Política de retenção de dados

Política de Retenção de Dados

1. Introdução

Esta Política estabelece as obrigações da Mike Lane Mods Limited (“a Empresa”) em relação à retenção de dados pessoais coletados, mantidos e processados pela Empresa de acordo com o Regulamento da UE 2016/679 Regulamento Geral de Proteção de Dados (“GDPR”).

O GDPR define “dados pessoais” como qualquer informação relacionada a uma pessoa física identificada ou identificável (um “titular dos dados”). Uma pessoa singular identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador, como um nome, um número de identificação, dados de localização, um identificador online, ou a um ou mais fatores específicos da natureza física, fisiológica , identidade genética, mental, econômica, cultural ou social dessa pessoa física.

O GDPR também aborda dados pessoais de “categoria especial” (também conhecidos como dados pessoais “sensíveis”). Esses dados incluem, mas não estão necessariamente limitados a dados relativos à raça, etnia, política, religião, filiação sindical, genética, biometria do titular dos dados (se usado para fins de identificação), saúde, vida sexual ou orientação sexual.

De acordo com o GDPR, os dados pessoais devem ser mantidos de uma forma que permita a identificação dos titulares dos dados por não mais do que o necessário para os fins para os quais os dados pessoais são processados. Em certos casos, os dados pessoais podem ser conservados por períodos mais longos quando esses dados devam ser tratados para fins de arquivo de interesse público, para investigação científica ou histórica, ou para fins estatísticos (sujeito à implementação das medidas técnicas e organizativas adequadas medidas exigidas pelo GDPR para proteger esses dados).

Além disso, o GDPR inclui o direito de apagamento ou “o direito de ser esquecido”. Os titulares dos dados têm o direito de ter seus dados pessoais apagados (e impedir o processamento desses dados pessoais) nas seguintes circunstâncias:
a) Quando os dados pessoais já não sejam necessários para a finalidade para a qual foram originalmente recolhidos ou tratados (ver acima);
b) Quando o titular dos dados retirar o seu consentimento;
c) Quando o titular dos dados se oponha ao tratamento dos seus dados pessoais e a Empresa não tenha interesse legítimo superior;
d) Quando os dados pessoais sejam tratados de forma ilícita (ou seja, em violação do RGPD);
e) Quando os dados pessoais tenham de ser apagados para cumprimento de uma obrigação legal; ou
f) Quando os dados pessoais sejam tratados para a prestação de serviços da sociedade da informação a uma criança.

Esta Política estabelece o(s) tipo(s) de dados pessoais mantidos pela Empresa para gerenciar projetos de clientes, o(s) período(s) para o qual esses dados pessoais devem ser retidos, os critérios para estabelecer e revisar esse(s) período(s) e quando e como ele deve ser excluído ou descartado de outra forma.

Para obter mais informações sobre outros aspectos de proteção de dados e conformidade com o GDPR, consulte a Política de Proteção de Dados da Empresa.

2. Metas e objetivos

2.1 O objetivo principal desta Política é estabelecer limites para a retenção de dados pessoais e garantir que esses limites, bem como outros direitos de exclusão do titular dos dados, sejam cumpridos. Por extensão, esta Política visa garantir que a Empresa cumpra integralmente as suas obrigações e os direitos dos titulares dos dados ao abrigo do RGPD.
2.2 Além de salvaguardar os direitos dos titulares de dados ao abrigo do RGPD, garantindo que quantidades excessivas de dados não são retidas pela Empresa, esta Política também visa melhorar a velocidade e eficiência da gestão de dados.

3. Escopo

3.1 Esta Política se aplica a todos os dados pessoais mantidos pela Empresa e por processadores de dados de terceiros que processam dados pessoais em nome da Empresa.
3.2 Os dados pessoais mantidos pela Empresa são armazenados das seguintes formas e nos seguintes locais:
a) Servidores de terceiros, operados por um provedor de serviços de armazenamento em nuvem compatível com GDPR;
b) Computadores instalados permanentemente nas dependências da Companhia; e
c) Registros físicos armazenados nas dependências da Companhia.

4. Direitos do Titular dos Dados e Integridade dos Dados

Todos os dados pessoais mantidos pela Empresa são mantidos de acordo com os requisitos do GDPR e os direitos dos titulares de dados, conforme estabelecido na Política de Proteção de Dados da Empresa.

4.1 Os titulares dos dados são mantidos totalmente informados sobre seus direitos, quais dados pessoais a Empresa possui sobre eles, como esses dados pessoais são usados conforme estabelecido nas Partes 12 e 13 da Política de Proteção de Dados da Empresa e por quanto tempo a Empresa os manterá dados pessoais (ou, se nenhum período de retenção fixo puder ser determinado, os critérios pelos quais a retenção dos dados será determinada).
4.2 Os titulares dos dados recebem controle sobre seus dados pessoais mantidos pela Empresa, incluindo o direito de retificação de dados incorretos, o direito de solicitar que seus dados pessoais sejam excluídos ou descartados (não obstante os períodos de retenção definidos por esta Política de Retenção de Dados) , o direito de restringir o uso de seus dados pessoais pela Empresa e outros direitos relacionados à tomada de decisão automatizada e à criação de perfis.

5. Medidas de segurança de dados técnicos e organizacionais

5.1 Todos os dados pessoais armazenados eletronicamente devem ser copiados em intervalos regulares com backups armazenados no local e fora do local. Todos os backups devem ser criptografados usando criptografia AES (Advanced Encryption Standard) de 256 bits. A recuperação de dados deve ser possível remotamente no caso de um desastre local ou outra interrupção dos procedimentos normais de acesso;
a) Todos os emails que contenham dados pessoais devem ser encriptados;
b) Todos os e-mails que contenham dados pessoais devem ser marcados como “confidenciais”;
c) Os dados pessoais só podem ser transmitidos em redes seguras;
d) Os dados pessoais não podem ser transmitidos por uma rede sem fio se houver uma alternativa cablada razoável;
e) Os dados pessoais contidos no corpo de um e-mail, sejam enviados ou recebidos, devem ser copiados do corpo desse e-mail e armazenados de forma segura. O próprio e-mail e os arquivos temporários associados devem ser excluídos;
f) Nos casos em que os dados pessoais devam ser enviados por fax, o destinatário deve ser previamente informado e aguardar a sua receção;
g) Nos casos em que os dados pessoais devam ser transferidos em papel, devem ser transmitidos diretamente ao destinatário ou endereçados especificamente ao destinatário se entregues por correio;
h) Todos os dados pessoais transferidos fisicamente devem ser transferidos em um recipiente adequado marcado como “confidencial”;
i) Nenhum dado pessoal pode ser compartilhado informalmente e caso seja necessário o acesso a algum dado pessoal, tal acesso deve ser solicitado formalmente ao Encarregado de Proteção de Dados da Empresa.
j) Todas as cópias impressas de dados pessoais, juntamente com quaisquer cópias eletrônicas armazenadas em mídia física, devem ser armazenadas de forma segura;
k) Nenhum dado pessoal pode ser transferido a quaisquer funcionários, agentes, contratados ou outras partes, estejam essas partes trabalhando em nome da Empresa ou não, sem autorização;
l) Os dados pessoais devem ser sempre tratados com cuidado e não devem ser deixados sem vigilância ou à vista;
m) Os computadores usados para visualizar dados pessoais devem sempre ser bloqueados antes de serem deixados desacompanhados;
n) Nenhum dado pessoal deve ser armazenado em qualquer dispositivo móvel, seja tal dispositivo pertencente à Empresa ou não;
o) Todos os dados pessoais armazenados eletronicamente devem ser copiados em intervalos regulares, com backups armazenados no local e fora do local. Todos os backups devem ser criptografados;
p) Todas as cópias eletrônicas de dados pessoais devem ser armazenadas de forma segura usando senhas e criptografia;
q) Todas as senhas utilizadas para proteger dados pessoais devem ser alteradas regularmente e devem ser seguras;
r) Em nenhuma hipótese as senhas devem ser anotadas ou compartilhadas. Se uma senha for esquecida, ela deve ser redefinida usando o método aplicável;
s) Todos os softwares devem ser mantidos atualizados. As atualizações relacionadas à segurança devem ser instaladas o mais rápido possível após serem disponibilizadas;
t) Nenhum software pode ser instalado em qualquer computador ou dispositivo de propriedade da Empresa sem aprovação; e
u) Quando os dados pessoais mantidos pela Empresa forem usados para fins de marketing, a Empresa garantirá que o consentimento apropriado seja obtido e que nenhum titular de dados tenha optado por não participar, seja diretamente ou por meio de um serviço de terceiros, como o TPS.

5.2 As seguintes medidas organizacionais estão em vigor dentro da Empresa para proteger a segurança dos dados pessoais. Consulte a Parte 27 da Política de Proteção de Dados da Empresa para obter mais detalhes:
a) Todos os funcionários e outras partes que trabalham em nome da Empresa devem estar plenamente cientes de suas responsabilidades individuais e das responsabilidades da Empresa sob o GDPR e sob a Política de Proteção de Dados da Empresa;
b) Somente funcionários e outras partes que trabalham em nome da Empresa que precisam acessar e usar dados pessoais para realizar seu trabalho terão acesso aos dados pessoais detidos pela Empresa;
c) Todos os funcionários e outras partes que trabalham em nome da Empresa lidando com dados pessoais serão devidamente treinados para fazê-lo;
d) Todos os funcionários e outras partes que trabalham em nome da Empresa lidando com dados pessoais serão devidamente supervisionados;
e) Todos os funcionários e outras partes que trabalham em nome da Empresa lidando com dados pessoais devem sempre ter cuidado e cautela ao discutir qualquer trabalho relacionado a dados pessoais;
f) Os métodos de recolha, conservação e tratamento de dados pessoais devem ser avaliados e revistos regularmente;
g) O desempenho dos funcionários e outras partes que trabalham em nome da Empresa que lidam com dados pessoais deve ser avaliado e revisto regularmente;
h) Todos os funcionários e outras partes que trabalham em nome da Empresa lidando com dados pessoais estarão obrigados por contrato a cumprir o GDPR e a Política de Proteção de Dados da Empresa;
i) Todos os agentes, contratados ou outras partes que trabalham em nome da Empresa lidando com dados pessoais devem garantir que todos e quaisquer funcionários relevantes sejam mantidos nas mesmas condições que os funcionários relevantes da Empresa decorrentes do GDPR e da Proteção de Dados da Empresa Política;
j) Quando qualquer agente, contratado ou outra parte trabalhando em nome da Empresa que lida com dados pessoais falhar em suas obrigações sob o GDPR e/ou a Política de Proteção de Dados da Empresa, essa parte deverá indenizar e isentar a Empresa de quaisquer custos, responsabilidade, danos, perdas, reclamações ou processos que possam surgir dessa falha.

6. Descarte de Dados

Após a expiração dos períodos de retenção de dados estabelecidos abaixo na Parte 7 desta Política, ou quando um titular de dados exercer seu direito de ter seus dados pessoais apagados, os dados pessoais serão excluídos, destruídos ou descartados da seguinte forma:
6.1 Os dados pessoais armazenados eletronicamente (incluindo todo e qualquer backup dos mesmos) devem ser excluídos;
6.2 Os dados pessoais armazenados em papel devem ser triturados e reciclados ou eliminados.
6.3 Ao descartar computadores antigos ou outros equipamentos que contenham dados pessoais, devem ser tomadas medidas completas para remover completamente os dados. Isso deve incluir a exclusão de todos os dados do dispositivo, a redefinição de fábrica e a destruição física e o descarte seguro de discos rígidos, quando apropriado.

7. Retenção de dados

7.1 Conforme declarado acima, e conforme exigido por lei, a Empresa não reterá quaisquer dados pessoais por mais tempo do que o necessário à luz da(s) finalidade(s) para a qual esses dados são coletados, mantidos e processados.
7.2 Diferentes tipos de dados pessoais, utilizados para diferentes finalidades, serão necessariamente retidos por diferentes períodos (e sua retenção revisada periodicamente), conforme estabelecido abaixo.
7.3 Ao estabelecer e/ou revisar os períodos de retenção, deve-se levar em consideração o seguinte:
a) Os objetivos e requisitos da Sociedade;
b) O tipo de dados pessoais em causa;
c) A(s) finalidade(s) para a qual os dados em questão são recolhidos, conservados e tratados;
d) A base legal da Sociedade para a recolha, conservação e tratamento desses dados;
e) A categoria ou categorias de titulares de dados a quem os dados dizem respeito;
7.4 Se um período de retenção preciso não puder ser fixado para um determinado tipo de dados, serão estabelecidos critérios pelos quais a retenção dos dados será determinada, garantindo assim que os dados em questão e a retenção desses dados possam ser revisados regularmente contra esses critérios.
7.5 Não obstante os seguintes períodos de retenção definidos, determinados dados pessoais podem ser excluídos ou descartados de outra forma antes da expiração de seu período de retenção definido, quando for tomada uma decisão dentro da Empresa para fazê-lo (seja em resposta a uma solicitação de um titular de dados ou por outro lado).

Tipo de Dados: Dados de Contato do Cliente via Formulário de Consulta do Site – Nome, Endereço de E-mail e Mensagem
Finalidade dos Dados: Serve como um método de contato para os clientes, bem como um método para coletar consultas de vendas através do site da Empresa
Período de revisão: dois anos
Período ou Critérios de Retenção: Indefinido - retido até que não seja mais necessário

Tipo de Dados: Detalhes do Cliente via Loja do Site – Nome, Nome da Empresa (Opcional), Endereço de Entrega, Endereço de Cobrança, Número de Telefone (Opcional), Endereço de E-mail
Finalidade dos Dados: Essencial para processamento, envio, gerenciamento e suporte a pedidos existentes e futuros, comunicação com o cliente, finanças e faturamento
Período de revisão: dois anos
Período ou Critérios de Retenção: Indefinido - retido até que não seja mais necessário

Tipo de Dados: Detalhes do Cliente via Mensagem Direta – Nome, Endereço, Endereço de E-mail
Finalidade dos Dados: Essencial para processamento, envio, gerenciamento e suporte a pedidos existentes e futuros, comunicação com o cliente, finanças e faturamento
Período de revisão: dois anos
Período ou Critérios de Retenção: Indefinido - retido até que não seja mais necessário

8. Implementação da Política

Esta Política será considerada em vigor a partir de 1º de maio de 2018. Nenhuma parte desta Política terá efeito retroativo e, portanto, se aplicará apenas a assuntos ocorridos a partir desta data.