A carregar...

POLÍTICAS DE PROTEÇÃO DE DADOS PESSOAIS DA FUNDAÇÃO ORIENTE

POLÍTICAS DE PROTEÇÃO DE DADOS PESSOAIS DA FUNDAÇÃO ORIENTE

 I. Objetivo da política de privacidade
No decorrer da sua atividade a Fundação Oriente recolhe e processa dados pessoais de vários titulares, nomeadamente clientes, colaboradores, candidatos a colaboradores, fornecedores, entre outros.
A presente Política de Privacidade (doravante política) descreve as orientações e princípios adotados pela Fundação Oriente para assegurar a proteção dos dados pessoais dos titulares, estabelecendo diretrizes relativas aos direitos dos titulares e ao tratamento e livre circulação dos dados pessoais.
Este documento apresenta orientações para agir com integridade e em conformidade com os requisitos regulatórios no âmbito da proteção dos dados, devendo ser respeitado por todos os colaboradores da Fundação Oriente.
A Fundação Oriente preocupa-se em facultar aos seus colaboradores formação no âmbito da privacidade adequada às suas funções. Este facto não desresponsabiliza que todos os colaboradores tenham conhecimento desta Política de Privacidade e a compreendam. Pedidos de esclarecimento sobre a Política de Privacidade ou eventuais preocupações deverão ser remetidos aos responsáveis pela privacidade da Fundação Oriente, utilizando os canais definidos para o efeito apresentados na secção XVIII. Contactos.

II. Âmbito e alterações
A Política de Privacidade da Fundação Oriente abrange todo e qualquer tratamento de dados pessoais e aplica-se a todos os sectores da Fundação Oriente.
A Fundação Oriente reserva o direito de alterar esta política quando se verificar a necessidade para tal. Esta política está sujeita a uma revisão anual com o objetivo de garantir o alinhamento com as leis, regulamentos e boas práticas de negócio aplicáveis. Alterações a esta política serão feitas em coordenação com o Data Protection Officer (DPO) e aprovadas pelo Conselho de Administração da Fundação Oriente. Em caso de alteração da política, os titulares de dados serão informados.
A versão atual desta política está disponível no site da Fundação Oriente, através do link: http://www.museudooriente.pt/3270/politicas-de-protecao-de-dados-pessoais-da-fundacao-oriente.htm

III. Aplicação de leis nacionais
A Política de Privacidade da Fundação Oriente rege-se pelos princípios de proteção de dados enunciados no Regulamento Geral sobre a Proteção de Dados (doravante RGPD ou Regulamento), 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
O RGPD tem como objetivo principal assegurar o respeito pelo direito fundamental que cada pessoa tem em decidir sobre a utilização dos seus dados pessoais. O RGPD abrange todas as organizações que operem na União Europeia, estando previsto que a lei nacional de cada país tome precedência sobre este em caso de conflito, ou em situações em que os requisitos definidos na lei nacional sejam mais rigorosos.
A Fundação Oriente é responsável por garantir a conformidade com esta política e com as leis em vigor. Na eventualidade de ser detetado qualquer conflito entre o conteúdo desta política e alguma lei ou diretiva, o DPO da Fundação Oriente deve ser imediatamente informado.
O Regulamento pode ser consultado em:
Política de Privacidade – versão draft Data Protection 360º

IV. Estrutura de governo para a privacidade

Com o objetivo de garantir uma adequada coordenação das equipas e gestão dos temas relacionados com a proteção de dados na organização, a Fundação Oriente definiu uma estrutura de governo para a privacidade.
De seguida, apresentam-se os principais órgãos de gestão que constituem a estrutura de governo para a privacidade, bem como as respetivas funções e responsabilidades que estes assumem.

Data Protection Officer (DPO)
Devido à sua atividade como controlador de tratamentos de dados pessoais em grande escala, a Fundação Oriente nomeou dois responsáveis pela proteção de dados (ou Data Protection Officer – DPO). As funções do DPO passam por informar e aconselhar em matérias regulatórias, controlar a conformidade da Fundação Oriente com os requisitos regulatórios aplicáveis no contexto da proteção dos dados, cooperar e comunicar com a autoridade de controlo, prestar aconselhamento no que respeita à avaliação de impacto sobre a privacidade dos dados e controlar a realização da mesma. O DPO tem também em devida consideração os riscos associados às operações de tratamento, tendo em conta a natureza, âmbito, contexto e as finalidades do tratamento.
O DPO é envolvido, de forma adequada e em tempo útil, em todas as questões relacionadas com a proteção de dados pessoais. Para o correto exercício das suas funções, o DPO tem acesso aos recursos necessários à execução das suas funções. O DPO reporta diretamente ao Conselho de Administração da Fundação Oriente.
A nível interno, o DPO é auxiliado nas suas funções pelos colaboradores nomeados para a estrutura de governo da privacidade que fazem parte das várias áreas orgânicas da Fundação Oriente. O DPO responsabiliza-se também pela revisão e monitorização da política de privacidade e dos processos nela previstos. Caso ocorra algum incidente de privacidade na Fundação Oriente, o DPO deverá ser informado imediatamente.
O DPO está também ao dispor dos titulares cujos dados pessoais estão sujeitos a tratamento sob a responsabilidade da Fundação Oriente. Estes podem recorrer ao DPO para colocar questões relacionadas com o tratamento de dados ou matérias de privacidade na Fundação Oriente, bem como pedir outras informações ou submeter reclamações. O DPO tem o dever de assegurar a confidencialidade no tratamento e execução de pedidos e interações com os titulares dos dados.
A Fundação Oriente assegura a independência do DPO, permitindo que este exerça as suas funções sem receber instruções. O DPO só poderá ser responsabilizado nos termos das normas do direito de trabalho, se for um trabalhador da Fundação Oriente, ou se tiver agido por dolo ou negligência grosseira, caso se trate de um prestador de serviços.
Os contactos do DPO são apresentados na secção XVIII. Contactos.
 
V. Direitos do titular de dados
A Fundação Oriente, em conformidade com os requisitos regulatórios, garante que os titulares dos dados usufruem de um conjunto de direitos relativos à forma como os seus dados são recolhidos, processados e protegidos.
Antes de dar resposta aos pedidos, a Fundação Oriente preocupa-se em garantir a segurança dos dados, solicitando a autenticação do titular dos dados. Neste sentido, sempre que necessário, poderá ser solicitada uma prova de identidade ao titular. Na impossibilidade de identificar o titular dos dados, a Fundação Oriente reserva o direito de não responder a pedidos de invocação destes direitos, comunicando esta situação ao titular dos dados.
Quando o titular dos dados é menor de idade, os seus direitos podem ser invocados pelos titulares das responsabilidades parentais da criança, salvo exceções contempladas nos requisitos regulatórios.
A Fundação Oriente assegura um período de resposta inferior a um mês, salvo em casos excecionais para os quais, pela complexidade do pedido ou o número de pedidos realizados, seja definido um período extensível até 2 meses. Caso o prazo seja prorrogado, a Fundação Oriente comunicará ao titular dos dados, num prazo máximo de um mês após a data de receção do pedido, os motivos do atraso na resposta ao pedido.
A Fundação Oriente procurará responder a todos os pedidos, sendo todos os pedidos alvo de análise para verificar se a sua satisfação se encontra em conformidade com os requisitos regulatórios. Sempre que exista um enquadramento legal que previna o titular dos dados de invocar certos direitos, a Fundação Oriente reserva o direito de não responder ao pedido comunicando ao titular dos dados, num prazo máximo de um mês a contar da data de receção do pedido, os motivos pelos quais o seu pedido não será satisfeito e da possibilidade de apresentar reclamação a uma autoridade de controlo e intentar ação judicial. A Fundação Oriente reserva igual direito quando os pedidos apresentados sejam manifestamente infundados ou excessivos, podendo exigir o pagamento de uma taxa equivalente aos custos administrativos incorridos na resposta aos pedidos.
De seguida são enunciados os direitos dos titulares, dando nota das suas particularidades e dos meios disponibilizados pela Fundação Oriente para que os titulares possam invocar esses direitos.
Os canais para a invocação e exercício de cada um dos direitos estão definidos na secção XVIII. Contactos do presente documento.

a. Direito a uma comunicação transparente
A Fundação Oriente informa o titular dos dados, de forma clara e transparente, sobre o tratamento dos seus dados pessoais, comunicando-lhe aquando da recolha dos dados pessoais a seguinte informação:
  • As finalidades do tratamento a que os dados pessoais se destinam;
  • Quais os fundamentos para o tratamento (interesses legítimos da Fundação Oriente, obrigação legal ou contratual) caso não exista consentimento explícito por parte do titular, bem como as eventuais consequências de não fornecer esses dados;
  • As categorias dos destinatários dos dados pessoais, se aplicável;
  • Se os dados pessoais são transmitidos para um país terceiro ou uma organização internacional;
  • O prazo de conservação dos dados pessoais ou, se não for possível, os critérios usados para definir esse prazo; A existência de tomadas de decisão automatizadas, se aplicável;
  • Os seus direitos enquanto titular dos dados (apresentados nesta secção), que inclui o direito de apresentar reclamação a uma autoridade de controlo;
  • O contacto da Fundação Oriente e o contacto do DPO.

Caso os dados não sejam recolhidos junto do titular, e este não tenha tido informação sobre a recolha, a Fundação Oriente assegura medidas que permitam, num prazo máximo de um mês após a obtenção dos dados pessoais, comunicar ao titular os pontos acima enunciados, complementando com a seguinte informação:
  • A origem dos dados pessoais;
  • A categoria dos dados que foram recolhidos.

A Fundação Oriente compromete-se a comunicar ao titular dos dados sempre que tenha intenção de utilizar os seus dados para outras finalidades que não as previamente comunicadas.

b. Direito de acesso
A Fundação Oriente assegura a existência de meios que permitam ao titular dos dados ter acesso aos dados pessoais que a entidade retenha sobre ele e às seguintes informações enunciadas na seção a. Direito a uma comunicação transparente.
Se o titular dos dados o solicitar, a Fundação Oriente enviará uma cópia dos seus dados pessoais em fase de tratamento, em formato eletrónico. Caso sejam solicitadas outras cópias, a Fundação Oriente reserva o direito de poder exigir o pagamento de uma taxa equivalente aos custos administrativos incorridos para satisfazer o pedido.
Se a informação solicitada pelo titular prejudicar ou comprometer os direitos e as liberdades de terceiros, a Fundação Oriente, em conformidade com os requisitos regulatórios, não dará seguimento ao pedido de acesso.

c. Direito de retificação
A Fundação Oriente assegura a existência de meios que permitam ao titular dos dados retificar os seus dados pessoais, caso estes estejam incorretos, ou completá-los, caso se encontrem incompletos.

d. Direito ao esquecimento
A Fundação Oriente assegura a existência de meios que permitam ao titular dos dados solicitar o “esquecimento” dos seus dados pessoais. Os pedidos rececionados serão analisados e, se forem considerados válidos à luz dos requisitos regulatórios, a Fundação Oriente compromete-se a “esquecer” os dados num prazo máximo de um mês. Se os pedidos realizados não forem considerados válidos, a Fundação Oriente não os processará e comunicará ao titular dos dados os motivos associados a essa decisão.

e. Direito à objeção/oposição
A Fundação Oriente assegura a existência de meios que permitam ao titular dos dados opor-se a determinados tratamentos de dados pessoais para determinadas finalidades, sem prejuízo de diretivas ou leis em vigor. Se os pedidos realizados não forem considerados válidos, a Fundação Oriente não os processará e comunicará ao titular dos dados os motivos associados a essa decisão.

f. Limitação do tratamento
A Fundação Oriente assegura a existência de meios que permitam ao titular dos dados solicitar a limitação do tratamento dos seus dados pessoais.
O titular pode solicitar a limitação do tratamento dos seus dados por tempo indeterminado, quando pretender suspender o tratamento, mas conservar os seus dados. Esta situação pode verificar-se quando:

  • O titular conteste a exatidão dos dados, sendo o tratamento limitado durante um período de tempo que permita à Fundação Oriente verificar a exatidão dos mesmos, ou
  • O titular aguarda a resposta a um pedido de oposição ao tratamento.

Quando um tratamento é limitado, os dados pessoais só serão novamente tratados se o titular der consentimento, salvo tratamentos específicos contemplados na lei. A Fundação Oriente garante que o titular que solicitou a limitação dos seus dados é informado antes de ser anulada a limitação ao referido tratamento.
A Fundação Oriente reserva o direito de limitar o tratamento de dados dos titulares quando não necessite deste, comprometendo-se a conservar os dados pelo período de retenção pré-estabelecido. A Fundação Oriente garante que o titular que solicitou a limitação dos seus dados é informado antes da sua anulação.

g. Consentimento e revogação de consentimento
A Fundação Oriente procura recolher o consentimento do titular para recolher e tratar os seus dados para as diversas finalidades, exceto nas situações em que o tratamento se enquadre no âmbito de uma prestação de serviço ou execução de contrato ou em que existam requisitos legais que não obriguem à recolha deste consentimento.
Uma destas situações é visível quando existe interesse legítimo da Fundação Oriente, quando esse tratamento é necessário para que a Fundação Oriente desempenhe a sua atividade e o tratamento não coloca em causa os interesses dos titulares ou os seus direitos e liberdades fundamentais. Estas situações incluem, entre outras, a recolha de:
  • Morada e contacto telefónico para efeito de prestação de serviço ao domicílio;
  • Número de identificação fiscal para emissão de fatura.

A Fundação Oriente garante ao titular dos dados o direito de retirar consentimento em qualquer altura, sem comprometer a licitude do tratamento efetuado com base no consentimento previamente dado. Antes de dar o seu consentimento, a Fundação Oriente informa o titular dos dados deste facto. O consentimento deve ser tão fácil de retirar quanto de dar.
Nas situações em que os dados pessoais alvo de tratamento são de um titular menor, o consentimento é solicitado aos titulares das responsabilidades parentais da criança.

h. Direito à portabilidade
A Fundação Oriente assegura a existência de meios que permitam ao titular dos dados requerer que uma cópia dos seus dados e que a mesma seja enviada para outra entidade. Estes dados são transmitidos num formato digital e estruturado.
O direito à portabilidade cobre apenas os dados para os quais o titular deu consentimento para serem tratados, dados referentes a um contrato no qual o titular é parte ou se o tratamento for realizado por meios automatizados.
A Fundação Oriente reserva o direito de recusar pedidos de portabilidade sempre que estes prejudiquem os direitos e as liberdades de terceiros, ou entrem em conflito com algum requisito legal.

i. Tomada de decisão automática
A Fundação Oriente assegura a existência de meios que permitam ao titular dos dados solicitar o direito de não ser sujeito a nenhuma tomada de decisão exclusivamente com base num tratamento automatizado dos seus dados (incluindo a definição de perfis) que produza efeitos na sua esfera jurídica ou que o afete significativamente de forma similar. Estes pedidos são alvo de avaliação com intuito de verificar a sua conformidade com os requisitos regulatórios.
Atualmente a Fundação Oriente não tem processos de tomada de decisão automática. Contudo, compromete-se em respeitar o ponto acima, informando e recolhendo o consentimento explícito dos titulares dos dados caso tenha intenção de proceder a este tipo de tratamento.

VI. Princípios aplicáveis ao tratamento de dados

O tratamento de dados pessoais na Fundação Oriente rege-se pelos seguintes princípios:

a. Lícito, leal e transparente
Os dados pessoais são obtidos e processados de forma lícita e transparente, comunicando ao titular quais os dados recolhidos, as finalidades com que os dados são tratados, os destinatários a quem estes serão comunicados e qual o seu prazo de conservação.

b. Finalidades determinadas, explícitas e legítimas
Os dados pessoais são recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades.

c. Integridade e confidencialidade dos dados

A segurança dos dados pessoais é garantida através da adoção de medidas que permitem a proteção contra o tratamento não autorizado ou ilícito dos dados, bem como contra a sua perda, destruição ou danificação acidental.

d. Exatidão e atualização dos dados
A exatidão e atualização dos dados é garantida através da disponibilização de canais específicos que permitem ao titular dos dados comunicar eventuais atualizações, bem como medidas de revisão e análise da qualidade dos dados, garantindo que os dados inexatos sejam apagados ou retificados de imediato.

e. Minimização de dados
As operações de recolha de dados são alvo de análise prévia garantindo que apenas são recolhidos os dados pessoais pertinentes e estritamente necessários tendo em conta a finalidade do respetivo tratamento. Neste sentido, muitas das operações de recolha de informação têm por base formulários com campos limitados garantindo que o titular dos dados não comunica mais dados pessoais que os adequados à situação em causa.

f. Conservação dos dados apenas durante o período necessário para os fins a que se destinam
Os dados pessoais são conservados durante um período de tempo pré-definido, designado por período de retenção. Este é definido tendo em consideração o período necessário para a finalidade com que são tratados. Após o período de retenção, os dados pessoais são eliminados ou anonimizados, deixando de ser possível relacionar os dados com o seu titular.

g. Responsabilidade pelos dados
A Fundação Oriente assume a responsabilidade pela recolha e tratamento dos dados pessoais dos titulares, mesmo que o tratamento seja realizado por entidades subcontratadas.

VII. Processos de recolha e tratamento de dados pessoais
O tratamento de dados pessoais na Fundação Oriente é realizado quando se verifica uma das seguintes condições:
  • o tratamento é realizado no âmbito de uma prestação de serviço ou execução de um contrato, ou quando existe um interesse legítimo onde se demonstre que os direitos e liberdades do titular dos dados estão assegurados;
  • o tratamento é realizado no âmbito de um enquadramento legal, decorrente de requisitos regulatórios conforme previsto no Regulamento.
  • o tratamento é realizado para comunicar qualquer iniciativa promocional ou publicitária.


No caso de não se verificar nenhuma das condições acima mencionadas, o tratamento dos dados pessoais deverá ser realizado apenas após a obtenção do consentimento explícito do titular dos dados para a finalidade expressamente comunicada ao mesmo.
São descritos abaixo os vários tratamentos de dados pessoais, respetivas finalidades (quando necessário), tipos de dados e métodos de recolha efetuados de forma corrente na Fundação Oriente, e alinhados com os processos e atividades reconhecidos pela entidade. A tipologia dos dados encontra-se descrita na secção XVII. Tipologia de Dados Pessoais.

a. Dados de clientes
No âmbito da prestação de serviços, a organização recolhe e processa dados pessoais dos seus clientes para diversas finalidades, que abaixo se descrevem.

1. Atendimento em bilheteira

A prestação de serviços em bilheteira implica a recolha de dados pessoais através de formulários específicos para efeitos de inscrição em atividades/workshops, faturação, organização de eventos (ex. aniversários, eventos do serviço educativo, outros), candidatura a bolsas e subscrição de newsletters, sendo o cliente a facultar os seus dados de forma voluntária para a finalidade solicitada.


2. Solicitação de serviços através do website
Os clientes poderão solicitar os pedidos acima descritos através organização do website, preenchendo os mesmos campos de formulário online.

3. Faturação
Independentemente do canal de comunicação utilizado, na solicitação de serviços os clientes poderão voluntariamente dar os seus dados pessoais para emissão da fatura, nomeadamente o número de identificação fiscal (dado obrigatório para emitir a fatura), a morada e o nome (dados opcionais).

4. Marketing e publicidade
Com intuito de proporcionar serviços adaptados aos seus clientes, a organização realiza um conjunto de atividades de marketing e publicidade personalizadas baseadas nos registos de interações com o cliente, inclusive dados pessoais. São exemplos destes tratamentos:

  • O envio da newsletter para o endereço de correio eletrónico indicado pelo cliente;
  • O envio de e-cards para o endereço de correio eletrónico indicado pelo cliente;

Estes tipos de tratamentos são cuidadosamente analisados e é solicitado o consentimento do cliente sempre que aplicável. Os direitos dos titulares são assegurados, inclusive o direito de revogar o consentimento.

5. Tratamento estatístico
Com o objetivo de monitorizar o seu desempenho comercial e melhorar a qualidade dos seus bens e serviços, a organização realiza análises estatísticas das suas operações. Os dados utilizados nestas análises são dados anonimizados, só sendo tratados dados pessoais (ex.os números de telefone e endereços de correio dos clientes) quando existe consentimento dos clientes.

b. Dados de colaboradores e candidatos
Durante a sua atividade, a organização recolhe e processa dados pessoais de colaboradores e candidatos, com diversas finalidades. A recolha e tratamento desta informação possui enquadramento legal e é realizada de acordo os requisitos regulatórios e legais em vigor, salvo exceções para as quais é solicitado o consentimento destes titulares dos dados. De seguida apresentam-se os tratamentos realizados pela organização neste contexto.

1. Recrutamento
As pessoas singulares que pretendam candidatar-se a cargos na organização (candidatos) efetuam a sua candidatura respondendo a anúncios online para o e-mail geral da Fundação Oriente, enviando o seu CV.
Alguns destes dados podem ser recolhidos através de organizações de trabalho temporário ou organizações que prestam serviços de recrutamento e receção à Fundação Oriente.
No recebimento de candidaturas espontâneas no e-mail geral da Fundação Oriente, estas são tratadas exclusivamente no departamento de Recursos Humanos para a finalidade a que se destinam. Todos os restantes departamentos com acesso aos dados recebidos apagam permanentemente o registo de forma a impossibilitar o acesso futuro. De forma a armazenar os dados pessoais provenientes das candidaturas sem sucesso para oportunidades futuras, é recolhido o consentimento do titular, especificando, pelo menos, o prazo máximo de conservação.

2. Fins profissionais
Para fins de contratação, processamento salarial, formação, medicina e higiene e segurança no trabalho, a organização recolhe um conjunto de dados pessoais sobre os seus colaboradores, nomeadamente, dados de identificação e contacto, dados de saúde, habilitações e experiência profissional e certificados de formação. Estas informações são recolhidas presencialmente, via e-mail ou inseridas pelo colaborador na sua ficha de colaborador no sistema informático da organização.
Dados de identificação e de contactos dos colaboradores podem ser enviados a organizações prestadoras de serviços de consultoria de recursos humanos contratadas pela Fundação Oriente.

  1. i. Contratação
    Para fins de elaboração de contrato de trabalho, a organização recolhe e processa os dados pessoais do colaborador, que os faculta voluntariamente. A utilização dos dados facultados pelo colaborador é feita sempre em contexto profissional, salvo consentimento do titular. Por obrigação legal, a organização retém os dados dos seus colaboradores após o término da ligação profissional.
    Na assinatura do contrato todos os colaboradores assinam um acordo de confidencialidade, comprometendo-se a não divulgar qualquer informação a que tenham acesso durante as suas funções, inclusive dados pessoais de outros titulares.
  2. Processamento salarial
    Os dados pessoais dos colaboradores são processados para fins de processamento salarial, nos quais se incluem os dados relativos à informação bancária. Os colaboradores têm o direito de se objetar ao processamento salarial por via bancária, podendo receber o seu vencimento através de outra opção desde que previamente acordada com a organização.
  3. Dados biométricos
    A organização recolhe e processa dados biométricos dos colaboradores que desempenham funções em instalações, solicitando o seu consentimento e comunicando-lhes a finalidade deste tratamento: controlo de assiduidade para efeitos de processamento salarial.
  4. Formação
    No âmbito da formação ministrada aos seus colaboradores, a organização mantém um dossier técnico-pedagógico em que recolhe, para além da identidade dos formandos, as informações relativas às formações recebidas por estes.
    No âmbito das ações de formação, poderão ser transmitidos os nomes dos colaboradores a entidades prestadoras de serviços de formação contratadas pela organização.
  5. Medicina no trabalho e higiene e segurança
    Em conformidade com os requisitos legais, os colaboradores estão sujeitos a controlos no âmbito da medicina do trabalho e higiene e segurança no trabalho (HST). Neste contexto são recolhidos dados de identificação e de saúde sobre os colaboradores, estando a recolha e tratamento dos dados devidamente enquadrada legalmente.
    Os dados recolhidos são registados em ficha de aptidão médica, podendo ser requisitadas por uma autoridade de supervisão no âmbito de HST. Estas fichas, devido ao caráter sensível dos dados que contêm, apenas estão acessíveis a um conjunto restrito de colaboradores.
    Esta informação poderá ser recolhida e tratada por prestadoras de serviços de medicina no trabalho e higiene e segurança no trabalho contratadas pela organização.
  6. Seguros e apólices
    Na celebração de seguros de saúde e de vida são comunicados, pelos colaboradores beneficiários do seguro os seus dados de identificação, de contacto, situação familiar e de saúde à companhia de seguros. A organização não intervém nos processos de recolha e armazenamento destes dados.
    Na celebração dos restantes seguros (para acidentes de trabalho, responsabilidade civil e ramo automóvel) não são recolhidos dados pessoais dos colaboradores, salvo quando ocorra um sinistro no qual exista um colaborador da organização envolvido. Perante a ocorrência de um sinistro, o colaborador ou a organização comunicam dados de identificação, de contacto e profissionais do colaborador envolvido às entidades necessárias, nomeadamente, corretoras de seguros, organizações de HST, entidades hospitalares ou autoridades públicas.
  7. Atribuição de veículos de trabalho
    A colaboradores aos quais sejam atribuídos veículos de serviço para a execução das suas funções é solicitado um comprovativo da carta de condução do colaborador durante o processo de contratação. A utilização destes veículos deve ser feita primariamente para fins profissionais, estando atribuído um veículo a cada administrador e alguns diretores, e existindo dois veículos da Fundação Oriente utilizados consoante a necessidade dos colaboradores.
  8. Uso de equipamentos informáticos
    A organização concede à administração e ao departamento informático o direito de utilização de equipamentos informáticos. A utilização destes equipamentos, que são propriedade da organização, deve ser feita primariamente para fins profissionais.
    A organização reserva o direito de bloquear o acesso a alguns conteúdos online através da sua rede, sempre que assim o entenda.


VIII. Transmissão de dados pessoais a entidades terceiras
A Fundação Oriente recorre a entidades subcontratadas para a prestação de serviços que podem envolver o tratamento de dados pessoais. A Fundação Oriente mantém a responsabilidade sobre a idoneidade do tratamento dos dados, mesmo quando os tratamentos são realizados por entidades subcontratadas.
Nesta transmissão dos dados pessoais, a Fundação Oriente assegura o cumprimento dos requisitos regulatórios aplicáveis e, se necessário, solicita o consentimento explícito do titular dos dados.
No processo de aquisição destes serviços, a Fundação Oriente verifica se a entidade que pretende subcontratar apresenta um nível de proteção dos dados adequado. Para tal, a Fundação Oriente aplica um conjunto de medidas para que só sejam transmitidos dados a entidades que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas aos tratamentos dos dados pessoais, respeitem os requisitos regulatórios e assegurem a defesa dos direitos e liberdades dos titulares dos dados. Neste sentido, os dados só são transmitidos após a celebração de um contrato no qual esteja presente um conjunto de cláusulas pré-definidas que estabeleçam o objeto e a duração do tratamento, a natureza e finalidade do tratamento, o tipo de dados pessoais e as categorias dos titulares dos dados, e as obrigações e direitos de ambas as entidades.
Nestes contratos é definido que as entidades subcontratadas só podem efetuar única e exclusivamente os tratamentos solicitados pela Fundação Oriente e são impostos requisitos que asseguram o correto tratamento destes dados, de acordo com os princípios enunciados na secção VI – Princípios aplicáveis ao tratamento de dados, bem como a existência de mecanismos necessários à execução dos direitos enunciados na secção V - Direitos do titular de dados.
A Fundação Oriente toma medidas para monitorizar a atividade realizada pela entidade subcontratada.
No caso de a transmissão de dados ser feita por obrigação legal, o procedimento descrito anteriormente não se aplica. Esta transmissão de dados é realizada à luz dos requisitos legais em vigor.

IX. Transferência transfronteiriça de dados

A Fundação Oriente compromete-se a assegurar a segurança e integridade dos dados na transferência transfronteiriça (fora da União Europeia) dos mesmos, garantindo a obtenção do consentimento do titular dos dados para o efeito.

X. Confidencialidade
A Fundação Oriente compromete-se a assegurar a confidencialidade dos dados pessoais recolhidos e processados. O princípio do mínimo acesso é aplicado, garantindo que os colaboradores da Fundação Oriente só têm acesso aos dados necessários para o correto desempenho das suas funções. Para tal, os dados e documentos recolhidos pela Fundação Oriente são inventariados, classificados, processados e monitorizados de acordo com o seu nível de confidencialidade.
A obrigação de confidencialidade dos colaboradores da Fundação Oriente face aos dados recolhidos pela organização é obtida na celebração do contrato de trabalho e mantém-se após cessadas as suas funções na organização. Qualquer recolha, tratamento ou uso não autorizado de dados é estritamente proibido e alvo de processo disciplinar.

XI. Controlo dos sistemas implementados quanto ao cumprimento da legislação aplicável em matéria de proteção de dados
A Fundação Oriente realiza periodicamente auditorias internas nas quais são verificados controlos no âmbito da privacidade dos dados.
Os DPO da Fundação Oriente são responsáveis pela monitorização da aplicação da política de privacidade da Fundação Oriente. Para tal, os resultados de quaisquer controlos/análises/auditorias realizadas no âmbito da privacidade dentro da Fundação Oriente são reportados ao DPO, que articulará eventuais medidas de mitigação em colaboração com a Direção da Fundação Oriente.

XII. Segurança do tratamento
A Fundação Oriente implementa um conjunto de medidas processuais e tecnológicas que visam assegurar a segurança do tratamento dos dados pessoais caso este seja efetuado pela Fundação Oriente ou pelas organizações por si contratadas.
Ao nível da conservação dos dados estão definidos procedimentos e controlos de segurança, quer a nível físico, quer a nível digital, para assegurar a integridade dos dados e controlo de acessos aos mesmos.
Ao nível da segurança dos sistemas de informação, a Fundação Oriente estabelece controlos de segurança a aplicar aos dados armazenados, em particular aos dados pessoais. Os acessos aos dados estão segregados e limitados aos colaboradores estritamente necessários, sendo efetuado o registo e monitorização aos logs de acesso. Sempre que possível são aplicados mecanismos de proteção dos dados como encriptação, anonimização ou pseudonimização dos dados. Estão definidos procedimentos e regras para realização de backups aos sistemas de informação. Estão ainda definidos um plano de continuidade de negócio da Fundação Oriente e respetivo plano de recuperação de desastre que permitem reduzir os riscos de perda ou integridade dos dados. Estes planos são revistos periodicamente e são realizados testes aos mesmos.
A segurança é assegurada em todos os tratamentos realizados aos dados, desde a operação diária ao desenvolvimento de novos produtos, processos, aplicações ou software, sendo aplicado o conceito de privacidade by default. Neste sentido foram definidas medidas de proteção de dados pessoais durante os ciclos de desenvolvimento. Um exemplo, de uma medida adotada passa pela anonimização dos dados necessários aos testes de desenvolvimento de softwares.

XIII. Gestão documental
A Fundação Oriente garante a adoção de princípios e boas práticas para a gestão de documentos que contêm dados pessoais.
Estes princípios devem garantir a segurança e integridade dos dados pessoais durante o seu ciclo de vida dos documentos, desde o momento de recolha/criação, passando pelo registo, partilha, retenção e destruição dos mesmos.

XIV. Incidentes de proteção de dados
A Fundação Oriente estabeleceu processos e procedimentos para identificar e tratar incidentes no âmbito da privacidade dos dados. A Fundação Oriente disponibiliza canais para comunicação de alerta de potenciais incidentes apresentados na seção XVIII. Contactos.
Estes canais devem ser usados pelos titulares dos dados, sejam eles clientes, colaboradores ou outros titulares que se relacionem com a Fundação Oriente. Todos os colaboradores têm a responsabilidade de informar o DPO quando deparados com a suspeita de ocorrência de um incidente, sendo dada a possibilidade de o fazer de modo anónimo.
O DPO coordena as interações com as áreas de negócio, os titulares dos dados e a autoridade de controlo, garantindo que as atividades de resolução de potenciais incidentes sejam realizadas nos prazos e de acordo com os requisitos regulatórios.
Quando se verifica a ocorrência de um incidente que represente um risco para os titulares dos dados afetados, a Fundação Oriente aciona de imediato um conjunto de medidas de mitigação do risco e comunica o incidente à autoridade de controlo num prazo máximo de 72 horas após a sua identificação. Caso o risco para os titulares dos dados afetados seja considerado elevado, a Fundação Oriente também assume o compromisso de lhes comunicar sem demora injustificada a ocorrência do incidente, a descrição das potenciais consequências, as medidas adotadas (ou a adotar) para reparar a situação e atenuar os seus eventuais efeitos negativos, bem como o nome e os contactos do DPO.

XV. Responsabilidades e sanções
A Fundação Oriente é responsável pelo tratamento de todos os dados recolhidos e tratados por si e pelos tratamentos realizados por outras entidades a pedido da Fundação Oriente.
A Fundação Oriente está sujeita a ações inspetivas por parte da autoridade de controlo, a Comissão Nacional de Proteção de Dados. O tratamento ilícito de dados pessoais ou outras violações das leis de proteção de dados são passíveis de ação legal contra a Fundação Oriente. Colaboradores que sejam responsabilizados por violações da proteção de dados estão sujeitos a sanções disciplinares de acordo com a lei do trabalho em vigor.

XVI. Definições

  • Anonimização: alteração aplicada ao registo de dados pessoais que torne impossível (ou praticamente impossível) associar os dados a uma pessoa.
  • Consentimento: acordo válido legalmente em que uma pessoa autoriza o tratamento dos seus dados pessoais para determinada finalidade.
  • Controlador dos dados: entidade que recolhe, mantém e/ou processa dados pessoais. No contexto desta política, são descritas as situações em que a Fundação Oriente é controladora dos dados.
  • Dados pessoais: qualquer dado que permita a identificação, direta ou indireta, de uma pessoa.
  • Dados sensíveis: a categoria de dados sensíveis abrange dados relativos a: origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos que permitam identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual.
  • Incidente ou violação: situação em que haja uma suspeita que dados pessoais tenham sido ilegalmente obtidos, modificados, copiados, transmitidos ou utilizados.
  • Interesse legítimo: o interesse legítimo ocorre em situações em que o titular dos dados requeira um serviço ou ação por parte da Fundação Oriente, cuja execução depende estritamente da recolha e tratamento de dados pessoais (ex.: a recolha da morada para a prestação de um serviço ao domicílio, ou a recolha de identificação bancária para efeitos de tratamento salarial).
  • Terceiros/entidades terceiras: entidades externas à Fundação Oriente a quem a Fundação Oriente transmite dados pessoais por necessidade de negócio.
  • Titular dos dados: para efeito desta política, um titular dos dados é qualquer pessoa cujos dados sejam processados.
  • Transmissão de dados: a transmissão ocorre sempre que dados pessoais em posse da Fundação Oriente sejam passados a terceiros.
  • Transmissão internacional: a transmissão de dados é considerada internacional quando o destinatário se encontre fora do espaço onde é aplicável o RGPD.


XVII. Tipologia de Dados Pessoais

  • Dados de Identificação Pessoal: primeiro nome, nome do meio, último nome, data nascimento, idade, género, número de Cartão do Cidadão, altura, peso, estado civil, nacionalidade, fotografia, dados biométricos, dados complementares.
  • Dados de Diretório Pessoal: número do agregado familiar, número de filhos, morada (principal), morada (secundária), número de telefone fixo, número de telefone (telemóvel), e-mail, número de fax, dados complementares.
  • Outros Identificadores Emitidos pelo Governo: identificadores mídia social, NIF, NISS, número utente de saúde, dados complementares.
  • Dados Especiais: número de carta de condução, origem racial ou étnica, crenças, associação sindical, orientação sexual, dados complementares.
  • Outros Dados Pessoais Sensíveis: opiniões políticas, credências de acesso, sanções criminais, tendências de consumos, IBAN, geolocalização, número de contrato, número de série de contador, dados complementares.
  • Dados de Saúde: Número de seguro de saúde, identificadores de dispositivos e número de série, tratamento médico, diagnóstico médico, histórico médico, pedidos médicos, número de receita médica, outros dados ou atos médicos, testes genéticos, histórico de saúde, dados complementares.


XVIII. Contactos
Contatos do DPO e para invocação dos direitos dos titulares:

  • DPO@foriente.pt  
  • Edifício Pedro Álvares Cabral, Doca de Alcântara Norte, 1350-352 Lisboa
  • 213585200