Perguntas frequentes sobre o RGPD AJAX
Noções básicas
O que é o RGPD?
O Regulamento Geral sobre a Proteção de Dados (também conhecido como Regulamento 2016/679 ou "RGPD") é um Regulamento da legislação da UE sobre a proteção e privacidade de dados na UE e no Espaço Económico Europeu (EEE). Embora tenha sido redigido e aprovado pela União Europeia (UE), impõe obrigações de proteção de dados em organizações em todo o lado, desde que direcionem ou recolham dados relacionados com pessoas na UE.
O que são dados pessoais?
São considerados dados pessoais qualquer informação relacionada com um indivíduo que possa ser direta ou indiretamente identificado. As diferentes informações, que sejam recolhidas em conjunto, podem levar à identificação de uma pessoa em particular e também constituem dados pessoais.
Os dados pessoais que sejam anonimizados, encriptados ou pseudonimizados, mas que possam ser utilizados para voltar a identificar uma pessoa continuam a ser dados pessoais e estão abrangidos no âmbito da legislação.
Aqui estão alguns exemplos de dados pessoais:
- nome e apelido;
- endereço;
- endereço de email;
- número do cartão de cidadão;
- dados de localização;
- endereço IP;
- identificadores de cookies;
- identificador de publicidade do telemóvel.
O que significa tratar os dados?
A definição de tratamento de dados abrange uma vasta gama de operações realizadas sobre dados pessoais, tanto por meios manuais como automatizados. Inclui a recolha, gravação, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, utilização, divulgação por transmissão, disseminação ou disponibilização de qualquer outra forma, alinhamento ou combinação, restrição, eliminação ou destruição de dados pessoais. Se fizer alguma coisa aos dados de qualquer uma das formas acima, está a tratar dados.
Qual é a diferença entre um subcontratante e um responsável pelo tratamento de dados?
Um responsável pelo tratamento de dados refere-se a uma organização, instituição ou indivíduo que define as normas e regras para o tratamento de dados pessoais. Em termos práticos, isto significa que o responsável pelo tratamento de dados é responsável por determinar como e por que motivo os dados pessoais são utilizados por uma organização. Na maioria dos casos, o responsável pelo tratamento de dados é a pessoa ou organização que recolhe os dados e decide como serão utilizados.
Isto contrasta com um subcontratante. De acordo com o RGPD, um subcontratante é uma organização, instituição ou indivíduo que implementa as normas de tratamento de dados estabelecidas pelo responsável pelo tratamento de dados. Normalmente, um subcontratante é uma parte que trata os dados seguindo ordens e ao critério de um responsável pelo tratamento de dados. Um subcontratante não possui nenhum dos dados que trata e não controla os mesmos. Isso significa que um subcontratante não pode alterar o significado dos dados, orientar a forma como os dados são utilizados e está obrigado a seguir as instruções.
Existem algumas perguntas de verificação para compreender a diferença entre as funções do responsável pelo tratamento de dados e do subcontratante:
O responsável pelo tratamento de dados decide o seguinte:
- a organização que recolhe os dados em primeira instância e tem a base jurídica para o fazer;
- para que fins serão utilizados os dados pessoais;
- se os dados devem ser divulgados e, em caso afirmativo, a quem;
- se o acesso do titular dos dados e outros direitos individuais se aplicam ou se existem isenções;
- por quanto tempo devem os dados ser conservados e se devem ser alterados de forma não rotineira.
O subcontratante decide o seguinte:
- os métodos utilizados para a recolha e o armazenamento de dados pessoais;
- como os dados são protegidos;
- os meios utilizados para transferir dados pessoais de uma organização para outra;
- como os dados pessoais são recuperados;
- o método para garantir o cumprimento do calendário de conservação;
- como os dados pessoais são eliminados.
Quais são as condições do RGPD para o tratamento de dados pessoais?
O artigo 6 do RGPD lista as várias condições (também conhecidas como base) sob as quais é legal tratar os dados pessoais:
- Consentimento. Consentimento significa que o titular dos dados deu consentimento explícito para uma atividade de tratamento de dados pessoais para um ou mais propósitos específicos. A noção de propósito é fundamental neste caso. Se o sujeito dos dados, também conhecido como pessoa natural, der consentimento para o tratamento sem saber o(s) propósito(s) específico(s) de forma completa e fácil de entender, o consentimento não constitui um fundamento jurídico para o tratamento, uma vez que o consentimento deve ser dado de forma livre, específico, informado e inequívoco. Além disso, o consentimento não pode ser agrupado. Portanto, para cada atividade de tratamento de dados dentro de uma operação mais ampla, a regra geral é que é necessário um consentimento separado para cada atividade.
- O tratamento é necessário para executar ou preparar a celebração de um contrato em que o titular dos dados é parte. Uma organização pode confiar nesta base jurídica se precisar de tratar os dados pessoais de alguém para lhe disponibilizar um serviço contratual ou porque foi solicitado à organização que faça algo antes de celebrar um contrato (por exemplo, dar um orçamento).
- É necessário tratar dados para cumprir com uma obrigação legal. Se o responsável pelo tratamento tiver um dever legal para o qual seja necessário tratar dados pessoais em particular, o tratamento é permitido. Esse cumprimento de uma obrigação legal para a qual o tratamento é necessário e a que o responsável pelo tratamento está sujeito também não é novidade.
- É necessário tratar os dados para salvar a vida de alguém. Esta base também é conhecida como «interesse vital». Neste caso, a pessoa natural não precisa de ser um sujeito de dados; também pode ser outra pessoa natural. Naturalmente, não cabe ao responsável pelo tratamento definir o que é um interesse vital. Esta base diz respeito a circunstâncias de perigo de vida em que não existe outro fundamento jurídico para o tratamento, mas em que o não tratamento de dados pessoais significa essencialmente que alguém pode morrer se o subcontratante não fizer nada e, por esse motivo, precisa de saber algumas coisas sobre a pessoa natural que está em perigo.
- O tratamento é necessário para realizar uma tarefa de interesse público ou para desempenhar uma função oficial. Uma organização pode basear-se nesta base jurídica se precisar de tratar dados pessoais «no exercício da autoridade pública». Isto abrange as funções e poderes públicos que estão previstos por lei, ou para desempenhar uma tarefa específica de interesse público prevista na lei.
- O responsável pelo tratamento tem um interesse legítimo para tratar os dados pessoais de alguém. O tratamento de dados pessoais neste contexto pode não ser necessariamente justificado por uma obrigação legal ou realizado para executar os termos de um contrato com um indivíduo. Nesses casos, o tratamento de dados pessoais pode ser justificado com o fundamento de interesse legítimo. Por exemplo, um subcontratante tem o interesse legítimo quando o tratamento decorre no âmbito de uma relação com o cliente, para finalidades de marketing direto, para prevenir fraudes, ou para assegurar a segurança de rede e informação dos sistemas de TI.
Como funciona o consentimento ao abrigo do RGPD?
Existem regras estritas sobre o consentimento de um titular de dados para o tratamento da respetiva informação:
- O consentimento tem de ser «dado de livre vontade, específico, informado e inequívoco.»
- Os pedidos de consentimento têm de ser «claramente distintos de outras questões» e apresentados em «linguagem clara e simples.»
- Os titulares dos dados podem retirar o consentimento dado previamente quando quiserem, e deve honrar a decisão dos mesmos. Não é possível alterar simplesmente a base jurídica do tratamento para uma das outras justificações.
- É necessário manter provas documentais do consentimento.
Quais são os direitos individuais ao abrigo do RGPD?
O RGPD confere os seguintes direitos aos indivíduos:
- O direito à informação (os indivíduos têm o direito de estar informados sobre a forma como as empresas recolhem e utilizam os seus dados pessoais, durante quanto tempo planeiam manter esses dados e com quem os pretendem partilhar);
- O direito de acesso (os indivíduos têm o direito de saber exatamente qual a informação que as empresas recolheram, como armazenam e tratam esses dados e o que vão fazer com os mesmos);
- O direito de retificação (os indivíduos têm o direito de exigir que os dados incompletos sejam completados e que os dados incorretos sejam corrigidos);
- O direito ao apagamento(os indivíduos têm o direito de exigir a eliminação permanente dos seus dados pessoais. Isto também é conhecido como o «direito a ser esquecido»);
- O direito à limitação do tratamento (se os indivíduos não puderem exigir a eliminação das suas informações pessoais aos responsáveis pelo tratamento de dados, podem restringir a capacidade dos responsáveis pelo tratamento de dados para tratarem esses dados);
- O direito à portabilidade dos dados (os indivíduos têm o direito de obter e reutilizar os seus dados pessoais para os seus próprios fins e em diferentes serviços);
- O direito de oposição (os indivíduos têm o direito de se opor ao tratamento dos seus dados pessoais em determinadas circunstâncias);
- Direitos em relação à tomada de decisão e elaboração de perfil automatizados (os indivíduos têm o direito e exigir a intervenção humana, em vez de deixarem as decisões importantes serem tomadas por algoritmos).
Quais são os sete princípios do RGPD?
Existem sete princípios chave de proteção e responsabilidade dos dados de acordo com o RGPD:
- Legalidade, justiça e transparência — o tratamento tem de ser legal, justo e transparente para o titular dos dados.
- Limitação de propósito — os dados têm de ser tratados para os propósitos legítimos especificados explicitamente ao titular dos dados aquando da recolha.
- Minimização de dados — devem ser recolhidos e tratados apenas os dados absolutamente necessários para os propósitos especificados.
- Precisão — os dados pessoais têm de ser mantidos atualizados e precisos.
- Limitação de armazenamento — só podem ser armazenados dados de identificação pessoal pelo tempo necessário para o propósito especificado.
- Integridade e confidencialidade — o tratamento deve ser feito de forma a garantir segurança adequada, integridade e confidencialidade (por exemplo, recorrendo a encriptação).
- Responsabilidade — o responsável pelo tratamento de dados é responsável pela demonstração de conformidade com o RGPD de todos estes princípios.
O RGPD exige que os dados pessoais dos residentes na UE permaneçam na UE?
O RGPD não tem uma restrição direta para que os dados pessoais dos residentes na UE permaneçam apenas na UE. No entanto, a proteção de dados da UE funciona sob o princípio de que «o RGPD fica com os dados», o que significa que as regras que protegem os dados pessoais continuam a aplicar-se, independentemente do local onde os dados acabam por ir parar. Este princípio também se aplica quando os dados pessoais são transferidos para um país que não é membro da UE.
Tratamento por Ajax
Ajax trata os meus dados pessoais?
Sim, Ajax pode tratar os seus dados pessoais. Abaixo estão as principais formas como podemos utilizar as suas informações:
- nos nossos sistemas de segurança (por exemplo, através de Ajax Hub e outros dispositivos);
- nas nossas aplicações para utilizadores finais e utilizadores PRO: móveis (Ajax Security System e Ajax PRO: Tool for Engineers), desktop (Ajax Desktop e Ajax PRO Desktop) e ferramentas web Ajax (doravante referidas como Produtos ou Serviços);
- quando visita o nosso website através de https://ajax.systems;
- no âmbito da cooperação comercial entre si e Ajax (independentemente de ser um parceiro direto ou indireto ou subcontratado de Ajax);
- durante a comunicação personalizada entre si e Ajax (por exemplo, entrevistas, reuniões, etc.);
ao prestar serviços relacionados com a funcionalidade dos Serviços Ajax melhorados (incluindo Ajax SIM, Ajax Cloud Storage, etc.);
Que tipos dos meus dados podem ser tratados por Ajax?
Ajax pode tratar diferentes tipos de dados, dependendo do cenário da interação consigo.
Através dos nossos dispositivos de segurança doméstica, podemos processar:
- Informação sobre o seu Hub (como o seu modelo e o número de série, informação de rede, incluindo o endereço IP, registos de atividade do dispositivo, configuração histórica e atual do dispositivo e a sua localização).
- Dados de telemetria e ambientais.
Para fornecer aos utilizadores informações sobre o sistema na forma de estados e eventos, tratamos dados de telemetria.
O termo «dados de telemetria» (doravante também «telemetria») refere-se a dados e outras indicações que são automaticamente recolhidos, transmitidos e medidos por sensores integrados nos nossos dispositivos para determinar o estado do ambiente e a capacidade de funcionamento, bem como para detetar possíveis anomalias no funcionamento dos dispositivos.
Durante a utilização dos nossos Produtos ou Serviços, podemos tratar:
- Informações sobre si (como nome, apelido, endereço de e-mail, número de telemóvel e a sua fotografia de conta).
- Informação que partilha connosco da lista de contactos do seu dispositivo ao convidar utilizadores para aderir ao Produto (como o e-mail ou o número de telemóvel de uma pessoa que convide para o Produto).
- Identificadores únicos para os nossos Serviços (como o seu nome de utilizador e palavra-passe).
- Identificadores únicos dos utilizadores ligados por si ao Produto, como o nome do utilizador, o papel do utilizador no Produto e o seu endereço de e-mail; informações sobre os seus dispositivos móvel e desktop, como o tipo de dispositivo, sistema operativo e idioma do sistema.
- Dados baseados na localização de forma a podermos fornecer-lhe lembretes para armar/desarmar o sistema, se ativar a função Geofence na nossa app.
- Para utilizadores Android e iOS, SMS com o código de autorização solicitado durante o registo ou alterações da conta.
- Informações sobre a forma como utiliza os nossos Produtos e Serviços (como pedidos da app ao nosso servidor).
Se visitar o nosso website, podemos tratar:
- As informações que fornece ao preencher os formulários, que podem conter os seus dados pessoais e de contacto.
- Identificadores de cookies (através da ferramenta em conformidade com RGPD).
- O seu endereço IP para definir o país da sua localização.
Em caso de cooperação empresarial, podemos tratar:
- Informações pessoais e de contacto de representantes da empresa (nome, cargo, endereço de e-mail e número de telemóvel).
- Pedidos de parceiros e dos seus representantes autorizados (por exemplo, enviados para o endereço de e-mail de suporte, através de aplicações, mensageiros, etc.).
- Cartões de visita dos parceiros.
Durante comunicações personalizadas, entrevistas ou reuniões:
Se decidir entrar em contacto connosco ou candidatar-se a um emprego na Ajax, além dos dados recolhidos da forma descrita acima, também poderemos recolher e tratar dados pessoais adicionais que partilhar durante a comunicação e/ou nos documentos que fornecer (por exemplo, currículo/CV, carta de apresentação), incluindo, mas não se limitando a:
- Informações pessoais (nome, apelido, número de telemóvel, endereço de e-mail, fotografia).
- Identificadores únicos (por exemplo, nome de utilizador, login).
- Experiência profissional anterior.
- Informações sobre educação e formação.
- Certificados, diplomas, referências.
- Passatempos, interesses e outras preferências pessoais.
Para este tratamento, a lista (âmbito) de dados pessoais e outras informações pode ser posteriormente modificada, detalhada ou ampliada ao longo do processo. Ao mesmo tempo, a recolha e o tratamento dos dados pessoais necessários são limitados aos fins deste tratamento e são realizados em conformidade com os requisitos da legislação aplicável.
Além disso, ao tratar dados no contexto de comunicações comerciais ou personalizadas, ao lidar com pedidos de parceiros e cartões de visita, ao realizar reuniões, entrevistas, etc., bem como para otimizar operações e processos internos, a Ajax pode utilizar tecnologias de inteligência artificial (doravante também referidas como «IA»).
Os dados tratados por inteligência artificial podem, em alguns casos, incluir dados pessoais que identifiquem um indivíduo, na medida e na quantidade em que: a) estejam disponíveis publicamente; b) tenham sido fornecidos voluntariamente por si.
Ao mesmo tempo, o acesso aos dados que forneceu voluntariamente a Ajax está estritamente limitado aos funcionários de Ajax. A IA não consegue de identificar os seus dados, apenas trata estes pedidos, em particular de utilizadores/clientes Ajax, etc. As decisões relativas à gestão dos dados que recebemos dos pedidos dos utilizadores/clientes de Ajax e dos cartões de visita dos parceiros são tomadas exclusivamente pelos funcionários de Ajax.
Para o tratamento especificado com base em inteligência artificial, contratamos prestadores de serviços que mantêm o nível necessário de proteção de dados pessoais.
Tenha em atenção que o tratamento destes dados por Ajax é limitado e é realizado exclusivamente com o objetivo de melhorar a eficiência das operações internas e no âmbito de finalidades relacionadas.
Qual é o propósito e a base jurídica para o tratamento?
- Todos os dados que recebemos através dos nossos dispositivos de segurança ou enquanto estiver a utilizar os nossos Produtos ou Serviços são tratados apenas para lhe fornecer os serviços de segurança solicitados. Isto significa que tratamos todos esses dados para executar um contrato que temos consigo. Significa também que não recolhemos quaisquer dados que não sejam especificamente necessários para lhe prestarmos tais serviços.
- Se decidir subscrever a nossa newsletter, enviar-lhe-emos emails com algumas informações sobre nós e as nossas últimas atualizações. Contamos com o consentimento que nos dá ao confirmar a sua subscrição. Para além disso, personalizaremos estes emails com base na informação que temos sobre a sua pessoa, de modo a torná-los mais relevantes e mais úteis para si.
- Se tiver partilhado registos de operações da sua aplicação, no caso de ter tido algum problema, processaremos esses registos para resolver o seu problema técnico e para melhorar os nossos Produtos e Serviços. Processamos tais registos com base no nosso interesse legítimo, com o objetivo de tornar as nossas ofertas de mercado mais competitivas.
- Utilizamos os dados que partilha connosco da lista de contactos do seu dispositivo quando convida utilizadores para aderir ao Produto (como o email ou o número de telemóvel de uma pessoa que convide para o Produto) apenas para enviar o convite a essas pessoas.
Todos os dados que nos fornece voluntariamente, seja por e-mail, através de aplicações ou mensageiros, ou através da partilha de cartões de visita ou currículos, bem como os dados disponíveis publicamente, são tratados para garantir a eficiência dos processos internos, estabelecer cooperação comercial e/ou apoiar a comunicação personalizada.
Onde é armazenada a informação?
Os dados pessoais do utilizador que Ajax pode recolher são armazenados na nuvem localizada na Irlanda, Alemanha e França (dentro do EEE); a escolha do local de armazenamento dos dados (na Irlanda, Alemanha e França) está sujeita à disponibilidade da infraestrutura da AWS.
Outros dados pessoais recolhidos por Ajax também podem ser armazenados em servidores e/ou armazenamento em nuvem localizados em várias jurisdições. Isto inclui o armazenamento com afiliadas do grupo de empresas Ajax, bem como com terceiros que sejam contratados, prestadores de serviços ou fornecedores de Ajax, cujos servidores estejam localizados em países que ofereçam um nível adequado de proteção e segurança de dados pessoais.
Embora as leis de proteção de dados pessoais possam variar de país para país, Ajax aplica as salvaguardas descritas neste e noutros documentos internos, independentemente do local onde estes dados são armazenados.
Durante quanto tempo são armazenadas as informações?
memória de notificações push, que é limitada a 500 transações. Para o registo de eventos de conta PRO Desktop, a duração do armazenamento de notificações de eventos é de 2 anos. No entanto, alguns tipos de dados (como o nome, cargo e as informações de contacto dos representantes mencionados nos contratos) podem ser armazenadas durante mais tempo do que o período de cooperação para cumprir as nossas obrigações legais.
Tipo de dados | Propósito do tratamento | Base jurídica | Período de armazenamento |
Informação sobre Ajax Hub (modelo e número de série, informação de rede, incluindo registo de eventos, configuração atual e anterior do dispositivo, localização) | Para garantir o funcionamento correto de Ajax Hub, outros dispositivos e aplicações Ajax | Contrato, em caso de suporte ao serviço — interesse legítimo | Toda a duração da relação com o cliente ou até ser apagado pelo utilizador ou a seu pedido. As cópias de segurança são conservadas por um período máximo de 12 meses. |
Identificadores únicos (nome de utilizador e palavra-passe) | Autorização do utilizador | Contrato | Toda a duração da relação com o cliente ou até ser apagado pelo utilizador ou a seu pedido. As cópias de segurança são conservadas por um período máximo de 12 meses. |
Dados de localização | Para garantir o funcionamento correto de Ajax Hub, outros dispositivos e aplicações Ajax | Contrato e/ou interesse legítimo | Toda a duração da relação com o cliente ou até ser apagado pelo utilizador ou a seu pedido. As cópias de segurança são conservadas por um período máximo de 12 meses. |
Informações sobre a utilização dos nossos Produtos e Serviços (como pedidos da app ao servidor) | Para garantir o funcionamento correto de Ajax Hub, outros dispositivos e aplicações Ajax | Contrato | Toda a duração da relação com o cliente ou até ser apagado pelo utilizador ou a seu pedido. As cópias de segurança são conservadas por um período máximo de 12 meses. |
Informações fornecidas ao preencher os formulários, que podem conter dados pessoais e de contacto | Para fins de comunicação, entrega de produtos e promoções de marketing | Consentimento | Toda a duração da relação com o cliente ou até ser apagado pelo utilizador ou a seu pedido. As cópias de segurança são conservadas por um período máximo de 12 meses. |
Endereço IP | Para garantir o funcionamento correto de Ajax Hub, outros dispositivos e aplicações Ajax | Consentimento ou contrato | Toda a duração da relação com o cliente ou até ser apagado pelo utilizador ou a seu pedido. As cópias de segurança são conservadas por um período máximo de 12 meses. |
Nome, apelido e informações de contacto | Para garantir o funcionamento correto de Ajax Hub, outros dispositivos e aplicações Ajax | Consentimento | Toda a duração da relação com o cliente ou até ser apagado pelo utilizador ou a seu pedido. As cópias de segurança são conservadas por um período máximo de 12 meses. |
Imagens capturadas com dispositivos Ajax | Para garantir o funcionamento correto de Ajax Hub, outros dispositivos e aplicações Ajax | Contrato |
|
Dados de telemetria e informações ambientais | Para garantir o funcionamento correto de Ajax Hub e outros dispositivos | Consentimento ou contrato | Toda a duração da relação com o cliente ou até ser apagado pelo utilizador ou a seu pedido. As cópias de segurança são conservadas por um período máximo de 12 meses. |
Informações fornecidas durante a comunicação com parceiros (por exemplo, cartões de visita com detalhes de contacto, cargo, etc.) | Para comunicações relacionadas com cooperação comercial e agendamento de reuniões | Consentimento e/ou contrato | Toda a duração da relação de parceria ou até ser apagado pela pessoa ou a seu pedido. |
Informações sobre um candidato a uma vaga e/ou funcionário | Para comunicação personalizada, cooperação e agendamento de entrevistas | Consentimento e/ou contrato | Toda a duração da relação do candidato/funcionário ou até que seja apagada a pedido do mesmo. |
Quem tem acesso ao sistema e à informação do lado de Ajax?
Ajax segue os princípios de minimização da disponibilidade e de restrição de privilégios no que diz respeito a acesso a dados. Assim, o acesso aos dados pode ser concedido apenas aos funcionários Ajax responsáveis por dar apoio ao processo dos serviços e disponibilização do projeto. Quando os funcionários de Ajax têm acesso aos dados, o seu equipamento está protegido com encriptação e outras ferramentas, conforme exigido pelas normas técnicas de mercado mais exigentes. Todos os funcionários assinaram um contrato de confidencialidade no local e passam anualmente por uma avaliação de proteção de dados. Todas as ações dos funcionários são registadas e os registos são automaticamente verificados em tempo real. Em caso de suspeita de acesso excessivo, restringimos o acesso e começamos imediatamente a investigar o caso. No entanto, destacamos que Ajax nunca acede a dados sem uma base jurídica válida para o fazer. Nalguns casos, um utilizador pode pedir a Ajax (por sua conta e risco) que conceda acesso aos dados do utilizador a prestadores terceiros designados pelo utilizador (empresas de segurança, instaladores) através das apps móvel e para desktop. Nesses casos, as empresas escolhidas pelo utilizador também terão acesso aos dados que o utilizador deseja transferir.
O que é que Ajax está a fazer para cumprir as leis globais de proteção de dados? Como é que Ajax demonstra conformidade com o RGPD?
Para cumprir as leis internacionais de proteção de dados, Ajax aplica um número significativo de medidas, mecanismos e procedimentos. Por exemplo, Ajax aplica os princípios da limitação do tratamento de dados (privacidade por design e por padrão), minimização de dados, controlo de acesso, políticas de tratamento de dados (políticas de armazenamento, processamento, eliminação, etc.). Como parte das transferências de dados, Ajax recorre a várias medidas, incluindo medidas organizacionais e técnicas e Cláusulas Contratuais Padrão. Pode encontrar mais informações sobre este tema na secção de Transferência de Dados.
Como posso exercer os meus direitos de privacidade?
Para exercer os seus direitos de privacidade (para eliminar, opor-se ou ser informado sobre os seus dados pessoais, para restringir o tratamento, etc.) pode entrar em contacto connosco através do e-mail support@ajax.systems.
Transferência de dados
Com quem pode Ajax os partilhar os meus dados? Que tipos de dados podem ser partilhados e em que casos?
Por norma, só podemos partilhar os seus dados pessoais quando tal é necessário para lhe fornecer os serviços solicitados. Estes dados podem ser divulgados aos nossos fornecedores e prestadores de serviços, que fornecem determinados serviços para que os nossos Produtos e Serviços funcionem. Isto inclui alojamento de dados, suporte técnico, comunicação, etc. Garantimos que estes prestadores tratam os dados com o mesmo cuidado que nós.
Podemos partilhar os seus dados de contacto (como número de telemóvel, alcunha e e-mail) com prestadores de serviços de segurança física, se assim nos solicitar, selecionando um prestador na nossa app. Tenha em atenção que estes prestadores de serviços tornar-se-ão responsáveis pelo tratamento dos seus dados pessoais. Apesar de escolhermos e oferecermos na nossa app parceiros respeitáveis, recomendamos-lhe que verifique as políticas de privacidade dos mesmos, antes de nos solicitar a transferência dos seus dados para as empresas selecionadas.
Para determinadas necessidades, Ajax pode utilizar os serviços de sub-tratadores de terceiros fora do EEE. Estas necessidades podem incluir alojamento de dados, comunicação técnica para registo, instalação e outras atividades organizacionais por e-mail ou telemóvel.
Ajax faz o seu melhor esforço para garantir que estas transferências sejam efetuadas em conformidade com todas as leis aplicáveis de proteção de dados. Portanto, Ajax assinou acordos de tratamento de dados com todos os subcontratantes (incluindo Cláusulas Contratuais Padrão em caso de transferências de dados além fronteiras), assim como medidas suplementares adicionais que ocorrem durante as transferências e tratamento de dados. Todos os subcontratantes de Ajax têm as suas próprias políticas de privacidade e outros documentos relacionados com a privacidade, que são regularmente revistos pelos profissionais de Ajax para garantir a conformidade.
Lista dos subcontratantes aprovados por Ajax:
Serviço | Prestador | Propósito da utilização | Ligação para a política de privacidade e acordo de tratamento de dados |
AWS | Amazon | Alojamento de dados e cópia de segurança | |
Twilio | Twilio Group | SMS programáveis | https://www.twilio.com/legal/privacy https://sendgrid.com/resource/general-data-protection-regulation-2/ |
SendGrid | Twilio Group | Comunicação por e-mail programável | https://www.twilio.com/legal/privacy https://sendgrid.com/resource/general-data-protection-regulation-2/ |
Mailgun | Sinch Email | Serviço de e-mail transacional | |
MongoDB | MongoDB Inc. | Prestador de serviços de base de dados | |
Google BigQuery | Google LLC | Análise, melhoria de serviço | |
BlueDot | Twiso, Inc | Bloco de notas para comunicação com os candidatos | |
Creatio | CREATIO EMEA LTD | Sistema CRM (sistema de comunicação unificada) | https://www.creatio.com/privacy-policy, https://www.creatio.com/GDPR |
OpenAI | OpenAI, L.L.C. | Respostas automatizadas a pedidos |
O que são Cláusulas contratuais padrão?
As Cláusulas contratuais padrão (CCPs) são cláusulas de proteção de dados modelo padronizadas e pré-aprovadas que permitem aos responsáveis pelo tratamento e subcontratantes cumprir com as suas obrigações ao abrigo da lei da proteção de dados da UE. Podem ser incorporadas por controladores e tratadores nas suas disposições contratuais com outras partes, tais como parceiros comerciais. As cláusulas podem ser utilizadas de forma voluntária para demonstrar o cumprimento dos requisitos em matéria de proteção de dados, que exige um compromisso contratual vinculativo de as respeitar. A Comissão Europeia tem a autoridade de adotar CCPs (1) no que se refere à relação entre responsáveis pelo tratamento e subcontratantes e (2) à transferência de dados pessoais para países fora do EEE.
O que são medidas complementares?
As medidas complementares são procedimentos técnicos e organizacionais especialmente implementados, que são utilizados para alcançar um nível eficaz de segurança sobre os dados transferidos equivalente ao tratamento dos dados no EEE.
Ajax implementou, inclusive mas sem limitação, as seguintes medidas organizacionais:
- formação regular de sensibilização e avaliação dos funcionários de Ajax;
- sistema automatizado para monitorização em tempo real das violações e vulnerabilidades;
- registo contínuo de todos os processos;
- inspeção e validação personalizadas regulares do sistema Ajax em relação a vulnerabilidades.
Ajax implementou, inclusive mas sem limitação, as seguintes medidas técnicas:
- Medidas para prevenir que pessoas não autorizadas tenham acesso aos sistemas de tratamento de dados disponíveis nas instalações (incluindo bases de dados, servidores de app e hardware correspondente), onde os dados pessoais são tratados, incluindo o estabelecimento de áreas de segurança, restrição de caminhos de acesso, o estabelecimento de autorizações de acesso para funcionários e terceiros, bloqueio de portas (abertura de portas elétrica, etc.).
- Medidas para impedir que os sistemas de tratamento de dados sejam utilizados por pessoas não autorizadas, incluindo a identificação do utilizador e procedimentos de autenticação, procedimentos de segurança de ID/palavra-passe, encriptação de dados multimédia arquivados.
- Medidas para garantir que as pessoas com direito a utilizar um sistema de tratamento de dados tenham acesso apenas aos dados pessoais de acordo com os seus direitos de acesso e que os dados pessoais não possam ser lidos, copiados, modificados ou eliminados sem autorização, incluindo políticas e procedimentos internos, esquemas de autorização de controlo, direitos de acesso diferenciados (perfis, papéis, transações e objetos), monitorização e registo de acessos, medidas disciplinares contra os funcionários que acedam a dados pessoais sem autorização.
- Medidas para garantir que os dados pessoais não possam ser lidos, copiados, modificados, ou eliminados sem autorização durante a transmissão eletrónica, transporte ou armazenamento em multimédia de armazenamento (manual ou eletrónico), e que pode ser verificado a quais as empresas ou outras entidades legais podem ser divulgados Dados Pessoais, incluindo encriptação, registo, segurança de transporte. Todos os dados pessoais são encriptados com o algoritmo AES256 em repouso e estão sujeitos a transferência através de HTTPS com encriptação AES128 e TLS 1.2.
- Medidas para monitorizar se os dados foram inseridos, alterados ou removidos (eliminados) e por quem, dos sistemas de tratamento de dados, incluindo sistemas de registo e relatórios, pistas de auditoria e documentação.
- Medidas para garantir que os dados pessoais estão protegidos contra destruição ou perda acidentais (física/lógica), incluindo procedimentos de cópia de segurança, fonte de alimentação ininterrupta (UPS), armazenamento remoto, sistemas antivírus/firewall, plano de recuperação de desastres, plano de sustentabilidade da empresa.
- Medidas para garantir que os dados pessoais recolhidos para diferentes propósitos possam ser tratados separadamente, incluindo a separação de bases de dados, limitação de utilização, segregação de funções (produção/testagem).
O que é uma avaliação do impacto da transferência?
A avaliação do impacto da transferência (AIT) é uma análise realizada por um responsável pelo tratamento de dados ou pelo subcontratante sobre as implicações de segurança de uma transferência de dados pessoais para países fora da UE/EEE ou que beneficiam de uma decisão de adequação.