Política de Privacidade Dados Pessoais
1. Enquadramento
A presente Política de Privacidade descreve um conjunto de orientações, regras e princípios que são observados pela Edenred Portugal, S.A. (adiante “Edenred”) para assegurar e garantir as novas obrigações em matéria de proteção de dados, bem como a proteção dos direitos dos titulares dos dados.
A Edenred obriga-se ao cumprimento da sua Política de Proteção de Dados Pessoais em conformidade com as novas regras introduzidas pelo Regulamento Geral de Proteção de Dados, aprovado pelo Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de Abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento dos dados pessoais e à livre circulação desses dados (adiante abreviadamente designado por ‘’Regulamento Geral de Proteção de Dados’’ ou ‘’RGPD’’) e de demais legislação aplicável em matéria de proteção de dados.
Para o exercício e desenvolvimento da sua atividade, a Edenred necessita de realizar um elevado número de operações de tratamento de dados pessoais, nomeadamente, a recolha, a consulta, a transmissão ou a atualização desses mesmos dados. Este tratamento de dados pessoais diz respeito a mais do que uma categoria de titulares de dados pessoais, incluindo-se aqui, os nossos colaboradores, fornecedores, clientes e potenciais clientes e utilizadores das nossas Soluções, entre eles os que nos contactam a solicitar os nossos serviços, para efeitos, nomeadamente, de recolherem informações relativas às condições de fornecimento dos nossos produtos e serviços.
É neste sentido que a Edenred procede regularmente a uma profunda análise de todos os seus procedimentos internos, com vista a garantir a conformidade e o cumprimento das obrigações da legislação aplicável, por forma a fazer face aos riscos mais relevantes.
A Edenred procura garantir que os dados pessoais dos seus colaboradores, clientes, potenciais clientes, fornecedores ou prestadores de serviços, bem como de quaisquer outros titulares de dados pessoais cujos dados pessoais a Edenred trate no exercício da sua atividade, sejam tratados de acordo com as normas regulamentares e legais em vigor e conservados em segurança.
2. Âmbito
A presente Política abrange o tratamento de várias categorias de dados pessoais, realizada pela Edenred, no âmbito do exercício da sua atividade enquanto entidade Responsável (“Controller”).
O tratamento de todas as categorias de dados pessoais será realizado tendo em conta um nível elevado de proteção pela Edenred. Todas as categorias serão igualmente referidas como “Dados Pessoais” na presente Política, salvo indicação em contrário.
3. Quem realiza operações de tratamento relativamente aos dados pessoais
No decurso da sua atividade, a Edenred pode adquirir, tratar e armazenar Dados Pessoais.
De acordo com a legislação europeia e portuguesa em matéria de proteção de dados, a Edenred tem acesso a estes dados de forma lícita, leal e transparente.
A Edenred garante que a sua equipa tem conhecimento suficiente da legislação e das práticas de proteção de dados, a fim de poder antecipar e identificar quaisquer questões respeitantes a esta matéria, que possam eventualmente surgir.
A Edenred deve assegurar de que o Titular dos Dados é devidamente informado, de que forma pode garantir os seus direitos, liberdades e garantias.
A Edenred pode partilhar Dados Pessoais dos Titulares dos Dados com outros Subcontratantes, desde que tal seja necessário para a prestação dos seus serviços; no entanto, a Edenred garante que o eventual acesso dos subcontratantes aos Dados Pessoais partilhados pela Edenred está devidamente previsto e regulado, no âmbito das obrigações da Edenred, no contrato celebrado com os seus Subcontratantes.
4. Os dados pessoais poderão ser partilhados com as seguintes entidades:
- Prestadores de serviços de suporte informático, técnico e operacional;
- Entidades do Grupo;
- Entidades a quem a Edenred preste serviços;
- Órgãos Judiciais, órgãos de Polícia Criminal e Autoridades Administrativas. V. Finalidades e fundamentos de licitude das operações de Tratamento:
A Edenred tratará os dados pessoais na estrita medida em que seja necessário à execução do contrato de prestação de serviços em causa.
5. Período de Retenção dos Dados
A Edenred conserva os Dados Pessoais durante o período estritamente necessário e suficiente para as finalidades que motivaram o tratamento, variando o período de tempo de armazenamento de dados de acordo com a finalidade para a qual a informação é tratada e de acordo com as normas legais que obrigam à sua retenção, findo o qual os mesmos serão eliminados, mediante as garantias técnicas e funcionais adequadas.
6. Direito de Acesso e Exercício de Direitos
Por regra, o titular de dados pessoais tem os seguintes direitos, em matéria de proteção de dados: direito de acesso, direito de retificação, direito de apagamento, direito de limitação, direito de portabilidade, direito de oposição e direito de não ficar sujeito a decisões automatizadas. Nos casos em que tenha prestado consentimento para determinado tratamento dos seus dados pessoais, poderá retirá-lo a todo o tempo. Os Titulares dos Dados podem exercer os direitos conferidos no âmbito da legislação de proteção de dados aplicáveis, diretamente junto do Responsável pelo Tratamento. Caso necessite, o titular de dados pessoais poderá, ainda, apresentar reclamação junto da Comissão Nacional de Proteção de Dados (CNPD).
Quando disser respeito a um dado pessoal cuja responsabilidade pelo tratamento seja do Cliente, a Edenred informará este de imediato, sempre que receba uma solicitação diretamente por parte de um Titular de Dados, para exercício dos seus direitos e tomará as devidas medidas técnicas e organizativas para o cumprimento das obrigações do Responsável na resposta a tal solicitação. Em caso algum a Edenred deverá responder a tal solicitação sem o consentimento prévio e por escrito do Cliente.
7. Categorias de Dados Pessoais
- Dados Pessoais dos Colaboradores
A Edenred procede à recolha dos dados pessoais dos colaboradores no momento pré-contratual com vista à celebração dos contratos de trabalho respetivos e informa o colaborador sobre o tipo e finalidade do tratamento a efetuar no âmbito da relação laboral que se estabelece; a Edenred tem legitimidade para proceder ao tratamento dos dados pessoais dos seus colaboradores, enquanto Responsável pelo Tratamento, nos termos e limites do previsto nos artigos 17º a 22º do Código do Trabalho, aprovado pela Lei 7/2009, de 12 de fevereiro e demais legislação nacional que venha a ser aprovada quanto a esta matéria.
A legitimidade do tratamento assenta no previsto na alínea b) do nº 1 do artigo 6º do Regulamento, não sendo obrigatório o consentimento do colaborador para o mesmo. O tratamento de dados pessoais dos colaboradores no contexto laboral, é efetuado para efeitos de: execução do contrato de trabalho, gestão, planeamento e organização do trabalho, de igualdade e diversidade no local de trabalho, de saúde e segurança no trabalho, de proteção dos bens do empregador, dos direitos e benefícios relacionados com o emprego – quer especificamente oferecidos pela Edenred quer por entidades terceiras a pedido da Edenred, bem como para efeitos de cessação da relação de trabalho. O tratamento definido no número anterior pode ser efetuado por subcontratante em nome da Edenred, para fins de gestão das relações laborais, desde que devidamente celebrado ao abrigo de um contrato de prestação de serviços e sujeito a iguais garantias de sigilo e segurança no tratamento dos dados.
2. Dados Pessoais dos Fornecedores
A Edenred precisa, no âmbito da sua relação comercial com os fornecedores, de recolher alguma informação sobre os mesmos. Nomeadamente, precisa de recolher e armazenar os dados de contacto (nome, número de telefone, email profissional) de pessoas relevantes na empresa fornecedora. A Edenred poderá também aceder a outros dados, tais como os dados bancários, para efetuar os pagamentos que sejam devidos. A legitimidade do tratamento assenta no previsto na alínea b) do nº 1 do artigo 6º do Regulamento, não sendo obrigatório o consentimento do fornecedor para o mesmo.
- Dados Pessoais dos Clientes
A Edenred precisa, no âmbito da sua relação comercial com os clientes das suas soluções, de recolher alguma informação sobre os mesmos. Nomeadamente, precisa de recolher e armazenar os dados de contacto (nome, número de telefone, email profissional) de pessoas relevantes na empresa cliente. A Edenred poderá também aceder a outros dados, tais como os dados bancários. A legitimidade do tratamento assenta no previsto na alínea b) do nº 1 do artigo
6º do Regulamento, não sendo obrigatório o consentimento da empresa cliente para o mesmo. iv.
- Dados Pessoais dos Utilizadores das Soluções
Nas soluções que comercializa, a Edenred assume a posição de Controller (em conjunto com o Cliente), uma vez que – apesar de ser contratada pelo Cliente para o fornecimento de cartões ou cheques/vouchers para os seus Clientes:
(a) A Edenred determina o propósito e os meios das suas atividades de tratamento (produtos, serviços, valores, hospedagem, operação dos aplicativos móveis, países onde as soluções são oferecidas) e os Clientes da Edenred são responsáveis apenas pelo processamento inicial, através da escolha do número de pessoas a quem será prestado o serviço, montantes diários, elegibilidade, etc;
(b) A Edenred exerce o seu próprio julgamento independente e possui alto grau de especialização e autonomia no desempenho da sua atividade, não atuando de acordo com as instruções dos Clientes;
(c) A Edenred geralmente determina as categorias de dados pessoais a serem coletados ou processados, a razão pela qual eles serão necessários, a maneira como eles serão processados e, em alguns casos, os períodos de retenção associados;
(d) A Edenred assume obrigações legais de acordo com a legislação sobre serviços de pagamento, e demais legislação aplicável à prestação de serviços, que influenciam os propósitos e a natureza do processamento, independe dos Clientes;
(e) A Edenred é entendida como a responsável pelo processamento de dados operacionais do Cliente, a partir do momento em que as soluções estejam acessíveis através das suas próprias infraestruturas (por exemplo, website, aplicativo móvel da Edenred, etc.);
(f) A Edenred executa os serviços associados às suas soluções sob as suas marcas registradas, e não em nome dos Clientes, os quais não fazem qualquer menção ao nome da Edenred;
(g) Em muitas situações, a Edenred interage diretamente com os Titulares dos Dados (por exemplo, pela criação de um perfil on-line que será usado no site da Edenred ou nos aplicativos para dispositivos móveis).
Enquanto Controller, a Edenred:
Para a prossecução dos serviços (gestão das operações associadas ao Cartão, permitir que o Titular receba e ative o Cartão, que se registe e possa gerir a sua conta on-line, responder a solicitações e fornecer informações relacionadas com os serviços prestados, criação de rede de estabelecimentos em que a solução será aceite, independentemente do formato), a Edenred precisa de aceder e processar dados pessoais do Cliente e dos utilizadores da solução, tais como o nome, o número de contribuinte ou número de colaborador interno, o nome dos dependentes associados à solução e, em alguns casos, a morada do domicílio e o endereço de correio eletrónico. Assim, a Edenred atua como Controller desde o momento em que recebe os Dados Pessoais do Cliente (o processamento dos dados do Titular tem por base e fundamento as Condições Gerais de Fornecimento assinadas entre a Edenred e o Cliente e o cumprimento de obrigações legais a que se encontra adstrita, nos termos do artigo 6º, nº 1, alíneas b) e c), do RGPD). A Edenred utilizará os Dados Pessoais somente para executar as suas obrigações no âmbito do contrato ou conforme instrução dada por escrito pelo Cliente e informará o Cliente se, na sua opinião, existir o risco de que uma instrução dada por este possa dar origem a uma violação da legislação respeitante a Dados Pessoais. Se a Edenred pretender processar os dados pessoais para quaisquer outros fins, é responsável por garantir a legalidade e legitimidade de tal processamento bem como por garantir a recolha dos necessários consentimentos – quando aplicável – e cumprir com os demais requisitos da legislação respeitantes a Dados Pessoais. A Edenred garante que tem implementados os procedimentos adequados ao cumprimento das obrigações de notificação à autoridade de controlo e aos titulares dos dados caso se verifique uma violação de dados, bem como que implementará e manterá as medidas técnicas e organizativas apropriadas, por forma a que o processamento cumpra com os requisitos da legislação e proteção dos direitos dos Titulares dos Dados (para assegurar um nível de segurança adequado ao risco resultante do Processamento dos Dados Pessoais relacionado aos Serviços, em particular para protegê-los contra danos acidentais, destruição ilegal, perda, alteração e divulgação e acesso não autorizado). A Edenred é responsável por fornecer todas as informações exigidas de acordo com a legislação aos titulares dos dados, relativas às atividades de processamento que sejam da sua responsabilidade. Nesta situação, o Cliente garante à Edenred que informou os Titulares dos Dados sobre as características do processamento (transmitindolhes as Condições Gerais de Utilização do Cartão).
A Edenred divulgará os Dados Pessoais somente aos seus colaboradores ou agentes que tenham necessidade de conhecer os Dados para o desempenho dos Serviços e que cumpram as obrigações de confidencialidade a que estão obrigados nos termos dos seus contratos de trabalho.
A Edenred subcontrata parte das suas obrigações no contexto da prestação dos Serviços objeto do contrato, garantindo que impõe à entidade subcontratada o cumprimento da legislação de Dados Pessoais, que permanece responsável pelo desempenho das obrigações subcontratadas e que, quando solicitado, fornecerá ao Cliente uma lista dos fornecedores em causa. A Edenred desde já declara que subcontrata prestadores de serviços que são responsáveis pelas operações técnicas, incluindo fornecedores de armazenamento de dados, o Emissor do cartão e processador técnico.
Em caso de cessação do Contrato ou da prestação dos serviços, a Edenred excluirá os Dados Pessoais respeitantes à prestação dos Serviços, juntamente com quaisquer cópias e extratos; não obstante, a Edenred poderá reter cópias dos Dados Pessoais se tal for exigido pela legislação, se os Dados Pessoais estiverem a ser legitimamente processados para outra finalidade, ou se a retenção for necessária para proteger ou fazer valer os seus direitos, no contexto de processos judiciais, investigações da entidade reguladora ou outros semelhantes.
A Edenred nomeou um Encarregado de Proteção de Dados, que poderá ser contactado através do email dpo.portugal@edenred.com.
*** *** ***
A presente Política foi elaborada em Lisboa, aos 25 dias do mês de fevereiro de 2019.
Poderá ser alterada por mera decisão da Administração e estará disponível no website da Edenred.
Pela Administração,
A Edenred Portugal