Política de Privacidade FLY TIME
PROTEÇÃO E GARANTIA DE SEGURANÇA NO TRATAMENTO DE DADOS
Considerando que:
a) No âmbito do contrato de Prestação de Serviços de transporte expresso e de encomendas celebrado entre a Flytime – e o CLIENTE, a Flytime tem acesso e trata de Dados Pessoais facultados pelo CLIENTE;
b) O tratamento de Dados Pessoais efetuados pela Flytime é necessário à execução de um contrato celebrado entre o CLIENTE e o Titular dos Dados Pessoais;
c) O CLIENTE define as finalidades do tratamento dos Dados Pessoais transmitidos à Flytime em consonância com o objeto do contrato de Prestação de Serviços, delegando na Flytime os meios técnicos e organizativos necessários ao tratamento dos Dados Pessoais transmitidos para a efetiva execução do contrato;
d) O CLIENTE é responsável pelo tratamento dos Dados Pessoais que transmite à Flytime, garantindo a licitude do tratamento e transmissão dos Dados Pessoais necessários à Prestação dos Serviços pela Flytime;
As partes celebram livremente e de boa-fé o presente acordo, que se rege pelos considerandos acima e pelas cláusulas seguintes:
1. DEFINIÇÕES
No presente acordo, os seguintes conceitos deverão ter o seguinte significado, em conformidade com a legislação nacional e europeia aplicável:
1.1. “Dados Pessoais” informação relativa a uma pessoa singular identificada ou identificável, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;
1.2. “Tratamento de Dados Pessoais”: uma operação ou um conjunto de operações efetuadas sobre Dados Pessoais ou sobre conjuntos de Dados Pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;
1.3. “Subcontratante”: uma pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes.
1.4. “Cliente”: o parceiro da Flytime, responsável pelo tratamento de dados que, no âmbito da sua atividade comercial, recolhe Dados Pessoais de Titulares de Dados Pessoais e os disponibiliza à Flytime para a Prestação de Serviços inerente à execução do contrato que o CLIENTE celebrou com o Titular dos Dados Pessoais.
1.5. “Consentimento”: uma manifestação de vontade, livre, específica, informada e explícita, pela qual o Titular dos Dados Pessoais aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.
1.6. “Violação de dados pessoais”: uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a Dados Pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;
1.7. “Regulamento Geral de Proteção de Dados (“RGPD”)”: O Regulamento Geral de Proteção de Dados foi aprovado pela União Europeia – Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril, introduzindo um novo regime em matéria de proteção de dados pessoais. Foi criado para proteger o cidadão face ao tratamento de dados pessoais em larga escala por grandes empresas e serviços da sociedade de informação. Para além do reforço da proteção jurídica dos direitos dos Titulares dos dados, o RGPD define novas regras e procedimentos do ponto de vista tecnológico;
1.8. “Responsável pelo tratamento de dados”: a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro.
1.9. “Terceiro”: a pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o Titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento, estão autorizadas a tratar os Dados Pessoais;
1.10. “Prestação de Serviços”: qualquer prestação de serviços de transporte de encomendas postais, através do transporte de bens ou encomendas por estrada ou avião, contratado pelo CLIENTE ao abrigo do Contrato de Prestação de Serviços/ Proposta Comercial de que o presente Anexo é parte integrante;
1.11. “Prestador de Serviços”: por prestador de serviços deverá entender-se, para efeitos do presente contrato, a Flytime Serviço de Transportes Expresso, Lda..
1.12. “Titular dos Dados Pessoais”: pessoa singular identificada ou identificável, que através de um contrato de Prestação de Serviços, entrega os seus Dados Pessoais ao CLIENTE com a finalidade de beneficiar de um serviço de transporte prestado pelo Prestador de Serviços”.
1.13. “Subcontratante Aprovado”: Subcontratante contratado pelo Prestador de Serviços para tratar os Dados Pessoais transmitidos pelo CLIENTE, com o seu consentimento prévio.
2. OBJETO
2.1 Em virtude da Prestação de Serviços a executar, o CLIENTE irá transmitir à Flytime Dados Pessoais e documentos, contendo Dados Pessoais dos seus clientes (expedidores e/ou destinatários) e/ou dos seus colaboradores e funcionários, na estrita medida em que tal se mostre necessário à execução da Prestação dos Serviços contratados.
2.2 Todos os Dados Pessoais transmitidos no âmbito da Prestação de Serviços têm como finalidade exclusiva a Prestação de Serviços pela Flytime em benefício do CLIENTE e/ou Titular dos Dados Pessoais.
2.3 A Prestação de Serviços implica o tratamento, por parte da Flytime, das seguintes categorias de Dados Pessoais:
Identificação pessoal (nome, assinatura, email, número de identificação, número de contribuinte, data de nascimento, função, categoria profissional)
Domicílio (morada pessoal ou profissional)
Contacto(s) telefónico(s)
Dados de localização (GPS, GSM…)
Dados de Login (endereço IP, logs…)
Dados de cookies e outra informação relacionada com a utilização de websites
2.4. A Flytime compromete-se a não tratar os Dados Pessoais para finalidades divergentes das acordadas na Prestação de Serviços. Compromete-se ainda a transmiti-los a outras pessoas, coletivas ou singulares, na medida do necessário para a execução da Prestação de Serviços.
2.5. O CLIENTE declara e garante que os Dados Pessoais recolhidos junto do Titular dos Dados Pessoais e transmitidos à Flytime para execução da Prestação dos Serviços, foram recolhidos licitamente, designadamente, foram recolhidos com o consentimento expresso e inequívoco dos Titulares dos Dados Pessoais.
3. CONSERVAÇÃO E DURAÇÃO DO TRATAMENTO
3.1. No que concerne aos Dados Pessoais que lhe sejam transmitidos pelo CLIENTE, a Flytime obriga-se a:
a) Proceder ao tratamento e aceder aos Dados Pessoais exclusivamente para as finalidades previstas no âmbito da Prestação de Serviços, pelo período estritamente necessário para a finalidade para a qual foram recolhidos, mediante instruções documentadas do CLIENTE, salvo se pela lei for previsto o contrário;
b) Assegurar que todas as pessoas autorizadas a tratar os Dados Pessoais assumiram um compromisso de confidencialidade ou estão sujeitas, à data da Prestação de Serviços, a obrigações de confidencialidade adequadas para a proteção dos Dados Pessoais transmitidos;
c) Implementar as medidas técnicas e organizativas apropriadas à proteção dos Dados Pessoais contra a destruição acidental ou dolosa, perda, alteração, acesso ou divulgação não autorizados;
d) Se contratar outro subcontratante deverá impor contratualmente as mesmas obrigações de proteção de Dados Pessoais do presente Acordo, por forma a garantir a conformidade do tratamento com a legislação aplicável;
e) Providenciar toda a assistência técnica e organizativa razoável necessária para responder atempada e apropriadamente às solicitações dos Titulares dos Dados Pessoais para exercício dos seus direitos;
f) Reenviar ao CLIENTE qualquer pedido efetuado diretamente à Flytime pelo Titular dos Dados Pessoais, num prazo que permita ao CLIENTE gerir atempadamente o pedido do Titular dos Dados Pessoais, para exercício de qualquer dos direitos que legalmente lhe assiste;
g) Realizar avaliações de impacto sobre a proteção dos Dados Pessoais transmitidos pelo CLIENTE;
h) Eliminar ou devolver, em função da opção do CLIENTE, de forma segura e permanente, todos os Dados Pessoais transmitidos para tratamento da Flytime ou de qualquer subcontratante eventualmente contratado, sem demora injustificada, exceto se por força de disposição legal tiver que os conservar por período superior;
i) Providenciar a assistência necessária que permita ao CLIENTE demonstrar o cumprimento com as suas obrigações previstas na legislação aplicável e permitir/contribuir para as auditorias previstas no presente Acordo;
j) Abster-se do uso ou do tratamento de Dados Pessoais que não estejam de acordo com as instruções documentadas do CLIENTE ou fora da execução da prestação de serviços e, em particular, não fazer qualquer uso, incluindo o comercial, em nome próprio ou de terceiros, de Dados Pessoais do CLIENTE ou por ele disponibilizados durante a execução da prestação de serviços;
k) Cumprir rigorosamente o disposto na legislação e regulamentação interna e europeia, aplicável em matéria de tratamento de Dados Pessoais e que lhe seja aplicável;
l) Tratar e conservar os Dados Pessoais transmitidos estritamente confidenciais, utilizando-os única e exclusivamente no âmbito da Prestação de Serviços, para as finalidades legalmente admissíveis, durante o período necessário à vigência da prestação de serviços.
4. OBRIGAÇÕES DE CONFIDENCIALIDADE
4.1. A Flytime deverá tomar todas as medidas necessárias para preservar a integridade, disponibilidade e confidencialidade dos Dados Pessoais disponibilizados pelo CLIENTE.
4.2. Em particular, a Flytime compromete-se a estabelecer as medidas organizacionais e técnicas convenientes às melhores práticas, para assegurar um nível apropriado de segurança e confidencialidade em relação aos riscos apresentados pelo tratamento e à natureza dos Dados Pessoais disponibilizados pelo CLIENTE.
4.3. Todas as pessoas que, agindo, ou não, sob a autoridade da Flytime e no exercício das suas funções, independentemente da sua natureza, tenham conhecimento ou acesso aos Dados Pessoais tratados, não poderão proceder ao seu acesso, utilização ou tratamento sem que existam instruções documentadas do CLIENTE, ficando obrigadas a um dever de confidencialidade mesmo após o termo das suas funções, o que será garantido pela Flytime através de adenda contratual a celebrar com os seus colaboradores.
4.4. A Flytime garante o cumprimento do dever de confidencialidade relativamente a todos os Dados Pessoais a que tenha tido acesso ou que lhe tenham sido transmitidos, a permitir o acesso aos Dados Pessoais pelos seus funcionários ou colaboradores apenas na medida em que tal se revele necessário ao desempenho das funções que lhes sejam cometidas no âmbito da prestação de serviços acordada e a abster-se de os transmitir a terceiros não autorizados, nem a usá-los para fins diversos, em benefício próprio ou alheio.
4.5. A Flytime e o CLIENTE reconhecem que toda e qualquer informação a que venham a ter acesso durante a vigência da presente Prestação de Serviços é confidencial, pelo que se obrigam a, por si ou por interposta pessoal, manter em estrito sigilo e confidencialidade as negociações, a celebração e o teor da presente prestação de serviços, bem como todos os Dados Pessoais disponibilizados e restante informação com eles direta ou indiretamente relacionada e que lhes possa advir reciprocamente pela sua celebração, comprometendo-se mutuamente a não divulgar a terceiros, por qualquer forma, direta ou indiretamente, todo ou parte do seu teor.
4.6. As obrigações previstas na presente Cláusula vincularão as Partes após cessação da presente prestação de serviços, independentemente da forma e motivo de tal cessação.
5. DIREITOS DO TITULAR DOS DADOS
5.1. A Flytime coopera com o CLIENTE para que este garanta ao Titular dos Dados Pessoais transmitidos à Flytime qualquer dos direitos em matéria de proteção de Dados Pessoais legalmente previstos, designadamente:
a) Direito de oposição ao tratamento de Dados Pessoais pela Flytime, a qualquer momento, em qualquer dos casos legalmente previstos, designadamente, quando os Dados Pessoais forem tratados para finalidades de comercialização direta;
b) Direito à retificação e à limitação do tratamento de Dados Pessoais nas situações legalmente previstas, após o que, qualquer tratamento, com exceção da conservação, apenas poderá ser realizado pela Flytime com o consentimento do Titular dos Dados Pessoais;
c) Direito ao apagamento dos Dados Pessoais em qualquer dos casos legalmente previstos, designadamente, por deixarem de ser necessários para a finalidade que motivou a sua recolha ou tratamento, comprometendo-se a Flytime a, por instrução do CLIENTE ou do Titular dos Dados pessoais, devolver ou destruir os Dados Pessoais, de acordo com a instrução e no prazo estipulado pelo CLIENTE ou Titular dos Dados Pessoais;
d) Direito expresso de apresentar, junto da CNPD (Comissão Nacional de Proteção de Dados), reclamações ou queixas relativas ao procedimento adotado pela Flytime no tratamento, recolha e acesso aos seus Dados Pessoais;
e) Direito à portabilidade dos Dados Pessoais, pela solicitação dos Dados Pessoais que lhe digam respeito num formato estruturado e de uso corrente;
f) Direito a não ficar sujeito a decisões individuais automatizadas que lhe produzam efeitos na sua esfera jurídica;
5.2. O CLIENTE é responsável, nos termos legalmente previstos, pela promoção do exercício dos direitos previstos no número anterior, sendo responsável por qualquer ação ou omissão sua que constitua uma violação de Dados Pessoais transmitidos à Flytime.
6. PROCEDIMENTOS DE SEGURANÇA
6.1. As partes garantem a utilização de medidas técnicas e organizativas adequadas para proteger os Dados Pessoais, oferecendo um nível de segurança adequado em relação aos riscos que o tratamento apresenta, tendo em atenção o estado da técnica, a natureza dos Dados Pessoais a ser protegidos, e os princípios da proteção de Dados Pessoais desde a conceção e por defeito.
6.2. As medidas técnicas e organizativas devem permitir a proteção dos Dados Pessoais contra a destruição, acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizados e contra qualquer outra forma de tratamento ilícito.
6.3. O Prestador de Serviços assegura um nível de segurança da informação garantindo, nomeadamente:
a) A confidencialidade, integridade, disponibilidade constante dos sistemas e dos serviços de tratamento;
b) A resiliência permanente dos sistemas e dos serviços de tratamento;
c) A capacidade de restabelecer a disponibilidade e o acesso aos Dados Pessoais de forma atempada no caso de um incidente físico ou técnico;
d) Um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento;
e) A possibilidade de pseudonimização e/ou a cifragem dos Dados Pessoais.
6.4. Entre as medidas técnicas e organizativas aplicadas às operações de tratamento dos Dados Pessoais, incluem-se, nomeadamente, aquelas destinadas a:
a) Efetuar o controlo dos suportes de Dados Pessoais, através de medidas que impeçam a leitura, cópia, alteração ou retirada dos suportes por pessoa não autorizada;
b) Impedir a introdução não autorizada, bem como a tomada de conhecimento, a alteração ou a eliminação não autorizadas de Dados Pessoais informáticos inseridos;
c) Efetuar o controlo da utilização, impedindo que os sistemas informáticos possam ser utilizados por pessoas não autorizadas;
d) Implementar medidas que garantam que só as pessoas autorizadas possam ter acesso aos Dados Pessoais abrangidos pela autorização que lhes foi concedida;
e) Garantir a verificação das pessoas ou entidades a quem possam ser transmitidos os Dados Pessoais informáticos.
6.5. O Prestador de Serviços tomará as necessárias medidas técnicas destinadas à efetiva proteção dos sistemas informáticos e respetivo hardware, nomeadamente, no que respeita a regras de definição e utilização de passwords, atualização de sistemas, proteção contra vírus, worms, cavalos de troia e spywares e outro software malicioso.