Política de Privacidade e Proteção de Dados
Índice
1. Introdução
2. Objetivo
3. Escopo
4. Princípios
5. Principais componentes de conformidade com a privacidade
6. Definições
7. Contato
1. Introdução
A FSRental, suas controladoras e controladas (coletivamente “FSRENTAL” ou “Empresa”) adotaram a Política de Privacidade e Proteção de dados (“Política”). A FSRENTAL reconhece a importância da privacidade e da segurança, e tem o compromisso de cumprir as leis aplicáveis de proteção de dados e os requisitos contratuais do cliente na administração de dados pessoais.
2. Objetivo
Embora as leis de proteção de dados variem por jurisdição, todo o pessoal da FSRENTAL deve estar ciente de que as leis existem para proteger a privacidade e a segurança dos dados pessoais, e estas leis impactam a maneira como a FSRENTAL e seu pessoal usam, divulgam ou processam tais informações.
Esta Política Global de Privacidade e Proteção de dados (“Política”): estabelece os princípios que se aplicam ao processamento de dados pessoais pela FSRENTAL, e descreve como a FSRENTAL cumpre esses princípios; e oferece uma visão geral da estrutura de governança de privacidade da FSRENTAL, e as funções e responsabilidades dos principais grupos e pessoas no cumprimento
das obrigações e tarefas de conformidade da FSRENTAL. Esta Política será complementada por políticas, procedimentos e diretrizes adicionais para abordar áreas, jurisdições, leis e requisitos específicos.
3. Escopo
Esta Política se aplica a todos os dados pessoais FSRENTAL como controladora ou processadora de dados, inclusive os dados relativos ao seu pessoal, clientes,
demandantes, prestadores de serviço e outras partes. Todo o pessoal deve cumprir esta Política. O funcionário que violar esta Política pode estar sujeito a medidas disciplinares
segundo a legislação local ou termos laborais aplicáveis. Todos os funcionários têm um papel importante a desempenhar na gestão adequada e na salvaguarda de dados pessoais, para identificar problemas de manuseio e proteção de dados à medida que surgem, e para encaminhá-los imediatamente ao Departamento Jurídico e Compliance. Todos os funcionários também devem cooperar conforme necessário para a implementação de princípios, requisitos e componentes chave desta Política.
4. Princípios
Processamento justo, transparente e legal. Dados pessoais serão coletados, armazenados e processados de maneira justa, legal e transparente. Isso significa que:
i. As pessoas serão informadas do processamento (pelo controlador de dados).
ii. Os dados pessoais são processados segundo a finalidade declarada para sua coleta ou para propósitos compatíveis semelhantes, e estão sujeitos a uma base
legal, tal como consentimento, onde exigido por lei.
iii. Os dados pessoais não são processados de formas não esperadas razoavelmente pelo titular dos dados.
iv. Ao agir como processador de dados, os dados pessoais só serão processados conforme necessário para executar os serviços conforme orientado pelos clientes, ou onde, de outra forma, for exigido pela legislação aplicável.
Minimização de dados. Os dados pessoais serão coletados apenas onde razoável e necessário para os fins declarados para os quais estão sendo processados, e serão
adequados, relevantes e limitados ao que é necessário em relação a esses propósitos.
Limite de propósito. Os dados pessoais serão processados para fins específicos, explícitos e legítimos, e de uma maneira compatível com o propósito para o qual foram
inicialmente coletados.
Precisão. Os dados pessoais serão precisos e atualizados.
i. Serão tomadas medidas razoáveis para assegurar a precisão dos dados
pessoais obtidos.
ii. Dados pessoais imprecisos (considerando o propósito de seu processamento)
serão eliminados ou retificados.
Retenção limitada. Os dados pessoais serão retidos apenas enquanto forem necessários para atingir o(s) fim(ns) específico(s) e estarão sujeitos às leis de proteção de
dados aplicáveis e aos requisitos contratuais dos clientes.
Segurança e integridade. Medidas apropriadas de segurança organizacional, administrativa e técnica serão implementadas para salvaguardar os dados pessoais,
oferecer processamento seguro para eles, além de identificar, prevenir, detectar e mitigar riscos aos dados pessoais, sistemas, ferramentas e processos usados para processar dados
pessoais.
i. Os dados pessoais serão processados de uma maneira que ofereça segurança apropriada deles.
ii. Medidas de segurança precisam ser concebidas e implementadas para proteger contra processamento ilegal e não autorizado, e perda, destruição ou dano
acidental dos dados pessoais e sistemas correlatos.
iii. Serão concebidos e implementados controles para detectar, mitigar e corrigir eventos e incidentes de segurança.
iv. Serão estabelecidas políticas e procedimentos para que tais eventos e incidentes de segurança e privacidade sejam imediatamente relatados internamente, e investigados, avaliados e administrados segundo as leis de proteção de dados estabelecidas, onde possam impactar os dados pessoais ou atividades de processamento correlatas.
Concepção de privacidade. Atividades e processos serão concebidos,
implementados e realizados de forma que ofereçam, desde o princípio, conformidade com
os princípios supracitados e a integração de salvaguardas necessárias para dados pessoais.
Responsabilidade. A conformidade com estes princípios será avaliada e as
atividades de processamento serão conduzidas de forma que demonstrem conformidade e
possam ser auditadas e avaliadas.
i. Consultas e reclamações relacionadas ao processamento de dados pessoais
serão avaliadas, respondidas e resolvidas (dentro do possível) de maneira justa
e sem atraso injustificado.
ii. Processos razoáveis para receber, administrar e responder a perguntas,
solicitações e reclamações de pessoas e clientes são estabelecidos para
fornecer respostas justas, oportunas, coerentes e em conformidade com a lei.
iii. Registros precisos de atividades de processamento serão mantidas, incluindo
registros de incidentes de segurança, reclamações, solicitações do titular dos
dados e outros registros obrigatórios segundo as leis aplicáveis de proteção de
dados.
5. Principais componentes de conformidade com a privacidade
A fim de cumprir todos os princípios supracitados, a FSRENTAL precisa tomar medidas para assegurar que estes princípios sejam abordados dentro de todos os processos e
atividades comerciais relevantes, e implementar determinados processos e procedimentos, que incluam os seguintes componentes principais, cada um dos quais
é abordado abaixo nesta Política:
Notificação às pessoas físicas
Base legal de processamento
Manutenção de registros (e registros de processamento)
Direitos do titular dos dados
Gestão de terceiros e prestadores de serviço
Resposta a incidentes
Conscientização e treinamento referentes à privacidade
Avaliações de impacto à privacidade
Avaliações e auditorias contínuas
Governança
Notificação às pessoas físicas
A FSRENTAL notificará os titulares dos dados pessoais que ela os processa segundo exigido pela lei de proteção de dados, incluindo aviso do seguinte: os tipos de dados
pessoais coletados, os propósitos do processamento, método de processamento, os direitos do titular dos dados com relação a seus dados pessoais, o período de retenção,
possíveis transferências internacionais de dados, se eles serão compartilhados com terceiros e as medidas de segurança da Empresa para protegê-los.
Para os funcionários, estas informações serão estabelecidas em um aviso de privacidade do funcionário e notificações adicionais, conforme requerido pela lei de
proteção de dados. Onde aplicável, os avisos de privacidade do funcionário serão fornecidos aos novos funcionários durante o período de integração, e uma cópia do
aviso de privacidade será publicada on-line, sempre que possível, e disponível através dos contatos do setor local de Recursos Humanos. Os funcionários serão notificados e
receberão uma cópia dos avisos aplicáveis de privacidade do funcionário sempre que forem feitas mudanças substanciais.
Para os clientes, prestadores de serviço e outros terceiros relevantes, um aviso de privacidade deve ser fornecido ou disponibilizado de forma recuperável e facilmente
acessível, onde praticável no momento da coleta dos dados pessoais ou o mais rápido possível após.
Base legal de processamento
Os dados pessoais apenas podem ser coletados e processados pela FSRENTAL em conformidade com as leis aplicáveis de proteção de dados e onde requerido com o
consentimento do titular dos dados. Ao agir como processador de dados, os dados pessoais apenas serão processados conforme necessário para executar os serviços
conforme orientado pelos clientes, ou onde, de outra forma, for exigido pela legislação aplicável.
Sempre que o processamento dos dados pessoais estiver baseado no consentimento explícito do titular dos dados, um registro de tal consentimento precisa ser feito e
mantido.
Manutenção de dados
A FSRENTAL manterá registros precisos de suas atividades de processamento, incluindo registros obrigatórios conforme estabelecido nas leis aplicáveis de proteção
de dados.
Direitos do titular dos dados
Os titulares dos dados têm direitos específicos relacionados a seus dados pessoais e o modo pelo qual eles são processados. Os titulares dos dados terão um mecanismo
razoável para lhes permitir acessar seus dados pessoais, exercer qualquer outro direito aplicável, tais como o direito de atualizar, retificar, eliminar ou transmitir em forma portátil
seus dados pessoais, se apropriado ou requerido pela lei (“Direitos do Titular dos dados”), e fazer uma consulta ou reclamação relacionada ao processamento de seus
dados pessoais.
Processador de dados
Ao agir como processador de dados, a FSRENTAL, em cumprimento às leis aplicáveis e requisitos contratuais, notificará o controlador de dados de qualquer solicitação feita
pelo titular dos dados para exercer os direitos de titular dos dados e fornecer assistência razoável após solicitação para permitir que o controlador de dados responda à
solicitação conforme requerido pelas leis de proteção de dados.
Controlador de dados
Ao agir como processador de dados, a FSRENTAL tem a responsabilidade de respeitar os direitos do titular dos dados e responder a solicitações relacionadas conforme exigido
pelas leis de proteção de dados.
Transferências internacionais de dados pessoais
Leis aplicáveis de proteção de dados e compromissos com o cliente podem exigir que a FSRENTAL tome medidas para proteger os dados pessoais antes de os transferir para
fora do país onde foram coletados.
Proteção equivalente
A FSRENTAL precisa tomar medidas para assegurar que as transferências internacionais, se for o caso, de dados pessoais estejam sujeitas às salvaguardas
adequadas. Os dados pessoais que forem transferidos internacionalmente precisam ser processados pela FSRENTAL ou em nome dela conforme as leis aplicáveis de proteção
de dados e compromissos do cliente.
Transferências a prestadores de serviço
Antes que qualquer transferência a um prestador de serviços ocorra, a FSRENTAL tomará medidas para incorporar as cláusulas contratuais padrão no acordo contratual
aplicável entre a FSRENTAL e o prestador.
Gestão de terceiros e prestadores de serviço
Relacionamentos comerciais com terceiros e com sua contratação precisam ser conduzidos de maneira que cumpra com esta Política e as leis aplicáveis de proteção
de dados e compromissos com o cliente.
Prestadores de serviço e subprocessadores apenas podem ser contratados se forem capazes de cumprir os padrões adequados e fornecer as proteções pertinentes para os
dados pessoais.
Pelo menos:
Análise detalhada adequada de todos os prestadores de serviço e
subprocessadores deve ser conduzida, antes do processamento de seus dados
pessoais (incluindo armazenamento e acesso), e em uma base contínua após,
conforme necessário.
Devem ser implementadas obrigações contratuais pertinentes com cada
prestador de serviço (onde relevante), que incluem obrigações contratuais
equivalentes àquelas que se aplicam à FSRENTAL segundo seus contratos
relevantes com o cliente.
A FSRENTAL tomará medidas para incorporar as cláusulas contratuais padrão
no acordo contratual aplicável entre a FSRENTAL e o prestador, caso haja
alguma transferência restrita.
Todas as medidas necessárias segundo as leis aplicáveis de proteção de dados
e compromissos contratuais com o cliente serão cumpridos.
Resposta a incidentes
Controles adequados são necessários para que os incidentes de segurança que possam impactar os dados pessoais sejam detectados, relatados e administrados segundo as
políticas e procedimentos estabelecidos. Quando um evento ou incidente de segurança puder impactar os dados pessoais ou indicar uma violação a esta Política, as leis de
proteção de dados ou compromissos com o cliente, o Departamento Jurídico e Compliance deverá ser imediatamente notificado.
O Departamento Jurídico e Compliance tem a responsabilidade de avaliar, investigar e determinar a resposta e obrigações de notificação que surgem de um evento ou
incidente de privacidade, e todo o pessoal deve cooperar com Departamento Jurídico e Compliance conforme necessário para avaliar, investigar, mitigar, relatar e resolver
eventos e incidentes de privacidade. Onde uma violação de dados é determinada, a FSRENTAL precisa agir prontamente para fornecer qualquer aviso necessário aos
clientes relevantes, autoridades supervisórias e titulares dos dados.
Conscientização e treinamento de privacidade
Governança de privacidade e proteção de dados são essencialmente importantes para a FSRENTAL, e sua capacidade de:
Cumprir as leis e compromissos contratuais com os clientes
Controlar riscos
Manter a confiança
Operar efetivamente
Suportar metas estratégicas e o modelo de governança de dados
Treinamento anual
Treinamento obrigatório sobre privacidade e segurança será obrigatório para todo o pessoal, pelo menos, em caráter anual, referente à privacidade, proteção de dados e
segurança da informação.
Treinamento adicional baseado na função
Pessoal com funções que envolvem administração regular de dados pessoais e aqueles com responsabilidades chave específicas dentro da estrutura de governança da
privacidade receberão treinamento e recursos adicionais baseados na função.
Avaliações de impacto à privacidade
É estritamente importante que as atividades e processos sejam concebidos, implementados e realizados de forma que ofereça conformidade com as leis de proteção
de dados e políticas da FSRENTAL e a integração das proteções necessárias para dados pessoais.
Avaliações de impacto à privacidade
Avaliações de impacto da privacidade (PIA, Privacy Impact Assessments) devem ser conduzidas para avaliar o impacto à privacidade e identificar riscos relacionados aos
projetos, atividades e prestadores de serviço que possam impactar a privacidade e a segurança dos dados pessoais.
Antes de contratar um novo prestador de serviços, começar um novo projeto, conceber ou atualizar substancialmente um novo sistema, combinar dados de dois sistemas ou
registrar configurações, ou de outra forma, envolver-se toda atividade ou processo novos ou substancialmente modificados que possam impactar os dados pessoais ou
como são processados, uma PIA precisa ser conduzida.
Avaliações de impacto da proteção de dados
Onde uma PIA indicar que o processamento dos dados pessoais tem a probabilidade de resultar em um alto risco aos direitos e liberdade das pessoas, uma avaliação de
impacto à proteção de dados (DPIA, Data Protection Impact Assessment) será conduzida antes de tal processamento a fim de determinar a natureza desses riscos e
mitigá-los dentro do possível. Tal processamento não pode começar até que o Departamento Jurídico e Compliace tenha determinado que os riscos do processamento
foram adequadamente mitigados.
Avaliação e atualizações contínuas
Avaliações de risco contínuas de processos e sistemas administrativos serão conduzidas para:
verificar a implementação e o cumprimento de controles internos, políticas e procedimentos; e
identificar qualquer falha de conformidade.
Processos e procedimentos de conformidade com a privacidade serão atualizados para responder por:
novas ameaças ou riscos aos negócios que foram identificados;
mudanças a operações e atividades;
mudanças na legislação de privacidade; e
áreas para melhoria com base nos resultados das avaliações de risco, PIA,
auditorias, reclamações, lições aprendidas de iniciativas de resposta a
incidentes, e/ou outros meios.
Governança
A FSRENTAL estabeleceu o Departamento Jurídico e Compliance para desenvolver, administrar e orientar iniciativas de privacidade em toda a empresa.
Inicia e incentiva uma cultura de privacidade dentro da FSRENTAL
Assegura que a privacidade seja incluída nos objetivos e metas da empresa
Administra a conformidade em um ambiente regulamentar complexo
6. Definições
“Cliente” significa um cliente atual, anterior ou potencial da FSRENTAL, e qualquer outra parte em cujo nome a FSRENTAL age segundo orientação de tal cliente.
“Controlador de dados” ou “Controlador” significa a pessoa/entidade natural ou jurídica que sozinha ou em conjunto com outros, determina os propósitos e meios do
processamento de dados pessoais.
“Dados confidenciais” significa dados pessoais considerados confidenciais ou que, de outra forma, estão sujeitos a normas regulamentares mais estritas segundo as leis de
proteção de dados (incluindo “categorias especiais de dados pessoais” conforme as leis de proteção de dados da UE), e dados pessoais que, se acessados ou divulgados sem
autorização, poderiam levar a roubo de identidade ou dano substancial financeiro, físico ou à reputação, incluindo também: raça ou etnia; crenças religiosas ou filosóficas;
associação a sindicatos; afiliação política; orientação sexual ou vida privada; informações de saúde, tratamento médico; informações sobre deficiência física ou mental; informações de saúde protegidas; saúde mental; genética, biometria; números de cartão de crédito ou contas financeiras; dados de cartão de pagamento; número de CPF ou identificadores do governo; relatório de crédito ou verificação de antecedentes; e antecedentes criminais ou processos penais.
“Dados pessoais” significa toda informação relacionada a uma pessoa natural identificada ou identificável; inclui informações em qualquer formato ou meio,
independentemente de a informação estar criptografada ou não. Uma pessoa pode ser diretamente identificada por seu nome, endereço, ID de funcionário, número de
reclamação, endereço de e-mail, número de telefone ou identificador do governo, por exemplo. Uma pessoa pode ser indiretamente identificada por meio de vinculação ou
combinação de informações adicionais que podem ou não estar sob custódia ou controle da FSRENTAL, tais como um endereço de IP, endereço MAC, identificador de dispositivo, identificador biométrico ou outro identificador exclusivo, informações de geolocalização, informações genéticas ou de DNA, por exemplo.
“Dados pessoais dos clientes” significa dados pessoais que a FSRENTAL processa (como processador de dados) em nome de seus clientes.
“Processador de dados” ou “Processador” significa a pessoa/entidade natural ou jurídica que processa dados pessoais em nome do controlador.
“Leis de proteção de dados” significa, na medida do que se aplica à FSRENTAL, as leis, normas e regulamentações referentes à proteção da privacidade ou dos dados, ou
de outra forma, que regem o processamento dos dados pessoais.
“Pessoal” significa todos os funcionários que trabalham em período integral, em meio período, temporários, regulares e terceirizados, consultores e trabalhadores sem vínculo
empregatício.
“Prestador de serviços” significa um processador de dados terceirizado (incluindo um subprocessador) que fornece mercadorias ou serviços para uma entidade da
FSRENTAL ou para outra entidade ou pessoa em nome de uma entidade da FSRENTAL.
“Processo” significa toda operação ou conjunto de operações executadas em dados pessoais ou conjunto destes, seja por meios automatizados ou não, tais como coleta,
registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou outra forma
de disponibilização, alinhamento ou combinação, restrição, eliminação ou destruição dos dados.
“Subprocessador” significa um prestador de serviços nomeado por ou em nome de uma entidade da FSRENTAL (em sua capacidade como processador de dados) que
processará dados pessoais do cliente.
“Titular dos dados” significa a pessoa física a quem os dados pessoais se referem.
“Violação de dados” significa todo acesso não autorizado conhecido ou razoavelmente suspeito, uso, divulgação ou outro processamento de dados pessoais, bem como toda
perda, roubo ou aquisição de dados pessoais ou qualquer incidente que comprometa a segurança dos dados pessoais.
7. Contato
Qualquer dúvida em relação à nossa Política pode ser esclarecida entrando em contato conosco.
Envie um e-mail para lgpd@snd.com.br
Estamos localizados na Rodovia Anhanguera, s/n – KM 17 – Parque São Domingos –
Complexo Anhanguera – Galpão 1, (Módulo III), Sala 21, CEP: 05112-000