1. Introdução

Esta Política estabelece as obrigações da Mike Lane Mods Limited (“a Empresa”) em relação à proteção de dados e aos direitos dos clientes (“titular dos dados”) em relação aos seus dados pessoais sob o Regulamento da UE 2016/679 Regulamento Geral de Proteção de Dados (“GDPR ").

O GDPR define “dados pessoais” como qualquer informação relacionada a uma pessoa física identificada ou identificável (um “titular dos dados”); uma pessoa singular identificável é aquela que pode ser identificada, direta ou indiretamente, em especial por referência a um identificador, como um nome, um número de identificação, dados de localização, um identificador on-line ou a um ou mais fatores específicos da natureza física, fisiológica , identidade genética, mental, econômica, cultural ou social dessa pessoa física.

Esta Política define as obrigações da Empresa em relação à coleta, processamento, transferência, armazenamento e descarte de dados pessoais. Os procedimentos e princípios aqui estabelecidos devem ser sempre seguidos pela Empresa, seus funcionários, agentes, contratados ou outras partes que trabalham em nome da Empresa.

A Empresa está comprometida não apenas com a letra da lei, mas também com o espírito da lei e dá grande importância ao tratamento correto, lícito e justo de todos os dados pessoais, respeitando os direitos legais, a privacidade e a confiança de todos indivíduos com quem lida.

2. Os Princípios de Proteção de Dados

Esta Política visa garantir a conformidade com o GDPR. O GDPR estabelece os seguintes princípios com os quais qualquer parte que lida com dados pessoais deve cumprir. Todos os dados pessoais devem ser:

2.1 Processados ​​de forma lícita, justa e transparente em relação ao titular dos dados.
2.2 Recolhidos para fins específicos, explícitos e legítimos e não processados ​​de forma incompatível com esses fins. O processamento posterior para fins de arquivamento de interesse público, fins de pesquisa científica ou histórica ou fins estatísticos não será considerado incompatível com os fins iniciais.
2.3 Adequado, relevante e limitado ao necessário em relação aos fins para os quais é processado.
2.4 Exato e, quando necessário, atualizado. Devem ser tomadas todas as medidas razoáveis ​​para garantir que os dados pessoais inexatos, tendo em conta as finalidades para as quais são tratados, sejam apagados ou retificados sem demora.
2.5 Conservados de uma forma que permita a identificação dos titulares dos dados não mais do que o necessário para as finalidades para as quais os dados pessoais são tratados. Os dados pessoais podem ser armazenados por períodos mais longos na medida em que os dados pessoais serão processados ​​exclusivamente para fins de arquivamento de interesse público, fins de pesquisa científica ou histórica ou fins estatísticos, sujeito à implementação das medidas técnicas e organizacionais apropriadas exigidas pelo GDPR em a fim de salvaguardar os direitos e liberdades do titular dos dados.
2.6 Processados ​​de maneira a garantir a segurança adequada dos dados pessoais, incluindo proteção contra processamento não autorizado ou ilegal e contra perda, destruição ou dano acidental, usando medidas técnicas ou organizacionais apropriadas.

3. Os Direitos dos Titulares dos Dados

O GDPR estabelece os seguintes direitos aplicáveis ​​aos titulares de dados (consulte as partes desta política indicadas para obter mais detalhes):

3.1 O direito de ser informado (Parte 12).
3.2 O direito de acesso (Parte 13);
3.3 O direito de retificação (Parte 14);
3.4 O direito ao apagamento (também conhecido como 'direito ao esquecimento') (Parte 15);
3.5 O direito de restringir o processamento (Parte 16);
3.6 O direito à portabilidade de dados (Parte 17);
3.7 O direito de oposição (Parte 18); e
3.8 Direitos com relação à tomada de decisão automatizada e criação de perfil (Partes 19 e 20).

4. Processamento de Dados Legal, Justo e Transparente

4.1 O GDPR procura garantir que os dados pessoais sejam processados ​​de forma legal, justa e transparente, sem afetar negativamente os direitos do titular dos dados. O GDPR declara que o processamento de dados pessoais será lícito se pelo menos um dos seguintes se aplicar:
4.1.1 O titular dos dados deu consentimento ao tratamento dos seus dados pessoais para uma ou mais finalidades específicas;
4.1.2 O tratamento for necessário para a execução de um contrato em que o titular dos dados seja parte, ou para tomar medidas a pedido do titular dos dados antes de celebrar um contrato com o mesmo;
4.1.3 O tratamento é necessário para o cumprimento de uma obrigação legal a que o responsável pelo tratamento esteja sujeito;
4.1.4 O tratamento é necessário para proteger interesses vitais do titular dos dados ou de outra pessoa singular;
4.1.5 O tratamento é necessário para o desempenho de uma tarefa realizada no interesse público ou no exercício de autoridade oficial investida no controlador de dados; ou
4.1.6 O tratamento é necessário para efeitos dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por um terceiro, exceto quando tais interesses se sobreponham aos direitos e liberdades fundamentais do titular dos dados que exijam proteção de dados pessoais, em particular quando o titular dos dados for uma criança.

5. Finalidades Especificadas, Explícitas e Legítimas

5.1 A Empresa coleta e processa os dados pessoais estabelecidos na Parte 22 desta Política. Isso inclui:
5.1.1 Dados pessoais coletados diretamente dos titulares dos dados; e
5.1.2 Dados pessoais obtidos de terceiros.
5.2 A Empresa apenas coleta, processa e mantém dados pessoais para os fins específicos estabelecidos na Parte 22 desta Política (ou para outros fins expressamente permitidos pelo GDPR).
5.3 Os titulares dos dados são sempre informados sobre a finalidade ou finalidades para as quais a Empresa utiliza os seus dados pessoais. Consulte a Parte 12 para obter mais informações sobre como manter os titulares dos dados informados.

6. Processamento de Dados Adequado, Relevante e Limitado

A Empresa apenas coletará e processará dados pessoais para e na medida do necessário para a finalidade ou finalidades específicas das quais os titulares dos dados foram informados (ou serão informados) conforme a Parte 5, acima, e conforme estabelecido na Parte 21, abaixo .

7. Precisão dos dados e manutenção dos dados atualizados

7.1 A Empresa deve garantir que todos os dados pessoais coletados, processados ​​e mantidos por ela sejam mantidos precisos e atualizados. Isso inclui, mas não se limita à retificação de dados pessoais a pedido de um titular de dados, conforme estabelecido na Parte 14, abaixo.
7.2 A exatidão dos dados pessoais deve ser verificada quando forem coletados e em intervalos regulares posteriormente. Se quaisquer dados pessoais forem considerados imprecisos ou desatualizados, todas as medidas razoáveis ​​serão tomadas sem demora para alterar ou apagar esses dados, conforme apropriado.

8. Retenção de dados

8.1 A Empresa não deve manter dados pessoais por mais tempo do que o necessário à luz da finalidade ou finalidades para as quais esses dados pessoais foram originalmente coletados, mantidos e processados.
8.2 Quando os dados pessoais não forem mais necessários, todas as medidas razoáveis ​​serão tomadas para apagá-los ou eliminá-los sem demora.
8.3 Para obter detalhes completos sobre a abordagem da Empresa em relação à retenção de dados, incluindo períodos de retenção para tipos específicos de dados pessoais mantidos pela Empresa, consulte nossa Política de Retenção de Dados.

9. Processamento seguro

A Empresa deve garantir que todos os dados pessoais coletados, mantidos e processados ​​sejam mantidos seguros e protegidos contra processamento não autorizado ou ilegal e contra perda, destruição ou dano acidental. Mais detalhes das medidas técnicas e organizacionais que devem ser tomadas são fornecidas nas Partes 22 a 27 desta Política.

10. Responsabilidade e Manutenção de Registros

10.1 A Empresa será responsável por supervisionar a implementação desta Política e por monitorar o cumprimento desta Política, outras políticas da Empresa relacionadas à proteção de dados e com o GDPR e outras legislações de proteção de dados aplicáveis.

10.2 A Empresa deve manter registros internos escritos de toda a coleta, retenção e processamento de dados pessoais, que devem incorporar as seguintes informações:
10.2.1 O nome e detalhes da Empresa e quaisquer processadores de dados de terceiros aplicáveis;
10.2.2 As finalidades para as quais a Empresa coleta, mantém e processa dados pessoais;
10.2.3 Detalhes das categorias de dados pessoais coletados, mantidos e processados ​​pela Empresa e as categorias de dados a que esses dados pessoais se referem;
10.2.4 Detalhes de quaisquer transferências de dados pessoais para países não pertencentes ao EEE, incluindo todos os mecanismos e salvaguardas de segurança;
10.2.5 Detalhes de quanto tempo os dados pessoais serão retidos pela Empresa (consulte a Política de Retenção de Dados da Empresa); e
10.2.6 Descrições detalhadas de todas as medidas técnicas e organizacionais tomadas pela Empresa para garantir a segurança dos dados pessoais.

11. Avaliações de impacto da proteção de dados

11.1 A Empresa deve realizar Avaliações de Impacto na Proteção de Dados para quaisquer novos usos de dados pessoais que envolvam o uso de novas tecnologias e o processamento envolvido provavelmente resultará em um alto risco para os direitos e liberdades dos titulares de dados sob o GDPR.
11.2 As Avaliações de Impacto da Proteção de Dados devem abordar o seguinte:
11.2.1 O(s) tipo(s) de dados pessoais que serão coletados, mantidos e processados;
11.2.2 A(s) finalidade(s) para a qual os dados pessoais serão usados;
11.2.3 Os objetivos da Companhia;
11.2.4 Como os dados pessoais devem ser usados;
11.2.5 As partes (internas e/ou externas) que devem ser consultadas;
11.2.6 A necessidade e proporcionalidade do processamento dos dados em relação à(s) finalidade(s) para a qual está sendo processado;
11.2.7 Riscos apresentados aos titulares dos dados;
11.2.8 Riscos dentro e para a Companhia; e
11.2.9 Medidas propostas para minimizar e tratar os riscos identificados.

12. Manter os titulares dos dados informados

12.1 A Empresa fornecerá as informações estabelecidas na Parte 12.2 a todos os titulares de dados:
12.1.1 Quando os dados pessoais são coletados diretamente dos titulares de dados, esses titulares de dados serão informados de sua finalidade no momento da coleta; e
12.1.2 Quando os dados pessoais são obtidos de terceiros, os titulares de dados relevantes serão informados de sua finalidade:
a) se os dados pessoais forem utilizados para comunicar com o titular dos dados, no momento da primeira comunicação; ou
b) se os dados pessoais forem transferidos para outra parte, antes que essa transferência seja feita; ou
c) assim que razoavelmente possível e, em qualquer caso, não mais de um mês após a obtenção dos dados pessoais.
12.2 As seguintes informações devem ser fornecidas:
12.2.1 Detalhes da Empresa;
12.2.2 A(s) finalidade(s) para a qual os dados pessoais estão sendo coletados e serão processados ​​(conforme detalhado na Parte 21 desta Política) e a base legal que justifica essa coleta e processamento;
12.2.3 Quando aplicável, os interesses legítimos sobre os quais a Empresa está justificando sua coleta e processamento de dados pessoais;
12.2.4 Quando os dados pessoais não forem obtidos diretamente do titular dos dados, as categorias de dados pessoais coletados e processados;
12.2.5 Nos casos em que os dados pessoais devam ser transferidos para um ou mais terceiros, detalhes dessas partes;
12.2.6 Quando os dados pessoais forem transferidos para um terceiro localizado fora do Espaço Econômico Europeu (o “EEE”), os detalhes dessa transferência, incluindo, mas não se limitando às salvaguardas em vigor (consulte a Parte 28 do esta Política para mais detalhes);
12.2.7 Detalhes de retenção de dados;
12.2.8 Detalhes dos direitos do titular dos dados sob o GDPR;
12.2.9 Detalhes do direito do titular dos dados de retirar seu consentimento para o processamento de seus dados pessoais pela Empresa a qualquer momento;
12.2.10 Detalhes do direito do titular dos dados de reclamar ao Information Commissioner's Office (a “autoridade supervisora” sob o GDPR);
12.2.11 Quando aplicável, detalhes de qualquer requisito ou obrigação legal ou contratual que exija a coleta e processamento dos dados pessoais e detalhes de quaisquer consequências de não fornecê-los; e
12.2.12 Detalhes de qualquer tomada de decisão automatizada ou criação de perfil que ocorrerá usando os dados pessoais, incluindo informações sobre como as decisões serão tomadas, o significado dessas decisões e quaisquer consequências.

13. Acesso do Titular dos Dados

13.1 Os titulares dos dados podem fazer solicitações de acesso do titular (“SARs”) a qualquer momento para saber mais sobre os dados pessoais que a Empresa detém sobre eles, o que está fazendo com esses dados pessoais e por quê.
13.2 Os titulares dos dados que desejam fazer uma Solicitação de Acesso do Titular podem fazê-lo por escrito via e-mail para admin@mikelanemods.com.
13.3 As respostas aos SARs normalmente devem ser feitas no prazo de um mês após o recebimento, no entanto, isso pode ser prorrogado por até dois meses se o SAR for complexo e/ou forem feitos vários pedidos. Se tal tempo adicional for necessário, o titular dos dados deve ser informado.
13.4 A Empresa não cobra taxa pelo manuseio de SARs normais. A Empresa reserva-se o direito de cobrar taxas razoáveis ​​por cópias adicionais de informações que já tenham sido fornecidas a um titular de dados e por solicitações manifestamente infundadas ou excessivas, principalmente quando tais solicitações forem repetitivas.

14. Retificação de Dados Pessoais

14.1 Os titulares dos dados têm o direito de exigir que a Empresa retifique qualquer um dos seus dados pessoais que estejam imprecisos ou incompletos.
14.2 A Empresa deve retificar os dados pessoais em questão e informar o titular dos dados dessa retificação, no prazo de um mês após o titular dos dados informar a Empresa sobre o problema. O prazo pode ser prorrogado por até dois meses no caso de solicitações complexas. Se tal tempo adicional for necessário, o titular dos dados deve ser informado.
14.3 Caso quaisquer dados pessoais afetados tenham sido divulgados a terceiros, essas partes serão informadas de qualquer retificação que deva ser feita a esses dados pessoais.

15. Apagamento de Dados Pessoais

15.1 Os titulares dos dados têm o direito de solicitar que a Empresa apague os dados pessoais que detém sobre eles nas seguintes circunstâncias:
15.1.1 Não é mais necessário que a Empresa mantenha esses dados pessoais em relação à(s) finalidade(s) para a qual foram originalmente coletados ou processados;
15.1.2 O titular dos dados deseja retirar seu consentimento para que a Empresa detenha e processe seus dados pessoais;
15.1.3 O titular dos dados se opõe a que a Empresa mantenha e processe seus dados pessoais (e não há interesse legítimo superior para permitir que a Empresa continue fazendo isso) (consulte a Parte 18 desta Política para obter mais detalhes sobre o direito de oposição);
15.1.4 Os dados pessoais foram processados ​​ilegalmente;
15.1.5 Os dados pessoais precisam ser apagados para que a Empresa cumpra uma obrigação legal específica.
15.2 A menos que a Empresa tenha motivos razoáveis ​​para se recusar a apagar os dados pessoais, todos os pedidos de apagamento devem ser atendidos e o titular dos dados informado sobre o apagamento, no prazo de um mês após o recebimento da solicitação do titular dos dados. O prazo pode ser prorrogado por até dois meses no caso de solicitações complexas. Se tal tempo adicional for necessário, o titular dos dados deve ser informado.
15.3 Caso quaisquer dados pessoais que devam ser apagados em resposta a uma solicitação de um titular de dados tenham sido divulgados a terceiros, essas partes serão informadas do apagamento (a menos que seja impossível ou exija um esforço desproporcional para fazê-lo).

16. Restrição de Processamento de Dados Pessoais

16.1 Os titulares dos dados podem solicitar que a Empresa cesse o processamento dos dados pessoais que detém sobre eles. Se um titular de dados fizer tal solicitação, a Empresa reterá apenas a quantidade de dados pessoais relativos a esse titular de dados (se houver) que seja necessária para garantir que os dados pessoais em questão não sejam processados ​​posteriormente.
16.2 Caso quaisquer dados pessoais afetados tenham sido divulgados a terceiros, essas partes serão informadas das restrições aplicáveis ​​ao seu processamento (a menos que seja impossível ou exija um esforço desproporcional para fazê-lo).

17. Objeções ao Processamento de Dados Pessoais

17.1 Os titulares dos dados têm o direito de se opor ao processamento de seus dados pessoais pela Empresa com base em interesses legítimos, marketing direto (incluindo criação de perfil).
17.2 Quando um titular de dados objetar que a Empresa processe seus dados pessoais com base em seus interesses legítimos, a Empresa deverá interromper esse processamento imediatamente, a menos que possa ser demonstrado que os motivos legítimos da Empresa para tal processamento anulam os interesses, direitos e liberdades do titular dos dados , ou que o processamento é necessário para a condução de ações judiciais.
17.3 Quando um titular de dados se opuser ao processamento de seus dados pessoais pela Empresa para fins de marketing direto, a Empresa deverá cessar esse processamento imediatamente

18. Dados pessoais coletados, mantidos e processados

Os seguintes dados pessoais são coletados, mantidos e processados ​​pela Empresa (para detalhes sobre retenção de dados, consulte a Política de Retenção de Dados da Empresa):

Tipo de Dados: Dados de Contato do Cliente via Formulário de Consulta do Site – Nome, Endereço de E-mail e Mensagem
Finalidade dos Dados: Serve como um método de contato para os clientes, bem como um método para coletar consultas de vendas através do site da Empresa

Tipo de Dados: Detalhes do Cliente via Loja do Site – Nome, Nome da Empresa (Opcional), Endereço de Entrega, Endereço de Cobrança, Número de Telefone (Opcional), Endereço de E-mail
Finalidade dos Dados: Essencial para processamento, envio, gerenciamento e suporte a pedidos existentes e futuros, comunicação com o cliente, finanças e faturamento

Tipo de Dados: Detalhes do Cliente via Mensagem Direta – Nome, Endereço, Endereço de E-mail
Finalidade dos Dados: Essencial para processamento, envio, gerenciamento e suporte a pedidos existentes e futuros, comunicação com o cliente, finanças e faturamento

19. Segurança de Dados - Transferência de Dados Pessoais e Comunicações

A Empresa garantirá que as seguintes medidas sejam tomadas em relação a todas as comunicações e outras transferências que envolvam dados pessoais:
19.1 Todos os e-mails contendo dados pessoais devem ser criptografados;
19.2 Todos os e-mails contendo dados pessoais devem ser marcados como “confidenciais”;
19.3 Os dados pessoais podem ser transmitidos apenas por redes seguras; a transmissão em redes não seguras não é permitida em nenhuma circunstância;
19.4 Os dados pessoais não podem ser transmitidos por uma rede sem fio se houver uma alternativa com fio que seja razoavelmente praticável;
19.5 Os dados pessoais contidos no corpo de um e-mail, sejam enviados ou recebidos, devem ser copiados do corpo desse e-mail e armazenados de forma segura. O e-mail em si deve ser excluído. Todos os arquivos temporários associados a ele também devem ser excluídos;

20. Segurança de Dados - Armazenamento

A Empresa deve garantir que as seguintes medidas sejam tomadas em relação ao armazenamento de dados pessoais:
20.1 Todas as cópias eletrônicas de dados pessoais devem ser armazenadas com segurança usando senhas e criptografia AES (Advanced Encryption Standard) de 256 bits;
20.2 Todas as cópias impressas de dados pessoais, juntamente com quaisquer cópias eletrônicas armazenadas em mídia física removível, devem ser armazenadas de forma segura em uma caixa trancada, gaveta, armário ou similar;
20.3 Todos os dados pessoais armazenados eletronicamente devem ser copiados em intervalos regulares com backups armazenados no local e fora do local. Todos os backups devem ser criptografados usando criptografia AES (Advanced Encryption Standard) de 256 bits. A recuperação de dados deve ser possível remotamente no caso de um desastre local ou outra interrupção dos procedimentos normais de acesso;
20.4 Nenhum dado pessoal deve ser armazenado em qualquer dispositivo móvel (incluindo, mas não limitado a, laptops, tablets e smartphones), independentemente de tal dispositivo pertencer à Empresa ou não; e
20.5 Nenhum dado pessoal deve ser transferido para qualquer dispositivo que pertença pessoalmente a um funcionário e os dados pessoais só podem ser transferidos para dispositivos pertencentes a agentes, contratados ou outras partes que trabalham em nome da Empresa quando a parte em questão concordou em cumprir integralmente com a letra e o espírito desta Política e do GDPR (o que pode incluir demonstrar à Empresa que todas as medidas técnicas e organizacionais adequadas foram tomadas).
20.6 Ao descartar computadores antigos ou outros equipamentos que contenham dados pessoais, devem ser tomadas medidas completas para remover completamente os dados. Isso deve incluir a exclusão de todos os dados do dispositivo, a redefinição de fábrica e a destruição física e o descarte seguro de discos rígidos, quando apropriado.

21. Segurança de Dados - Descarte

Quando quaisquer dados pessoais devem ser apagados ou descartados por qualquer motivo (incluindo quando cópias foram feitas e não são mais necessárias), eles devem ser excluídos e descartados com segurança. Os dados pessoais armazenados em papel devem ser triturados e reciclados ou eliminados. Para mais informações sobre a eliminação e eliminação de dados pessoais, consulte a Política de Retenção de Dados da Empresa.

22. Segurança de Dados - Uso de Dados Pessoais

A Empresa deve garantir que as seguintes medidas sejam tomadas com relação ao uso de dados pessoais:
22.1 Nenhum dado pessoal pode ser compartilhado informalmente e se um funcionário, agente, subcontratado ou outra parte que trabalha em nome da Empresa requer acesso a quaisquer dados pessoais aos quais ainda não tenha acesso, tal acesso deve ser solicitado formalmente ao a empresa;
22.2 Nenhum dado pessoal pode ser transferido a quaisquer funcionários, agentes, contratados ou outras partes, estejam essas partes trabalhando em nome da Empresa ou não, sem a autorização da Empresa;
22.3 Os dados pessoais devem ser manuseados com cuidado em todos os momentos e não devem ser deixados sem vigilância ou à vista de funcionários não autorizados, agentes, subcontratados ou outras partes a qualquer momento;
22.4 Se os dados pessoais estiverem sendo visualizados na tela do computador e o computador em questão for deixado sem vigilância por qualquer período de tempo, o usuário deve bloquear o computador e a tela antes de deixá-lo; e
22.5 Quando os dados pessoais mantidos pela Empresa forem usados ​​para fins de marketing, será de responsabilidade da Empresa garantir que o consentimento apropriado seja obtido e que nenhum titular de dados tenha optado por não participar, seja diretamente ou por meio de um serviço de terceiros, como o TPS.

23. Segurança de Dados - Segurança de TI

A Empresa deve garantir que as seguintes medidas sejam tomadas em relação à segurança de TI e da informação:
23.1 Todas as senhas usadas para proteger dados pessoais devem ser alteradas regularmente e não devem usar palavras ou frases que possam ser facilmente adivinhadas ou comprometidas. Todas as senhas devem conter uma combinação de letras maiúsculas e minúsculas, números e símbolos;
23.2 Sob nenhuma circunstância quaisquer senhas devem ser escritas ou compartilhadas entre quaisquer funcionários, agentes, contratados ou outras partes que trabalham em nome da Empresa, independentemente da antiguidade ou departamento. Se uma senha for esquecida, ela deverá ser redefinida usando o método aplicável. A equipe de TI não tem acesso a senhas;
23.3 Todos os softwares (incluindo, mas não se limitando a, aplicativos e sistemas operacionais) devem ser mantidos atualizados. A equipe de TI da Empresa será responsável por instalar todas e quaisquer atualizações relacionadas à segurança o mais rápido possível, a menos que haja razões técnicas válidas para não fazê-lo;

24. Medidas Organizacionais

A Empresa deve garantir que as seguintes medidas sejam tomadas com relação à coleta, retenção e processamento de dados pessoais:
24.1 Todos os funcionários, agentes, contratados ou outras partes que trabalham em nome da Empresa devem estar plenamente cientes de suas responsabilidades individuais e das responsabilidades da Empresa sob o GDPR e sob esta Política, e devem receber uma cópia desta Política;
24.2 Somente funcionários, agentes, subcontratados ou outras partes que trabalham em nome da Empresa que precisam de acesso e uso de dados pessoais para desempenhar corretamente suas funções atribuídas terão acesso aos dados pessoais mantidos pela Empresa;
24.3 Todos os funcionários, agentes, contratados ou outras partes que trabalham em nome da Empresa lidando com dados pessoais serão adequadamente treinados para fazê-lo;
24.4 Todos os funcionários, agentes, contratados ou outras partes que trabalham em nome da Empresa lidando com dados pessoais serão devidamente supervisionados;
24.5 Todos os funcionários, agentes, contratados ou outras partes que trabalham em nome da Empresa que lidam com dados pessoais devem ser solicitados e incentivados a ter cuidado, cautela e discrição ao discutir assuntos relacionados ao trabalho relacionados a dados pessoais, seja no local de trabalho ou por outro lado;
24.6 Os métodos de coleta, retenção e processamento de dados pessoais devem ser avaliados e revisados ​​regularmente;
24.7 Todos os dados pessoais mantidos pela Empresa devem ser revisados ​​periodicamente, conforme estabelecido na Política de Retenção de Dados da Empresa;
24.8 O desempenho desses funcionários, agentes, contratados ou outras partes que trabalham em nome da Empresa que lidam com dados pessoais deve ser avaliado e revisado regularmente;
24.9 Todos os funcionários, agentes, contratados ou outras partes que trabalham em nome da Empresa lidando com dados pessoais estarão obrigados a fazê-lo de acordo com os princípios do GDPR e esta Política por contrato;
24.10 Todos os agentes, contratados ou outras partes que trabalham em nome da Empresa lidando com dados pessoais devem garantir que todos e quaisquer funcionários envolvidos no processamento de dados pessoais sejam mantidos nas mesmas condições que os funcionários relevantes da Empresa decorrentes fora desta Política e do GDPR; e
24.11 Quando qualquer agente, contratado ou outra parte trabalhando em nome da Empresa que lida com dados pessoais falhar em suas obrigações sob esta Política, essa parte deverá indenizar e isentar a Empresa de quaisquer custos, responsabilidades, danos, perdas, reclamações ou processos que possam surgir fora desse fracasso.

25. Transferência de dados pessoais para um país fora do EEE

25.1 A Empresa pode, de tempos em tempos, transferir ('transferência' inclui disponibilizar remotamente) dados pessoais para países fora do EEE.
25.2 A transferência de dados pessoais para um país fora do EEE deve ocorrer apenas se um ou mais dos seguintes se aplicarem:
25.2.1 A transferência é para um país, território ou um ou mais setores específicos desse país (ou uma organização internacional), que a Comissão Europeia determinou que garante um nível adequado de proteção de dados pessoais;
25.2.2 A transferência é para um país (ou organização internacional) que forneça as garantias adequadas na forma de um acordo juridicamente vinculativo entre autoridades ou órgãos públicos; regras corporativas vinculantes; cláusulas padrão de proteção de dados adotadas pela Comissão Europeia; cumprimento de um código de conduta aprovado por uma autoridade supervisora ​​(por exemplo, o Information Commissioner's Office); certificação sob um mecanismo de certificação aprovado (conforme previsto no GDPR); cláusulas contratuais acordadas e autorizadas pela autoridade supervisora ​​competente; ou disposições inseridas em acordos administrativos entre autoridades públicas ou organismos autorizados pela autoridade de controlo competente;
25.2.3 A transferência é feita com o consentimento informado do(s) titular(es) dos dados relevantes;
25.2.4 A transferência é necessária para a execução de um contrato entre o titular dos dados e a Empresa (ou para diligências pré-contratuais realizadas a pedido do titular dos dados);
25.2.5 A transferência é necessária por importantes razões de interesse público;
25.2.6 A transferência é necessária para a condução de ações judiciais;
25.2.7 A transferência é necessária para proteger os interesses vitais do titular dos dados ou de outras pessoas quando o titular dos dados é física ou legalmente incapaz de dar o seu consentimento; ou
25.2.8 A transferência é feita a partir de um registro que, de acordo com a legislação do Reino Unido ou da UE, se destina a fornecer informações ao público e que está aberto ao acesso do público em geral ou de outra forma àqueles que possam demonstrar um interesse legítimo em acessando o cadastro.

26. Notificação de violação de dados

26.1 Se ocorrer uma violação de dados pessoais e essa violação puder resultar em risco aos direitos e liberdades dos titulares dos dados (por exemplo, perda financeira, violação de confidencialidade, discriminação, danos à reputação ou outros danos sociais ou econômicos significativos), a Empresa deve garantir que o Gabinete do Comissário de Informação seja informado da violação sem demora e, em qualquer caso, dentro de 72 horas após ter tomado conhecimento dela.
26.2 Caso uma violação de dados pessoais possa resultar em um alto risco (ou seja, um risco maior do que o descrito na Parte 29.2) para os direitos e liberdades dos titulares de dados, a Empresa deve garantir que todos os titulares de dados afetados sejam informados da violação diretamente e sem demora injustificada.
26.3 As notificações de violação de dados devem incluir as seguintes informações:
26.3.1 As categorias e o número aproximado de titulares de dados envolvidos;
26.3.2 As categorias e o número aproximado de registros de dados pessoais em questão;
26.3.3 O nome e detalhes de contato de um ponto de contato da Empresa onde mais informações podem ser obtidas;
26.3.4 As prováveis ​​consequências da violação;
26.3.5 Detalhes das medidas tomadas, ou propostas a serem tomadas, pela Empresa para resolver a violação, incluindo, quando apropriado, medidas para mitigar seus possíveis efeitos adversos.

27. Implementação da Política

Esta Política será considerada em vigor a partir de 1º de maio de 2018. Nenhuma parte desta Política terá efeito retroativo e, portanto, se aplicará apenas a assuntos ocorridos a partir desta data.