ÂMBITO
Este Resumo da Política de Gestão de Dados Pessoais Sensíveis abrange todos os departamentos, funcionários e empresas e funcionários de terceiros dentro do corpo da “Carelink Sağlık Turizm Hizmetleri Tic. Ltd. Şti” (“Carelink”) que processa todos os dados pessoais.
Esta Política; ao definir as regras para a segurança dos dados pessoais sensíveis da Carelink, abrangerá todas as actividades que proporcionarão a gestão nesta área e será implementada em todas as etapas do processo.
Esta Política não será aplicada a todos os dados que não sejam Dados Pessoais Sensíveis.
No caso de a Legislação ser determinada ou a legislação relevante ser actualizada, a Carelink assegurará que esta política é actualizada para cumprir a legislação relevante e será assegurada a conformidade com os requisitos.
Nos casos em que se considere que existe um obstáculo legal à implementação desta Política pela “Carelink”, a “Carelink” poderá redefinir esta Política em consulta com uma direção superior, se assim o considerar necessário.
DEFINIÇÕES
| Lei | Lei nº 6698 sobre Proteção de Dados Pessoais |
| Regulamento | Regulamento sobre Eliminação, Destruição ou Anonimização de Dados Pessoais |
| Decisão Relevante | É a decisão do Conselho de PDP datada de 31/01/2018 e com o número 2018/10 sobre “Precauções adequadas a serem tomadas pelos controladores de dados no processamento de dados pessoais sensiveis”. |
| Conselho | Conselho de Proteção de Dados Pessoais |
| Meio de Registro | É o nome dado a qualquer ambiente onde os dados pessoais são processados total ou parcialmente de forma automática ou por meios não automáticos, desde que façam parte de algum sistema de registro de dados. |
| Dados Pessoais | Todo o tipo de informação relativa a uma pessoa singular identificada ou identificável e inclui todas as situações que permitam a identificação da pessoa em resultado do transporte de um conteúdo concreto que expresse a identidade física, económica, cultural, social ou psicológica da pessoa ou a associe a qualquer registo como identidade ou número fiscal. |
| Inventário de processamento de dados pessoais | É um inventário que cria e detalha as atividades de processamento de dados pessoais realizadas pelos controladores de dados, dependendo de seus processos de negócios, das finalidades do processamento de dados pessoais, da categoria de dados, dos grupos destinatários transferidos e do titular dos dados, associando-os ao grupo de pessoas. |
| Dados Pessoais Sensíveis | Dados Pessoais de Sensíveis especificados nesta lei são dados que apresentam o risco de causar discriminação contra seus proprietários se forem processados. |
| Registro | É o Cadastro de Controladores de Dados mantido pela Presidência. |
| Sistema de registro de dados | É um sistema de registo onde os dados pessoais são tratados e estruturados de acordo com determinados critérios. |
| Controlador de Dados | É a pessoa singular ou coletiva quem determina as finalidades e as regras de processamento dos dados pessoais e é responsável pelo estabelecimento e gestão do sistema de registo de dados. |
| Grupo Destinatário | É a categoria de pessoas singulares ou coletivas a quem os dados pessoais são transferidos pelo responsável pelo processamento. |
| Usuário Interessado | O responsável pelo armazenamento técnico, proteção e backup dos dados ou as pessoas que processam os dados de acordo com a autorização e instrução do responsável pelo processamento. |
As definições da Política de Proteção e Tratamento de Dados Pessoais, da Política de Eliminação de Armazenamento e de outras políticas criadas no âmbito da “Carelink” são válidas para esta política.
FINALIDADE
Esta Política determinará os fundamentos e será aplicada às pessoas singulares e colectivas responsáveis pelas “Condições de Tratamento de Dados Pessoais Sensíveis” no Regulamento criado de acordo com o artigo 6º da Lei PDP e deverá ser cumprida pela “Carelink” e pelos terceiros contratualmente responsáveis da “Carelink”.
De acordo com a decisão da Direção da PDPL (Publicada no Diário da República a 07/02/2018) datada de 31/01/2018, a “Carelink” é um Responsável pelo Tratamento de Dados com a obrigação de se registar no Registo de Responsáveis pelo Tratamento de Dados. Assim, está obrigada a tratar os Dados Pessoais sob a sua responsabilidade em conformidade com o Inventário de Tratamento de Dados Pessoais, a conservá-los, a definir regras para garantir a segurança dos mesmos e a elaborar uma política que englobe todas as actividades a desenvolver pela gestão de topo em conformidade com esta política.
As seguintes regras aplicar-se-ão ao armazenamento e destruição de dados pessoais:
Serão seguidos os princípios gerais do artigo 4.º da Lei PDP.
A “Carelink” reconhece, declara e compromete-se a cumprir as medidas de segurança estipuladas no artigo 12.º da Lei PDP, bem como as disposições da legislação pertinente, as decisões do Conselho da PDP, as medidas administrativas e técnicas especificadas nas directrizes de segurança de dados ao armazenar, apagar, eliminar ou tornar anónimos os dados pessoais, de acordo com a Política.
A “Carelink” reconhece que, ao elaborar esta Política, não implica que os dados pessoais sejam eliminados, destruídos ou anonimizados apenas de acordo com o Regulamento de Dados Pessoais, a Legislação Relevante e a Lei.
A “Carelink” age de acordo com esta Política durante a eliminação, destruição ou anonimização de dados pessoais, que são total ou parcialmente recebidos por meios automáticos ou processados por meios não automáticos como parte de qualquer sistema de registo.
MEIOS DE REGISTO
Os ambientes abaixo especificados, que contêm dados pessoais, concordam em incluir dados pessoais noutros meios que possam surgir para além destes, no âmbito da referida Política.
Computadores/servidores/dispositivos móveis utilizados em nome da empresa,
Áreas de armazenamento de Computadores/servidores/dispositivos móveis utilizados em nome da empresa,
Fita magnética, disco ótico, microplugue,
Dispositivos de rede,
disco rígido USB, memória USB,
Papel
Unidades partilhadas/não partilhadas para armazenamento de dados e cópias de segurança na rede.
DADOS PESSOAIS SENSÍVEIS
1. Princípios gerais relativos ao tratamento de dados pessoais sensíveis
A “Carelink” adopta todos os tipos de medidas administrativas e técnicas relativas à conservação segura dos dados pessoais, ao tratamento ilícito e ao bloqueio do acesso.
A “Carelink” compromete-se a tratar os dados em conformidade com as modalidades previstas na lei PDP.
A “Carelink”, nos casos em que não existam excepções às condições de tratamento de Dados Pessoais Sensíveis nos termos do Artigo 6, Parágrafo 3 da Lei PDP;
A “Carelink” armazena Dados Pessoais Sensíveis, processa os referidos dados com o conhecimento da equipa PDPB (se disponível, qualquer unidade jurídica) da “Carelink”, desde que cumpra a legislação, desde que seja obtido o Consentimento Explícito.
Salvo as excepções especificadas na Lei PDP, é proibido conservar os dados pessoais em questão nos casos em que o consentimento explícito do titular dos dados não seja obtido.
2. Dados Pessoais Sensíveis Processados pela “Carelink”
Os dados pessoais relacionados com a saúde e a vida sexual podem ser processados sem obter o consentimento explícito do Titular dos Dados apenas por indivíduos ou instituições e organizações autorizadas que estão sob a obrigação de confidencialidade para fins de Medicina Preventiva, serviços de saúde, Proteção da Saúde Pública, diagnóstico médico, tratamento e serviços de cuidados, bem como o planeamento e gestão de serviços de saúde e financiamento.
Os dados pessoais de categoria especial, para além da saúde e da vida sexual, tais como a origem étnica, as opiniões políticas, a raça, a seita, a religião, as convicções filosóficas ou outras crenças, a pertença a associações, fundações ou sindicatos, o estilo de vestuário, as condenações penais e os dados relacionados com a segurança, bem como os dados genéticos e biométricos, podem ser tratados sem o consentimento explícito do Titular dos Dados nos casos previstos na lei.
Os dados pessoais são processados pela “Carelink” com o consentimento explícito do Titular dos Dados e são processados da forma especificada na secção “Princípios Gerais do Processamento de Dados” desta Política. Dependendo da natureza, do tipo e da qualidade da relação entre a “Carelink” e a pessoa em causa, bem como dos canais de comunicação utilizados e da finalidade em questão, estes dados podem variar e diversificar-se. Estes dados são igualmente especificados no Inventário de Dados Pessoais.
3. Finalidades do tratamento de dados pessoais sensíveis
Os Dados Pessoais Sensíveis são processados no âmbito das finalidades especificadas no Inventário de Processamento de Dados Pessoais e podem ser armazenados pelos períodos estipulados pelas leis relevantes no âmbito dessas finalidades.
4. Transferência de dados pessoais sensíveis
A “Carekink” procede a transferências de dados nacionais e internacionais, nos termos dos artigos 8º e 9º da LPC, no âmbito das finalidades indicadas na secção “Finalidades do Tratamento de Dados Pessoais Sensíveis” da referida Política. Os dados pessoais em questão podem ser processados e armazenados nos servidores e meios electrónicos utilizados neste âmbito.
No Inventário de Dados Pessoais elaborado pela “Carelink”, são também especificadas as partes para as quais são efectuadas transferências de dados. A natureza destas transferências de dados e as partes partilhadas variam consoante o tipo, a natureza e o tipo de relação entre o Titular dos Dados e a “Carelink”, a finalidade da transferência e as bases jurídicas relevantes. Além disso, outras condições são definidas na Política de Privacidade da PDPL, sendo válidas as medidas e acções aqui especificadas.
De acordo com a decisão da Comissão de Proteção de Dados Pessoais de 31/1/2018 publicada no Diário da República de 07/03/2018, se a “Carelink” transferir Dados Sensíveis;
Se os dados forem transmitidos por correio eletrónico, são transmitidos de forma encriptada através do endereço de correio eletrónico da empresa ou por correio eletrónico registado,
No caso de os dados serem transferidos através de suportes como a memória USB portátil, CD, DVD, são transferidos utilizando métodos criptográficos,
Se a transferência de dados tiver de ser efectuada entre servidores físicos em locais diferentes, os dados são transferidos entre esses servidores através de métodos do tipo VPN ou SFTP,
Se os dados forem transferidos através de suportes de papel, os documentos são transferidos convertendo-os em documentos confidenciais, tendo em conta os riscos de roubo, perda ou apreensão dos referidos documentos por pessoas não autorizadas.
5. Eliminação das condições de tratamento de dados
A “Carelink” é responsável por manter actualizadas as condições de tratamento de dados pessoais sensíveis e partilha esta responsabilidade com todos os responsáveis pelo tratamento de dados.
Os funcionários da “Carelink” não podem continuar a processar dados quando as condições de processamento de dados já não são válidas.
A “Carelink” aceita que as condições para o processamento de Dados Pessoais Sensíveis sejam eliminadas de acordo com a lista abaixo e as situações especificadas no regulamento:
No caso de o tratamento de dados pessoais ser contrário à lei e ao princípio da honestidade,No caso de as finalidades que exigem o tratamento de dados pessoais serem eliminadas,
No caso de o tratamento de dados pessoais ser efectuado apenas de acordo com as condições do consentimento explícito, e o titular dos dados retirar o seu consentimento explícito
Neste contexto, serão válidas as medidas e as acções a tomar neste âmbito definidas pela “Carelink” na sua Política de Conservação e Destruição de Dados Pessoais.
6. Segurança dos Dados Pessoais Sensíveis
No tratamento de Dados Pessoais Sensíveis, é essencial a adoção de medidas adequadas determinadas pela Direção da PDP. A segurança dos Dados Pessoais Sensíveis foi determinada da seguinte forma, de acordo com a decisão da Comissão de Proteção de Dados Pessoais de 31/1/2018 publicada no Diário da República em 07/03/2018.
São celebrados acordos de confidencialidade entre o referido Responsável pelo Tratamento de Dados e os Colaboradores,
São definidos âmbitos de autorização e durações dos utilizadores que têm acesso aos dados,
É assegurada a formação e informação regular dos Colaboradores sobre todas as matérias relacionadas com as leis, legislação e regulamentos relativos ao tratamento de dados pessoais especiais, bem como eventuais decisões e guias a publicar pela Direção da PDP,
São efectuados periodicamente controlos de autorização,
Em caso de mudança de funções ou de demissão, as autorizações existentes nesta área são verificadas e as autorizações são revogadas, e as que lhes foram atribuídas pelo responsável pelo tratamento de dados com o formulário de habilitação são retomadas de acordo com o procedimento relevante.
Se os ambientes onde os dados pessoais sensíveis são armazenados, processados e/ou acedidos forem ambientes digitais (electrónicos),
A segurança de todos os ambientes com dados pessoais é garantida e são feitos os acompanhamentos necessários para as actualizações.
Se os ambientes onde os Dados Pessoais Sensíveis são armazenados, processados e/ou acedidos são ambientes físicos,
É impedida a entrada e saída não autorizada de ambientes físicos que contenham dados pessoais sensíveis,
Foram tomadas medidas de segurança adequadas (precauções contra situações como incêndio, inundação, roubo, fuga de eletricidade, etc.) de acordo com a natureza dos ambientes onde se encontram os Dados Pessoais Sensíveis.
Esta Política entrará em vigor a partir da data de aprovação pelo Controlador de Dados “Carelink” e será publicada nos locais relevantes. Serão efectuados os trabalhos necessários e implementados os estudos necessários para pôr em prática as alterações a introduzir na política.
Em função das alterações legislativas, das alterações de uma norma técnica referida, das acções e/ou decisões da Comissão de Proteção de Dados Pessoais e das decisões judiciais, a “Carelink” reserva-se o direito de rever a presente Política e, quando necessário, de atualizar, alterar ou eliminar a Política e criar uma nova Política.
A “Carelink” partilhará a última versão actualizada de todas as alterações que tenha efectuado à Política através de correio eletrónico, documentos escritos e/ou intranet corporativa e disponibilizá-la-á aos seus colaboradores.
Data de vigência da Política: 01/01/2023
