1. OBJETIVO
A presente política tem por objetivo esclarecer sobre as atividades de tratamento de dados pessoais e os sistemas adotados para a proteção de dados pessoais, realizadas por nossa Empresa em conformidade com a Lei de Proteção de Dados Pessoais nº 6698, de 24 de março de 2016, publicada no Diário Oficial da União de 7 de abril de 2016, número 29677, bem como legislação pertinente e decisões de órgãos reguladores. Esta política visa assegurar a regulação e supervisão dos processos dentro da organização que envolvam o tratamento de dados pessoais, sensibilizar as unidades envolvidas no tratamento de dados pessoais para a legalidade do tratamento de dados pessoais e estabelecer um sentido de responsabilidade nesta matéria. Além disso, tem como objetivo promover a transparência sobre os nossos processos de tratamento de dados, informando as pessoas cujos dados pessoais são tratados pela nossa Empresa, incluindo, mas não se limitando a, doentes, familiares de doentes, candidatos a emprego, funcionários, antigos funcionários, autoridades e funcionários de instituições colaboradoras.
2. ÂMBITO DE APLICAÇÃO
A presente política abrange todos os dados pessoais de doentes, familiares de doentes, candidatos a emprego, funcionários, ex-funcionários, autoridades, visitantes, funcionários de diversas instituições/organizações, tais como as empresas fornecedoras com as quais colaboramos, accionistas, funcionários e terceiros, quer sejam processados automaticamente ou como parte de qualquer sistema de registo de dados, no âmbito das actividades desenvolvidas pela nossa empresa.
O âmbito das matérias que enunciamos nesta política pode abranger todos estes grupos, que são contabilizados de acordo com o tipo de atividade de tratamento, bem como alguns grupos, como os trabalhadores da empresa fornecedora, total ou parcialmente.
3. RESPONSÁVEIS
Todos os colaboradores da Empresa são responsáveis pela aplicação do presente procedimento.
4. ABREVIATURAS
LDP: Lei de Proteção de Dados Pessoais
5. DEFINIÇÕES
Os termos utilizados na presente política são utilizados para exprimir os seguintes significados e, em caso de alteração da legislação relevante ou das decisões das autoridades reguladoras relativamente aos termos definidos nos regulamentos ou decisões legais, ou se for utilizado um termo diferente em vez do termo relevante ou se lhe for atribuído um significado diferente, a nossa empresa considerará estes termos na sua forma modificada na implementação da presente política sem necessidade de mais modificações a partir da data em que a alteração entrar em vigor:
Consentimento expresso: Consentimento sobre um determinado assunto, baseado em informações e expresso de livre vontade,
Anonimização: Fazer com que os dados pessoais percam o seu sentido como dados pessoais, de modo a não poderem ser associados a uma pessoa real, de uma forma que não possa ser desfeita (por exemplo, através de técnicas como o blackout, mascaramento, agregação, corrupção de dados, etc.),
Formulário de pedido: “Formulário de Pedido de Pessoa Relevante nos termos da Lei de Proteção de Dados Pessoais n.º 6698”, que incluirá o pedido a efetuar pelos titulares de dados pessoais para exercerem os seus direitos, e que pode ser acedido no site http://www.antalyadentsmile.com/ no âmbito da política,
Candidato a Empregado: Pessoas reais que se candidataram a um emprego ou estágio na nossa empresa por qualquer meio ou que abriram o seu currículo e informação relacionada à inspeção da nossa empresa,
Destruição: Apagamento, destruição ou anonimização de dados pessoais,
Instituições/organizações com as quais cooperamos: Funcionários, accionistas e funcionários, incluindo accionistas e funcionários destas instituições, que trabalham em instituições (tais como, mas não se limitando a, parceiros comerciais, fornecedores) com as quais a nossa empresa tem qualquer relação comercial,
Parceiro de negócios: As partes com as quais a nossa empresa estabeleceu parcerias no exercício das suas actividades,
Processamento de dados pessoais: Qualquer operação efectuada sobre dados pessoais, quer seja total ou parcialmente automática, quer seja por meios não automáticos, desde que faça parte de qualquer sistema de registo de dados, incluindo a obtenção, registo, armazenamento, conservação, modificação, reorganização, divulgação, transferência, tomada a cargo, disponibilização, classificação ou prevenção da utilização de dados,
Dados pessoais: Qualquer informação relativa a uma pessoa singular identificada ou identificável. Por exemplo, nome e apelido, número de identificação, número de telemóvel, e-mail, endereço de contacto, etc,
Utilizador relevante (titular dos dados): A pessoa singular cujos dados pessoais são objeto de tratamento. Por exemplo, pacientes, familiares, funcionários, visitantes,
Política de retenção e destruição de dados pessoais: A política na qual os responsáveis pelo tratamento de dados baseiam o processo de determinação do tempo máximo necessário para a finalidade para a qual os dados pessoais são tratados, e o processo de apagamento, destruição e anonimização,
Lei PDP: Lei de Proteção de Dados Pessoais n.º 6698, de 24 de março de 2016, publicada no Diário da República de 7 de abril de 2016 e com o número 29677,
Autoridade PDP/Autoridade Reguladora: Autoridade de Proteção de Dados Pessoais,
Destruição periódica: O processo de apagamento, destruição ou anonimização, que será realizado oficiosamente em intervalos repetitivos e especificados na política de armazenamento e destruição de dados pessoais, caso todas as condições de tratamento de dados pessoais na lei sejam eliminadas,
Política: Carelink Sağlık Turizmi Hizmetleri Tic. Ltd. Şti’s Policy on the Protection and Processing of Personal Data,
Dados pessoais sensíveis: Dados relacionados com a raça, etnia, opinião política, convicção filosófica, religião, seita ou outras crenças, vestuário, filiação em associações, fundações ou sindicatos, saúde, vida sexual, condenações penais e medidas de segurança, e dados biométricos e genéticos,
Terceiros: Pessoas singulares cujos dados pessoais são tratados no âmbito da política, que não são definidas de forma diferente no âmbito da política (por exemplo, paciente, familiares do paciente, etc.),
Processador de dados: Pessoas reais e colectivas que processam dados pessoais em nome do controlador de dados, com base na autoridade dada pelo controlador de dados,
Controlador de dados: A pessoa que determina as finalidades e os meios de tratamento dos dados pessoais e gere o local onde os dados são conservados de forma sistemática (sistema de registo de dados),
Visitante: Pessoas reais que tenham entrado no campus físico da nossa empresa para qualquer fim ou visitado os nossos sítios Web.
6. PROCESSO DE ACTIVIDADE
6.1 PRINCÍPIOS BÁSICOS DO TRATAMENTO DE DADOS PESSOAIS
Todas as nossas actividades de tratamento de dados pessoais a realizar na nossa empresa são;
Em conformidade com a lei e os princípios de honestidade,
Exactos e actualizados quando necessário,
Processados para fins específicos, explícitos e legítimos,
Ligados, limitados e restringidos à finalidade para a qual são processados,
Conservados durante o período exigido pela legislação aplicável ou para a finalidade para a qual são tratados,
Tomar as medidas administrativas e técnicas necessárias para o armazenamento dos dados pessoais,
Assegurada a necessária sensibilidade, de acordo com as regras estipuladas no tratamento de dados pessoais sensíveis, que, pela sua natureza, estão sujeitos a proteção especial,
Informar os titulares dos dados pessoais quando exigido pela legislação e obter o seu consentimento explícito quando considerado necessário,
Tomar as medidas administrativas e técnicas necessárias na transferência de dados pessoais e, neste contexto, supervisionar o tratamento de dados por parte de terceiros a quem a transferência é efectuada, de acordo com a legislação aplicável e as decisões das agências reguladoras,
Realizamos os princípios enunciados na lei de acordo com todos os termos e condições estipulados na legislação em vigor e nos princípios gerais do direito.
6.2 RAZÕES LEGAIS PARA O TRATAMENTO DE DADOS PESSOAIS
Em conformidade com os artigos 20º da Constituição e com os artigos 5º da Lei PDP nº 6698, a nossa empresa está sujeita a uma ou várias das seguintes condições especificadas no artigo 5º/2 da Lei PDP relativamente ao tratamento de dados pessoais, embora os dados pessoais variem consoante a natureza dos dados pessoais tratados e o processo de tratamento de dados.
Quando estiver expressamente previsto na lei,
Quando for necessário para a proteção da vida ou da integridade física do titular dos dados ou de outra pessoa, que não possa exprimir o seu consentimento por impossibilidade real ou cujo consentimento não seja legalmente válido,
Quando for necessário para o estabelecimento ou a execução de um contrato, desde que esteja diretamente relacionado com as partes no contrato e o tratamento diga respeito a dados pessoais das partes no contrato,
Quando for necessário para que o responsável pelo tratamento de dados cumpra a sua obrigação legal,
Quando a própria pessoa em causa tiver tornado os dados públicos,
Quando for necessário para o estabelecimento, exercício ou proteção de um direito legal,
Quando for necessário para os interesses legítimos do responsável pelo tratamento de dados, desde que não prejudique os direitos e liberdades fundamentais da pessoa em causa.
Se o tratamento de dados pessoais não estiver abrangido pelas situações especificadas na lei, o responsável pelo tratamento de dados avalia-o como necessário e proporcional e obtém o consentimento explícito.
Nos casos em que os dados pessoais tratados sejam dados pessoais sensíveis, nos termos do artigo 6.º da Lei, se não existir regulamentação prevista na legislação; os dados pessoais só podem ser tratados no âmbito do consentimento explícito do titular dos dados, tendo em conta os princípios da necessidade e da proporcionalidade, quando não puderem ser tratados em conformidade com as condições de tratamento por pessoas singulares ou instituições e organizações autorizadas sob a obrigação de confidencialidade para efeitos de proteção da saúde pública, medicina preventiva, realização de diagnósticos médicos, tratamentos e serviços de assistência, bem como planeamento e gestão de serviços e financiamento de cuidados de saúde.
6.3 QUESTÕES RELATIVAS À PROTECÇÃO DOS DADOS PESSOAIS
O artigo 12.º da Lei PDP impõe ao responsável pelo tratamento de dados a obrigação de adotar todas as medidas técnicas e administrativas necessárias para estabelecer o nível de segurança adequado, a fim de
Impedir o tratamento ilícito de dados pessoais,
Impedir o acesso ilícito aos dados pessoais,
Garantir a conservação dos dados pessoais.
Em conformidade com as obrigações especificadas neste artigo da referida lei, a nossa empresa toma as medidas legais, técnicas e administrativas necessárias para garantir a segurança dos dados pessoais que são objeto de actividades de tratamento.
6.3.1 A nossa sociedade adopta medidas técnicas e administrativas, incluindo possibilidades tecnológicas, para garantir a legalidade do tratamento dos dados pessoais. Os trabalhadores são informados de que não podem divulgar dados pessoais a terceiros em violação das disposições claramente enunciadas na Lei n.º 6698 relativa à proteção dos dados pessoais, que não podem utilizá-los para outros fins que não o tratamento, que não devem deixar os dados pessoais acessíveis a terceiros, e que estas obrigações se mantêm após a sua saída, sendo-lhes exigidos compromissos nesse sentido.
6.3.2 A nossa empresa atribui especial importância à proteção dos dados pessoais “sensíveis”, tal como definidos na Lei n.º 6698 relativa à proteção dos dados pessoais, e garante que estes são tratados em conformidade com a regulamentação legal. Neste contexto, as medidas técnicas e administrativas adoptadas pela nossa sociedade para a proteção dos dados pessoais são cuidadosamente aplicadas aos dados pessoais sensíveis e são efectuadas as auditorias necessárias.
6.3.3 A nossa empresa toma medidas técnicas e administrativas, dentro das suas capacidades tecnológicas, para impedir a divulgação, o acesso, a transferência ou qualquer outra forma de acesso não autorizado aos dados protegidos. A nossa empresa celebra contratos com processadores de dados, tais como parceiros comerciais e fornecedores, para impedir o processamento ilegal de dados pessoais, impedir o acesso não autorizado a dados e garantir a preservação legal de dados.
6.3.4 Para garantir a conformidade com a legislação relevante e as decisões das autoridades reguladoras e para facilitar as auditorias e manter a conformidade contínua, a nossa empresa criou uma Equipa de Proteção de Dados na sua organização para supervisionar e auditar as actividades de processamento de dados pessoais.
6.3.5 A nossa empresa adopta as medidas técnicas e administrativas necessárias, incluindo as possibilidades tecnológicas, para armazenar os dados pessoais em ambientes seguros e impedir a sua destruição, perda ou alteração para fins ilícitos.
6.3.6 Em conformidade com o artigo 12.º da lei PDP, a nossa empresa efectua as auditorias necessárias através da equipa criada ou de terceiros. Os resultados destas auditorias são comunicados ao responsável pelo tratamento de dados no âmbito dos processos internos da empresa e são tomadas novas medidas ou realizadas actividades para melhorar as medidas existentes no âmbito das recomendações e instruções.
6.3.7 A nossa empresa também estabeleceu uma política de retenção e eliminação de dados pessoais em conformidade com o artigo 7.º da Lei PDP e o Regulamento relativo à eliminação, destruição ou anonimização de dados pessoais, publicado no Diário da República de 28.10.2017 e numerado 30224.
6.4 INFORMAÇÃO E ESCLARECIMENTO DO TITULAR DOS DADOS PESSOAIS
A nossa empresa garante que as pessoas em causa são informadas nos termos do artigo 10º da Lei PDP e do artigo 4º do “Regulamento relativo aos procedimentos e princípios a observar no cumprimento do dever de informação”. No esclarecimento prestado, as seguintes questões estão incluídas nos artigos relacionados:
A identidade da nossa empresa, que é a responsável pelo tratamento dos dados,
Com que finalidade processamos/podemos processar dados pessoais,
A quem e com que finalidade podemos transferir dados pessoais,
Os nossos métodos de recolha de dados pessoais e razões legais,
Os outros direitos da pessoa em causa, enumerados no artigo 11º da lei e no ponto 4.6 da presente política.
De acordo com o artigo 10º da Lei PDP nº 6698, e em conformidade com o artigo 6º do Regulamento relativo aos procedimentos e princípios a observar no cumprimento da obrigação de informar, quando os dados pessoais não são obtidos do titular dos dados durante a recolha de dados pessoais:
Dentro do prazo legalmente determinado a partir da aquisição dos dados pessoais,
Quando os dados pessoais forem utilizados para fins de comunicação, no momento do primeiro contacto,
Quando os dados pessoais forem transferidos, no momento da primeira transferência de dados pessoais, a obrigação de informar é cumprida.
6.5 TRANSFERÊNCIA DE DADOS PESSOAIS
A nossa empresa, nos termos da lei, pode transferir os dados pessoais e os dados pessoais sensíveis do Titular dos Dados para terceiros, adoptando as medidas de segurança necessárias no âmbito das suas finalidades de tratamento de dados pessoais. A este respeito, é mantida a conformidade com os regulamentos estipulados no artigo 8 da Lei PDP. Na transferência de dados pessoais para o estrangeiro, é utilizado o método adequado determinado pela Comissão de Proteção de Dados Pessoais. Neste contexto, é assegurado o cumprimento da regulamentação prevista no artigo 9º da Lei PDP.
6.6 CONTROLO DOS DIREITOS DA PESSOA EM CAUSA; AVALIAÇÃO DOS PEDIDOS DA PESSOA EM CAUSA
O artigo 11.º da Lei PDP regula os direitos da pessoa em causa e os seguintes direitos podem ser exercidos mediante pedido ao responsável pelo tratamento de dados:
Saber se os dados pessoais estão a ser tratados,
Solicitar informações se os dados pessoais tiverem sido objeto de tratamento,
Saber qual a finalidade do tratamento dos dados pessoais e se estes são utilizados de acordo com essa finalidade,
Conhecer os terceiros para os quais os dados pessoais são transferidos no país ou no estrangeiro,
Solicitar a correção dos dados pessoais caso estejam incompletos ou inexactos,
Solicitar o apagamento ou a destruição de dados pessoais no âmbito das condições especificadas no artigo 7.º da Lei PDP (mesmo que tenham sido processados em conformidade com a Lei PDP e outras disposições legais relevantes, no caso de os motivos que exigem o seu processamento deixarem de existir devido a razões imperiosas),
Solicitar a notificação das operações efectuadas nos termos das alíneas d) e e) a terceiros para os quais os dados pessoais tenham sido transferidos,
Opor-se a um resultado contrário aos interesses da pessoa em causa, decorrente da análise de dados pessoais efectuada exclusivamente através de sistemas automatizados,
Solicitar a indemnização por danos em caso de prejuízo devido ao tratamento ilícito de dados pessoais.
Para avaliar os pedidos a serem enviados à nossa empresa pelo Titular dos Dados e para fornecer as informações necessárias ao Titular dos Dados, a equipa necessária foi formada de acordo com o artigo 13 da Lei PDP e os regulamentos legais, administrativos e técnicos necessários são executados por esta equipa.
Os métodos de consulta previstos para o Titular dos Dados no âmbito deste artigo são definidos da seguinte forma:
O Titular dos Dados pode submeter uma cópia assinada do formulário de pedido de solicitação, pessoalmente ou através de um representante autorizado com uma procuração especial, à “Carelink Sağlık Turizmi Hizmetleri Tic. Ltd. Şti, Arapsuyu Mah. Atatürk Blv. No: 47/41 Konyaaltı, Antalya/Turquia”,
O Titular dos Dados pode enviar uma cópia assinada do formulário de pedido por correio registado para “Carelink Sağlık Turizmi Hizmetleri Tic. Ltd. Şti, Arapsuyu Mah. Atatürk Blv. No: 47/41 Konyaaltı, Antalya/Turquia”,
O titular dos dados pode enviar uma cópia assinada do formulário de pedido para [email protected] por assinatura eletrónica,
A pessoa em causa pode enviar uma cópia assinada do formulário de pedido para [email protected] por correio eletrónico.
Para que os métodos de candidatura aqui descritos possam ser utilizados, o candidato deve fornecer os seus documentos de identificação à nossa empresa através do método preferido. Além disso, os documentos de candidatura foram anunciados no sítio Web da nossa empresa http://www.antalyadentsmile.com/ e colocados à disposição das pessoas em causa.
Neste contexto, o procedimento que a nossa empresa seguirá para um pedido recebido é o seguinte:
Em conformidade com os regulamentos legais, os pedidos apresentados à nossa empresa pelas pessoas em causa através de um dos métodos acima descritos serão avaliados com base na natureza do pedido. Dentro dos prazos previstos na lei e no prazo máximo de 30 (trinta) dias, será dada uma resposta gratuita ao requerente relativamente ao pedido.
Se se entender que o processo exige um custo adicional, o requerente será prontamente informado dessa situação, e será comunicado que, a partir do entendimento dessa situação, o requerente é obrigado a cobrir esse custo, tendo em conta a tarifa atual publicada pela Autoridade PDP.
6.7 DESTRUIÇÃO DE DADOS PESSOAIS
Em conformidade com os fundamentos jurídicos especificados no artigo 6.2 da presente política, se as condições para o tratamento de dados pessoais deixarem de existir especificamente para esses dados pessoais, estes serão apagados, destruídos ou anonimizados, quer oficiosamente quer a pedido do titular dos dados (Proprietário dos Dados).
O apagamento, destruição ou anonimização dos dados pessoais é efectuado em conformidade com os princípios fundamentais enunciados no artigo 6.1 da presente política, com as medidas técnicas e administrativas necessárias à proteção desses dados pessoais, com a regulamentação legal aplicável, com as decisões do Conselho de Administração da PDP e com a “Política de armazenamento e destruição de dados pessoais”.
No caso de os dados abrangidos por este artigo terem sido transferidos para terceiros em qualquer altura, estes terceiros serão igualmente informados da transação, assegurando que tomam as medidas necessárias.
6.8 MÉTODO
6.8.1 APLICAÇÃO DA POLÍTICA E DA LEGISLAÇÃO
Nas actividades de tratamento de dados pessoais levadas a cabo pela nossa empresa, é dada prioridade às disposições da legislação em vigor e, na medida do aplicável, às decisões das autoridades reguladoras. Em caso de incoerência entre as disposições da presente política e os regulamentos ou decisões aplicáveis, serão tidas em consideração as regras mais favoráveis às pessoas em causa.
6.8.2 DATA DE ENTRADA EM VIGOR
Esta política, emitida pela nossa empresa, entrou em vigor em 01.01.2023. Se alguns artigos desta política forem parcial ou totalmente alterados, a alteração relevante entrará em vigor na data da publicação da alteração.
