Política de Privacidade

Introdução

Esta política tem como objetivo definir os princípios gerais e as regras a serem aplicadas pelo Instituto Nacional para a Reabilitação aos Dados Pessoais por si recolhidos.

Considera as normas, standards e requisitos legais aplicáveis, contemplando uma notificação específica, explícita e informada sobre o processamento dos dados aos seus titulares.

A Política de Privacidade do Instituto Nacional para a Reabilitação tem aplicação efetiva a partir de 2 de outubro de 2018.

Esta é uma política de privacidade exclusivamente interna e aplica-se a todos os Dados Pessoais recolhidos e tratados pertencentes a funcionários do Instituto Nacional para a Reabilitação, contratados, fornecedores e outras pessoas com quem o mesmo trabalha e colabora, nas suas instalações e/ou interaja com os seus sistemas internos.

Este documento é destinado a todos os colaboradores que prestam serviço no Organismo, independentemente do seu vínculo laboral.

 

Descrição

O Instituto Nacional para a Reabilitação recolhe e processa Dados Pessoais em conformidade com os princípios seguintes:

  • Os Dados Pessoais são processados legalmente, imparcialmente e de forma transparente (legalidade, imparcialidade e transparência);
  • Os Dados Pessoais são recolhidos e processados para finalidades específicas, explícitas e legítimas decorrentes da legislação em vigor e não são processados adicionalmente de forma incompatível com esses efeitos (princípio da limitação da finalidade), nomeadamente para gestão de recursos humanos, processamento de vencimentos, controlo de segurança física e lógica a recursos de processamento de dados e gestão de aquisições e contratos;
  • Os Dados Pessoais são mantidos adequados, relevantes e limitados ao necessário tendo em conta os objetivos para os quais são processados (princípio de minimização de dados);
  • Os Dados Pessoais são rigorosos e, sempre que necessário, retificados e atualizados (princípio de rigor).

O Instituto Nacional para a Reabilitação define medidas técnicas e organizacionais de Segurança adequadas para implementar eficazmente os princípios de proteção de Dados Pessoais, cumprindo a legislação em vigor, protegendo os direitos e liberdades dos Titulares dos Dados.

O Instituto Nacional para a Reabilitação  impõe o mesmo nível de proteção de Dados Pessoais a todos os seus Processadores (prestadores de serviços, fornecedores, parceiros, etc.) através de contratos.

O Instituto Nacional para a Reabilitação  tem uma Organização interna de Proteção de Dados Pessoais responsável por garantir a conformidade com as regras de proteção de Dados Pessoais, suportada pelo Encarregado de Proteção de Dados, Área de Segurança da informação e Proteção de Dados Pessoais e Comité Consultivo para a Segurança da Informação e de Proteção de Dados Pessoais.

 

Princípios gerais

O Instituto Nacional para a Reabilitação compromete-se a efetuar uma gestão de Dados Pessoais adequada em conformidade com as normas e legislação aplicável. Por conseguinte, desenvolve ferramentas e implementa ações com o objetivo de garantir e acompanhar a eficácia da proteção dos Dados Pessoais.

O Instituto Nacional para a Reabilitação possui várias políticas internas e procedimentos que sensibilizam os seus colaboradores sobre a importância da proteção de Dados Pessoais, fornecendo-lhes orientação operacional sobre como cumprir a legislação de Proteção de Dados e acompanhar a conformidade da proteção de Dados Pessoais.

O Instituto Nacional para a Reabilitação estabelece neste documento uma Notificação de Privacidade aos titulares do Dados Pessoais que obedece aos requisitos da legislação em vigor e garante uma notificação específica, explícita e informada aos Titulares sobre o processamento dos seus dados. São também definidas as responsabilidades de notificar fugas de Dados Pessoais às Autoridades de Supervisão competentes.

O Instituto Nacional para a Reabilitação compromete-se a realizar um programa de formação/comunicação que sensibiliza os seus colaboradores na temática de segurança da informação e privacidade de dados pessoais.

 

Notificação de Privacidade

O Instituto Nacional para a Reabilitação  recolhe e processa dados pessoais com finalidade, única e exclusiva, para dar resposta a cumprimento de imposições legais, contratuais ou interesse legítimo.

Os titulares dos Dados Pessoais poderão exercer, em qualquer momento, o direito de acesso, retificação, anulação, esquecimento ou oposição à utilização dos seus dados pessoais, incluindo a revogação de consentimento, quando aplicável. Para tal, deverão contactar o Encarregado de Proteção de Dados.

Os Titulares dos Dados têm o direito de apresentar queixa à Autoridade para Supervisão competente em caso de violação das regras aplicáveis em relação à proteção de Dados Pessoais.

Na eventualidade de uma fuga de Dados Pessoais comprovada, o Encarregado de Proteção de Dados do Instituto Nacional para a Reabilitação comunicará a mesma às Autoridades de Supervisão competentes e ao titular dos dados quando se justifique.

 

Recolha e Tratamento de Dados Pessoais

Porquê e como é que são recolhidos os Dados Pessoais

O Instituto Nacional para a Reabilitação recolhe Dados Pessoais referentes à relação de trabalho com os seus colaboradores; de pessoas e/ou entidades contratadas pelo mesmo; de pessoas e/ou entidades com as quais o mesmo estabelece uma colaboração e que têm acesso aos sistemas e/ou desenvolvem trabalho nas instalações do mesmo.

A informação recolhida neste âmbito pode ser processada para fins de relacionamento entre o Instituto Nacional para a Reabilitação e o Titular dos dados, no cumprimento de obrigações normativas e/ou legais, para proteger e defender os direitos, interesses, propriedade e segurança do Instituto Nacional para a Reabilitação, I.P., dos seus funcionários ou de outras pessoas com quem o mesmo colabore.

Qual a base legal para o Tratamento

O Instituto Nacional para a Reabilitação apenas recolhe e processa Dados Pessoais se:

  • O titular dos dados tiver dado autorização para o Tratamento dos seus Dados Pessoais para uma ou mais finalidades específicas (quando exigido); ou
  • O Tratamento for necessário para a execução de um contrato no qual é uma parte, ou para tomar medidas a seu pedido antes de celebrar um contrato; ou
  • O Tratamento for necessário para a conformidade com uma obrigação legal a que o Instituto Nacional para a Reabilitação esteja sujeito; ou
  • O Tratamento for necessário para as finalidades dos interesses legítimos do Instituto Nacional para a Reabilitação salvo quando a esses interesses se sobrepõem os interesses ou direitos e liberdades fundamentais do Titular dos Dados, o que exige a proteção dos Dados Pessoais.

Qual o período de Retenção de Dados Pessoais

O Instituto Nacional para a Reabilitação mantém os Dados Pessoais de acordo com os períodos de retenção impostos pela legislação em vigor, nomeadamente tendo em conta as suas atividades.

O Instituto Nacional para a Reabilitação nunca mantem os Dados Pessoais mais tempo do que o necessário de acordo com os objetivos para os quais foram recolhidos e estão a ser processados, nomeadamente conformidade com obrigações legais (ex: auditoria, contratação pública, obrigações contabilísticas e fiscais), resolução de disputas judiciais e/ou exercício dos seus direitos legais. As circunstâncias poderão variar consoante o contexto e tipo de Dados Pessoais.

Como são partilhados os Dados Pessoais

O Instituto Nacional para a Reabilitação garante que:

  • Os Dados Pessoais não são facultados a terceiros sem consentimento prévio dos seus titulares, sempre que aplicável;
  • Os Dados Pessoais não são vendidos nem facultados gratuitamente a empresas, que os utilizem para fins de “marketing” direto ou a outras entidades que recorram a "mailing lists" para publicitação produtos e/ou serviços
  • Reserva-se o direito de fornecer dados agregados (tais como localidade, idade e outros) para fins considerados de utilidade pública, designadamente no âmbito de produção estatística. Porém, elementos de identificação pessoal, como o Nome, Número de BI, cartão de Cidadão ou Identificação Fiscal, ou informação de carácter privado não são disponibilizados.
  • Transfere Dados Pessoais para terceiros quando recebe o pedido por parte de uma autoridade judicial ou autoridade pública com poderes legais para o fazer, de acordo com as regras legais em vigor.
  • Assegura a confidencialidade e a segurança dos Dados Pessoais durante a transferência para os recetores acima mencionados.

 

Medidas de Segurança

O Instituto Nacional para a Reabilitação segue padrões de segurança organizacional e tecnológica, e práticas eficazes na gestão de segurança da informação, para proteção da confidencialidade, integridade e disponibilidade da informação, e provisão de confiança nos intercâmbios inter-organizacionais, nomeadamente o standard internacional ISO/IEC 27001, e as normas comunitárias, a legislação e recomendações nacionais especificas em matéria de segurança da informação.

O Instituto Nacional para a Reabilitação possui todas as medidas técnicas e organizacionais adequadas para garantir um nível de segurança dos Dados Pessoais adequado ao risco e, em particular, para proteger os Dados Pessoais contra destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilegal.

O Instituto Nacional para a Reabilitação possui as medidas técnicas e organizacionais adequadas para garantir a segurança dos Dados Pessoais, em todas os sistemas de informação que os processam, nomeadamente o portal de colaborador e intranet.

O mesmo nível de proteção é imposto contratualmente pelo Instituto Nacional para a Reabilitação aos seus Processadores.

Qualquer colaborador do Instituto Nacional para a Reabilitação que, durante o seu trabalho, tenha acesso a Dados Pessoais concorda mantê-los na mais estrita confidencialidade no âmbito dos acordos de confidencialidade firmados.

 

Direito de acesso, retificação, atualização e esquecimento dos dados

Em conformidade com as regras aplicáveis em relação à proteção de Dados Pessoais, caso o requeira, o Titular dos Dados pode exercer, em qualquer momento, o seu direito de obter o acesso, retificar, esquecer e transferir os seus Dados Pessoais e também de restringir e opor-se ao Tratamento dos seus Dados Pessoais.

O exercício dos direitos do Titular dos dados deve ser efetuado junto do Encarregado do Proteção de Dados.

Quando o Tratamento se baseia na autorização do Titular, este tem o direito de retirar a sua autorização em qualquer altura.

No seu próprio interesse, o Titular dos Dados deverá procurar manter os seus dados atualizados, podendo para o efeito, contactar o Departamento de Organização de Gestão de Pessoas.

Os Titulares dos Dados têm o direito de apresentar queixa à Autoridade para Supervisão competente em caso de violação das regras aplicáveis em relação à proteção de Dados Pessoais.

 

O Encarregado de Proteção de Dados

O Encarregado de Proteção de Dados informa e aconselha sobre os requisitos aplicáveis de proteção de Dados Pessoais, acompanha a conformidade com esses requisitos no Instituto Nacional para a Reabilitação.

O Encarregado de Proteção de Dados coopera e age como ponto de contacto com as Autoridades de Supervisão competentes e com os titulares dos dados.

 

Alterações à Política de Privacidade

A Política de Proteção de Dados Pessoais pode ser alterada pelo Instituto Nacional para a Reabilitação sempre que houver necessidade ou alteração legislativa, sendo publicado um aviso de tais alterações numa versão revista da atual Política e esta entra em vigor aquando da sua publicação.

O Instituto Nacional para a Reabilitação notificará o Titular dos Dados Pessoais de qualquer alteração à política por WebLetter interna e divulgando a mesma na Intranet.

 

Contacto

Em caso de questões relacionados com os direitos e garantias no âmbito da proteção dos dados poderão contactar o Encarregado de Proteção de Dados do Instituto Nacional para a Reabilitação, I.P., através do endereço de correio eletrónico SG-EncarregadoProtecaoDados@sg.mtsss.pt