TSMARTS

Política de privacidade

1. Preâmbulo

Publicado em maio de 2016, o Regulamento Geral sobre a Proteção de Dados (RGPD) regula a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação destes dados, substituindo a Diretiva 95/46/CE que foi transposta para o ordenamento jurídico português pela Lei da Proteção de Dados Pessoais, a Lei n.o 67/98, de 26 de outubro. Esta última lei foi, entretanto, revogada pela Lei n.o 58/2019, de 8 de agosto, que assegura a execução do RGPD no território nacional.

Com a aprovação deste quadro normativo pretende-se elevar a confiança dos cidadãos nas entidades públicas e privadas, criando um regime jurídico mais estável, claro e previsível, terminando com as diferenças que até agora existiam nas legislações nacionais dos vários Estados-Membros.

O RGPD vem introduzir importantes alterações no relacionamento entre os responsáveis pelo tratamento e os titulares dos dados, incluindo na relação laboral.

A preocupação com a privacidade dos seus trabalhadores não é um tema novo para a TSMARTS, S.A., que sempre pautou a sua atividade pelo respeito pelos mais elementares direitos dos seus funcionários. Prova dessa preocupação são os regulamentos internos existentes, onde é prestada toda a informação aos funcionários.

Este Regulamento tem como objetivo materializar a preocupação com a temática da Proteção de Dados Pessoais de forma transversal, aplicando-a a toda a estrutura interna da empresa, bem como elucidar as condições em que se processam os tratamentos de dados pessoais efetuados, de acordo com os princípios descritos no artigo 5.o do RGPD.

Capítulo I – Parte Geral

Cláusula 1.ª – Âmbito

1. O presente Regulamento é aplicável a todos os colaboradores, internos e externos, independentemente da natureza do vínculo que detenham com a TSMARTS, S.A., doravante TSMARTS, bem como aos seus diretores e administradores.

2. Este Regulamento elenca os tratamentos de dados pessoais efetuados pela TNORD- TECH as condições de licitude daqueles e os prazos de conservação dos dados, considerando os princípios estruturantes da proteção de dados pessoais e o pleno respeito pelos direitos dos titulares dos dados.

3. Este Regulamento enquadra os direitos e as obrigações do universo de colaboradores da TSMARTS em matéria de tratamentos dos dados pessoais, para além de orientar os deveres da empresa enquanto responsável por esses mesmos tratamentos.

Cláusula 2.ª – Definições

Para efeitos do presente Regulamento e do Regulamento Geral de Proteçãode Dados (RGPD), entende-se por:

a) «Dados pessoais», informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;

b) «Tratamento», uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;

c) «Responsável pelo tratamento», a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais – neste caso o responsável pelo tratamento é a TSMARTS;

d) «Subcontratante», pessoa singular ou coletiva que que trate os dados pessoais por conta do responsável pelo tratamento destes;

e) “Dados relativos à saúde”, dados pessoais relacionados com a saúde física ou mental

de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde;

f) “Autoridade de controlo”, refere-se à Comissão Nacional de Proteção de Dados;

g) “Consentimento” do titular dos dados é uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;

Capítulo II Dos Tratamentos de Dados Pessoais

Cláusula 3.ª – Licitude dos Tratamentos de Dados Pessoais

1. Os tratamentos de dados pessoais efetuados pela TSMARTS no contexto laboral têm os seguintes fundamentos de licitude:

a)  Necessidade de execução de um contrato no qual o titular dos dados é parte, neste caso o contrato de trabalho, nos temos do artigo 6.o, n.o 1, al. b) do RGPD;

b)  O cumprimento de obrigações jurídicas, nos termos do artigo 6.o, n.o 1, al. c) do RGPD, dando cumprimento ao disposto no Código do Trabalho em matéria laboral, assim como nos casos da medicina do trabalho, nos termos da Lei n.o 102/2009;

c)  O interesse legítimo do responsável pelo tratamento, nos casos da utilização de sistema de videovigilância, do envio de comunicações internas aos trabalhadores, da recolha de imagens dos trabalhadores em eventos internos da TSMARTS, nos temos do artigo 6.o, n.o 1, al. f) do RGPD;

d)  Consentimento do titular dos dados, no caso do envio de comunicações promocionais e da utilização da imagem do trabalhador para fins relacionados com a gravação de vídeos promocionais ou utilização de fotografias em comunicações externas.

e)  O tratamento de categorias especiais de dados, quer no contexto da realização de exames médicos de medicina do trabalho e de medicina preventiva, no caso de controlo de consumo de álcool e substâncias psicoativas, quer no contexto do tratamento de dados decorrente da contratualização de seguros obrigatórios, têm como fundamento de licitude o previsto no artigo 9.o, n.o 2, als. b) e h) do RGPD.

2. Os dados pessoais de clientes, fornecedores ou de terceiros que sejam tratados pela TSMARTS são tratados com os seguintes fundamentos de licitude:

a) Necessidade de execução de um contrato, para a finalidade de gestão dos contratos dos clientes, nos termos do artigo 6.o, n.o 1, al. b) do RGPD;
b) Interesse legítimo do responsável pelo tratamento, para o envio de comunicações de campanhas e ações de promoção de produtos e serviços relacionados com aqueles transacionados com o Cliente, o envio de comunicações institucionais ou integradas nos denominados “usos sociais” com terceiros com quem a TSMARTS se haja relacionado institucionalmente, assim como a utilização de sistema de videovigilância;

c) Existência de uma obrigação legal, nomeadamente a faturação, nos termos do Decreto-Lei n.o 28/2019, de 15 de fevereiro;
d) Tratamento efetuado com base no consentimento prestado pelo cliente para as restantes situações.

Cláusula 4.ª – Recolha de Dados

1. A recolha de dados para subsequentes tratamentos deve processar-se nos termos da legislação em vigor e considerando as melhores práticas conhecidas.

2. A recolha será efetuada tendo em conta os direitos dos titulares dos dados, o fundamento de licitude que a autoriza, a finalidade para que são recolhidos e o cumprimento das respetivas obrigações, sejam elas resultantes de contrato ou da lei.

3. Para efetivar a recolha de dados, deve utilizar-se, sempre que existente, o formulário específico concebido para o efeito.

4. Quando não exista formulário específico para a recolha de dados, a recolha deve orientar-se por critérios de imprescindibilidade da informação requerida ao titular dos dados. 5. A utilização dos dados recolhidos para subsequentes finalidades, caso não seja efetuada com o consentimento, deverá respeitar as seguintes definidas pelo artigo 6.o, n.o 4 do RGPD.

Cláusula 5.ª – Partilha de Dados Pessoais com Terceiros

1. A TSMARTS poderá recorrer a subcontratantes para a prestação de serviços que envolvam o tratamento de dados pessoais, garantindo que estes respeitam os princípios relativos à proteção de dados pessoais, assim como os direitos dos titulares, através da formalização de contratos, nos termos do artigo 28.o RGPD.

2. No cumprimento de obrigações legais, a TSMARTS está obrigada a proceder ao envio dos dados pessoais dos trabalhadores às autoridades públicas competentes, limitando essa transmissão aos dados estritamente necessários.

3. Quaisquer outras comunicações de dados pessoais a terceiros obedecerão aos limites legais estabelecidos pelo RGPD e legislação conexa.

Cláusula 6.ª – Medidas Técnicas e Organizativas

1. Os tratamentos de dados pessoais levados a cabo pela TSMARTS. estão enquadrados por um conjunto de medidas técnicas e organizativas, nomeadamente:

a)  Designação de Encarregado de Proteção de Dados e divulgação dos seus contactos;

b)  Criação de mecanismos de resposta ao exercício dos direitos dos titulares dos dados;

c)  Elaboração de perfis de acessos aos sistemas/suportes que contenham dados pessoais;

d)  Criação de canais próprios para responder a incidências em matéria de dados pessoais: para invocação dos direitos dos titulares deve utilizar-se o email [email protected];

e)  Criação de procedimentos com vista à realização de Avaliações de Impacto sobre a Proteção de Dados, sempre que esta seja obrigatória nos termos da legislação em vigor, ou resulte de opção de gestão da administração;

f)  Respeito pelos princípios da proteção de dados desde a conceção e por defeito, no cumprimento do disposto no artigo 25.o do RGPD.

Cláusula 7.ª – Segurança do Tratamento

1. Todos os tratamentos de dados pessoais da responsabilidade da TSMARTS obedecem a um conjunto de medidas tecnológicas e procedimentais que visam garantir a sua segurança, independentemente de a sua concretização ser garantida interna ou externamente.

2. Os dados em suporte físico, em papel, merecem o mesmo nível de segurança dos dados conservados em suporte digital.

Cláusula 8.ª – Medidas de Segurança

1. De acordo com a natureza e características dos tratamentos, a TSMARTS aplica as medidas adequadas a:

a) Impedir os acessos de pessoas não autorizadas a documentos que contenham dados pessoais;

b) Impedir que suportes que contenham dados pessoais possam ser lidos, copiados, alterados ou destruídos por pessoas não autorizadas;

c) Garantir a rastreabilidade dos acessos a suportes que contenham dados pessoais.

2. Qualquer colaborador, diretor ou administrador da TSMARTS compromete-se a cumprir as normas previstas neste regulamento, em matéria de segurança do tratamento, nomeadamente:

a) A não divulgar as suas passwords de acesso aos sistemas informáticos que contenham dados pessoais;

b)  Não gravar as passwords de forma automática nos sistemas;

c)  A praticar políticas de “clean desk”, não possibilitando o acesso a documentação

que contenha dados pessoais, quer de clientes, quer de trabalhadores da TSMARTS;

d) A ter cuidados com a utilização dos dispositivos eletrónicos que lhes estejam confiados para a prossecução das suas tarefas, sejam eles móveis ou fixos, não permitindo acessos indevidos aos dados pessoais, nomeadamente,

a. encerrando a sessão no seu posto de trabalho sempre que se ausentar;
b. abstendo-se de com eles aceder a redes públicas;
c. não instalando aplicações e/ou software que possa colocar em risco a inviolabilidade dos equipamentos e da informação nela contida.

Cláusula 9.ª – Compromisso de Confidencialidade

1. Todos os dados pessoais tratados pela TSMARTS estão sujeitos a cláusulas e práticas de confidencialidade tendentes a garantir a sua integridade e não divulgação a terceiros.

2. No respeito pelo princípio do mínimo acesso, a TSMARTS garante que cada elemento da sua organização terá apenas acesso aos dados estritamente necessários à prossecução das suas funções, acessos esses que serão definidos pelo responsável da área de atuação.

3. Todos os elementos da TSMARTS, independentemente da natureza do vínculo que os ligue à empresa, comprometem-se a:

a) não copiar, reproduzir, adaptar, modificar, alterar, apagar, destruir, difundir, transmitir, divulgar ou, por qualquer outra forma, colocar à disposição de terceiros os Dados por si tratados, sem que para tal tenham sido expressamente autorizados;

b) Não utilizar Dados aos quais possam aceder em virtude do desempenho das suas funções na empresa para outros fins que não os previstos nas suas atribuições/funções;

c) Divulgar os Dados apenas a pessoas devidamente autorizadas, devido às suas atribuições e/ou funções, a receber tal comunicação, sejam elas entidades privadas ou públicas, pessoas singulares ou coletivas e sempre de modo a salvaguardar a confidencialidade na máxima extensão do que for legalmente admissível;

d) Tomar todas as medidas conformes aos usos e aos conhecimentos técnicos disponíveis, dentro do âmbito das suas atribuições, para evitar a utilização indevida ou fraudulenta de tais Dados;

e) Tomar todas as precauções conformes aos usos e aos conhecimentos técnicos disponíveis para preservar a segurança física e lógica dos Dados;

f) Assegurar, dentro dos limites das suas funções, que somente meios seguros de comunicação serão usados para transmitir ou transferir Dados;

g) Comunicar ao Encarregado da Proteção de Dados quaisquer alterações ao definido no registo de tratamento de dados pessoais;

h) Realizar os tratamentos de dados pessoais nos termos e condições definidas no registo de tratamento de dados pessoais, em cumprimento estrito das condições de segurança, arquivo, prazo de conservação e eliminação definidas pela TSMARTS;

i) Utilizar exclusivamente os equipamentos concedidos pela TSMARTS para o tratamento de dados, devendo abster-se de utilizar material ou equipamento pessoal para o efeito;

j) Restituir integralmente os dados, os ficheiros informáticos e qualquer suporte de informação relacionado, em caso de cessação das funções;

k) Abster-se de violar os protocolos de segurança e promover ou participar em quaisquer atos tendentes a fragilizar ou inutilizar as medidas de segurança da informação que a TSMARTS tenha implementado ou se encontre a implementar;

l) Não aceder a dados pessoais relativamente aos quais não possuam credenciais ou autorização de acesso.

Cláusula 10.ª – Violações de Dados Pessoais

1. Todas as violações de dados pessoais de que a TSMARTS tome conhecimento seguem os procedimentos aqui previstos.

2. Quaisquer situações de suspeita ou comprovada violação de dados pessoais devem ser comunicadas para o email: [email protected].

3. Todos os elementos afetos à TSMARTS, no apoio à deteção de violações de dados pessoais, devem:

a) Informar o Encarregado da Proteção de Dados caso suspeitem ou verifiquem que se tenha concretizado uma violação de dados pessoais;

b) Prestar colaboração e assistência ao Encarregado da Proteção de Dados, permitindo a identificação da causa da ocorrência, quais os dados pessoais em risco e sugerindo soluções para limitar ou eliminar os riscos ou prevenir ocorrências futuras, de acordo com as suas competências técnicas e grau de conhecimento em matéria de proteção de dados.

4. Quando tome conhecimento ou tenha fundadas suspeitas da existência de uma violação de dados pessoais, qualquer elemento da TSMARTS, independentemente do vínculo que detenha com a empresa, deve notificar o Encarregado da Proteção de Dados desse facto, logo que possível e sempre antes de decorridas 24 horas após a deteção da violação.

Capítulo III – Dos Direitos dos Titulares

Cláusula 11.ª – Cumprimento dos Direitos dos Titulares dos Dados

1. Quem, em nome da TSMARTS, recolher ou levar a cabo outros tratamentos de dados pessoais, obriga-se a, no momento da recolha dos dados, prestar o conjunto de informações previstas no artigo 13.o do RGPD ao titular dos dados, salvo quando tal se revele impraticável e seja legalmente admissível omitir este direito ou postergá-lo para momento futuro.

2. O titular dos dados tem, nos termos do RGPD, o direito de acesso aos dados pessoais que lhe digam respeito, bem como à sua retificação ou ao seu apagamento, à limitação do tratamento, assim como o direito de se opor ao tratamento e o direito à portabilidade dos dados, salvo se se aplicar alguma das restrições previstas na legislação em vigor.

3. Qualquer solicitação, por parte dos titulares dos dados, ligada ao exercício de direitos previstos no Capítulo III do RGPD e dirigida à TSMARTS deverá ser remetida para o Encarregado de Proteção de Dados, por quem, internamente, a receba, no prazo máximo de 24 horas a contar da dita receção.

Capítulo IV – Do Tratamento de Dados Pessoais Efetuado no Contexto Laboral

Cláusula 12.ª – Gestão de Tempos e Acessos

1. O controlo de assiduidade dos colaboradores da TSMARTS é efetuado com recurso a um cartão de colaborador que conterá apenas o nome do colaborador e o respetivo número mecanográfico.

2. O acesso aos seguintes espaços, dentro das instalações da TSMARTS está condicionada apenas aos colaboradores com permissão de acesso:

a) Acesso à sala de servidores;
b) AcessoaoDepartamentodeInformática;
c) Acesso ao Departamento de Recursos Humanos.

3. A lista de colaboradores com permissão de acesso aos espaços definidos no número anterior constará de anexo ao presente Regulamento, devendo ser efetuada a sua revisão sempre que se mostre necessário.

Cláusula 13.ª – Gestão de Recursos Humanos

1. No âmbito da finalidade de gestão de recursos humanos, a TSMARTS. comunicará dados pessoais dos seus colaboradores a terceiros, tal como a Segurança Social, Autoridade Tributária e empresas de formação profissional, sempre no cumprimento de obrigações legais e nos seus estritos termos.

2. Os dados tratados para esta finalidade devem ser conservados por 1 (um) ano após a cessação do vínculo laboral, sem prejuízo da conservação para além deste prazo por força de obrigação legal, ou da conservação dos dados em caso de processo judicial e até 6 meses após o trânsito em julgado das decisões. Para fins de arquivo histórico, os dados serão conservados em cópias de back up, não acessíveis em linha.

Cláusula 14.º – Acesso à Caixa de E-mail

1. A TSMARTS pode aceder à caixa de correio do colaborador que cesse funções na empresa visando retirar informações relevantes para a empresa, evitando, sempre que possível, aceder às informações de caráter pessoal.

2. O acesso à caixa de correio eletrónico do colaborador que cesse funções na empresa deverá ser feito sob supervisão do Encarregado da Proteção de Dados e, salvo motivo justificado e atendível, na presença do colaborador em questão e de um representante da Comissão de Trabalhadores, de estrutura representativa ou por alguém designado pelo ex- colaborador.

3. Em momento imediatamente posterior ao acesso e retirada de informação imprescindível ao normal funcionamento da entidade empregadora, devem ser eliminados permanentemente a caixa de correio eletrónico e endereço de correio eletrónico pessoal do ex-colaborador.

Cláusula 15.ª – Medicina no Trabalho

1. No cumprimento de uma obrigação legal, mormente no respeito pela Lei n.o 102/2009, a TSMARTS está obrigada a organizar atividades de medicina no trabalho.

2. Os tratamentos de dados pessoais efetuados no contexto das atividades previstas no número anterior são necessários para efeitos de medicina do trabalho e para avaliação da capacidade de trabalho do empregado, tal como disposto no artigo 9.o, n.o 2, al. h) do RGPD.

3. No âmbito dos tratamentos referidos no número anterior a TSMARTS pode subcontratar uma entidade para prestar o serviço, garantindo a proteção dos dados pessoais dos seus trabalhadores, no cumprimento estrito da legislação.

4. Os tratamentos de dados pessoais levados a cabo no contexto das atividades previstas no número 1 do presente artigo são efetuados por um profissional de saúde, sujeito à obrigação de sigilo profissional, tendo apenas o responsável pelo tratamento acesso à ficha de aptidão do trabalhador.

5. Os dados pessoais tratados para a finalidade prevista no número 1 do presente artigo serão conservados, sob responsabilidade do médico, por um período de 5 anos, salvo quando outro prazo legalmente se aplique.

6. Ao trabalhador será prestado o direito de informação e terá o direito de acesso e retificação dos dados pessoais que lhe dizem respeito.

Cláusula 16.ª – Tratamentos Relativos às Imagens dos Trabalhadores

1. Com a finalidade de proteção de pessoas e bens, e com base no seu interesse legítimo, a TSMARTS, S.A. tem instalado um sistema de videovigilância nas suas instalações, sistema esse que respeita na íntegra a legislação aplicável.

2. A utilização da imagem dos trabalhadores e quadros dirigentes da empresa em vídeos ou fotografias da TSMARTS, S.A. com a finalidade de promoção externa está dependente da obtenção prévia do consentimento dos titulares dos dados.

3. As imagens de trabalhadores e quadros dirigentes da empresa recolhidas em eventos de índole social organizados pela TSMARTS, S.A. e subsequentemente disponibilizadas nas plataformas físicas e digitais de acesso exclusivo aos colaboradores e quadros dirigentes da empresa têm como fundamento de licitude o interesse legítimo da empresa.

4. Aos titulares dos dados sob quem recaiam os tratamentos previstos no número anterior será disponibilizada informação específica sobre a possibilidade de exercício do direito de oposição quer em momento prévio, quer durante, quer após a recolha das imagens, sem prejuízo do apagamento que concretamente seja solicitado ou devido.

5. A captação de imagens dos trabalhadores em contexto laboral limitar-se-á a casos excecionais e de duração limitada, relacionados unicamente com a revisão de processos produtivos, nos termos legalmente admissíveis.

6. A recolha de dados nos termos do número anterior efetua-se de acordo com o interesse legítimo da TSMARTS, S.A., não podendo aqueles serem utilizados para qualquer outra finalidade, nomeadamente processos disciplinares, salvo quando permitida por lei.

7. Aos titulares dos dados sobre quem recaiam os tratamentos previstos no número anterior será disponibilizada informação específica sobre a possibilidade de exercício do direito de oposição quer em momento prévio, quer durante, quer após a recolha das imagens, sem prejuízo do apagamento que concretamente seja solicitado ou devido.

8. Nos termos do artigo 28.o, n.o 5 da Lei 58/2019, as imagens gravadas através da utilização do sistema de videovigilância podem também ser utilizadas para efeitos de apuramento de responsabilidade disciplinar, na medida em que o sejam no âmbito do processo penal.

Cláusula 17.ª – Identificação de Colaboradores de Entidades Externas Contratadas

Qualquer colaborador de entidades externas que execute trabalhos dentro das instalações da TSMARTS deverá previamente identificar-se na receção pelos meios legalmente admissíveis.

Disposições finais

Cláusula 20.ª – Responsabilidade

Quem, ao serviço da TSMARTS violar as obrigações e deveres previstos no presente regulamento, fica sujeito à responsabilidade disciplinar, como prevista na legislação laboral, e/ou a responsabilidade civil, nos termos gerais de direito, sem prejuízo do apuramento de eventuais responsabilidades de ordem criminal.

Cláusula 21.ª – Lacunas

Quaisquer lacunas ou omissões do presente Regulamento Interno serão resolvidas de acordo com o disposto no Regulamento (EU) 679/2016 do Parlamento Europeu e do Conselho, de 27 de abril, a jurisprudência do Tribunal de Justiça da União Europeia, as orientações do Comité Europeu para a Proteção de Dados e com as orientações da autoridade de controlo nacional competente.