Política de proteção de dados pessoais

1. INTRODUÇÃO
A Administração, os principais responsáveis e todos os colaboradores do “Grupo” Jocolgest, estão comprometidos com o cumprimento da legislação relevante referente a dados pessoais aplicável em Portugal. Na prossecução desses objetivos, o “Grupo” Jocolgest desenvolveu, documentou, implementou, mantém e melhora continuamente um Sistema de Gestão de Proteção de Dados Pessoais (a seguir designado abreviadamente por SGPD), do qual faz parte a presente Política de Proteção de Dados Pessoais. Os documentos que compõem o SGPD do “Grupo” Jocolgest poderão ser consultados na localização mencionada no ponto 20 desta política.

Nesta Política de Proteção de Dados Pessoais, por “Grupo” Jocolgest entende-se o conjunto das empresas:

  • Jocolgest Saúde SGPS, S.A.;
  • Jocolgest – Gestão e Serviços Empresariais S.A.;
  • H. P. A. – Hospital Particular de Almada, Lda.;
  • NUCLEARMED – Instituto de Medicina Nuclear, S.A..


O âmbito do SGPD tem em consideração a estrutura organizacional do “Grupo” e as atividades de tratamento de dados realizadas, sendo aplicável a todo o “Grupo” supra-referido. A presente Política de Proteção de Dados Pessoais e restantes documentos que compõem o SGPD, traduzem o compromisso e responsabilidade do “Grupo” em manter um nível de proteção dos dados recolhidos que esteja de acordo com as normas legais aplicáveis, promovendo o envolvimento de todos os seus trabalhadores e colaboradores/trabalhadores externos (temporários e colaboradores de prestadores de serviços), no que respeita à sua motivação e compromisso para a necessidade de manter a confidencialidade dos dados pessoais tratados.

I. OBJETIVO:

  1. O objetivo da Política de Proteção de Dados Pessoais é manter um elevado nível de proteção (segurança) dos dados recolhidos, que esteja de acordo com as normas legais aplicáveis e nos termos da qual se promova o envolvimento e motivação da Administração/Direção, colaboradores, prestadores de serviços, fornecedores e clientes para a necessidade de se manter a confidencialidade dos dados pessoais recolhidos.
  2. Do mesmo modo, visa esta Política delinear as regras e procedimentos para o tratamento de dados pessoais por parte dos trabalhadores e terceiros que tenham acesso a dados pessoais em resultado do exercício das suas funções.
  3. A existência desta Política de Proteção de Dados Pessoais pressupõe a sua consulta regular por parte dos trabalhadores que exerçam alguma atividade que implique o tratamento de dados pessoais.
  4. Pretende-se, do mesmo modo, que os trabalhadores que procedem ao tratamento de dados pessoais consultem regularmente o Responsável na organização pela proteção dos dados pessoais de modo a garantir-se o cumprimento das normas da presente Política de Proteção de Dados Pessoais.


II. DEFINIÇÕES:

Os conceitos utilizados na presente Política de Proteção de Dados Pessoais são definidos do seguinte modo:
Dados Pessoais Informação relativa a uma pessoa singular identificada ou identificável (“Titular dos Dados”); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via electrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.
Tratamento de Dados Pessoais Uma operação ou um conjunto de operações efetuadas sobre Dados Pessoais ou sobre conjuntos de Dados Pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.
Proteção de Dados Pessoais Um direito fundamental, protegido não apenas pela legislação nacional, mas igualmente pela legislação europeia.
Dados Pessoais Sensíveis São dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, os dados genéticos, dados biométricos que identifiquem uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.
Responsável pelo Tratamento (Controller) A pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado- Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro.
Titular dos Dados Qualquer pessoa singular identificada ou identificável que seja objeto de dados pessoais detidos pelo “Grupo” Jocolgest.
Subcontratante (Processor) Uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes.
Consentimento Uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.
Finalidade legítima Os fins para os quais os Dados Pessoais podem ser utilizados pelo “Grupo” Jocolgest.


III. ÂMBITO DE APLICAÇÃO:

  1. Esta Política de Proteção de Dados Pessoais aplica-se a todos os colaboradores do “Grupo” Jocolgest, que a devem consultar e com ela estar familiarizados, cumprindo e fazendo cumprir os seus termos.
  2. Esta Política de Proteção de Dados Pessoais destina-se também a dar a conhecer a todos, tais como, utentes, colaboradores, fornecedores, prestadores de serviços, parceiros e outros stakeholders do “Grupo” Jocolgest, o seu compromisso com a proteção de dados pessoais.
  3. No exercício da sua atividade o “Grupo” Jocolgest recolhe e procede ao tratamento de dados pessoais.
  4. O “Grupo” Jocolgest pode complementar ou alterar esta Política com outras políticas ou regulamentos.
  5. Qualquer alteração será notificada aos trabalhadores através de comunicação interna e disponibilizada online no seu website para divulgação junto de todos os interessados.
2. TRATAMENTO DE DADOS PESSOAIS DE FORMA ÉTICA E LÍCITA
  1. 1. O “Grupo” Jocolgest tratará os dados pessoais de acordo com a legislação em vigor e de acordo com as mais exigentes regras éticas, deontológicas e de conduta, de acordo com um objetivo permanente de conformidade e adequação normativa.
  2. 2. Significa isto que o “Grupo” Jocolgest respeitará esta Política de Proteção de Dados Pessoais, demais políticas e regulamentos internos bem como a legislação aplicável em cada recolha e tratamento de dados.
3. FINS LEGÍTIMOS PARA O TRATAMENTO DE DADOS PESSOAIS
  1. 1. O “Grupo” Jocolgest só tratará Dados Pessoais na medida em que se verifique pelo menos uma das seguintes situações:
    1. O titular dos dados tiver dado o seu consentimento com base numa vontade livre, específica, informada e explícita para o tratamento dos seus dados pessoais para uma ou mais finalidades concretas;
    2. O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte ou para diligências pré-contratuais a pedido do titular dos dados;
    3. O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;
    4. O tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular;
    5. O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento;
    6. O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.
  2. 2. Sempre que o tratamento seja efetuado com base nos interesses legítimos do responsável pelo tratamento ou por terceiros, e atenta a complexidade teórica e interpretativa do conceito, recomenda-se a consulta prévia ao Responsável na organização pela proteção de dados pessoais, o qual deverá emitir o seu parecer.
  3. 3. O “Grupo” Jocolgest documenta a fundamentação das bases para licitude dos tratamentos de dados no “Registo das Atividades de Tratamento”, o qual se encontra disponível para consulta interna em \\192.168.10.1\group\RGPD na rede partilhada do HPA.
4 - CONTROLO RIGOROSO DOS DADOS SENSÍVEIS
  1. 1. Quando o “Grupo” Jocolgest proceda ao tratamento das categorias especiais de dados pessoais (dados sensíveis), fá-lo-á de forma rigorosa e de acordo com a presente Política e as normas legais aplicáveis.
  2. 2. É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos e biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa. O tratamento destes dados sensíveis é proibido, salvas as exceções legalmente previstas no artigo 9o do Regulamento Geral de Proteção de Dados (RGPD).
  3. 3. Para mais informações e esclarecimento de quaisquer dúvidas ou questões acerca do tratamento de categorias especiais de dados deverá ser consultado o Responsável na organização pela proteção de dados pessoais, cujos contactos constam do ponto 9 da presente Política.
5 - PROCESSAMENTO DE DADOS PESSOAIS
  1. 1. Ao tratar dados dessoais o “Grupo” Jocolgest deverá garantir que o tratamento tem um dos fundamentos acima mencionados.
  2. 2. Todos os trabalhadores, fornecedores e parceiros do “Grupo” Jocolgest que utilizem dados pessoais são individualmente responsáveis pelo cumprimento das disposições legais e regulamentares aplicáveis.
  3. 3. Os colaboradores têm a obrigação de garantir a confidencialidade dos dados pessoais como parte indissociável das suas funções, previstas nos respetivos contratos de trabalho.
  4. 4. Os colaboradores deverão também proceder em conformidade com toda a informação e formação recebida e cumprir todas as orientações definidas nesta Política.
  5. 5. O incumprimento das obrigações desta Política pode ter consequências disciplinares e o seu incumprimento deve ser reportado ao Responsável na organização pela proteção de dados pessoais.
  6. 6. Os tratamentos de dados pessoais no “Grupo” Jocolgest são realizados de acordo com os princípios de proteção de dados do RGPD:
    1. O tratamento dos Dados Pessoais deve ser realizado de forma lícita, leal e transparente. O RGPD introduz o requisito de transparência pelo qual o responsável pelo tratamento de dados informa os titulares de dados sobre os quais recolhe dados. As informações devem ser comunicadas de forma inteligível, utilizando linguagem clara e simples. O “Grupo” Jocolgest presta informação aos titulares dos dados através de “Avisos de Privacidade”. A informação específica que deve ser fornecida ao titular dos dados, as regras de disponibilização e requisitos relativos aos Avisos de Privacidade utilizados pelo “Grupo” Jocolgest para a prestação de informação, são estabelecidos em procedimento sobre prestação de informação aos titulares de dados, que deve integrar o SGPD do “Grupo”.
    2. Os dados pessoais apenas podem ser recolhidos para fins específicos, explícitos e legais. Os dados recolhidos para um fim específico não são utilizados para uma finalidade diferente daquela comunicada ao titular dos dados.
    3. Dados pessoais devem ser adequados, relevantes e limitados ao necessário para o processamento. A observância deste princípio é suportada em procedimento sobre minimização dos dados, que deve integrar o SGPD do “Grupo”.
    4. Os dados pessoais devem ser precisos e atualizados. Os titulares de dados devem notificar o “Grupo” Jocolgest de qualquer alteração de forma a permitir que os registos pessoais sejam atualizados em conformidade. As instruções para atualizar os registos estão contidas nos vários avisos de privacidade.
    5. Os dados pessoais devem ser mantidos de forma que os titulares dos dados possam ser identificados apenas durante o tempo necessário para as finalidades do tratamento.
    6. Os dados pessoais devem ser processados de maneira a garantir a sua segurança e confidencialidade.
    7. O RGPD introduz o princípio da responsabilidade demonstrada, que define que o Responsável pelo Tratamento de Dados não é apenas responsável por garantir a conformidade, mas por demonstrar que cada operação de tratamento está conforme o requerido no RGPD. No “Grupo” Jocolgest a demonstração do cumprimento e consistência com os princípios do RGPD é suportada pela presente Política, Procedimentos e restantes documentos relacionados (ponto 20).
  7. 7. A proteção de dados deve ser considerada em cada novo processo de tratamento desde a sua conceção e por defeito. Assim, na conceção de qualquer eventual novo processo de tratamento, o “Grupo” Jocolgest assumirá o compromisso de utilizar os princípios da proteção de dados desde a sua conceção e por defeito (incluindo, sempre que aplicável, medidas como minimização de dados, adequação, encriptação, pseudonimização,...), conforme procedimento sobre proteção de dados em novos projetos (“Privacy by Design”), documento que deve integrar o SGPD do “Grupo”.
6 - CONSENTIMENTO
  1. 1. O “Grupo” Jocolgest compreende ‘consentimento’ como um acordo, no qual o titular dos dados foi plenamente informado da intenção do tratamento dos seus dados e concordou com o mesmo, num estado mental apropriado e sem a existência de pressão exterior. O consentimento obtido sob coação ou com base em informação enganosa/fraudulenta não será uma base lícita para o tratamento.
  2. 2. Salvo norma legal em contrário, o consentimento do trabalhador não constitui requisito de legitimidade do tratamento dos seus dados pessoais:
    1. Se do tratamento resultar uma vantagem jurídica ou económica para o trabalhador; ou
    2. Se esse tratamento estiver abrangido pela execução de um contrato.
  3. 3. O consentimento do titular dos dados poderá ser retirado a qualquer momento. A partir do conhecimento dessa informação o “Grupo” Jocolgest suspende de imediato o tratamento dos dados. A retirada do consentimento não compromete a licitude do tratamento efetuado com base no consentimento previamente dado. Antes de dar o seu consentimento, o titular dos dados é informado desse facto, nomeadamente, via Aviso de Privacidade. Os requisitos a observar sobre o consentimento estão definidos em procedimento sobre o Consentimento, documento que deve integrar o SGPD do “Grupo”.
7 – MARKETING DIRETO
  1. 1. Deve ser dado cumprimento ao pedido de um titular de dados para que não sejam utilizados os seus dados pessoais para fins de marketing direto.
  2. 2. Deve ser notificado o Responsável na organização pela proteção de dados pessoais relativamente a qualquer pedido que seja submetido.
  3. 3. Caso se pretenda enviar material de marketing direto por via electrónica a um titular de dados deve garantir-se que o mesmo deu previamente o seu consentimento, ou que existe uma relação relevante e apropriada entre o titular dos dados e o “Grupo” Jocolgest, por exemplo em situações em que o titular dos dados é cliente ou é trabalhador que sustente a existência de um interesse legítimo. De qualquer modo, a existência de um interesse legítimo requer uma avaliação cuidada, nomeadamente da questão de saber se o titular dos dados pode razoavelmente prever, no momento e no contexto em que os dados pessoais são recolhidos, que esses poderão vir a ser tratados com essa finalidade. Pelo que as comunicações de marketing direto devem ser acompanhadas pelo Responsável na organização pela proteção de dados pessoais.
  4. 4. Em todas as comunicações de marketing direto enviadas deverá ser disponibilizada ao titular dos dados uma forma simples de solicitar que os seus dados não sejam utilizados para fins de marketing direto (Unsubscribe link).
8 - AVALIAÇÃO DE IMPACTO SOBRE A PROTEÇÃO DE DADOS (DPIA)
  1. 1. À luz do RGPD todos os novos tratamentos que utilizem novas tecnologias e que possam implicar um elevado risco - dada a sua natureza, âmbito, contexto e finalidades - para os direitos e liberdades dos titulares dos dados pessoais, devem ser sujeitos a uma avaliação de impacto sobre a proteção de dados pessoais (Artigo 35o do RGPD). Face ao RGPD um DPIA é sempre obrigatório quando exista a avaliação sistemática de dados pessoais baseados num tratamento automatizado, operações de tratamento em grande escala de categorias especiais de dados pessoais, ou controlo sistemático de zonas acessíveis ao público em grande escala.
  2. 2. O “Grupo” Jocolgest está consciente de quaisquer riscos associados com as atividades de tratamento de dados pessoais que realiza. Em relação a qualquer eventual novo tratamento de elevado risco que venha a ser introduzido, o “Grupo” Jocolgest assumirá o compromisso de previamente determinar, face à natureza, âmbito, contexto e finalidades do tratamento, a incidência que este pode ter sobre a segurança e confidencialidade dos dados pessoais e por consequência a necessidade de se efetuar um DPIA e as medidas a adotar quando o resultado do DPIA não é satisfatório, para tal deverá ser observado em procedimento sobre Avaliação de Impacto na Proteção de Dados, que deve integrar o SGPD do “Grupo”.
9 - RESPEITO PELOS DIREITOS DOS TITULARES DE DADOS
  1. 1. Quer se trate de um trabalhador ou de terceiro, todos os indivíduos em relação aos quais o “Grupo” Jocolgest proceda ao tratamento dos seus dados pessoais, e enquanto titulares desses mesmos, dados têm o direito de:
    1. Fazer pedidos de acesso em relação à natureza da informação detida sobre si e para quem foi divulgada, bem como promover a retificação de dados imprecisos.
    2. Direito de oposição ao tratamento de dados na prossecução de interesses legítimos do “Grupo” Jocolgest, que sejam suscetíveis de causar quaisquer danos ou perigo.
    3. Direito de oposição ao tratamento de dados no âmbito de marketing direto.
    4. Direito de oposição ao tratamento de dados no âmbito de marketing direto.
    5. Ser informado acerca dos mecanismos de tomada de decisão automatizados que os afetarão significativamente, e não ficar sujeitos a este tipo de decisões.
    6. Exigir uma indemnização em caso de sofrerem quaisquer danos por violação do RGPD.
    7. O direito de os dados pessoais lhes serem fornecidos num formato estruturado e de uso corrente, bem como o direito de transmitir esses dados a outra entidade.
    8. Apresentar uma reclamação ao “Grupo” Jocolgest sobre a forma como o tratamento dos seus dados pessoais foi realizado. Podem apresentar a sua reclamação diretamente ao Responsável na organização pela proteção de dados pessoais, utilizando para isso os contactos a seguir indicados. Os titulares dos dados podem também apresentar reclamação diretamente à autoridade de controlo - Comissão Nacional de Proteção de Dados.
  2. 2. Os titulares de dados tratados pelo “Grupo” Jocolgest podem solicitar o exercício dos seus direitos, conforme descrito nos “Avisos de Privacidade” e os mesmos serão tratados pelo “Grupo” Jocolgest conforme definido em procedimento sobre os direitos dos titulares de dados, que deve integrar o SGPD do “Grupo”.
  3. 3. Os titulares dos dados podem consultar o Responsável na organização pela proteção de dados pessoais, através dos seguintes contactos:
    JOCOLGEST – Gestão e Serviços Empresariais S.A.
    A/C Encarregado pela Protecção de Dados
    Rua Jorge Barradas no 28C
    1500-371 Lisboa
    E-mail: epd@hpa.pt
10 - RESPONSÁVEL NA ORGANIZAÇÃO PELA PROTEÇÃO DE DADOS PESSOAIS
  1. 1. O “Grupo” Jocolgest tem um Encarregado da Proteção de Dados (EPD/DPO) conforme definição do artigo 37o do RGPD. De acordo com este artigo a nomeação de um encarregado da proteção de dados é obrigatória para as autoridades ou organismos públicos e para entidades responsáveis por tratamentos em larga escala de categorias de dados especiais ou de tratamentos que exijam o controlo regular e sistemático dos titulares de dados. Neste âmbito e por integrar empresas que tratam em larga escala categorias de dados especiais como são os dados de saúde, o “Grupo” Jocolgest está obrigado a nomear um EPD (Encarregado pela Proteção de Dados Pessoais). As funções e atribuições do Encarregado pela Proteção de Dados, estão descritas no documento autónomo, integrante do SGPD do “Grupo” Jocolgest.
  2. 2. O “Grupo” Jocolgest no tratamento de dados pessoais assegura que o Responsável na organização pela proteção desses dados não recebe instruções relativamente ao exercício das suas funções.
  3. 3. O encarregado não pode ser destituído nem penalizado pelo “Grupo” Jocolgest pelo facto de exercer as suas funções, devendo aquele informar diretamente a direção do responsável pelo tratamento ou do subcontratante (caso exista) ao mais alto nível.
  4. 4. Os titulares dos dados podem contactar o Responsável na organização pela proteção de dados pessoais sobre todas as questões relacionadas com o tratamento dos seus dados pessoais e com o exercício dos direitos que lhe são conferidos pelo RGPD.
  5. 5. O Responsável na organização pela proteção de dados pessoais está vinculado à obrigação de sigilo ou de confidencialidade no exercício das suas funções, podendo, não obstante, exercer outras funções e atribuições, assegurando o “Grupo” Jocolgest que essas funções e atribuições não resultam num conflito de interesses.
11 - ADEQUAÇÃO, RELEVÂNCIA E PROPORCIONALIDADE
  1. 1. O “Grupo” Jocolgest apenas recolhe os dados pessoais para finalidades específicas do tratamento desses dados, as quais são legítimas e determinadas de modo explícito aquando da recolha.
  2. 2. Os dados pessoais recolhidos devem ser adequados, pertinentes e limitados ao necessário para os efeitos para os quais são tratados.
12 - SEGURANÇA DOS DADOS PESSOAIS
  1. 1. O “Grupo” Jocolgest adotou as medidas de segurança técnicas e organizacionais adequadas para proteger a destruição acidental ou ilegal, a perda acidental, a alteração, a divulgação não autorizada ou acesso e outras formas ilegais de manipulação dos dados dessoais.
  2. 2. Registos manuais de dados pessoais não devem ser conservados onde possam ser acedidos por pessoal não autorizado e não podem ser transportados para fora das instalações do “Grupo” Jocolgest sem autorização escrita explícita da Direção da empresa. Os dados pessoais devem ser acessíveis apenas para aqueles que necessitam de os utilizar. De uma forma geral, os dados pessoais devem ser mantidos:
    - Em sala fechada com acesso controlado; e/ou
    - Em gaveta ou em armário de arquivo fechados.
  3. 2. Se informatizados, os dados pessoais devem estar protegidos de acordo com as Políticas de Segurança do “Grupo” Jocolgest, de aplicação por todos os colaboradores.
  4. 4. A fim de se garantir uma proteção adequada dos dados pessoais, é fundamental que o acesso a dados pessoais seja limitado e apenas deve ser efetuado dentro do estritamente necessário ao cumprimento da finalidade aplicável.
  5. 5. Em caso algum deverá ser permitido que terceiros acedam a dados pessoais detidos pelo “Grupo” Jocolgest, exceto se existir um contrato e/ou acordo de confidencialidade com esse terceiro que contenha salvaguardas adequadas de proteção dos dados pessoais.
  6. 6. Em caso de dúvida sobre a legitimidade do terceiro para aceder a dados pessoais detidos pelo “Grupo” Jocolgest deverá ser previamente consultado o Responsável na organização pela proteção de dados pessoais.
13 - DIVULGAÇÃO DE DADOS PESSOAIS
  1. 1. Considerando que existe uma finalidade legítima para o tratamento de dados pessoais, o “Grupo” Jocolgest, enquanto responsável pelo tratamento, pode divulgar os dados pessoais apenas a categorias específicas de destinatários, nomeadamente, autoridades públicas, subcontratantes, prestadores de serviços e parceiros.
  2. 2. Ao transferir dados pessoais, o “Grupo” Jocolgest exige a demonstração que os destinatários cumprem o RGPD e que no contrato entre as partes, quando aplicável, seja incluída uma cláusula relativa à proteção dos dados pessoais.
  3. 3. O relacionamento do “Grupo” Jocolgest com os seus subcontratantes deverá observar também os requisitos definidos em procedimento sobre avaliação dos subcontratantes, que deve integrar o SGPD do “Grupo”.
14 – TRANSFERÊNCIA DE DADOS PESSOAIS PARA PAÍSES TERCEIROS
  1. 1. Quando existir necessidade da informação pessoal ser transferida, arquivada ou tratada num país diferente, a transferência de dados é feita de acordo com os requisitos do RGPD. Quando a transferência dos dados pessoais for efetuada para um país fora do Espaço Económico Europeu (EEE), serão sempre previstas garantias adequadas, pelo recurso a regras vinculativas e com força legal, cláusulas-tipo de proteção de dados aprovadas ou consentimento explícito dos titulares dos dados.
  2. 2. Estas transferências deverão ser efetuadas tendo por base em procedimento sobre transferências de dados para países terceiros (documento que deve integrar o SGPD do “Grupo”) e o aconselhamento do Responsável na organização pela proteção de dados pessoais.
15 - CONSERVAÇÃO DOS DADOS PESSOAI
  1. 1. O “Grupo” Jocolgest reterá os dados pessoais por um período não superior ao necessário para o cumprimento das finalidades legítimas que motivaram a sua recolha.
  2. 2. Quando exista norma legal de retenção aplicável, os dados pessoais serão retidos pelo período legalmente previsto.
  3. 3. No “Grupo” Jocolgest os dados pessoais são conservados e posteriormente destruídos de acordo com os requisitos estabelecidos em procedimento sobre limitação da conservação e respetivas tabelas de conservação (documentos que devem integrar o SGPD do “Grupo”).
  4. 4. Deverá ser consultado o Responsável na organização pela proteção de dados pessoais sempre que existirem dúvidas quanto ao decurso dos prazos legais de retenção ou inexistência da finalidade que motivou a recolha.
16 - COMUNICAÇÃO DE FALHAS DE SEGURANÇA
  1. 1. Todos os colaboradores, utentes, formandos, fornecedores, parceiros e titulares de dados que com o “Grupo” Jocolgest se relacione têm a obrigação de denunciar ao Responsável na organização pela proteção de dados pessoais, falhas reais ou potenciais relativamente à proteção de dados pessoais.
  2. 2. Isso permitirá que o “Grupo” Jocolgest:
    1. a) Investigue a falha e tome medidas corretivas, se necessário;
    2. b) Mantenha um registo de falhas de cumprimento;
    3. c) Notifique a autoridade de controlo no prazo legalmente aplicável.
17 - RESPONSABILIDADES E COMPETÊNCIAS
  1. 1. Cada responsável de área funcional é responsável por garantir que esta Política é cumprida pelos Trabalhadores.
  2. 2. Os trabalhadores devem estar familiarizados com esta Política e cumprir seus termos.
  3. 3. O Responsável na organização pela proteção de dados pessoais, no que respeita a esta Política, é responsável, nomeadamente, por:
    1. a) Estabelecer e rever anualmente esta Política e procedimentos relacionados;
    2. b) Tornar as revisões desta Política conhecidas de todos os envolvidos;
    3. c) Verificar regularmente o cumprimento desta Política;
    4. d) Investigar as falhas de segurança reportadas e tomar medidas para corrigir, se necessário, bem como manter um registo das falhas de cumprimento e notificar as autoridades relevantes de quaisquer falhas de cumprimento que sejam relevantes.
18 - FORMAÇÃO
  1. 1. O “Grupo” Jocolgest promove sessões formativas sobre a presente Política e sobre a matéria da proteção de dados, cabendo ao Responsável na organização pela proteção de dados pessoais, determinar a sua periodicidade.
  2. 2. Será prestada formação adicional sempre que houver uma alteração substancial na legislação aplicável ou nesta Política.
19 - CONSEQUÊNCIAS DO INCUMPRIMENTO
  1. 1. O incumprimento da presente Política pode trazer consequências disciplinares aos trabalhadores, sempre que as suas regras e disposições sejam violadas de modo flagrante e grosseiro e/ou de forma reiterada, sendo iniciado o respetivo processo disciplinar nos termos previstos na legislação laboral.