Política de Segurança e Privacidade de Dados Pessoais
- INTRODUÇÃO
A DataSmart, Lda, como qualquer empresa detentora de contratos de trabalho ou com gestão de clientes e parceiros, vê-se obrigada pela sua actividade a armazenar e tratar determinados dados pessoais. O presente documento visa descrever o tipo de dados recolhidos e tratados para cada um dos processos da actividade, o tratamento que a DataSmart faz dos mesmos, bem como das limitações que impõe ao referido tratamento e as acções tomadas no sentido de manter a confidencialidade dos dados e segurança contra perdas ou intrusões.
- CONFIDENCIALIDADE DOS DADOS
Todos os dados pessoais recolhidos, armazenados e tratados nos âmbitos descritos neste documento, são tratados com base na manutenção de estrita confidencialidade dos mesmos. A DataSmart não procederá, em momento algum, à utilização dos dados pessoais para fins distintos dos que se encontram descritos neste documento. A DataSmart, em momento algum, cederá ou alienará os dados pessoais a terceiros não previstos neste documento, sem a autorização expressa do titular dos dados. A DataSmart utilizará os dados pessoais dos seus colaboradores apenas e sempre em contexto de relação laboral e profissional, não sendo cedidos ou tratados em mais nenhuma situação para além das previstas, sem a prévia autorização do colaborador.
- RECRUTAMENTO E SELECÇÃO
- Tipo de dados recolhidos e tratados
Na vertente do Recrutamento e Selecção, a DataSmart necessita para prosseguir os objectivos da actividade, de armazenar os seguintes dados pessoais dos candidatos:
- Curriculum Vitae com nome completo, nacionalidade, informação académica e percurso profissional.
- Contactos telefónicos e de Correio Electrónico
- Resumos de entrevistas elaborados pelos recrutadores
- Eventual informação relativa à pretensão salarial do candidato
- Informação relativa a situação profissional actual do candidato
Para cada etapa do processo de recrutamento, a DataSmart recolhe e trata apenas os dados absolutamente essenciais a essa fase, trabalhando numa óptica de “mínimo indispensável” para os efeitos pretendidos.
- Tratamento de Dados
O tratamento que envolve os dados dos candidatos é o estritamente necessário à actividade e processos de recrutamento, nomeadamente: – O registo do candidato em base de dados e a sua associação às vagas para as quais se candidata e/ou enquadra – Contactos com o candidato para marcação de entrevistas e fornecimento de informações sobre os resultados de processos de candidatura – Elaboração de perfil técnico do candidato, em template institucional, para apresentação a clientes e parceiros, objectivando a colocação e integração do candidato em equipas tecnológicas para o desempenho de funções profissionais em projectos. No documento resultante, são omissos todos os dados pessoais não necessários para o efeito da correcta análise e avaliação de capacidade técnica. Os dados fornecidos nesta fase são limitados a: – Nome (não completo) – Informação sobre percurso profissional, capacidade e conhecimentos técnicos – Informação sobre percurso académico São omissas todas as informações relativas a contactos pessoais e dados de identificação. – Preparação de propostas de condições salariais
- Fontes de dados
Todos os dados pessoais dos candidatos são recolhidos de uma das seguintes três formas: – Consulta e contacto via plataforma LinkedIn – Resposta do candidato a anúncios de emprego publicados pela DataSmart – Análise de candidaturas espontâneas efectuadas pelos candidatos
- Autorizações e prestação de informações
Como referido no ponto anterior, a DataSmart recolhe os dados dos candidatos a partir de três formas/fontes perfeitamente identificadas.
- Dados recolhidos através da plataforma LinkedIn
Pela natureza desta plataforma, entende-se que a presença na mesma é já de si o expressar de uma vontade por parte dos candidatos em serem incluídos em processos de recrutamento. Pela natureza e funcionamento da plataforma LinkedIn e não tendo a DataSmart ou qualquer entidade empregadora, na sua utilização, qualquer possibilidade de programação ou alteração, não é possível implementar processos de informação prévios às abordagens de candidatos pela DataSmart ou a contactos espontâneos dos candidatos à DataSmart. Desta forma, a DataSmart obtém a autorização dos candidatos já em processo de entrevista, através de declaração e assinatura de documento explicativo das formas de tratamento e direitos do titular dos dados. A DataSmart anuncia no seu website institucional, de forma bem visível, a mesma informação prévia existente nos anúncios de emprego que publica, informação essa relativa a recolha e processamento de dados pessoais, servindo como fonte de informação para os candidatos e referindo explicitamente que, ao apresentar a candidatura, o candidato autoriza o referido processamento, apenas para o efeito desejado.
- Dados recolhidos através da resposta a anúncios de emprego
Os próprios anúncios de emprego publicados pela DataSmart, passaram a incluir informação relativa a recolha e processamento de dados pessoais, servindo como fonte de informação para os candidatos e referindo explicitamente que, ao apresentar a candidatura, o candidato autoriza o referido registo e processamento, apenas para o efeito desejado. A DataSmart obtém a autorização adicional dos candidatos em processo de entrevista, através de declaração e assinatura de documento explicativo das formas de tratamento e dos direitos do candidato enquanto titular dos dados.
- Dados recolhidos através de candidaturas espontâneas
A DataSmart anuncia no seu website institucional, de forma bem visível, a mesma informação prévia existente nos anúncios de emprego que publica, informação essa relativa a recolha e processamento de dados pessoais, servindo como fonte de informação para os candidatos e referindo explicitamente que, ao apresentar a candidatura, o candidato autoriza o refrido registo e processamento, apenas para o efeito desejado. A DataSmart obtém também nestes casos, autorização adicional dos candidatos em processo de entrevista, através de declaração e assinatura de documento explicativo das formas de tratamento e direitos do titular dos dados.
- Suportes dos dados e segurança técnica dos mesmos
Os dados pessoais dos candidatos são armazenados em base de dados de recrutamento e em formato de ficheiro;
- Base de dados de recrutamento
É operada através de módulo desenvolvido especificamente para o efeito e acoplado às funcionalidades do CRM interno. Todo e qualquer dado existente na base de dados de recrutamento, nomeadamente os dados pessoais dos candidatos, apenas são acedidos pela equipa de recrutamento, pelo “Manager” que desencadeou a oportunidade de negócio para a qual a DataSmart apresenta o candidato e pela administração da DataSmart. Estão implementados processos tecnológicos de atribuição de permissões, que impedem que a informação seja acedida por qualquer pessoa que não as identificadas. A todo o candidato inserido em base de dados, é inicialmente atribuída uma referência interna alfanumérica, passando o candidato a ser referenciado internamente pela sua referência em vez do nome próprio. O CRM da DataSmart assenta numa solução alojada em servidores de empresa fornecedora, para a qual são implementadas todas as regras de segurança e encriptação, como se demonstra de declaração de conformidade recolhida pela DataSmart junto do fornecedor.
- Formato de ficheiro
São armazenados em formato ficheiro alguns dados dos candidatos, nomeadamente o seu Curriculum Vitae e ficha de condições salariais propostas. Está criada uma estrutura interna assente em solução “Cloud”, com atribuição de permissões de acesso apenas a alguns elementos da empresa, na qual estes ficheiros são armazenados. Todos os ficheiros existentes nesta estrutura Cloud, são encriptados na origem (computadores dos recrutadores, administração e/ou managers) e também na localização destino, pela empresa fornecedora do serviço de “Cloud”. A encriptação na origem é efectuada ao nível global do PC, através de solução de encriptação de todo o sistema (Bitlocker ou similar), impedindo o acesso aos dados a terceiros, em caso de violação ou ataque por rede, perda ou roubo do PC ou hardware acoplado.
- Validade dos dados
De modo a manter a correcta actualização dos dados, entende-se que o período aceitável antes da mesma poder encontrar-se desactualizada é de um ano. Periodicamente, para os registos mais antigos que um ano, a DataSmart envia solicitação de autorização aos candidatos para manter os respectivos registos na base de dados de recrutamento, solicitando em simultâneo a actualização de dados existentes. Nos casos em que as respostas dos candidatos são negativas ou inexistentes, os respectivos registos são eliminados.
- GESTÃO DE COLABORADORES CONTRATADOS
- Tipo de dados recolhidos e tratados
Na vertente da gestão corrente de colaboradores Contratados, a DataSmart necessita para prosseguir os objectivos da actividade, de armazenar os seguintes dados pessoais dos colaboradores: – Curriculum Vitae com nome completo, nacionalidade, informação académica e percurso profissional, com actualização constante; – Contactos telefónicos e de Correio Electrónico; – Números de identificação, nomeadamente Cartão de Cidadão ou Passaporte, Cartão de Residente e autorização de residência (para colaboradores estrangeiros), Número de Identificação Fiscal, Número de Identificação da Segurança Social, Número de Carta de Condução, Número de Identificação Bancária, Morada, Situação Fiscal (estado civil e número de descendentes); – Certificados de Habilitações e Certificações; Para cada processo de gestão e procedimentos internos, a DataSmart recolhe e trata apenas os dados absolutamente essenciais a essa tarefa, trabalhando numa óptica de “mínimo indispensável” para os efeitos pretendidos.
- Tratamento de Dados
O tratamento que envolve os dados dos colaboradores é o estritamente necessário às actividades e processos administrativos relacionados com o negócio da DataSmart e com a gestão interna de Recursos Humanos, nomeadamente: – Registos e mapas internos de colaboradores, férias, faltas, gestão de contratos, processamentos salariais e comunicações obrigatórias com as entidades públicas e prestadoras, tais como a Autoridade Tributária, Segurança Social, Autoridade para as Condições de Trabalho, contratos de Higiene e Segurança no Trabalho, Seguradoras no âmbito dos Seguros de Saúde de Grupo e Seguros de Acidentes Pessoais, ou outras análogas com as quais a DataSmart Lda tenha de manter relação para o cumprimento das regras e legislação inerentes à relação de colaboração de trabalho. – Gestão de processos de formação; – O registo do colaborador em base de dados e a sua associação ao projecto/negócio/cliente com os quais se encontra envolvido no âmbito da actividade profissional. – Elaboração de perfil técnico do colaborador, em template institucional, para apresentação a clientes e parceiros, objectivando a colocação e integração do colaborador em equipas tecnológicas para o desempenho de funções profissionais em projectos dos clientes e parceiros bem como para demonstrar a capacidade tecnológica e detenção de know-how da DataSmart no âmbito de concursos e relação com clientes e parceiros. No documento resultante, são omissos todos os dados pessoais não necessários para o efeito da correcta análise e avaliação de capacidade técnica. – Para efeitos de relação de negócio, os dados poderão ser cedidos a clientes ou parceiros, no sentido de viabilizar a prestação de trabalho do colaborador junto dos mesmos ou no sentido de demonstrar a capacidade da empresa para a realização de projectos, nomeadamente para processamento de avaliação técnica do Curriculum Vitae, registo e processamento de tempos de trabalho, acessos a instalações ou para a demonstração de detenção de Know-How organizacional. – Em determinados projectos ou clientes, pela natureza sensível das funções a desempenhar, poderá ser exigido à DataSmart por clientes de sectores específicos (nomeadamente no sector da banca ou relacionados com a Defesa), o registo criminal dos colaboradores a afectar ao projecto.
- Autorizações e prestação de informações
A DataSmart obtém junto dos seus colaboradores e previamente ao tratamento e armazenamento dos dados referidos, declarações e autorizações de recolha e tratamento de dados, nas quais é referido o tipo de dados a recolher, a que fim são destinados e quais os direitos do colaborador enquanto titular dos dados.
- Suportes dos dados e segurança técnica dos mesmos
Os dados pessoais dos colaboradores são armazenados em base de dados de colaboradores e em formato de ficheiro;
- Base de dados de colaboradores
É operada através de módulo desenvolvido especificamente para o efeito e acoplado às funcionalidades do CRM interno. Todo e qualquer dado existente na base de dados de colaboradores, nomeadamente os dados pessoais do colaborador, apenas são acedidos pela equipa de gestão de recursos humanos, pelo “Manager” directo do colaborador e pela administração da DataSmart. Estão implementados processos tecnológicos de atribuição de permissões, que impedem que a informação seja acedida por qualquer pessoa que não as identificadas. A todo o colaborador inserido em base de dados, é inicialmente atribuído um número de colaborador. O CRM da DataSmart assenta numa solução alojada em servidores de empresa fornecedora, para a qual são implementadas todas as regras de segurança e encriptação, como se demonstra de declaração de conformidade recolhida pela DataSmart junto do fornecedor.
- Formato de ficheiro
São armazenados em formato ficheiro alguns dados dos colaboradores, nomeadamente o seu nome, morada, NIFF, NISS, Nº de cartão de cidadão ou passaporte, Visto e permissão de residência (para colaboradores estrangeiros), números de identificação bancária, ficha de condições salariais acordadas, recibos de vencimentos e relatórios de despesas, formação, férias, faltas, licenças, baixas e outras ausências, contrato de trabalho e respectivos aditamentos. Está criada uma estrutura interna assente em solução “Cloud”, com atribuição de permissões de acesso apenas a alguns elementos da empresa, na qual estes ficheiros são armazenados. Todos os ficheiros existentes nesta estrutura “Cloud”, são encriptados na origem (computadores dos responsáveis pelos processos administrativos de gestão de RH, administração e/ou managers) e também na localização destino, pela empresa fornecedora do serviço de “Cloud”. A encriptação na origem é efectuada ao nível global do PC, através de solução de encriptação de todo o sistema (Bitlocker ou similar), impedindo o acesso aos dados a terceiros, em caso de violação ou ataque por rede, perda ou roubo do PC ou “hardware” acoplado.
- GESTÃO DE CRM NAS VERTENTES COMERCIAIS, CLIENTES, FORNECEDORES E PARCEIROS
- Tipo de dados recolhidos e tratados
Para efeitos de gestão de CRM nas vertentes comerciais, Clientes, Fornecedores e Parceiros, a DataSmart necessita de proceder ao registo e tratamentos de determinados dados pessoais, nomeadamente: – Nome próprio e Apelido – Contactos telefónicos – Endereços de email – Posição / Cargo ocupado Para cada processo de gestão e procedimentos internos, a DataSmart recolhe e trata apenas os dados absolutamente essenciais a essa tarefa, trabalhando numa óptica de “mínimo indispensável” para os efeitos pretendidos.
- Tratamento de Dados
O tratamento que envolve os dados dos clientes, fornecedores e parceiros é o estritamente necessário às actividades e processos administrativos relacionados com o negócio da DataSmart, nomeadamente: – Registos de responsáveis nos departamentos dos clientes, parceiros ou fornecedores com os quais a operação da DataSmart necessita de manter contacto para o fim de operações administrativas correntes ou de negócio, tal como a gestão de parcerias, comunicações relacionadas com facturação e cobranças, comunicação relacionada com a gestão de projectos ou comunicações relacionadas com fins comerciais. Os dados referidos são utilizados apenas para comunicação entre as partes, não sendo em momento algum cedidos a terceiros para quaisquer fins que não os descritos neste documento.
- Autorizações e prestação de informações
Todos os dados referentes a clientes/parceiros/fornecedores são obtidos e tratados no âmbito exclusivo de relações profissionais de negócio entre empresas, não sendo nunca entendidos ou tratados individualmente como dados pessoais de pessoas singulares.
- Suportes dos dados e segurança técnica dos mesmos
Os dados pessoais são armazenados em base de dados CRM e em formato de ficheiro;
- Base de dados CRM
Todos e quaisquer dados de clientes, parceiros ou fornecedores, existentes na base de dados, apenas são acedidos pela equipa de Managers, departamento administrativo e pela administração da DataSmart. Estão implementados processos tecnológicos de atribuição de permissões, que impedem que a informação seja acedida por qualquer pessoa que não as identificadas. O CRM da DataSmart assenta numa solução alojada em servidores de empresa fornecedora, para a qual são implementadas todas as regras de segurança e encriptação, como se demonstra de declaração de conformidade recolhida pela DataSmart junto do fornecedor.
- Formato de ficheiro
São armazenados em formato ficheiro alguns dados de responsáveis dos clientes, fornecedores e parceiros, nomeadamente o seu nome e apelido, contactos telefónicos, endereços de email, posição/cargo que ocupa e por inerência e natureza da necessidade de registo, o nome da empresa na qual desempenham essas funções. Está criada uma estrutura interna assente em solução “Cloud”, com atribuição de permissões de acesso apenas a alguns elementos da empresa, na qual estes ficheiros são armazenados. Todos os ficheiros existentes nesta estrutura “Cloud”, são encriptados na origem (computadores dos responsáveis pelos processos administrativos, administração e/ou managers) e também na localização destino, pela empresa fornecedora do serviço de “Cloud”. A encriptação na origem é efectuada ao nível global do PC, através de solução de encriptação de todo o sistema (Bitlocker ou similar), impedindo o acesso aos dados a terceiros, em caso de violação ou ataque por rede, perda ou roubo do PC ou “hardware” acoplado.
- DIREITOS DO TITULAR DOS DADOS
A DataSmart garante ao Titular dos Dados todos os direitos que o RGPD lhe confere, nomeadamente o acesso aos dados, a sua actualização, o direito ao esquecimento e a portabilidade dos dados. Para qualquer necessidade, comunicação ou pedido de exclusão referente ao registo de dados pessoais, está criado como canal de comunicação exclusivo o endereço de correio electrónico dedicado ao RGPD: RGPD@DATASMART.PT