não for possível fornecer as informações simultaneamente, as informações devem ser dadas de forma gradual e sem atrasos indevidos.

O controlador é responsável pela notificação de violações de segurança à autoridade supervisora ou aos titulares dos dados

O operador deve comunicar imediatamente quaisquer violações da segurança dos dados aos titulares, quando expressamente designado pelo controlador e caso a caso, desde que o controlador considere que o operador comunicará tal violação de segurança aos titulares de uma maneira mais rápida e detalhada. Esta circunstância ocorrerá nos casos em que é provável que a violação implique um risco maior para os direitos e liberdades das pessoas afetadas.

A notificação deve ser dada em linguagem clara e precisa, e deve, no mínimo:

a) Explicar a natureza da violação dos dados.

b) Indicar o nome e os dados para contato do encarregado de proteção de dados ou outro ponto de contato onde podem ser obtidas informações adicionais.

c) Descrever as possíveis consequências da violação da segurança dos dados pessoais.

d) Descrever as medidas adotadas ou apresentadas pelo controlador para remediar a violação da segurança dos dados pessoais, incluindo, se aplicável, as medidas usadas para mitigar os efeitos potencialmente negativos.

  1. Oferecer suporte ao controlador na execução de avaliações de impacto relacionadas à proteção de dados, quando aplicável.
  1. Oferecer suporte ao controlador para realizar consultas prévias à autoridade supervisora, quando aplicável.
  1. Disponibilizar ao controlador toda a documentação necessária para demonstrar o cumprimento de suas obrigações e a execução de auditorias ou inspeções pelo controlador ou por outro auditor autorizado pelo controlador.
  1. Implementar as seguintes medidas de segurança:

Medidas de segurança de acordo com a avaliação de riscos feita pelo

operador. Esta avaliação é regularmente revisada:

TIPOLOGIA
DE RISCO DOS DADOS PESSOAIS

RISCO

MEDIDAS DE CONTROLE

INTEGRIDADE

Modificação ou alteração não intencionais dos dados pessoais

Separação de funções através de perfis de acesso

Controles de monitorización de amenazas en redControles de monitoramento de ameaças em rede

DISPONIBILIDADE

Perda ou exclusão não intencionais de dados pessoais

Backups

Armazenamento em diferentes locais

Capacidade de restaurar a disponibilidade

Pseudonimização

Acesso não autorizado a dados pessoais

Mecanismos de controle de acesso

Segmentação de rede

NÃO criptografia

Criptografia

Pseudonimização

Cópias do banco de dados produtivo são ofuscadas para os ambientes de desenvolvimento e testes de aceitação pelo usuário (UAT)

OUTROS

Resiliência contínua dos sistemas

Processo para testar e avaliar regularmente a eficácia

  1. Designar um encarregado de proteção de dados e informar o controlador sobre a identidade e dados para contato do encarregado.

Pode entrar em contato com a Entidade enviando um e-mail para: privacy@starmeup.com 

  1. Destino dos dados

Eliminar os dados quando a prestação de serviços do contrato principal for cumprida. Uma vez eliminados, o operador deverá certificar sua eliminação por escrito e entregar o certificado ao controlador

No entanto, o operador pode manter uma cópia —com os dados devidamente bloqueados— desde que possam surgir responsabilidades a partir do cumprimento da obrigação.

5. Obrigações do controlador

O controlador deve:

  1. Entregar ao operador os dados mencionados na segunda cláusula do presente Apêndice.
  1. Realizar uma avaliação do impacto na proteção de dados pessoais das operações de tratamento conduzidas pelo operador.
  1. Realizar as consultas prévias correspondentes.
  1. Garantir, antes e durante todo o tratamento, a conformidade do operador com o RGPD.
  1. Supervisionar o tratamento, incluindo a execução de inspeções e auditorias.