Política de Privcidade Dados Pessoais
1. Enquadramento
A presente Política de Privacidade descreve um conjunto de orientações, regras e princípios que são observados pela Edenred Portugal, S.A. (adiante “Edenred”) para assegurar e garantir as obrigações em matéria de proteção de dados, bem como a proteção dos direitos dos titulares dos dados.
A Edenred obriga-se ao cumprimento da sua Política de Proteção de Dados Pessoais em conformidade com as novas regras introduzidas pelo Regulamento Geral de Proteção de Dados, aprovado pelo Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de Abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento dos dados pessoais e à livre circulação desses dados (adiante abreviadamente designado por ‘’Regulamento Geral de Proteção de Dados’’ ou ‘’RGPD’’) e de demais legislação aplicável em matéria de proteção de dados.
A Edenred Portugal encontra-se ainda sujeita às Diretrizes emitidas pelo Grupo Edenred em matéria de proteção de dados e tem implementados vários projetos de compliance que visam melhorar as práticas diárias nesta matéria no seio da organização.
Para o exercício e desenvolvimento da sua atividade, a Edenred necessita de realizar operações de tratamento de dados pessoais, nomeadamente, a recolha, a consulta, a transmissão, processamento e a atualização desses mesmos dados. Este tratamento de dados pessoais diz respeito a mais do que uma categoria de titulares de dados pessoais, incluindo-se aqui, os nossos colaboradores, fornecedores, clientes e potenciais clientes e utilizadores das nossas Soluções, entre eles os que nos contactam a solicitar os nossos serviços, para efeitos, nomeadamente, de recolherem informações relativas às condições de fornecimento dos nossos produtos e serviços.
É neste sentido que a Edenred procede regularmente a uma profunda análise de todos os seus procedimentos internos, com vista a garantir a conformidade e o cumprimento das obrigações da legislação aplicável e de acordo com as melhores práticas do mercado, quer a nível da privacidade quer da segurança dos dados, assim como com base nas diretrizes da Comissão Nacional de Proteção de Dados.
A Edenred procura garantir que os dados pessoais dos seus colaboradores, clientes, potenciais clientes, fornecedores ou prestadores de serviços, bem como de quaisquer outros titulares de dados pessoais cujos dados a Edenred trate no exercício da sua atividade, sejam tratados de acordo com as normas regulamentares e legais em vigor e conservados em segurança.
2. Âmbito
A presente Política abrange o tratamento de várias categorias de dados pessoais, realizada pela Edenred, no âmbito do exercício da sua atividade enquanto entidade Responsável pelo Tratamento.
O tratamento de todas as categorias de dados pessoais será realizado tendo em conta um nível elevado de proteção pela Edenred. Todas as categorias serão igualmente referidas como dados pessoais na presente Política, salvo indicação em contrário.
3. Quem realiza operações de tratamento relativamente aos dados pessoais
No decurso da sua atividade, a Edenred pode recolher, tratar e armazenar dados pessoais.
De acordo com a legislação europeia e portuguesa em matéria de proteção de dados, a Edenred tem acesso a estes dados de forma lícita, leal e transparente, assegurando a existência da devida base legal relativamente a cada um dos tratamentos efetuados.
A Edenred garante que os seus colaboradores têm conhecimento suficiente da legislação e das práticas de proteção de dados, a fim de poder antecipar e identificar quaisquer questões respeitantes a esta matéria, que possam eventualmente surgir. Para tal, a Edenred garante formação obrigatória e contínua a todos os colaboradores, realizando também workshops e ações de sensibilização na área da privacidade e segurança dos dados.
A Edenred assegura que o Titular dos Dados é devidamente informado, de que forma pode garantir e exercer os seus direitos.
A Edenred pode partilhar dados pessoais dos Titulares dos Dados com subcontratantes, desde que tal seja necessário para a prestação dos seus serviços e nestas situações informa atempadamente os titulares sobre quais são os subcontratantes. A Edenred garante que o eventual acesso dos subcontratantes aos dados pessoais partilhados está devidamente previsto e regulado através de contrato escrito celebrado com os mesmos, onde se encontram previstas todas as obrigações a que estes devem obedecer. A Edenred garante ainda que estes dispõem de todas as medidas técnicas e organizativas.
Todos os subcontratantes que a Edenred contrata estão sujeitos a uma avaliação prévia e posteriormente a uma avaliação regular ao longo da vigência do contrato. A avaliação é composta por uma análise de evidências relativamente ao cumprimento dos princípios da privacidade e da segurança dos dados e aprovada pelas equipas internas responsáveis.
4. Os dados pessoais poderão ser partilhados com as seguintes entidades:
- Prestadores de serviços de suporte informático, técnico e operacional;
- Entidades do Grupo;
- Órgãos Judiciais, órgãos de Polícia Criminal e Autoridades Administrativas.
5. Finalidades e fundamentos de licitude das operações de Tratamento:
A Edenred Portugal garante que ao tratar dados pessoais existe uma base legal que permite o processamento e o titular é informado de forma clara e transparente, através das políticas de privacidade correspondentes. Os dados pessoais são processados para um fim claro, legítimo e previamente determinado. A Edenred assegura o princípio da minimização garantindo apenas o tratamento dos dados estritamente necessários à execução da atividade em causa.
A Edenred efetua o registo de todas as atividades de tratamento da sua responsabilidade.
6. Período de Retenção dos Dados
A Edenred conserva os dados pessoais durante o período estritamente necessário para as finalidades que motivaram o tratamento, variando o período de tempo de armazenamento dos mesmos de acordo com a finalidade para a qual a informação foi recolhida e de acordo com as normas legais que obrigam à sua retenção.
7. Direito de Acesso e Exercício de Direitos
Por regra, o titular de dados pessoais tem os seguintes direitos, em matéria de proteção de dados: direito de acesso, direito de retificação, direito de apagamento, direito de limitação, direito de portabilidade, direito de oposição e direito de não ficar sujeito a decisões automatizadas. Nos casos em que tenha prestado consentimento para determinado tratamento dos seus dados pessoais, o titular poderá retirá-lo a todo o tempo. Os Titulares dos Dados podem exercer os direitos conferidos no âmbito da legislação de proteção de dados aplicáveis, diretamente junto do Responsável pelo Tratamento (através do link: gdpr.edenred.com ou por email para utilizador.pt@edenred.com). Caso necessite, o titular de dados pessoais poderá, ainda, apresentar reclamação junto da Comissão Nacional de Proteção de Dados (CNPD).
8. Categorias de Dados Pessoais
8.1. Dados Pessoais dos Colaboradores
A Edenred procede à recolha dos dados pessoais dos colaboradores no momento pré-contratual com vista à celebração dos contratos de trabalho respetivos e informa o colaborador sobre o tipo e finalidade do tratamento a efetuar no âmbito da relação laboral que se estabelece. A Edenred tem legitimidade para proceder ao tratamento dos dados pessoais dos seus colaboradores, enquanto Responsável pelo Tratamento, nos termos e limites do previsto nos artigos 17º a 22º do Código do Trabalho, aprovado pela Lei 7/2009, de 12 de fevereiro e demais legislação nacional que venha a ser aprovada quanto a esta matéria.
A legitimidade do tratamento assenta no previsto na alínea b) do nº 1 do artigo 6º do Regulamento, não sendo obrigatório o consentimento do colaborador para o mesmo. O tratamento de dados pessoais dos colaboradores no contexto laboral, é efetuado para efeitos de execução do contrato de trabalho, gestão, planeamento e organização do trabalho, de igualdade e diversidade no local de trabalho, de saúde e segurança no trabalho, de proteção dos bens do empregador, dos direitos e benefícios relacionados com o emprego – quer especificamente oferecidos pela Edenred quer por entidades terceiras a pedido da Edenred, bem como para efeitos de cessação da relação de trabalho. O tratamento definido no número anterior pode ser efetuado por um subcontratante em nome da Edenred, para fins de gestão das relações laborais, desde que devidamente celebrado ao abrigo de um contrato de prestação de serviços e sujeito a iguais garantias de sigilo e segurança no tratamento dos dados.
8.2. Dados Pessoais dos Fornecedores
A Edenred precisa, no âmbito da sua relação comercial com os fornecedores, de recolher alguma informação sobre os mesmos, nomeadamente, precisa de recolher e armazenar os dados de contacto (nome, número de telefone, email profissional) de pessoas relevantes na empresa fornecedora. A Edenred poderá também aceder a outros dados, tais como os dados bancários, para efetuar os pagamentos que sejam devidos. A legitimidade do tratamento assenta no previsto na alínea b) do nº 1 do artigo 6º do Regulamento, não sendo obrigatório o consentimento do fornecedor para o mesmo.
8.3. Dados Pessoais dos Clientes
A Edenred precisa, no âmbito da sua relação comercial com os clientes das suas soluções, de recolher alguma informação sobre os mesmos. Nomeadamente, precisa de recolher e armazenar os dados de contacto (nome, número de telefone, email profissional) de pessoas relevantes na empresa cliente. A Edenred poderá também aceder a outros dados, tais como os dados bancários. A legitimidade do tratamento assenta no previsto na alínea b) do nº 1 do artigo 6º do Regulamento, não sendo obrigatório o consentimento da empresa cliente para o mesmo.
8.4. Dados Pessoais dos Utilizadores das Soluções
Nas soluções que comercializa, a Edenred assume a posição de Responsável pelo Tratamento:
(a) A Edenred determina o propósito e os meios das suas atividades de tratamento (produtos, serviços, valores, hospedagem, operação dos aplicativos móveis;
(b) A Edenred exerce o seu próprio julgamento independente e possui alto grau de especialização e autonomia no desempenho da sua atividade, não atuando de acordo com as instruções dos Clientes;
(c) A Edenred geralmente determina as categorias de dados pessoais a serem recolhidos ou processados, a razão pela qual eles serão necessários, a maneira como eles serão processados e os períodos de retenção associados;
(d) A Edenred assume obrigações legais de acordo com a legislação sobre vales sociais, e demais legislação aplicável à prestação de serviços, que influenciam os propósitos e a natureza do processamento, independente dos Clientes;
(f) A Edenred executa os serviços associados às suas soluções sob as suas marcas registadas, e não em nome dos Clientes, os quais não fazem qualquer menção ao nome da Edenred;
(g) Em muitas situações, a Edenred interage diretamente com os Titulares dos Dados (por exemplo, pela criação de um perfil on-line que será usado no site da Edenred ou nos aplicativos para dispositivos móveis).
Enquanto Responsável pelo Tratamento, a Edenred para a prossecução dos serviços precisa de ter acesso e tratar dados pessoais para: gestão das operações associadas à Solução, permitir que o Titular receba e ative a Solução, que se registe e possa gerir a sua conta on-line, responder a solicitações e fornecer informações relacionadas com os serviços prestados, criar rede de estabelecimentos em que a solução será aceite, independentemente do formato, entre muitas outras funções. A Edenred precisa de aceder e processar dados pessoais do Cliente e dos utilizadores da solução, tais como o nome, o número de contribuinte ou número de colaborador interno, e, em alguns casos, a morada do domicílio e o endereço de correio eletrónico. Assim, a Edenred atua como Responsável pelo Tratamento desde o momento em que recebe os dados pessoais do Cliente. A Edenred utilizará os dados pessoais somente para executar as suas obrigações no âmbito do contrato. Se a Edenred pretender processar os dados pessoais para quaisquer outros fins, é responsável por garantir a legalidade e legitimidade de tal processamento bem como por garantir a recolha dos necessários consentimentos – quando aplicável – e cumprir com os demais requisitos da legislação respeitantes a dados pessoais. A Edenred é responsável por fornecer todas as informações exigidas de acordo com a legislação aos titulares dos dados, relativas às atividades de processamento que sejam da sua responsabilidade.
A Edenred nomeou um Encarregado de Proteção de Dados, que poderá ser contactado através do email dpo.portugal@edenred.com.
*** *** ***
A presente Política foi elaborada em Lisboa, aos 10 dias do mês de março de 2023.
Poderá ser alterada por mera decisão da Administração e estará disponível no website da Edenred.
Pela Administração,
A Edenred Portugal