Seu navegador (Internet Explorer) está desatualizado e pode não exibir todos os recursos deste e de outros sites. Use o Google Chrome ou o Microsoft Edge para uma experiência ideal em nosso site.
Bruks-Siwertell
Bruks-Siwertell
A partir de 25 de maio de 2018, estamos nos alinhando ao novo Regulamento Geral de Proteção de Dados (GDPR) da União Europeia. Atualizamos nossa política de privacidade para fornecer mais informações sobre como a Bruks Siwertell protege sua privacidade, incluindo informações sobre como exercer seus direitos sobre seus dados. Abaixo, você pode ler nossa política completa de GDPR.
A Bruks Siwertell coleta e utiliza determinadas informações sobre indivíduos em diferentes partes de sua organização. O objetivo desta política é garantir que a Bruks Siwertell trate essas informações em conformidade com as leis aplicáveis, incluindo o Regulamento Geral sobre a Proteção de Dados (RGPD). A política abrange todas as informações digitais nas quais informações sobre indivíduos aparecem.
O GDPR é aplicável somente a cidadãos da UE/EEE.
Esta política inclui todos os funcionários da Bruks Siwertell e qualquer contratado que trabalhe em nome da Bruks Siwertell.
A equipe de gestão é responsável por garantir que os dados pessoais tratados pela Bruks Siwertell estejam em conformidade com esta política. A política é revisada e estabelecida anualmente.
O Diretor de RH é responsável pela atualização anual da política, bem como por garantir que quaisquer alterações no GDPR sejam implementadas na política.
O Diretor Geral de cada unidade do Grupo Bruks Siwertell é responsável pelo conteúdo desta política e garantirá que a organização cumpra seus requisitos. A implementação da política foi delegada ao Diretor de RH.
Tanto os funcionários da Bruks Siwertell quanto os contratados que trabalham em nome da Bruks Siwertell são responsáveis por garantir que ajam de acordo com os requisitos da política.
3.1 Responsabilidade geral - RGPD
O Diretor de RH é responsável por garantir que a Bruks Siwertell cumpra o RGPD. Isso significa que o Diretor de RH informará a equipe de gestão sobre quaisquer riscos de segurança após cada revisão anual. O Diretor de RH garantirá que os funcionários cumpram e sejam informados sobre a aplicação prática da política e processará quaisquer solicitações de transcrição de dados pessoais.
O Gerente de TI é responsável por garantir que todos os sistemas de TI, servidores e equipamentos utilizados para armazenar dados pessoais estejam atualizados e atendam aos requisitos de segurança. O Gerente de TI também revisará regularmente softwares e hardwares e avaliará quaisquer dados pessoais armazenados por terceiros pertencentes à Bruks Siwertell.
Dados pessoais
Qualquer informação relacionada, direta ou indiretamente, a uma pessoa identificada ou identificável ('titular dos dados'); em particular por referência a um identificador, como um nome, um número de identificação, dados de localização ou um identificador online.
Assunto dos dados
O indivíduo ao qual os dados pessoais se referem.
Tratamento
Qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, seja por meios automatizados, tais como a coleta, o registro, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.
Consentimento
Um "consentimento" do titular dos dados significa qualquer indicação dada livremente, específica, informada e inequívoca dos desejos do titular dos dados, pela qual ele ou ela, por meio de uma declaração, significa concordar com o processamento de dados pessoais relacionados a ele ou ela.
SITE
Obrigação da Bruks Siwertell de informar os titulares dos dados sobre quaisquer dados pessoais armazenados.
Acordo de assistência
Acordo com uma pessoa física ou jurídica, autoridade pública, agência ou organismo diferente da Bruks Siwertell (o controlador) que, sob a autoridade direta do controlador, esteja autorizado a processar dados pessoais.
Controlador de dados
A pessoa física ou jurídica, autoridade pública, agência ou outro organismo que, individualmente ou em conjunto com outros, determina as finalidades e os meios do processamento de dados pessoais; quando as finalidades e os meios desse processamento forem determinados por lei. (Bruks Siwertell é o controlador de dados nesta política).
Todos os dados pessoais serão processados de acordo com os seguintes princípios:
5.1 Legalidade, justiça e transparência
Todos os dados pessoais devem ser processados de forma legal, justa e transparente em relação aos dados.
5.2 Limitação de finalidade
Os dados pessoais devem ser coletados para finalidades específicas, explícitas e legítimas e não devem ser processados de maneira incompatível com essas finalidades.
5.3 Minimização de dados
Os dados pessoais devem ser adequados, relevantes e limitados ao necessário em relação às finalidades para as quais são processados.
5.4 Precisão
Os dados pessoais devem ser precisos e, quando necessário, mantidos atualizados; todas as medidas razoáveis devem ser tomadas para garantir que os dados pessoais imprecisos, em relação às finalidades para as quais são processados, sejam apagados ou retificados sem demora.
5.5 Limitação de armazenamento
Os dados devem ser mantidos em um formato que permita a identificação dos titulares dos dados por um período não superior ao necessário para as finalidades para as quais os dados pessoais são processados; a limitação de armazenamento é registrada no "Documento central GDPR".
5.6 Integridade e confidencialidade
Os dados pessoais são processados de forma a garantir a segurança adequada dos dados pessoais, incluindo proteção contra processamento não autorizado ou ilegal e contra perda acidental, destruição ou dano, usando medidas técnicas ou organizacionais apropriadas.
5.7 Responsabilidade
A Bruks Siwertell (controladora de dados) é responsável e capaz de comprovar o cumprimento da lei. Portanto, todos os registros de dados pessoais são documentados em um documento central denominado "Documento Central GDPR". Existem procedimentos em vigor para garantir que todos os funcionários e contratados da Siwertell cumpram a regulamentação.
5.8 Processamento de novos dados e alterações nos dados de processamento
Antes de processar novos dados ou fazer alterações na forma como os dados são processados, uma série de considerações devem ser levadas em consideração. É necessário coletar os dados pessoais e existem riscos para os indivíduos cujos dados pessoais pretendemos processar?
5.8.1 Necessidade
As primeiras perguntas que o controlador precisa fazer são: quais dados pessoais são necessários para cumprir uma determinada finalidade e se o processo segue os seis princípios de minimização de dados, precisão, limitação de armazenamento, integridade e confidencialidade e responsabilidade.
5.8.2 Impact
Se o processo puder representar algum risco para os titulares dos dados ou para categorias especiais de dados pessoais, como informações sensíveis, uma análise do impacto e medidas de controle para prevenir ou limitar o risco de dados devem ser implementadas para garantir a segurança adequada dos dados. Leia mais na seção 5.11.
5.9 Processamento de informações não estruturadas
Ao processar informações não estruturadas, como dados pessoais, imagens e vídeos em e-mails ou documentos, contratos e cartas, um processo simplificado é aplicável.
Isso facilita o processamento diário de dados pessoais sem obstruir a integridade e a liberdade. Esse processo simplificado se aplica à proteção de dados pessoais não estruturados armazenados em servidores web, contidos em documentos e correspondências por e-mail, além de imagens e vídeos. Nomes e números de telefone de funcionários também estão incluídos.
Isso significa que o processamento de dados pessoais cotidianos é permitido, desde que o titular dos dados não seja violado. O processamento de dados pessoais que viole o titular dos dados continua proibido.
5.10 Direitos do titular dos dados/informação do titular dos dados sobre dados pessoais
O titular dos dados deve ser informado sobre as atividades de tratamento de dados. Para atender aos requisitos do GDPR, a Bruks Siwertell possui modelos para apresentar informações sobre o tratamento de dados aos titulares. Os modelos incluem informações sobre os dados pessoais coletados pela empresa, bem como a forma como a empresa os processa. O modelo também inclui os direitos do titular dos dados e as informações de contato do controlador de dados.
Normalmente, o contato principal atribuído ao cliente, funcionário ou fornecedor é responsável por informar o titular dos dados sobre o processamento de dados pessoais. Por exemplo, o diretor de RH é responsável por informar os novos funcionários da Bruks Siwertell sobre a política de processamento de dados pessoais da empresa.
Informações sobre as atividades de processamento de dados pessoais da Bruks Siwertell podem ser encontradas em: www.bruks-siwertell.com.
5.10.1 Direito de acesso do titular dos dados
Caso o titular dos dados deseje acessar seus dados pessoais, ele ou um representante legal com procuração válida poderá enviar uma solicitação de extração de dados. As informações serão então enviadas ao titular dos dados ou ao contato aprovado. O titular dos dados terá sempre o direito de encaminhar quaisquer dúvidas ou questionamentos complementares ao Diretor Geral.
O destinatário de uma consulta sobre dados pessoais deve certificar-se de que a identidade da pessoa que solicita o acesso seja verificada. Se a consulta for recebida eletronicamente, os dados pessoais também poderão ser enviados eletronicamente, se o titular dos dados desejar.
A entrega dos dados pessoais deve ser feita de forma segura, criptografada ou protegida por senha, ou por carta registrada. O titular dos dados receberá uma cópia dos seus dados pessoais gratuitamente no prazo de 30 dias após o recebimento da solicitação pelo controlador de dados.
5.10.2 Outros direitos do titular dos dados
Caso um titular de dados entre em contato com o controlador de dados sobre informações pessoais que considere incorretas ou incompletas, o controlador de dados retificará as informações sem demora. Quando aplicável, o titular dos dados tem o direito de solicitar a exclusão de suas informações pessoais. Por exemplo, se as informações pessoais não forem mais aplicáveis.
O titular dos dados também tem o direito de se opor ao tratamento dos seus dados pessoais com base em interesses. Caso o responsável pelo tratamento pretenda continuar a tratar os dados pessoais, deverá apresentar razões que prevaleçam sobre os interesses, direitos e liberdades do titular dos dados.
As solicitações acima mencionadas por qualquer titular de dados serão imediatamente encaminhadas e processadas pelo Diretor de RH.
5.11 Categorias especiais de informações pessoais
É proibido o processamento de dados pessoais que revelem origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, ou filiação sindical, bem como o processamento de dados genéticos e biométricos para identificação única de uma pessoa física, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa física.
Categorias especiais de informações pessoais podem ser processadas se o titular dos dados tiver dado consentimento explícito para o processamento dos dados pessoais ou se o processamento for necessário para fins de cumprimento das obrigações e exercício de direitos específicos do controlador de dados ou do titular dos dados no campo do direito trabalhista, previdenciário e de proteção social.
5.12 Dados pessoais de crianças
Os tutores não têm o direito automático de agir em nome dos seus filhos sem o consentimento destes quando se trata de dados pessoais. Isso ocorre porque as crianças são indivíduos e têm direitos de acordo com o RGPD.
5.13 Obrigações de divulgação de dados pessoais
Em alguns casos, o controlador de dados é obrigado a revelar dados pessoais. Por exemplo, o controlador de dados é obrigado a revelar dados pessoais caso receba consultas de autoridades fiscais e outras.
Outras empresas com acesso e envolvidas no processamento de dados pessoais são conhecidas como assistentes de dados pessoais. Ocasionalmente, fornecedores de sistemas terceirizados podem acessar dados pessoais pertencentes ao controlador de dados. A Bruks Siwertell possui um contrato de assistente de dados pessoais com esses fornecedores, com as seguintes pessoas autorizadas a assinar contratos: Diretor Geral, Diretor de Compras, Gerente de TI e Diretor de RH.
7.1 Informações para todos os funcionários
Todos os funcionários da Bruks Siwertell são obrigados a cumprir esta política. As instruções estão disponíveis no documento intitulado "GDPR – instruções para todos os funcionários".
7.2 Limitação de armazenamento – exclusão de informações
Os dados pessoais serão armazenados apenas de forma a permitir a identificação do titular dos dados, pelo tempo necessário para a finalidade a que se destinam. Quando os dados pessoais deixarem de ser necessários, deverão ser eliminados ou desidentificados. O responsável pelo tratamento de dados estabeleceu rotinas para garantir que as informações pessoais não sejam armazenadas por mais tempo do que o necessário. As informações relativas à limitação do armazenamento de diferentes dados pessoais estão definidas no "Registo Central do RGPD". O Diretor de RH é responsável por acompanhar a limitação do armazenamento de dados pessoais.
7.3 Licitude do processamento
A licitude do tratamento deve ser comprovada para cada ato de tratamento de dados pessoais realizado pelo responsável pelo tratamento. O tratamento é lícito se: fizer parte do cumprimento de um contrato com o titular dos dados; for necessário para o cumprimento de uma obrigação legal; se a empresa tiver o consentimento explícito do titular dos dados; ou se o tratamento atender às exigências estabelecidas de acordo com a "ponderação de interesses". Toda ponderação de interesses deve ser documentada e arquivada. A licitude do tratamento de dados está documentada no "Registro Central do RGPD".
7.4 Registrar
O processamento de dados pessoais está documentado no "Registro Central do RGPD". As exigências relativas ao processamento de dados pessoais de acordo com o RGPD devem ser atendidas no desenvolvimento e na aquisição de serviços e soluções de TI e farão parte de exigências específicas e de quaisquer acordos.
7.5 Acompanhamento
O acompanhamento e a avaliação do tratamento de dados pessoais serão realizados pelo menos uma vez por ano.
7.6 Notificação de violação de dados pessoais
Qualquer violação de dados pessoais que ocorra na empresa deve ser imediatamente comunicada ao Diretor de RH, que, sem demora injustificada e, no máximo, 72 horas após ter tomado conhecimento, informará a autoridade supervisora da violação de dados pessoais, a menos que seja improvável que a violação de dados pessoais resulte em risco para os direitos e liberdades das pessoas físicas. Caso a notificação à autoridade supervisora não seja feita no prazo de 72 horas, deverá ser acompanhada dos motivos do atraso.
Se você tiver alguma dúvida em relação à nossa política de GDPR, entre em contato com nossa Diretora de RH, Katarina Åkesson katarina.akesson@bruks-siwertell.com