Login
Explore what we
have to offer
have to offer
Política de Responsável pelo Tratamento, Responsáveis Conjuntos e Subcontratante
1. Objetivo e Âmbito
Esta Política, os princípios e os critérios aqui definidos são aplicáveis ao tratamento de dados pessoais dos Subcontratantes e da AIM LIFE, LDA., doravante designado por AIM Cancer Center, enquanto: Responsável pelo Tratamento; Subcontratante e Responsável Conjunto.
2. Definições
Medidas – deve ser interpretado de uma forma lata como sendo qualquer método ou meio que um Responsável pelo Tratamento pode utilizar no tratamento.
Responsável pelo Tratamento dos Dados: Pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais. O Responsável pelo Tratamento é quem toma as decisões sobre as atividades de tratamento de dados, exercendo controlo total sobre os dados que estão a ser tratados.
Responsável Conjunto: Quando dois ou mais responsáveis pelo tratamento determinem conjuntamente as finalidades e os meios desse tratamento, ambos são responsáveis conjuntos pelo tratamento. Os Responsáveis Conjuntos partilham as mesmas finalidades. Não serão responsáveis conjuntos se tratarem os mesmos dados com finalidades divergentes.
Subcontratantes: Entidades que tratam dados pessoais em nome ou por conta do Responsável pelo Tratamento. Desta forma, serve os interesses do Responsável pelo Tratamento ao invés dos seus próprios interesses. O Subcontratante só deve tratar dados pessoais de acordo com as instruções do Responsável pelo Tratamento, a não ser que isso lhe seja exigido por lei. O Subcontratante pode ser uma empresa ou uma pessoa singular.
Sub-subcontratante: Um Subcontratante pode querer subcontratar a totalidade ou uma parte do tratamento de dados a outro Subcontratante. Nesse caso, esta terceira figura será o sub-subcontratante.
Titulares dos Dados: Todas as pessoas cujos dados pessoais são tratados (recolhidos, usados, armazenados, conservados, partilhados, retidos, etc.), designadamente – os colaboradores, cidadãos (singulares ou coletivos) e fornecedores.
3. Descrição
Perante o tratamento de dados importa aferir o papel da AIM Cancer Center, neste sentido pode assumir a figura de: Responsável pelo Tratamento; Subcontratante e Responsável Conjunto.
Nas situações em que a AIM Cancer Center assume o papel de Responsável pelo tratamento de dados, este pode proceder à partilha de dados com entidades numa relação de corresponsabilidade (Responsáveis conjuntos), como numa relação de subcontratação.
Por forma a reter informação sobre as situações em que assume o papel como Subcontratante e as situações em que estabelece relação como Responsável Conjunto e com Subcontratantes, a AIM Cancer Center assegura o preenchimento do Controlo de Registos RGPD.
3.1 AIM Cancer Center como Responsável pelo Tratamento
Caso a AIM Cancer Center tome as decisões infra perante o tratamento de dados pessoais, deve ser considerado Responsável pelo Tratamento:
- Recolher os dados pessoais em primeiro lugar;
- Qual o fundamento de licitude para a recolha e tratamento;
- Que tipos de dados pessoais serão recolhidos;
- Qual a finalidade ou as finalidades para as quais os dados são tratados;
- Quais os titulares de dados aos quais serão recolhidos dados;
- Se os dados são divulgados a terceiros e, se sim, a quem;
- Que informações prestar aos titulares de dados sobre o tratamento;
- Como responder aos pedidos de exercício de direitos dos titulares de dados;
- Durante quanto tempo deve reter os dados.
A AIM Cancer Center é responsável por garantir que o tratamento de dados assegurado por si está em conformidade com o RGPD. As responsabilidades de acordo com o RGPD incluem:
- Conformidade com os princípios relativos ao tratamento de dados;
- Exercício dos direitos dos titulares de dados;
- Implementação de medidas técnicas e organizativas que garantam a segurança dos dados pessoais;
- Processo de notificação de violação de dados;
- O registo de atividades de tratamento;
- Avaliação de impacto sobre a proteção de dados, nos casos aplicáveis;
- Informar o DPO;
- Transferências de dados pessoais para um país terceiro;
- Cooperação com as autoridades de controlo e ajudá-las a desempenharem as suas funções.
Todos os dados pessoais que a AIM Cancer Center armazena e trata:
- São objeto de um tratamento lícito, leal e transparente;
- São recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser tratados posteriormente de uma forma incompatível com essa finalidade;
- São exatos e atualizados;
- São mantidos apenas durante o tempo necessário à finalidade para os quais foram recolhidos.
3.1.1 Medidas Técnicas e Organizativas
A AIM Cancer Center possui as medidas técnicas e organizativas suficientes para cumprir com os requisitos do RGPD, designadamente medidas para:
- Evitar a perda acidental de dados;
- Evitar o acesso aos dados por colaboradores não autorizados;
- Evitar a alteração dos dados e divulgação dos mesmos;
- Limitar o acesso aos dados aos colaboradores e prestadores de serviço cujas funções implicam necessariamente o acesso aos dados. O tratamento por estes será feito nos termos estipulados pela AIM Cancer Center, estando sujeitos a deveres de confidencialidade;
- Resolver qualquer suspeita de quebra de segurança.
3.1.2 Relação do AIM Cancer Center com Subcontratantes e Responsáveis Conjuntos
Nas relações com Subcontratantes e Responsáveis Conjuntos, a AIM Cancer Center recolhe, armazena e trata os seguintes dados:
- Informações pessoais tais como nome, morada, telemóvel, correio eletrónico;
- Documentos de Identificação;
- Dados fiscais para faturação.
A recolha dos dados é assegurada através de papel, correio eletrónico ou aplicações informáticas.
Normalmente, a AIM Cancer Center utiliza os dados dos seus Subcontratantes e Responsáveis Conjuntos, nas seguintes circunstâncias:
- Para o cumprimento do contrato/acordos entre as partes;
- Para diligências pré-contratuais;
- Para o cumprimento de uma obrigação legal;
- Quando for necessário para os interesses legítimos (ou de terceiros) e os direitos e liberdades fundamentais do colaborador não se sobreponham;
- Para criar contacto na base de dados da AIM Cancer Center;
- Para controlar os acessos às instalações da AIM Cancer Center;
- Para proceder à faturação de um serviço;
- Para notificar no caso de qualquer violação de dados;
- Para outros fins, desde que a finalidade ainda se enquadre nos limites do tratamento inicial e estejam garantidas as condições de segurança necessárias.
Os Subcontratantes e Responsáveis Conjuntos podem exercer os seus direitos conforme o estipulado na Política de Proteção de Dados Pessoais da AIM Cancer Center.
3.1.3 AIM Cancer Center como Subcontratante
A AIM Cancer Center poderá assumir o papel de Subcontratante perante o tratamento de dados pessoais. No entanto, não poderá ser Responsável pelo Tratamento e Subcontratante no âmbito da mesma atividade de tratamento. Mas, é possível ser Responsável e Subcontratante dos mesmos dados pessoais desde que eles sejam tratados para finalidades diferentes.
Podem ser consultadas informações sobre Subcontratante no ponto 3.3.
3.2 AIM Cancer Center como responsável conjunto
Nas situações em que a AIM Cancer Center procede à partilha de dados com entidades numa relação de corresponsabilidade (Responsáveis conjuntos), deve a AIM Cancer Center em conjunto com a Entidade decidir quem é responsável por cada uma das obrigações. Para o efeito, a AIM CANCER CENTER deve celebrar Acordo sobre a Proteção de Dados Pessoais entre Responsáveis Conjuntos, entre a AIM Cancer Center e a Entidade(s). Poderá ser criado um único acordo para mais do que uma entidade, quando as mesmas efetuam o tratamento de dados correspondentes aos mesmo titulares de dados.
A AIM Cancer Center deve informar os titulares de dados da partilha de dados com Responsáveis Conjuntos.
A AIM Cancer Center é responsável por garantir que o tratamento de dados assegurado como responsável conjunto está em conformidade com o RGPD, designadamente:
- Conformidade com os princípios relativos ao tratamento de dados;
- Exercício dos direitos dos titulares de dados;
- Implementação de medidas técnicas e organizativas que garantam a segurança dos dados pessoais;
- Avaliação de impacto sobre a proteção de dados, nos casos aplicáveis;
- Processo de notificação de violação de dados;
- Informar o DPO;
- Transferências de dados pessoais para países terceiros;
- Ambos os responsáveis conjuntos são responsáveis perante a autoridade de controlo caso não cumpram com as suas obrigações perante o RGPD.
3.3 Subcontratante
A AIM Cancer Center deve escolher um Subcontratante que ofereça garantias suficientes de execução de medidas técnicas e organizativas que garantam que o tratamento satisfaça os requisitos do RGPD.
Aquando a elaboração de um Contrato ou Acordo Tratamento de Dados com Subcontratantes, a AIM Cancer Center deve incluir as menções do artigo 28º, n.º 3 do RGPD.
Nos termos de acordo de subcontratação entre a AIM Cancer Center e Subcontratante, pode ficar definido que o Subcontratante pode decidir:
- Que sistemas de informática e tecnologia ou outros métodos serão utilizados para recolher os dados;
- Como armazenar os dados;
- Os detalhes das medidas de segurança implementadas para proteger os dados;
- Como irá transferir os dados de uma Organização para outra;
- De que forma irá aderir a uma política e agenda de retenção;
- Como irá eliminar os dados;
- Como usar os seus conhecimentos técnicos para decidir como levar a cabo certas atividades em nome do Responsável.
O Subcontratante é responsável por garantir:
- Conformidade com os princípios relativos ao tratamento de dados;
- Exercício dos direitos dos titulares de dados;
- Implementação de medidas técnicas e organizativas que garantam a segurança dos dados pessoais;
- Processo de notificação de violação de dados;
- O registo de atividades de tratamento, nos casos aplicáveis;
- Avaliação de impacto sobre a proteção de dados, nos casos aplicáveis:
- Informar o DPO;
- Transferências de dados pessoais para países terceiros;
- Cooperação com as autoridades de controlo e ajudá-las a desempenharem as suas funções.
O Subcontratante não pode:
- tomar decisões mais abrangentes como, decidir que tipos de dados são recolhidos ou as finalidades para as quais os dados serão utilizados;
- utilizar os dados dos colaboradores da AIM Cancer Center para fins próprios, apenas devem realizar os tratamentos expressamente identificados pela AIM Cancer Center e nos termos estabelecidos por este;
- ser Responsável pelo tratamento e Subcontratante no âmbito da mesma atividade de tratamento. No entanto, é possível ser Responsável e Subcontratante dos mesmos dados pessoais desde que eles sejam tratados para finalidades diferentes.
Um Subcontratante que trate dados para lá das instruções da AIM Cancer Center, passará a ser responsável por esse tratamento de dados.
A AIM Cancer Center tem o direito a tomar as medidas necessárias para verificar que o Subcontratante tem capacidade para cumprir as suas obrigações, e que este implementa as medidas exigidas para garantir o cumprimento do disposto no contrato/acordo.
3.3.1 Sub-Subcontratante
O Subcontratante não deve contratar outro Subcontratante (o Sub-subcontratante) para a realização de operações específicas de tratamento de dados por conta da AIM Cancer Center sem que este tenha dado a sua autorização, previamente e por escrito. Perante a autorização da AIM Cancer Center, o Subcontratante deve celebrar um acordo com o Sub-subcontratante que imponha a este as mesmas obrigações em termos de proteção de dados que as previstas no acordo entre o Subcontratante e a AIM Cancer Center.
A Sub-subcontratação não altera o estatuto do Subcontratante, ou seja, esta mantém-se como Subcontratante, uma vez que o controlo efetivo sobre o tratamento em causa continua a recair sobre o AIM Cancer Center.
Porém, o Subcontratante será responsabilizado perante a AIM Cancer Center quanto à conformidade legal do Sub-subcontratante, isto significa que se a falha decorre de uma ação do Sub-subcontratante, o Subcontratante deverá indemnizar a AIM Cancer Center por todas as perdas decorrentes da relação estabelecida.
