TRATAMENTO DE DADOS PESSOAIS
Este Anexo de Tratamento de Dados Pessoais (“Anexo”) é parte do Termo e Condições Gerais de Uso da OITCHAU (“Termo de Uso”) e regula as obrigações da OITCHAU e do CLIENTE, PESSOA FÍSICA ou JURÍDICA, quanto ao tratamento de dados pessoais do Usuário.
1. DEFINIÇÕES
1.1 Para exata compreensão e interpretação dos direitos e obrigações previstos no presente Termo, serão adotadas as seguintes definições em adição às definições do Termo Geral:
- CONTROLADOR: Pessoa física ou jurídica, prestadora de serviços de registro de ponto eletrônico, que contrata a tecnologia da OITCHAU e a quem competem as decisões referentes ao tratamento de dados pessoais dos Usuários.
- OPERADOR: A OITCHAU, que realiza o tratamento de dados pessoais dos Usuários colaboradores em nome do controlador.
- DADOS PESSOAIS: Dados relacionados ao Usuário, pessoa natural, identificada ou identificável, e tratados pela OITCHAU em nome do CLIENTE ou em conexão com o Termo de Uso.
- INCIDENTE DE SEGURANÇA OU VIOLAÇÃO DE DADOS PESSOAIS: Qualquer situação, acidental, intencional ou ilícita, que provoque, em relação aos Dados Pessoais, a destruição, perda, alteração, comunicação, difusão ou acesso a Terceiros.
- LGPD: Lei nº 13.709/2018 – Lei Geral de Proteção de Dados e suas alterações posteriores.
- SERVIÇOS: Plataforma OITCHAU, que trata dados pessoais de Usuários em nome do CLIENTE, conforme previsto no Termo de Uso e na Política de Privacidade.
- Os termos “Bases Legais”, “Titular de Dados Pessoais”, “Tratamento” e “Autoridade Nacional de Proteção de Dados” devem ser interpretados conforme previsto na LGPD.
2. TRATAMENTO DE DADOS PESSOAIS
2.1. A OITCHAU e o CLIENTE deverão cumprir todas as leis e regulamentos que versem sobre proteção de dados pessoais, vigentes no Brasil, incluindo, mas não se limitando ao Marco Civil da Internet e a Lei Geral de Proteção de Dados.
2.2. A Operadora deverá tratar apenas os Dados Pessoais estritamente necessários para a prestação dos SERVIÇOS e de acordo com as finalidades estabelecidas em sua Política de Privacidade, evitando tratar quaisquer Dados Pessoais de Usuários que não tenham sido previamente autorizados pelo Controlador.
3. CONTROLE DE ACESSO
3.1. O Operador deverá tomar todas as medidas necessárias para garantir a confiabilidade de qualquer funcionário que possa acessar os Dados Pessoais, garantindo que o acesso seja estritamente necessário e limitado àqueles indivíduos que precisem acessar os Dados Pessoais para prestação dos Serviços, conforme disposição dos Termos de Uso, e para cumprimento de obrigações legais, garantindo que todos esses funcionários estejam sujeitos a Termos de Confidencialidade.
4. SEGURANÇA
4.1. O Operador deverá implementar medidas de segurança, técnicas e administrativas aptas a proteger os Dados Pessoais de acessos não autorizados ou de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
4.2. Ao avaliar o nível apropriado de segurança, o Operador deverá levar em conta a natureza, o escopo, o contexto, as finalidades e os riscos apresentados pelo Tratamento dos Dados Pessoais, em particular o risco de uma violação de Dados Pessoais.
5. CONTRATAÇÃO DE SUBOPERADOR
5.1. O Operador não deverá celebrar contrato de compartilhamento de Dados Pessoais nem contratar suboperadores ou divulgar quaisquer Dados Pessoais para terceiros que não estejam ligados direta ou indiretamente às finalidades já descritas em sua Política de Privacidade ou conforme autorização prévia do Controlador.
6. INCIDENTES COM DADOS PESSOAIS
6.1. O Operador notificará o Controlador, sem demora injustificada, assim que tomar conhecimento de um Incidente de Segurança com Dados Pessoais relacionado aos Serviços prestados ao Controlador, fornecendo ao Controlador informações suficientes para permitir que este cumpra com qualquer obrigação de relatar ou informar os Titulares dos Dados Pessoais (os Usuários colaboradores) da violação de dados, de acordo com a LGPD.
6.2. O Operador deverá cooperar com o Controlador e tomar medidas razoáveis, conforme as instruções do Controlador, para ajudar na investigação, mitigação e correção de eventuais violações de Dados Pessoais.
7. RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS
7.1. O Controlador deverá solicitar ao Operador as informações necessárias para elaboração do Relatório de Impacto à Proteção de Dados Pessoais sempre que requisitado pela Autoridade Nacional de Proteção de Dados ou outras Autoridades Fiscalizadoras competentes.
7.2. O Operador deverá cooperar com o Controlador na elaboração e apresentação de quaisquer Relatório de Impacto à Proteção de Dados que tiver exclusiva relação com o Tratamento de Dados Pessoais objeto dos Serviços.
8. DIREITOS DOS TITULARES
8.1. O Controlador deverá ter canal de comunicação com os Usuário para garantir a resposta ao pedido de exercício dos direitos dos titulares de Dados Pessoais e, para tanto, deverá notificar o Operador para que tome as medidas necessárias ao seu cumprimento, conforme orientação do Controlador e de acordo com a determinação da LGPD.
8.2. O Operador deverá auxiliar o Controlador na implementação de procedimentos técnicos e organizacionais, razoáveis, para o cumprimento das obrigações do Controlador na resposta das solicitações para exercício de direitos pelos Titulares de Dados Pessoais, de acordo com a determinação da LGPD.
8.3. O Operador deverá notificar o Controlador caso receba uma solicitação de um Usuário para o exercício de seus direitos previstos na Lei Geral de Proteção de Dados, cabendo ao Controlador avaliar a pertinência do pedido e dar as instruções ao Operador para o seu cumprimento.
8.4. O Operador não deverá responder solicitação de exercício de direitos pelos Usuário, exceto em atendimento a notificação e instruções do Controlador ou conforme obrigações legais às quais o Operador esteja sujeito. Nesse caso, o Operador, na medida do permitido pelas Leis Aplicáveis, informará o Controlador sobre esse requisito legal antes de responder a solicitação do Usuário.
9. ELIMINAÇÃO DOS DADOS PESSOAIS
9.1. Ao término da prestação dos Serviços, o Operador deverá interromper o tratamento de Dados Pessoais dos Usuários ou por eles inseridos na plataforma no prazo de até 60 (sessenta) dias, a contar da data do encerramento da assinatura do Controlador, e eliminar todos os Dados Pessoais e cópias porventura existentes.
9.2. O Operador notificará o Controlador sobre o cumprimento desta obrigação.
9.3. Caso o Operador precise manter os Dados Pessoais para o cumprimento de quaisquer obrigação legal ou regulatória, deverá informar ao Controlador as razões pelas quais manterá os referidos dados.
10. TRANSFERÊNCIA INTERNACIONAL
10.1. O Operador só poderá transferir os Dados Pessoais para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD, e apenas quando tais transferências forem estritamente necessárias para a execução dos Termos de Uso e prestação dos Serviços, conforme previamente informado na Política de Privacidade do Operador.
11. TRANSPARÊNCIA
11.1 O Controlador e o Operador deverão adotar medidas para garantia da transparência no tratamento dos Dados Pessoais, informando quais dados são coletados, como são utilizados, com quem são compartilhados, onde são armazenados e as medidas de segurança empregadas conforme disposição das normas e regulamentos de proteção de dados vigentes.
11.2 O Controlador deverá disponibilizar informações em suas políticas de privacidade sobre a utilização de Dados Pessoais pelo Operador.
12. AVISOS E NOTIFICAÇÕES
12.1 Todos os avisos e comunicações fornecidos conforme disposições deste Anexo deverão ser por escrito e poderão ser entregues pessoalmente, enviados por correio ou através de comunicações eletrônicas, como e-mail, mediante comprovação.