CÓDIGO DE CONDUTA
EM MATÉRIA DE PROTEÇÃO DE DADOS DA CPCH – COMPANHIA PORTUGUESA CONSUMER HEALTH, LDA.
NIPC 502975180
I. IDENTIFICAÇÃO DA ENTIDADE E ENQUADRAMENTO GERAL
1º
- A segurança e a confidencialidade na relação com o cliente são, mais do que um ditame legal, um compromisso de honra para a CPCH – Companhia Portuguesa Consumer Health, Lda., seus profissionais e colaboradores, o qual pretendemos respeitar, também, na Recolha, Tratamento e Proteção de Dados Pessoais, cumprindo os normativos legais aplicáveis.
- Para garantir a segurança e a confidencialidade da nossa relação comercial e o cumprimento da legislação em vigor, a CPCH – Companhia Portuguesa Consumer Health, Lda. decidiu adotar o presente Código de Conduta relativamente à Recolha, Tratamento e Proteção de Dados Pessoais.
II. OBJETO
2º
O presente código de conduta implementado pela CPCH – Companhia Portuguesa Consumer Health, Lda. tem por objetivo adaptar e concretizar o Regulamento Geral de Proteção de Dados (de ora em diante designado por RGPD) e demais legislação aplicável, relativamente à recolha e tratamento de dados pessoais realizados nesta empresa.
3º
O Código de Conduta adotado estabelece princípios e regras internas com o objetivo de garantir a proteção dos dados pessoais das pessoas singulares clientes desta empresa, bem como de quaisquer parceiros ou colaboradores dos quais tenha obtido quaisquer dados pessoais, no âmbito da sua atividade, tudo com respeito pela legislação em vigor.
III. ÂMBITO DE APLICAÇÃO
4º
O presente código de conduta aplica-se a todos os(as) colaboradores(as) da empresa e obriga-os entre si, perante todos os clientes e demais parceiros com quem esta empresa tenha relações comerciais.
IV. PRINCÍPIOS E REGRAS GERAIS
5º
Os dados pessoais recolhidos serão objeto de um tratamento lícito, legal e transparente em relação ao titular dos dados.
6º
Os dados pessoais tratados por esta empresa serão obtidos, preferencialmente mas não exclusivamente, mediante a obtenção de consentimento prévio do titular dos dados, devendo ter-se tal consentimento como a manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração, ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.
7º
Os dados pessoais são recolhidos apenas para as finalidades resultantes da atividade desta empresa, não podendo ser tratados de uma forma incompatível com essas finalidades.
8º
Os dados pessoais são exatos e atualizados sempre que necessário, sendo adotadas todas as medidas adequadas para que os dados inexatos ou desnecessários, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora.
9º
Os dados pessoais serão conservados de uma forma que permita a identificação dos titulares dos dados apenas quando necessário e durante o período necessário para as finalidades para as quais são tratados.
10º
Os dados pessoais são tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, com a adoção de medidas técnicas e/ou organizativas adequadas.
11º
- O responsável pelo tratamento aplicará as medidas técnicas e organizativas adequadas que assegurem que apenas são tratados os dados pessoais necessários para cada finalidade específica do tratamento.
- As medidas técnicas e organizativas adotadas estarão de acordo com o volume de dados pessoais recolhidos, com a extensão do seu tratamento, com o prazo de conservação e com a sua acessibilidade.
- Salvo consentimento expresso do titular dos dados e de obrigações contratuais ou legais, estas medidas assegurarão que os dados pessoais não são disponibilizados a terceiros.
V. CONCEITOS E TERMINOLOGIA
12º
- Tem-se por DPO o encarregado de proteção de dados desta empresa;
- Tem-se por titular dos dados a pessoa singular identificada ou identificável a quem a informação dos dados pessoais se refere.
- Têm-se por dados pessoais para efeitos do presente código de conduta toda e qualquer informação relativa a uma pessoa singular identificada, ou identificável – titular dos dados.
- São assim dados pessoais, designadamente, o nome, o número de identificação civil e/ou fiscal e número de segurança social, dados bancários, a sua morada, os seus contactos telefónicos, ou eletrónicos e quaisquer outros, bem como quaisquer outros dados específicos da identidade económica e financeira, cultural ou social dessa pessoa singular relevantes.
- Considera-se ficheiro de dados recolhidos qualquer conjunto estruturado de dados pessoais, físico ou digital, acessível segundo critérios específicos, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico.
- Não serão considerados dados pessoais para efeitos do presente código de conduta e nos termos da legislação aplicável, o número de registo das empresas e demais entidades coletivas; os endereços de correio eletrónico gerais das empresas e demais entidades coletivas; e demais dados que por si só ou em conjunto não facultem ou possibilitem a identificação de determinada pessoa singular.
VI. IDENTIFICAÇÃO DOS DADOS RECOLHIDOS
13º
Esta empresa poderá proceder à obtenção e tratamento dos seguintes dados no âmbito das relações laborais, profissionais e para efeitos do cumprimento das obrigações legais, tais como tributárias, de segurança social e laborais:
- Biométricos, resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos;
- Relativos à saúde, relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde;
- Dados relativos à sua filiação sindical;
- Dados relativos à composição do seu agregado familiar e relativos à sua condição socioeconómica, designadamente, nome, número de contribuinte, número de segurança social, número de cartão de cidadão, morada e contactos.
14º
A empresa recolherá e tratará, entre outros, no âmbito da relação comercial que tem com os seus clientes, todos os dados necessários e relevantes para efeitos de prestação dos serviços e comercialização de produtos desta empresa, bem como os dados identificativos do cliente para efeitos de faturação e cumprimento das obrigações legais e/ou contratuais, designadamente, o nome, o número de identificação civil e/ou fiscal e número de segurança social, dados bancários e de seguros, a sua morada, os seus contactos telefónicos, ou eletrónicos e quaisquer outros, bem como quaisquer outros dados específicos da identidade económica e financeira, cultural ou social dessa pessoa singular.
15º
Serão ainda recolhidos os dados de contacto para efeitos de troca de informações e correspondência profissional, ou de outra índole, nas quais se poderão incluir campanhas promocionais e de marketing a desenvolver pela empresa.
16º
A empresa recolherá e tratará os dados identificativos dos seus fornecedores e demais parceiros, para efeitos de faturação e cumprimento das obrigações legais e/ou contratuais, tais como nome, número de contribuinte, morada e contactos.
17º
A empresa poderá utilizar os dados das diversas finalidades aqui identificadas de forma cumulativa e complementar, sempre que necessário com vista à qualidade do serviço prestado e evitando a duplicação dos mesmos.
VII. MEDIDAS ADOTADAS E GARANTIAS
18º
Os dados pessoais recolhidos e tratados pela empresa encontram-se devidamente vedados no seu acesso a terceiros e/ou a pessoas não autorizadas, através de:
a) restrição de acesso aos arquivos físicos de dados pessoais protegidos;
b) restrição de acesso à base de dados informática e dados em suporte digital, com a adoção de medidas acrescidas de proteção informática.
19º
A empresa, em caso de violação das medidas adotadas para proteção dos dados recolhidos e tratados, obriga-se a comunicar, dentro do prazo legal e a partir do conhecimento de tal violação e sem prejuízo de comunicar às autoridades competentes, caso tal se justifique, tal quebra ao titular dos dados recolhidos.
VIII. DURAÇÃO DA MANUTENÇÃO DOS DADOS RECOLHIDOS
20º
Os dados pessoais recolhidos serão mantidos, salvo obrigação legal em sentido distinto durante a relação contratual e o consequente cumprimento de todas as obrigações contratuais.
IX. IDENTIFICAÇÃO DAS ENTIDADES COM ACESSO AOS DADOS PESSOAIS
21º
Para além do DPO identificado infra e sem prejuízo do cumprimento de obrigações legais, poderão ter acesso aos dados pessoais recolhidos pela empresa, os responsáveis pelos seus serviços administrativos e demais profissionais que prestem serviços de contabilidade, bem como as entidades e profissionais subcontratados que garantam o cumprimento da legislação aplicável ao tratamento desses dados pessoais, entre as quais, nomeadamente:
a) Autoridades Públicas;
b) Serviços de contabilidade;
c) Serviços jurídicos;
d) Serviços informáticos;
e) Empresas e profissionais de prestação de serviços de diversa índole necessários à prossecução dos serviços prestados e venda de produtos pela empresa.
X) DIREITOS DOS TITULARES DOS DADOS
22º
As informações, comunicações e regras, para exercício dos direitos dos titulares dos dados, pautar-se-ão pela transparência, privilegiando uma comunicação realizada de forma concisa, transparente, inteligível, acessível e com linguagem clara e simples.
23º
Quando os dados pessoais forem recolhidos junto do titular, a empresa facultar-lhe-á, mediante solicitação e sempre que aplicável, as seguintes informações:
a) Identidade e detalhes de contacto do responsável pelo tratamento e seus representantes e/ou do seu DPO, nos casos aplicáveis;
b) Categorias de dados a tratar;
c) Tipo de tratamento a efetuar;
d) Objetivo do tratamento a efetuar, incluindo, se for o caso, a definição de perfis;
e) Qual a base legal para o tratamento, entre as quais:
-
- Consentimento;
- Requisito contratual, ou legal;
- Se é requisito para ser parte num contrato;
- Interesse legítimo.
-
- Indicando também se o fornecimento dos dados é obrigatório, bem como as consequências de não os apresentar.
f) Caso haja cessão, ou transmissão dos dados, identificação dos destinatários ou categorias de destinatários;
g) Se aplicável, identificação da intenção do responsável pelo tratamento em transmitir os dados para país terceiro ou organização internacional e dos termos em que é feita, bem como enquadramento legal aplicável e as garantias existentes.
h) Período pelo qual os dados serão mantidos ou, se tal não for possível, critério para o determinar.
i) O direito a requerer do responsável pelo tratamento o acesso, a retificação e/ou o apagamento de dados ou a restrição do tratamento, bem como o direito à portabilidade e o direito a retirar o consentimento sem afetar a licitude do tratamento efetuado previamente.
j) O direito de apresentar queixa junto da autoridade de controlo.
k) A existência de processos de decisão automatizada, incluindo a elaboração de perfis, e informação relevante sobre a lógica do processo e as consequências para o titular dos dados.
l) Identificação sobre quem, além do interlocutor, tem acesso aos dados pessoais.
24º
O titular dos dados tem o direito a obter do responsável pelo seu tratamento a confirmação de que os dados pessoais que lhe digam respeito são, ou não, objeto de tratamento.
25º
Aos dados recolhidos para uma determinada finalidade não pode ser dado tratamento de forma incompatível com essa mesma finalidade, salvo nos casos previstos na legislação em vigor e no presente Código.
26º
O titular dos dados pode requerer a retificação e/ou a restrição do tratamento, bem como o direito à portabilidade e o direito a retirar o consentimento sem afetar a licitude do tratamento efetuado previamente
27º
O titular dos dados pessoais pode, a qualquer momento, usufruindo do direito a ser esquecido, solicitar a destruição dos seus dados pessoais.
28º
A destruição de dados referida na cláusula anterior apenas pode operar em casos em que exista motivo válido para o pedido e em casos em que não exista obrigação legal de manter os dados em arquivo. Caso exista uma obrigação legal de manter em arquivo os referidos dados, a empresa compromete-se a proceder à sua destruição no fim do prazo legalmente exigido.
XI. DPO
29º
O encarregado de proteção de dados é Bárbara Moura contactável através do e-mail barbara.moura@cpch.pt ou ainda para:
CPCH – Companhia Portuguesa Consumer Health, Lda.
A/C Encarregado de Proteção de Dados
Avenida António Augusto de Aguiar, 108, 8º
1050-019 Lisboa
.
30/03/2020