Introdução
A partir de 25 de Maio de 2018 passou a ser aplicável o Regulamento Geral sobre a Protecção de Dados (Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de Abril de 2016), que estabelece novas regras relativas à protecção, tratamento e livre circulação dos dados pessoais das pessoas singulares.
Assim, a Fundação Obra de S. José Operário (OSJO), na medida em que trata dados pessoais no âmbito da actividade que desenvolve nas suas diferentes áreas de actuação, de acordo com a prossecução dos fins estatutários da Instituição, garante a protecção daqueles dados, cujo tratamento é efectuado ao abrigo da legislação aplicável e da presente Política de Privacidade.
Compromisso da OSJO
Através desta Política, a OSJO compromete-se, designadamente, a reconhecer a segurança dos dados pessoais que trata e a assegurar a protecção da privacidade dos respectivos titulares como dimensões fundamentais da actividade da Fundação, cruciais para a concretização plena das diversas áreas de missão em que actua.
Nesta Política, a OSJO presta ainda informação sobre as regras, os princípios e as boas práticas que a Instituição observa no âmbito do tratamento dos dados pessoais que lhe são confiados, em conformidade com o RGPD e demais legislação aplicável, e sobre os meios que os titulares dos dados têm ao seu dispor para o exercício dos respectivos direitos.
Responsável pelo Tratamento
No âmbito da actividade que desenvolve nas suas diferentes áreas de actuação, de acordo com os fins estatutários, a Fundação Obra de S. José Operário –pessoa colectiva e de utilidade pública administrativa, com o número único de pessoa colectiva 501 241 906 – é uma entidade responsável pelo tratamento de dados pessoais, podendo ser contactada através dos seguintes canais:
– Endereço postal (sede): Rua das Fontes, 3-A 7000-589 Évora – Email: geral@osjo.pt
– Telefone: 266 777 440
Encarregado de Protecção de Dados
Na medida em que algumas das actividades principais da Fundação pressupõem o tratamento de um grande volume de dados de categorias especiais/sensíveis, a OSJO designou um EPD/DPO (Data Protection Officer), responsável por garantir, entre outros aspectos, a conformidade das actividades de tratamento e protecção de dados pessoais sob a responsabilidade da OSJO, de acordo com a legislação aplicável e com a presente Política.
Assim, os titulares de dados pessoais, caso o pretendam, podem endereçar uma comunicação ao Encarregado da Protecção de Dados, relativamente a assuntos relacionados com o tratamento de dados pessoais, utilizando, para o efeito, os seguintes canais:
– Endereço postal: Rua das Fontes, 3-A 7000-589 Évora – Email: e.protecaodedados@osjo.pt .
Alterações à Política de Privacidade
A OSJO reserve-se o direito de, a qualquer altura, proceder a reajustamentos ou alterações à presente Política de Privacidade, sendo essas alterações devidamente publicitadas ou no website institucional (www.osjo.pt) ou através de outros canais que se considere adequados.
Conheça infra, e em pormenor, a Política de Privacidade da OSJO:
1. O que são Dados Pessoais?
Dados Pessoais são qualquer informação, de qualquer natureza e em qualquer suporte (ex: som ou imagem), relativa a uma pessoa singular identificada ouidentificável (também designada de “titular dos dados”); é consideradaidentificável a pessoa singular que possa ser identificada direta ou indiretamente, designadamente, através de um nome, de um número de identificação, de um dado de localização, de um identificador eletrónico ou de outros elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.
2. O que são Dados Pessoais Sensíveis?
Dados sensíveis são todos os dados pessoais que estão sujeitos a condições de tratamento específicas. Enquadram-se neste universo:
a) Os dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas e a filiação sindical;
b) Os dados genéticos;
c) Osdadosbiométricostratadoscomoobjectivodeidentificarumapessoa de forma inequívoca;
- d) Os dados relacionados com a saúde;
- e) Os dados relativos à vida sexual ou orientação sexual da pessoa.
3. Quem são os Titulares de Dados?
É titular de dados qualquer pessoa singular a quem os dados pessoais digam respeito.
No contexto da actividade desenvolvida pela OSJO, são titulares de dados, entre outros:
a) Osutentes/utilizadoresdasdiversasrespostassociais; b) Os colaboradores;
c) Osvoluntários;
d) Os parceiros.
4. Que categorias de dados pessoais são tratadas?
A OSJO trata dados pessoais de diferente natureza e sensibilidade, em função de cada área de actuação, bem como da finalidade associada ao tratamento desses dados, como sejam, a título exemplificativo, dados de identificação (nome, números de identificação civil e fiscal), dados de contacto (morada, telefone, endereço de email), dados bancários (IBAN), dados financeiros/fiscais, dados de formação e profissionais, dados familiares, e ainda, ao nível dos dados sensíveis, dados genéticos e biométricos, dados relativos à saúde e dados de menores.
5. Por que princípios se rege a OSJO no âmbito do tratamento de dados pessoais?
No âmbito do tratamento de dados pessoais, a OSJO compromete-se a observar os seguintes princípios fundamentais:
- a) Princípio da lealdade, licitude e transparência: os dados pessoais serão objecto de um tratamento lícito, leal e transparente em relação ao titular dos dados;
- b) Princípio da limitação das finalidades: os dados pessoais serão recolhidos para finalidades determinadas, explícitas e legítimas, não sendo tratados posteriormente de uma forma incompatível com essas finalidades;
- c) Princípio da minimização dos dados: os dados pessoais serão adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados;
- d) Princípio da exactidão: os dados pessoais serão exactos e actualizados sempre que necessário, sendo adoptadas todas as medidas adequadas para que os dados inexactos, tendo em conta as finalidades para que são tratados, sejam apagados ou rectificados sem demora;
- e) Princípio da limitação da conservação: os dados pessoais serão conservados de uma forma que permite a identificação dos titulares apenas durante o período necessário para as finalidades para as quais os dados são tratados;
- f) Princípio da integridade e confidencialidade: os dados pessoais serão tratados de uma forma que garanta a sua segurança, incluindo a protecção contra o seu tratamento não autorizado ou ilícito e contra a
sua perda, destruição ou danificação acidental, sendo adoptadas as
medidas técnicas ou organizativas adequadas.
g) Princípio da responsabilidade demonstrada: enquanto responsável pelo
tratamento, a OSJO compromete-se a assegurar que o tratamento dos dados dos titulares apenas é feito com respeito pelos princípios mencionados e que está em condições de poder comprovar o cumprimento dos mesmos.
6. Com que fundamentos pode a OSJO tratar dados pessoais?
A OSJO apenas tratará dados pessoais sempre que se verifique, pelo menos, uma das seguintes situações:
a) Consentimento do titular: quando o titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais, para uma ou mais finalidades específicas, mediante um acto positivo, que indique uma manifestação de vontade livre, específica, informada e inequívoca de que o titular consente no tratamento dos seus dados, utilizando a OSJO, na obtenção desse consentimento, uma linguagem clara, simples e inteligível. O consentimento é obtido por escrito (incluindo por meios eletrónicos, designadamente através da validação de uma opção), conservando a OSJO um registo do mesmo, como forma de poder comprovar que o titular deu o seu consentimento para o tratamento dos seus dados pessoais.
O titular dos dados tem o direito de retirar o seu consentimento a qualquer momento, sendo que a retirada do consentimento não compromete a licitude do tratamento efectuado com base no consentimento previamente dado.
Sempre que o consentimento seja necessário para o tratamento de dados pessoais de crianças com idade inferior a 16 anos, o mesmo será obtido junto dos respectivos titulares das responsabilidades parentais. O consentimento não será, porém, necessário no contexto de serviços preventivos ou de aconselhamento oferecidos directamente a uma criança;
b) Execução de contrato ou diligências pré-contratuais: quando o tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular. Nesta situação, enquadra-se, por exemplo, o tratamento de dados pessoais dos trabalhadores da OSJO no âmbito da gestão da relação laboral estabelecida com a OSJO;
c) Cumprimento de obrigação legal: quando o tratamento for necessário para o cumprimento de uma obrigação jurídica/legal a que a OSJO esteja sujeita;
d) Interesses vitais: quando o tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular. No contexto da actividade desenvolvida pela OSJO, esta situação poderá verificar-se no âmbito da prestação de cuidados a um utente, no caso de este se encontrar física ou legalmente incapacitado de dar o seu consentimento;
e) Interesse público/autoridade pública: quando o tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que a OSJO esteja investida;
f) Interesse legítimo: quando o tratamento for necessário para efeito dos interesses legítimos prosseguidos pela OSJO ou por terceiros, excepto se
prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a protecção dos dados pessoais, em especial se o titular for uma criança. Nesta situação, enquadra-se, por exemplo, o tratamento de dados que seja necessário para garantir a segurança da rede e da informação dos sistemas informáticos da OSJO.
7. Em que condições pode a OSJO tratar dados sensíveis?
A OSJO pode ainda tratar dados sensíveis nas seguintes condições:
- a) Se o titular dos dados tiver dado o seu consentimento explícito para o tratamento desses dados pessoais, para uma ou mais finalidadesespecíficas;
- b) Quando, nos termos da legislação da União Europeia, da legislaçãonacional ou de uma convenção colectiva, o tratamento for necessário para efeitos do cumprimento de obrigações e do exercício de direitos específicos da OSJO ou do titular dos dados em matéria de legislação laboral, de segurança social e de protecção social;
- c) Quandootratamentofornecessárioparaprotegerosinteressesvitaisdo titular dos dados ou de outra pessoa singular, no caso de o titular dos dados estar física ou legalmente incapacitado de dar o seu consentimento;
- d) Se o tratamento se referir a dados pessoais que tenham sido manifestamente tornados públicos pelo seu titular;
- e) Se o tratamento for necessário à declaração, ao exercício ou à defesa de um direito num processo judicial ou sempre que os tribunais actuem no exercício da sua função jurisdicional;
- f) Se o tratamento for necessário por motivos de interesse público relevante, com base no direito da União Europeia ou no direito nacional;
- g) Se o tratamento for necessário para efeitos de medicina preventiva ou do trabalho, para a avaliação da capacidade de trabalho do colaborador, o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou de acção social ou a gestão de sistemas e serviços de saúde ou de acção social, com base no direito da União Europeia ou no direitonacional ou por força de um contrato com um profissional de saúde;
- h) Se o tratamento for necessário por motivos de interesse público no domínio da saúde pública, com base no direito da União Europeia ou nodireito nacional;
- i) Se o tratamento for necessário para fins de arquivo de interesse público,para fins de investigação científica ou histórica ou para fins estatísticos, com base no direito da União Europeia ou no direito nacional.
Nos termos do RGPD, a legislação nacional pode impor novas condições no que respeita ao tratamento de dados genéticos, dados biométricos ou dados relativos à saúde.
8. Com que finalidades são tratados os dados pessoais?
Considerando a diversidade das suas áreas de actuação, a OSJO trata dados pessoais, designadamente, com as seguintes finalidades:
Áreas de Actuação |
Exemplos de Finalidades |
Respostas Sociais |
– Triagem, registo e gestão de candidaturas/inscrições; |
– Gestão dos processos individuais dos utentes; |
|
Transversais |
– Recursos Humanos: recrutamento e selecção de recursos humanos; gestão de recursos humanos (assiduidade, gestão de horários, etc.); processamento salarial; avaliação de desempenho; promoção da segurança e saúde no trabalho; – Aprovisionamentos: recepção e tratamento de propostas apresentadas em procedimentos aquisitivos; execução de contratos estabelecidos com fornecedores; – Gestão Financeira: gestão de cobranças/faturação; gestão de salários e outros pagamentos; |
-Tecnologias de informação: recepção e tratamento de informação em ficheiros de suporte informático; – Estudos, planeamento e apoio à gestão: avaliação do grau de satisfação dos clientes/utentes; tratamento estatístico de dados para monitorização da actividade; – Jurídico: contencioso, contraordenações; Voluntariado: recepção e selecção de candidaturas a voluntários; gestão do voluntariado. |
9. Por quanto tempo são conservados os dados pessoais?
Os dados pessoais são conservados apenas durante o período necessário para a realização das finalidades para as quais são tratados, cumprindo a OSJO, sempre que aplicável, os prazos de conservação legalmente estabelecidos.
Sem prejuízo, os dados poderão ser conservados por períodos mais longos, para cumprimento de finalidades distintas que possam subsistir, como, por exemplo, o exercício de um direito num processo judicial, fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos, aplicando a OSJO as medidas técnicas e organizativas adequadas.
10. De que forma são recolhidos os dados pessoais?
A OSJO pode recolher dados de forma directa (i.e., directamente junto do titular dos dados) ou de forma indirecta (i.e., através de terceiros). A recolha pode ser feita através dos seguintes canais:
- a) Recolha directa: presencialmente, por telefone ou por e-mail;
- b) Recolha indirecta: através de parceiros e outros terceiros, incluindo
entidades oficiais.
11. Quais são os direitos dos titulares sobre os seus dados?
A OSJO assegura aos titulares dos dados o exercício dos respectivos direitos, nos termos da legislação aplicável no âmbito da protecção de dados pessoais.
Direito à Informação
O titular tem o direito de ser informado pela OSJO, previamente ao tratamento dos seus dados, sobre:
a) A identidade e os contactos da OSJO e, se for caso disso, do seu representante;
b) Os contactos do Encarregado de Protecção de Dados;
c) Asfinalidadesdotratamentoaqueosdadospessoaissedestinam,bem como o fundamento jurídico para o tratamento;
- d) Os interesses legítimos da OSJO ou de um terceiro, se o tratamento dos dados se basear nesses interesses legítimos;
- e) Os destinatários ou categorias de destinatários dos dados pessoais, se aplicável;
- f) Oprazodeconservaçãodosdadospessoaisou,senãoforpossível,sobre os critérios usados para definir esse prazo;
- g) O direito de solicitar à OSJO o acesso aos dados pessoais que lhe digam respeito, bem como a sua rectificação, apagamento ou limitação, o direito de se opor ao tratamento e o direito à portabilidade dos dados;
- h) O direito de retirar o consentimento em qualquer altura, sem comprometer a licitude do tratamento efectuado com base no consentimento previamente dado, se o tratamento dos dados se basear no consentimento do titular;
- i) O direito de apresentar reclamação junto da autoridade de controlo nacional ou outra autoridade de controlo;
- j) Se a comunicação de dados pessoais constitui ou não uma obrigação legal ou contratual, ou um requisito necessário para celebrar um contrato, bem como se o titular está obrigado a fornecer os dados pessoais e as eventuais consequências de não fornecer esses dados;
- k) A existência de decisões automatizadas, incluindo a definição de perfis, e informações relativas à lógica subjacente, bem como a importância e as consequências previstas de tal tratamento para o titular dos dados, se aplicável.
No caso de os dados do titular não serem recolhidos directamente pela OSJO junto do mesmo, além das informações referidas acima, o titular é ainda informado acerca das categorias de dados pessoais objecto de tratamento e, bem assim, acerca da origem dos dados (designadamente quando provenham de fontes acessíveis ao público) e, nestas situações, as informações são fornecidas:
– Num prazo razoável após a obtenção dos dados pessoais, não superior a um mês;
– O mais tardar no momento da primeira comunicação ao titular dos dados, se os dados pessoais se destinarem a ser utilizados para fins de comunicação com o titular dos dados;
– O mais tardar aquando da primeira divulgação dos dados pessoais a outro destinatário, se estiver prevista essa divulgação.
Independentemente de os dados serem ou não recolhidos junto do titular, e nos termos da legislação aplicável, a OSJO não tem a obrigação de prestar as informações quando e na medida em que o titular já tiver conhecimento das mesmas.
Direito de Acesso
O titular tem o direito de obter da OSJO a confirmação de que os dados pessoais que lhe dizem respeito são ou não objecto de tratamento e, sendo o caso, o direito de aceder aos seus dados pessoais e às informações previstas no Direito à Informação.
Mediante solicitação do titular, a OSJO fornecerá, a título gratuito, uma cópia dos dados do titular que se encontram em fase de tratamento. O fornecimento
de outras cópias solicitadas pelo titular poderá acarretar o pagamento de uma taxa razoável, tendo em conta os custos administrativos associados.
Direito de Rectificação
O titular tem o direito de obter por parte da OSJO, quando o solicite, a rectificação dos seus dados pessoais e, bem assim, o direito a que os seus dados pessoais incompletos sejam completados, incluindo por meio de uma declaração adicional.
Em caso de rectificação dos dados, a OSJO comunica a cada destinatário a quem os dados tenham sido transmitidos a respectiva rectificação, salvo se tal comunicação se revelar impossível ou implicar um esforço desproporcionado para a OSJO. Se o titular o solicitar, a OSJO fornece informações sobre os referidos destinatários.
Direito ao Apagamento dos dados pessoais (“Direito a ser esquecido”)
O titular tem o direito de obter, por parte da OSJO, o apagamento dos seus dados quando se aplique um dos seguintes motivos:
- a) Os dados do titular deixarem de ser necessários para a finalidade que motivou a sua recolha ou tratamento;
- b) O titular retirar o consentimento em que se baseia o tratamento dos dados e não existir outro fundamento jurídico para o referido tratamento;
- c) O titular opor-se ao tratamento ao abrigo do direito de oposição e não existirem interesses legítimos prevalecentes que justifiquem o tratamento;
- d) Caso os dados do titular sejam tratados ilicitamente;
- e) Casoosdadosdotitulartiveremdeserapagadosparaocumprimentodeuma obrigação jurídica a que a OSJO esteja sujeita;
- f) Caso os dados do titular tenham sido recolhidos no contexto de umaoferta de serviços da sociedade da informação a crianças.
Nos termos da legislação aplicável, a OSJO não tem a obrigação de apagar os dados do titular na medida em que o tratamento se revele necessário:
- a) Aocumprimentodeumaobrigaçãolegalqueexijaotratamento,prevista pelo direito da União ou de um Estado-Membro a que a OSJO esteja sujeita, ao exercício de funções de interesse público ou ao exercício da autoridade pública de que a OSJO esteja investida;
- b) Por motivos de interesse público no domínio da saúde pública;
- c) Para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, na medida em que o direito ao apagamento seja susceptível de tornar impossível ouprejudicar gravemente a obtenção dos objectivos desse tratamento;
- d) Para efeitos de declaração, exercício ou defesa de um direito numprocesso judicial.
Em caso de apagamento dos dados, a OSJO comunica a cada destinatário/entidade a quem os dados tenham sido transmitidos o respectivo apagamento, salvo se tal comunicação se revelar impossível ou implicar um esforço desproporcionado para a OSJO. Se o titular o solicitar, a OSJO fornece informações sobre os referidos destinatários.
Direito à Limitação do Tratamento
O titular tem o direito de obter, por parte da OSJO, a limitação do tratamento dos dados do titular, se se aplicar uma das seguintes situações:
- a) Se contestar a exactidão dos dados pessoais, durante um período que permita à OSJO verificar a sua exactidão;
- b) Seotratamentoforilícitoeotitularseopuseraoapagamentodosdados, solicitando, em contrapartida, a limitação da sua utilização;
- c) Se a OSJO já não precisar dos dados do titular para fins de tratamento, mas esses dados sejam requeridos pelo titular para efeitos de declaração, exercício ou defesa de um direito num processo judicial;
- d) Caso o titular se tenha oposto ao tratamento, até se verificar que os motivos legítimos da OSJO prevalecem sobre os do titular.
Quando os dados do titular sejam objecto de limitação, só poderão, à excepção da conservação, ser tratados com o consentimento do titular ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial, de defesa dos direitos de outra pessoa singular ou colectiva, ou por motivos de interesse público legalmente previstos.
O titular que tiver obtido a limitação do tratamento dos seus dados nos casos acima referidos será informado pela OSJO antes de ser anulada a limitação ao tratamento.
Em caso de limitação do tratamento dos dados, a OSJO comunicará a cada destinatário a quem os dados tenham sido transmitidos a respectiva limitação, salvo se tal comunicação se revelar impossível ou implicar um esforço desproporcionado para a OSJO. Se o titular o solicitar, a OSJO fornece informações sobre os referidos destinatários.
Direito de Portabilidade dos dados pessoais
O titular tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido à OSJO, num formato estruturado, de uso corrente e de leitura automática, e o direito de transmitir esses dados a outro responsável pelo tratamento, se:
- a) O tratamento se basear no consentimento ou num contrato de que o titular é parte; e o tratamento for realizado por meios automatizados.
- b) O titular tem o direito a que os dados pessoais sejam transmitidos directamente entre os responsáveis pelo tratamento, sempre que tal seja tecnicamente possível.
O exercício do direito de portabilidade dos dados aplica-se sem prejuízo do direito ao apagamento dos dados, não se aplicando ao tratamento necessário para o exercício de funções de interesse público ou ao exercício da autoridade pública de que esteja investida a OSJO, e não prejudica, em caso algum, os direitos e as liberdades de terceiros.
Direito de Oposição e não sujeição a decisões individuais automatizadas
O titular tem o direito de se opor a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito que assente no exercício de interesses legítimos prosseguidos pela OSJO ou quando o tratamento for efectuado para fins que não sejam aqueles para os quais os dados pessoais foram recolhidos, incluindo a definição de perfis, ou quando os dados pessoais forem tratados para fins estatísticos.
A OSJO cessará o tratamento dos dados do titular, salvo se apresentar razões imperiosas e legítimas para esse tratamento que prevaleçam sobre os interesses, direitos e liberdades do titular, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial.
O titular tem ainda o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, que produza efeitos na sua esfera jurídica ou que o afecte significativamente de forma similar, salvo se a decisão:
- a) For necessária para a celebração ou execução de um contrato entre o titular e a OSJO;
- b) For autorizada por legislação a que a OSJO estiver sujeita, e na qual estejam igualmente previstas medidas adequadas para salvaguardar os direitos e liberdades e os legítimos interesses do titular dos dados;
- c) For baseada no consentimento explícito do titular.
Nos casos em que a decisão automatizada é necessária à celebração ou execução de um contrato com o titular dos dados ou é baseada no seu consentimento explícito, a OSJO aplicará medidas adequadas para salvaguardar os direitos e liberdades e legítimos interesses do titular dos dados, garantindo- lhe o direito de obter intervenção humana na decisão por parte da OSJO, manifestar o seu ponto de vista e contestar a decisão.
Se o titular dos dados tiver dado o seu consentimento explícito para o tratamento de dados especiais ou sensíveis, para uma ou mais finalidades específicas, ou se o tratamento desses dados for necessário por motivos de interesse público importante, e sejam aplicadas as medidas adequadas para salvaguardar os direitos e liberdades e legítimos interesses do titular dos dados,
as decisões automatizadas por parte da OSJO poderão basear-se naqueles dados especiais ou sensíveis.
12. De que forma podem os titulares exercer os seus direitos?
A OSJO fornecerá informações e comunicará com o titular de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples, em especial quando as informações são dirigidas especificamente a crianças.
O direito de acesso, o direito de rectificação, o direito ao apagamento dos dados, o direito à limitação do tratamento, o direito de portabilidade dos dados e o direito de oposição e não sujeição a decisões individuais automatizadas podem ser exercidos junto da OSJO, através dos seguintes meios:
- a) Presencial, em qualquer estabelecimento/Centro da OSJO, mediante o preenchimento de formulário próprio aí disponível;
- b) Através de e-mail, a remeter para e.protecaodedados@osjo.pt;
- c) Por via postal, para a seguinte morada: Rua das Fontes, 3-A 7000-589Évora.
Se o titular dos dados apresentar o pedido por meios electrónicos, a informação é, sempre que possível, fornecida pela mesma via, salvo pedido do titular em contrário.
A OSJO dará resposta por escrito (incluindo por meios electrónicos) aos pedidos dos titulares no prazo máximo de um mês a contar da data de recepção dos mesmos, o qual pode ser prorrogado até dois meses, quando for necessário, tendo em conta a complexidade e o número de pedidos, cabendo à OSJO informar os titulares dos dados de alguma prorrogação e dos motivos da
demora no prazo de um mês, também a contar da data de recepção dos pedidos.
Se, por alguma razão, a OSJO não der seguimento ao pedido apresentado pelo titular dos dados, informa-o sem demora e, o mais tardar, no prazo de um mês a contar da data de recepção do pedido, das razões que a levaram a não tomar medidas e da possibilidade de apresentar reclamação à autoridade de controlo nacional ou outra autoridade de controlo e de intentar acção judicial.
No âmbito do exercício do direito à informação e a pedido do titular, a OSJO poderá responder oralmente, desde que a identidade do titular seja comprovada por outros meios.
Quando a OSJO tiver dúvidas razoáveis quanto à identidade da pessoa singular que apresenta o pedido, pode solicitar que lhe sejam fornecidas as informações adicionais que forem necessárias para confirmar a identidade do titular dos dados.
As informações são fornecidas pela OSJO a título gratuito, excepto quando os pedidos apresentados forem manifestamente infundados ou excessivos, nomeadamente devido ao seu carácter repetitivo, caso em que a OSJO se reserva o direito de exigir o pagamento de uma taxa razoável, tendo em conta os custos administrativos do fornecimento das informações ou da comunicação, ou de tomada das medidas solicitadas, ou recusar-se a dar seguimento aos pedidos, cabendo à OSJO demonstrar o carácter manifestamente infundado ou excessivo dos pedidos.
13. Como pode um titular de dados apresentar uma reclamação?
Sem prejuízo do exercício dos direitos referidos anteriormente, o titular dos dados pode reclamar directamente para a autoridade de controlo nacional –Comissão Nacional de Protecção de Dados (CNPD) –, utilizando os contactos disponibilizados por esta entidade para o efeito (em www.cnpd.pt ).
14. De que forma protegemos os dados pessoais?
Tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, a OSJO aplica medidas de segurança (técnicas e organizativas) adequadas, para assegurar um nível de segurança dos dados pessoais adequado ao risco, como, por exemplo:
- a) Utilização de firewalls e sistemas de detecção de intrusão nos seus sistemas de informação;
- b) Aplicaçãodeprocedimentosdecontrolodeacessos,comrecursoaperfis de acesso diferenciado;
- c) Registo de acções efectuadas sobre os sistemas de informação que contenham dados pessoais (logging);
- d) Execução de um plano de backups estruturado;
- e) Encriptação de equipamentos portáteis e de armazenagem externa;
- f) Gestão de patches e updates críticos e de segurança para os sistemasoperativos dos computadores da OSJO;
- g) Protecção anti-spam de recepção e envio de emails corporativos;
- h) Protecção contra links e anexos maliciosos em emails corporativos;
- i) Instalação, manutenção e gestão dos sistemas de anti-vírus e de firewallnos computadores da OSJO;
- j) Pseudonimização de dados pessoais;
- k) Controlo de acessos às instalações físicas da OSJO;
- l) Sistema de videovigilância;
- m) Sistema de detecção automática de incêndio e de detecção de intrusão;
- n) Execução de acções de formação e/ou sensibilização em segurança dainformação e protecção de dados.
15. A quem são transferidos os dados pessoais?
Subcontratantes e terceiros
a) Subcontratantes: a OSJO poderá recorrer a outras entidades por si contratadas (subcontratantes), para, em nome da OSJO, e de acordo com as instruções dadas por esta, procederem ao tratamento dos dados do titular, em estrito cumprimento do disposto no RGPD, na legislação nacional em matéria de protecção de dados pessoais e na presente Política. Os subcontratantes não poderão transmitir os dados do titular a outras entidades sem que a OSJO tenha dado, previamente e por escrito, autorização para tal, estando também impedidos de contratar outras entidades sem autorização prévia da OSJO. A OSJO compromete-se a assegurar que estes subcontratantes serão apenas entidades que apresentem garantias suficientes de execução das medidas técnicas e organizativas adequadas, de forma a assegurar a privacidade dos dados dos titulares e a defesa dos seus direitos. Todos os subcontratantes ficam vinculados à OSJO através de um contrato escrito no qual são regulados, nomeadamente, o objecto e a duração do tratamento, a natureza e finalidade do tratamento, o tipo de dados pessoais, as categorias dos
titulares dos dados, os direitos e obrigações das partes, incluindo o dever de confidencialidade, e as medidas de segurança a implementar. Nos termos do direito à informação, a OSJO prestará ao titular informações acerca das categorias de subcontratantes que, no caso concreto, possam efectuar tratamentos de dados em nome da OSJO.
b) Terceiros: a OSJO poderá ainda transmitir dados a terceiros, designadamente, entidades às quais os dados tenham de ser comunicados de acordo com a legislação aplicável, como, por exemplo, a Autoridade Tributária, a Segurança Social, entidades seguradoras, entre outras.
Transferência de dados para fora da União Europeia
Em determinados tipos de tratamento, os dados pessoais do titular poderão ser disponibilizados pela OSJO a terceiros, podendo envolver a sua transferência para fora da União Europeia, seja para países terceiros ou organizações internacionais. Nesse caso, a OSJO compromete-se a assegurar que a transferência observa as disposições legais aplicáveis, nomeadamente quanto à determinação da adequabilidade de tais países terceiros ou organizações internacionais no que respeita a protecção de dados e aos requisitos aplicáveis a tais transferências.
16. Como actuará a OSJO no caso de uma violação de dados?
Em caso de violação de dados pessoais, e na medida em que tal violação seja susceptível de resultar num risco elevado para os direitos e liberdades do titular, a OSJO notificará a autoridade de controlo nacional dessa violação, bem
como comunicará a violação ao titular dos dados, até 72 horas após ter tido conhecimento da mesma.
Nos termos do RGPD, a comunicação ao titular não é exigida nos seguintes casos:
- a) Caso a OSJO tenha aplicado medidas de protecção adequadas, tanto técnicas como organizativas, e essas medidas tenham sido aplicadas aos dados pessoais afectados pela violação de dados pessoais, especialmente medidas que tornem os dados pessoais incompreensíveis para qualquer pessoa não autorizada a aceder a esses dados, tais como a cifragem;
- b) Caso a OSJO tenha tomado medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades do titular já não é susceptível de se concretizar;
- c) Seacomunicaçãoaotitularimpliqueumesforçodesproporcionadopara a OSJO, caso em que esta fará uma comunicação pública ou tomará uma medida semelhante através da qual o titular será informado.
Qualquer violação de dados pessoais, cujo tratamento seja da responsabilidade da OSJO, poderá ser reportada através dos seguintes meios:
– Através de e-mail, a remeter para e.protecaodedados@osjo.pt;
– Por via postal, para a morada: Rua das Fontes, 3-A 7000-589 Évora.