1. Objetivo

Este procedimento tem como objetivo:

Apresentar as práticas da OptiWisers em relação ao Regulamento Geral sobre a Proteção de Dados (RGPD)
Informar os funcionários sobre esses procedimentos

2. Âmbito

Aplica-se a todas as atividades realizadas pela OptiWisers

3. Segurança da Informação

A OptiWisers presta serviços nas áreas de consultoria e novas tecnologias da informação, suporte e manutenção de sistemas e outsourcing. Durante as suas atividades, acede a informações pessoais, que são armazenadas de forma segura nos seus sistemas.

Dada a sensibilidade das questões de privacidade, a OptiWisers estabeleceu regras para o tratamento de dados pessoais dentro da organização, em conformidade com o RGPD.

O tratamento dos dados pessoais recolhidos é realizado com o respeito rigoroso pelos direitos, liberdades e garantias dos titulares dos dados.

4. Informações sobre o tratamento de dados na OptiWisers:

Responsável pelo tratamento de dados

OW – Transformative Results, Lda. | Avenida Eng Duarte Pacheco, 19, RC, Sala 4 | 1070-100 Lisboa

Encarregado da Proteção de Dados (DPO)

Marta Costa, telefone: +351 967 951 717; e-mail: dpo@optiwisers.com

5. Direitos dos titulares dos dados

De acordo com o RGPD, os titulares dos dados têm o direito de saber como os seus dados pessoais são processados e para que finalidade.

A OptiWisers recolhe dados pessoais relacionados com candidatos e funcionários:

5.1. Dados dos candidatos

Para os candidatos, é recolhido o consentimento pessoal, essencial para manter os dados ativos nos sistemas e para posicionar e qualificar os perfis dos candidatos para oportunidades emergentes. É enviado um link a cada candidato para obter o consentimento necessário.

5.2. Categorias de dados recolhidos

Os dados geralmente recolhidos pela OptiWisers incluem nome, idade, detalhes de contacto, cargo, situação profissional, qualificações ou certificações.

5.3. Fontes de dados

A OptiWisers normalmente recolhe dados das seguintes fontes públicas: candidaturas diretas à OptiWisers, sites de empresas públicas, serviços como LinkedIn, Xing ou outros; feiras de emprego e eventos promocionais.

5.4. Finalidade e base jurídica para o tratamento de dados

A OptiWisers trata dados pessoais com a finalidade de selecionar talentos para prestar serviços a potenciais empregadores em todo o Espaço Económico Europeu, com base no seu interesse legítimo em prestar tais serviços.

5.5. Período de conservação dos dados

Com a devida autorização, os dados pessoais serão armazenados no sistema da OptiWisers por um período de 10 anos.

5.6. Destinatários dos dados

Os dados no seu formato completo são partilhados com os escritórios da OptiWisers em Portugal, mediante solicitação do pessoal autorizado.

Para fins comerciais, a OptiWisers pode partilhar dados pessoais num formato mínimo (por exemplo, experiência profissional e qualificações académicas, excluindo detalhes de contacto pessoais) com os seus clientes e parceiros, com os quais foram previamente assinados acordos de privacidade e contratos de conformidade com o RGPD.

5.7. Transferências para países terceiros

Qualquer transferência de dados para um país terceiro só é realizada com entidades que tenham assinado cláusulas contratuais com a OptiWisers, em conformidade com o RGPD.

5.8. Direito de retificação e apagamento

Os dados pessoais podem ser modificados ou apagados a qualquer momento, mediante pedido do titular dos dados por e-mail: dpo@optiwisers.com.

Após a receção do pedido, a OptiWisers compromete-se a responder no prazo máximo de 48 horas úteis.

De acordo com o RGPD, os dados serão apagados quando já não forem necessários para a finalidade para a qual foram recolhidos ou quando o consentimento for retirado.

Mediante solicitação do titular dos dados, a OptiWisers compromete-se, no prazo de 48 horas úteis, a:

– Cumprir qualquer oposição, retificação ou restrição ao processamento posterior de dados pessoais;

– Conceder acesso aos dados pessoais processados pela OptiWisers;

– Apagar dados pessoais, a menos que direitos ou obrigações legais exijam processamento ou retenção adicionais;

– Comunicar qualquer violação de dados envolvendo dados pessoais nos seus sistemas à autoridade supervisora.

6. Dados dos funcionários

Para os funcionários, é obtido o consentimento pessoal, essencial para manter os dados ativos nos sistemas que permitem o processamento salarial, a manutenção dos benefícios salariais (tais como seguro de saúde, vouchers para cuidados infantis/educação ou outros benefícios remuneratórios), saúde e segurança ocupacional, seguro de acidentes de trabalho e comunicação com a Segurança Social, Autoridade Tributária, Autoridade de Condições Laborais ou outras entidades estatais legalmente habilitadas a aceder a dados pessoais.

O consentimento é obtido através da assinatura de uma declaração expressa de processamento e retenção de dados, anexada ao contrato de trabalho.

6.1. Categorias de dados recolhidos

Os dados geralmente recolhidos pela OptiWisers incluem nome, data de nascimento, detalhes de contacto, endereço, número do cartão de cidadão ou passaporte (dependendo se o funcionário é nacional ou estrangeiro) e sua data de validade, autorização de residência e sua validade (se aplicável), número de identificação fiscal (NIF), número de segurança social (NISS), qualificações ou certificações e dados para classificação fiscal (status de titular de rendimentos e número de membros do agregado familiar).

Na qualidade de empregador, a OptiWisers pode tratar os dados pessoais dos trabalhadores para os fins e dentro dos limites definidos pelo Código do Trabalho e legislação complementar ou outras regulamentações setoriais.

6.2. Período de retenção de dados

Com a devida autorização, os dados pessoais dos funcionários serão armazenados no sistema da OptiWisers por um período de 10 anos ou, se for mais longo, pelo tempo necessário para cumprir as obrigações legais.

Mediante solicitação do titular dos dados, a OptiWisers compromete-se, no prazo de 48 horas úteis, a:

– Cumprir qualquer oposição, retificação ou restrição ao processamento posterior de dados pessoais;

– Conceder acesso aos dados pessoais processados pela OptiWisers;

– Eliminar os dados pessoais, a menos que direitos ou obrigações legais exijam o processamento ou retenção adicionais;

– Comunicar qualquer violação de dados que envolva dados pessoais nos seus sistemas à autoridade supervisora.

6.3. Arquivo de dados

Os dados pessoais são armazenados no sistema ERP de Recursos Humanos.

Não são mantidas cópias de documentos de identificação, exceto nos casos em que as obrigações legais exijam que a OptiWisers o faça.

O arquivo de documentos (por exemplo, certificados de qualificação ou certificação) é mantido num ficheiro pessoal, em formato digital ou em papel, armazenado de forma segura (ficheiros digitais protegidos por palavra-passe ou armários trancados).

7. Dados pessoais acedidos pelos funcionários através da relação contratual

É estritamente proibido utilizar para benefício pessoal ou divulgar quaisquer dados pessoais a que um funcionário possa aceder através da sua relação contratual com a OptiWisers.

Se, no exercício das suas funções, um funcionário detetar qualquer incidente de violação de dados, deve contactar imediatamente o Encarregado da Proteção de Dados (DPO), que dará início ao procedimento de notificação adequado.

8. Violação de dados

Quando é detetado um incidente de segurança envolvendo dados pessoais, resultando numa violação da confidencialidade, disponibilidade ou integridade dos dados, é da responsabilidade do DPO avaliar e agir em conformidade.

Se o incidente for suscetível de representar um risco para os direitos e liberdades de uma pessoa, o DPO deve notificar a autoridade de supervisão competente no prazo máximo de 72 horas úteis após ter tomado conhecimento da violação.

A notificação deve incluir:

– A natureza da violação de dados pessoais, incluindo, sempre que possível, as categorias e o número aproximado de titulares de dados afetados, bem como as categorias e o número aproximado de registos de dados pessoais em causa;

– O nome e os dados de contacto do DPO ou de outro ponto de contacto junto do qual possam ser obtidas mais informações;

– Uma descrição das consequências prováveis da violação de dados pessoais;

– Uma descrição das medidas tomadas ou propostas para resolver a violação de dados pessoais, incluindo, quando apropriado, medidas para mitigar os seus possíveis efeitos adversos. Se a violação de dados representar um risco elevado para os indivíduos afetados, estes também devem ser informados, a menos que seja improvável que o risco se materialize novamente. A comunicação, se necessária, deve incluir:

– O nome e os dados de contacto do responsável pela proteção de dados ou outro ponto de contacto junto do qual possam ser obtidas mais informações;

– Uma descrição das consequências prováveis da violação de dados pessoais;

– Uma descrição das medidas tomadas ou propostas para fazer face à violação de dados pessoais, incluindo, se for caso disso, medidas destinadas a atenuar os seus possíveis efeitos adversos.