Política de Privacidade

Home / Política de Privacidade

Preâmbulo

O presente Código é elaborado ao abrigo do disposto no art.º 40º do Regulamento Geral de Proteção de Dados (RGPD) e vincula todos os funcionários que trabalham na empresa Batist Medical Portugal, Unipessoal, Lda., mais adiante designada por “Empresa”, sobre a recolha, o tratamento e a utilização de dados pessoais dos clientes da loja on-line.

As disposições deste Código aplicam-se às relações de com todos os seus trabalhadores, bem como com as empresas subcontratadas.

 

Artigo 1º

DEFINIÇÕES

Para efeitos do presente Código e do Regulamento Geral de Proteção de Dados (RGPD), entende-se por:

«Dados pessoais», informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;

«Tratamento», uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;

«Limitação do tratamento», a inserção de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro;

«Definição de perfis», qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações;

«Pseudonimização», o tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável;

«Ficheiro», qualquer conjunto estruturado de dados pessoais, acessível segundo critérios específicos, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;

«Responsável pelo tratamento», a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais;

«Subcontratado», uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes;

«Destinatário», uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que recebem comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro. Contudo, as autoridades públicas que possam receber dados pessoais no âmbito de inquéritos específicos nos termos do direito da União ou dos Estados-Membros não são consideradas destinatários; o tratamento desses dados por essas autoridades públicas deve cumprir as regras de proteção de dados aplicáveis em função das finalidades do tratamento;

«Terceiro», a pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais;

«Consentimento» do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;

«Violação de dados pessoais», uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;

«Dados genéticos», os dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular que deem informações únicas sobre a fisiologia ou a saúde dessa pessoa singular e que resulta designadamente de uma análise de uma amostra biológica proveniente da pessoa singular em causa;

«Dados biométricos», dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos;

«Dados relativos à saúde», dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde.

Artigo 2º

RECOLHA DE DADOS

  1. A recolha de dados para tratamento deve processar-se nos termos da lei em vigor, no estrito cumprimento dos direitos, liberdades e garantias previstos na Constituição da República Portuguesa e efetuar-se de forma lícita, legal, transparente e não enganosa.
  2. A recolha de dados pessoais quer pela Empresa e por empresas subcontratadas, junto dos respetivos titulares, deve ser precedida de informação aos mesmos sobre a finalidade que a determinou e processar-se em estrita adequação e pertinência a essa finalidade.

Artigo 3º

DIREITO À INFORMAÇÃO E ACESSO

A Empresa obriga-se a informar os clientes sobre a existência de ficheiros e sobre os dados pessoais que lhes digam respeito, respetiva finalidade, bem como sobre a identidade do responsável pelo tratamento, sempre que tal seja solicitado por escrito.

Artigo 4º

RECTIFICAÇÃO E ACTUALIZAÇÃO DOS DADOS

  1. Sempre que solicitado por um cliente, a Empresa compromete-se a retificar e atualizar os dados constantes dos seus ficheiros, bases ou bancos de dados a ele respeitantes, bem como a verificar a efetiva retificação dos dados sempre que estes sejam reutilizados.
  2. A retificação ou atualização dos dados solicitada nos termos do número anterior serão asseguradas pela Empresa no prazo de 30 dias.
  3. Quando solicitada a eliminação do nome, atendendo as especificidades da atividade da Empresa, a mesma a tal dará cumprimento dentro de um prazo razoável, o qual nunca excederá os 120 dias,
  4. O prazo dos respetivos dados poderá ser prolongado, por pendencia de ação judicial, até seis meses, após a transferência dos dados às instituições judiciárias ou o trânsito em julgado da sentença;

Artigo 5º

DADOS SENSIVEIS

Sempre que a  Empresa recolha e trate dados sensíveis dos clientes, os mesmos estarão obrigatoriamente, encriptados e só os trabalhadores estritamente necessários é que terão acesso aos mesmos.

 

Artigo 6º

DIREITO DE OPOSIÇÃO

  1. A Empresa respeitará e dará seguimento aos pedidos de eliminação de dados dos seus ficheiros e bases de dados dos associados que solicitarem e se opuserem ao tratamento.
  2. A Empresa manterá listas de oposição com os nomes dos associados que exercerem esse direito.

Artigo 7º

EQUIPAMENTO DE SEGURANÇA

Os ficheiros, as bases e bancos de dados pessoais estão equipados com sistemas de segurança que impedem a consulta, modificação, destruição ou acrescentamento de dados por pessoa não autorizada a fazê-lo e que permitam detectar desvios de informação intencionais ou não.

Artigo 8º

RELAÇÕES ENTRE A BATIST PORTUGAL E OS SUBCONTRATADOS

NA TRANSMISSÃO DE DADOS

  1. A Empresa apenas transmitirá dados a terceiros, sempre que o seu titular o solicite e autorize.
  2. Sempre que a Empresa transmita algum ficheiro tem de assegurar que o mesmo seja utilizado de acordo com a finalidade previamente estabelecida e que tal tenha sido previamente declarado à Comissão Nacional de Proteção de Dados.
  3. Sempre que a Empresa ceda um ficheiro a uma subcontratada, as condições serão reduzidas a escrito, designadamente quanto à sua utilização e finalidade.

Artigo 9º

RELAÇÃO DA EMPRESA COM A

COMISSÃO NACIONAL DE PROTECÇÃO DE DADOS

A Empresa tem o dever de colaborar com a CNPD facultando-lhe as informações, sempre que solicitado e demais documentação relativa à recolha, tratamento automatizado e transmissão.

Artigo 10º

NOMEAÇÃO DO ENCARREGADO PELA PROTECÇÃO DE DADOS

  1. A Empresa na pessoa do seu Responsável, nomeado por aquela, recolhe e trata dados sensíveis, e é obrigada pelo RGPD a ter um Encarregado pela Proteção de Dados, adiante designado como EPD,
  2. O Encarregado pela Proteção de Dados -EPD- representará a Empresa perante a Comissão Nacional de Proteção de Dados.
  3. A pessoa nomeada é responsável pelos processos de averiguação pela fuga, violação ou transmissão ilegal de dados dos associados.

Artigo 11º

SEGREDO PROFISSIONAL

Todos os trabalhadores da Empresa que tratem com dados pessoais dos colaboradores e dos clientes estão obrigados a manter o segredo sobre os mesmos, nomeadamente de não poder revelar ou utilizar os mesmos, a não ser em casos em que a lei obrigue, nomeadamente quando as entidades públicas exijam a transmissão de dados, nomeadamente, entidades policiais, tribunais, finanças, segurança social ou outras entidades públicas.

Artigo 12º

RESPONSABILIDADE DISCIPLINAR

 

  1. Todos os funcionários são responsáveis disciplinarmente pela violação ou transmissão ilegal dos dados dos trabalhadores e clientes, que a Empresa possua na sua base de dados.
  2. Essa responsabilidade será aferida através de procedimento disciplinar que poderá culminar com uma das sanções previstas no Código do Trabalho.
  3. Para além da sanção que venha a ser aplicada, a Empresa poderá imputar ao funcionário que transmitiu ilegalmente os dados, que o mesmo assuma as coimas que a CNPD venha a aplicar.

Artigo 13º

RECEPÇÃO E TRATAMENTO DAS RECLAMAÇÕES

  1. Os interessados que pretendam reclamar pela violação dos seus dados, devem-no fazer diretamente ao Responsável pelo tratamento de dados, através de e-mail …….., que posteriormente encaminhará para o EPD.
  2. O EPD terá de comunicar a violação, no prazo de 72h, à CNPD e abrir um processo de averiguações interno para apurar o responsável por essa mesma violação.
  3. Caso se apure que a responsabilidade pela violação foi interna, a Empresa na pessoa do seu Responsável fica obrigada a comunicar à Direção Nacional e a levantar o competente procedimento disciplinar, conforme previsto no artigo 11º e 12º do presente Código de Conduta.

Artigo 14º

ESCLARECIMENTOS E APLICAÇÃO DO CÓDIGO

  1. Os pedidos de esclarecimento de dúvidas na interpretação ou aplicação deste Código de Conduta deverão ser dirigidos ao Responsável pelo tratamento de dados, que responderá ou reencaminhará o Encarregado pela Proteção de Dados para ser respondido.

2 .O Encarregado pela Proteção de dados promoverá a divulgação do Código de Conduta, a sensibilização e formação de todos os trabalhadores, bem como o acompanhamento da aplicação e a respetiva avaliação, em colaboração com a equipe de trabalho que constituir.

Artigo 15º

PREENCHIMENTO DE LACUNAS

A todas as omissões, ao previsto no presente Código de Conduta, será aplicado o estipulado no Regulamento Geral de Proteção de Dados, bem como a legislação nacional em vigor sobre este assunto.

Artigo 16º

ENTRADA EM VIGOR

O presente Código de Conduta entrará em vigor no dia imediatamente seguinte à sua aprovação em Assembleia.

Porto, 3 de setembro de 2021