Suncani Hvar Hotels

Política De Proteção De Dados

Resumo

Esta Política de Proteção de Dados ("Política de Proteção de Dados") estabelece as regras de proteção de dados pessoais na empresa SUNČANI HVAR d.d., Ive Miličića 3, 21 450 Hvar, OIB 29834131149 ("Empresa"). Fornece as regras de proteção de dados pessoais e reflete as regras da privacidade de dados, exigidas pelo Regulamento Geral sobre a Proteção de Dados (RGPD) e outra legislação nacional sobre a privacidade de dados.  

A Empresa toma a proteção de dados pessoais a sério e trata os dados pessoais com suficiente cuidado e responsabilidade ao realizar suas atividades comerciais. Uma violação de dados pessoais pode resultar em graves consequências jurídicas e económicas para a Empresa, seus funcionários e os titulares dos dados. Também pode causar danos para a reputação da empresa. Através da implementação de Política de Proteção de Dados em toda a Empresa, os riscos e consequências da violação da proteção de dados serão minimizados. 

Memorando informativo   

Aplicabilidade

Esta Política de Proteção de Dados é obrigatória para a Empresa e seus funcionários. Ela se relaciona com todo o processamento de dados pessoais a que se aplicam o RGPD e a legislação nacional. 

1. Procedimento e Competências 

Os artigos a seguir descrevem os procedimentos seguidos pela Empresa durante o processamento de dados pessoais. Além disso, eles fornecem uma breve descrição da divisão de competências e papéis importantes na Empresa na área do processamento de dados pessoais. 

1.1 Obrigação Geral

A Empresa tem tomado e continuará a tomar medidas técnicas e organizativas adequadas para garantir a proteção dos dados pessoais contra uso indevido, perda e danos, e tratá-los de acordo com o RGPD e a legislação nacional na área de privacidade de dados. A proteção de dados aplica-se ao tratamento dos dados pessoais dos sócios da Empresa, empregados, seus familiares, os candidatos a emprego, clientes e outras pessoas cujos dados pessoais são processados pela Empresa. 

1.2 Princípios básicos de Proteção de Dados Pessoais 

A Empresa respeita os princípios básicos estipulados pelo RGPD relativos ao processamento de dados pessoais. Os respetivos princípios básicos são listados abaixo:

  • Princípio de legalidade – pelo menos uma base legal tem que ser determinada antes do processamento de dados pessoais;
  • Princípio da limitação por finalidade - processar os dados pessoais apenas para propósitos pré-definidos; 
  • Princípio de minimização de dados - processamento apenas de dados pessoais necessários, pertinentes e adequados para qualquer propósito legítimo;
  • Princípio de correção e transparência - processamento aberto e transparente aos titulares dos dados.
  • Princípio de integridade e confidencialidade, aplicação do princípio "necessidade de saber" - implementação das medidas organizacionais e técnicas necessárias para assegurar a restrição do acesso aos dados pessoais para prevenir processamento não autorizado ou ilegal;
  • Princípio de precisão - processamento de dados pessoais exatos e atuais;
  • Regime de mudança controlada de gestão - a mudança do atual sistema de processamento ao novo método está sujeita à consideração do Responsável da Proteção de Dados (DPO – Data Protection Officer) ou do controlador e potencialmente à subsequente elaboração da Avaliação do Impacto da Privacidade de Dados.
  • Definição de papéis participantes na proteção de dados pessoais na Empresa.

1.3 Bases legais e Propósitos do Processamento de Dados Pessoais 

O processamento de dados pessoais é sempre baseado em bases legais, que incluem o consentimento para o processamento de dados pessoais, conformidade com uma obrigação legal, a execução de um contrato, o interesse legítimo, o interesse público ou a proteção dos interesses do titular dos dados. 

1.4 Processamento de Categorias Especiais de Dados Pessoais e os Dados Pessoais Relativos a Questões Criminais 

Categorias especiais de dados pessoais e os dados pessoais relativos a questões criminais são especialmente sensíveis e, portanto, alto grau de proteção é aplicada. Qualquer processamento de categorias especiais de dados pessoais é consultado com o Responsável pela proteção dos dados. 

1.5 Transferências De Dados Pessoais 

A Empresa poderá apenas tornar dados pessoais disponíveis a terceiros (incluindo pessoal de transferência de dados dentro do grupo) sob determinadas condições. Os dados pessoais podem estar disponíveis apenas para um terceiro agindo como um processador baseado em um acordo sobre o tratamento de dados pessoais. Os dados pessoais podem também estar disponíveis a outro terceiro agindo como um controlador ou co-controlador baseado em acordos contratuais relevantes. 

No caso de haver requisitos para a retificação ou a eliminação dos dados pessoais, ou para restrições de processamento, em determinadas circunstâncias, a Empresa notifica a terceiros relevantes para os quais os dados pessoais foram disponibilizados, a menos que isso não seja possível ou requer um esforço inadequado. A Empresa informa os titulares dos dados sobre terceiros para os quais os dados pessoais em questão foram revelados, apenas se requerido pelo titular dos dados. 

Sob certas condições, a Empresa também pode transferir dados pessoais para países terceiros fora do EEE ou da União Europeia e a organizações internacionais. Para avaliar as condições legais sob as quais os dados pessoais podem ser transferidos para países terceiros ou organizações internacionais, a Empresa se dirige ao DPO para consultas. 

1.6 Direitos dos titulares dos Dados

A Empresa toma todas as medidas necessárias para executar os direitos dos titulares dos dados estipulados pelo RGPD. Em relação ao processamento de dados pessoais, titulares dos dados têm direitos que compõem o direito de acesso aos dados pessoais, o direito de retificação, de restrição do processamento, a portabilidade ou a eliminação dos dados pessoais, o direito de se opor ao processamento de dados pessoais e o direito de não ficar sujeito a uma decisão baseada exclusivamente no processamento automatizado de dados pessoais. 

Os titulares dos dados podem solicitar o exercício de seus direitos através de um escrito ou oral pedido. A fim de fornecer uma proteção adequada dos dados pessoais processados pela Empresa e para evitar o uso indevido de dados pessoais, a Empresa introduziu regras para a verificação de identidade dos titulares de dados, indicadas abaixo. 

Solicitação por escrito 

Para pedir o exercício do direito particular por escrito, os titulares dos dados devem preencher o formulário de solicitação anexado a esta Política de Proteção de Dados ou disponíveis a través do DPO. As assinaturas dos titulares de dados nos formulários de solicitação precisam ser oficialmente certificadas. O cliente pode tal vez ter a sua assinatura autenticada pelo notário público, advogado, consulado ou no caso de entrega de pedido por e-mail ao endereço do DPO, pode verificar a sua assinatura com a assinatura eletrónica. Se um pedido por escrito for entregado diretamente nas instalações da Empresa, a verificação de assinatura não é necessária, mas para acedê-lo pessoalmente é suficiente mostrar um documento de identificação válido.

Pedido Oral

Os titulares dos dados podem também solicitar o exercício de seu direito particular pessoalmente, na sede social da Empresa no endereço: Ive Miličića 3, 21 450 Hvar, Croácia. A sua identidade será verificada pelo funcionário designado pela Empresa (por exemplo, em uma receção), com base na apresentação de um dos seguintes documentos pessoais: carteira de identidade, passaporte ou outro documento com foto suficientemente elegível para permitir a sua clara identificação.

O exercício dos direitos do titular de dados não deve afetar os direitos de terceiros. Se o pedido dos titulares de dados é manifestamente infundado ou excessivo, particularmente por seu caráter repetitivo, a Empresa pode exigir uma taxa razoável, não superior dos custos necessários para prestar as informações acima indicadas ou para organizar o exercício dos direitos dos titulares, a fim de responder à solicitação deles.  

A Empresa garante comunicação e cooperação suficientes a fim de processar todas as solicitações em tempo adequado. Os departamentos da Empresa cooperam estreitamente para fornecer uma resposta ao titular de dados dentro dos prazos legais. 

1.7 Funções e Responsabilidades 

A Empresa e os seus órgãos sociais são responsáveis por garantir a conformidade com o RGPD e com a legislação nacional relevante à privacidade de dados. 

1.8 Encarregado da proteção de dados (DPO: Data Protection Officer)

A Empresa nomeou um DPO com responsabilidade funcional e organizacional pela conformidade com as normas legais e regulamentos internos da Empresa relativos à proteção de dados pessoais.

O DPO pode ser contactado através do e-mail dataprotection@suncanihvar.com ou via correio, no endereço Ive Miličića 3, 21 450 Hvar, Croácia.

1.9 Responsabilidades dos Proprietários dos Dados e de todos os funcionários

Todos os proprietários de dados dentro da Empresa e todos os funcionários são obrigados a tratar os dados pessoais em conformidade com as políticas internas da Empresa, com o RGPD e legislação nacional sobre a privacidade de dados.

1.10 Notificação de Violação de Dados Pessoais 

A Empresa denuncia qualquer alegada violação de segurança de dados pessoais para o DPO imediatamente, em qualquer caso dentro do prazo de 24 horas. Se a violação de dados pessoais cumpre os requisitos para emissão de relatórios para a respetiva autoridade de supervisão e/ou os titulares dos dados, o DPO satisfaz esta obrigação no prazo de 72 horas a partir da violação de dados pessoais. 

1.11 Eliminação de dados pessoais

A Companhia processa dados pessoais somente dentro do período necessário. Os dados pessoais são apagados ou anonimizados sob as seguintes circunstâncias:

  • Expiração do propósito do processamento de dados pessoais sem qualquer outro propósito legal para substituir;
  • Dados pessoais não são mais necessários para a finalidade para a qual eles foram processados;
  • A retirada do consentimento do titular de dados, sem qualquer outra base legal para processamento;
  • Objeção do titular de dados contra o processamento, sem qualquer outra razão justificada prevalente; e
  • Tratamento ilícito de dados pessoais. 

A Empresa põe ênfase na observação das medidas de segurança necessárias durante o apagamento ou anonimização. 

1.12 Publicação de dados pessoais na mídia pública e Intranet

A Empresa pode publicar dados pessoais na Intranet, Internet ou qualquer outro meio de comunicação apenas com o consentimento do titular de dados envolvido, a menos que haja outra base jurídica em casos específicos. 

2. Termos Básicos/Abreviaturas

2.1 Titular de dados

Um indivíduo identificado ou identificável, cujos dados pessoais estão a ser processados; um indivíduo identificável é a pessoa que pode ser identificada direta ou indiretamente, predominantemente com referência a um determinado identificador, como um nome, número de identificação, dados de localização, identificador on-line ou de um ou mais elementos especiais físicos, fisiológicos, genéticos, psíquicos, económicos, culturais ou identidade social do indivíduo.

2.2 Controlador de dados

Pessoa singular ou coletiva, autoridade pública, agência ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios do tratamento de dados pessoais. 

2.3 Processador

Pessoa singular ou coletiva, autoridade pública, agência ou qualquer outro organismo que processa dados pessoais em nome do controlador.

2.4 Dados pessoais

Qualquer informação sobre o indivíduo identificado ou identificável.

2.5 Categoria especial

Dados pessoais que fornecem informações sobre a origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas ou associação sindical e o processamento de dados genéticos, dados biométricos para fins de identificação exclusiva de uma pessoa singular, os dados relativos à saúde ou dados relativos a vida sexual ou orientação sexual da pessoa singular.

2.6 Lei Nacional de Proteção de Dados dos Estados Membros.

Legislação sobre Protecção de Dados Pessoais adoptada pelos Estados Membros em conformidade com o GDPR.

2.7 RGPD

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que respeita ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Directiva 95/46/CE (Regulamento de Geral Proteção de Dados).

2.8 Tratamento de dados pessoais

Qualquer operação ou conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, seja ou não por meios automatizados, tais como a recolha, o registo, a organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, utilização, comunicação por transmissão, difusão ou qualquer outra forma de disponibilização, alinhamento ou combinação, restrição, o apagamento ou a destruição.

2.9 Encarregado da proteção de dados (DPO: Data Protection Officer)

Responsável pela Proteção De Dados.

2.10 Informações anonimizadas

Informações não relacionadas a um indivíduo identificado ou identificável, incluindo dados pessoais anonimizados para que o titular de dados não é ou deixou de ser identificável. 

2.11 Terceiros

Qualquer pessoa jurídica ou pessoa singular que não seja empregado da Empresa, salvo os titulares de dados. 

2.12 Consentimento

Qualquer indicação dada livremente, específica, informada e inequívoca, dos desejos do titular de dados, pelos quais ele ou ela, por declaração ou por uma clara ação afirmativa, significa concordância com o processamento de dados pessoais relativos a ele ou ela.

Apêndice 1 – Formulário De Solicitação 

RGPD Formulário de Solicitação do Titular de Dados   

Memorando informativo   
Notas 
  • Por favor, preencha este formulário em uma forma legível.
  • Dados incorretos, não legíveis ou incompletos podem causar processamento errado ou rejeição deste pedido.
  • Para processar este pedido um titular de dados deve ser claramente identificado por um dos seguintes meios:
    • A verificação da assinatura em caso de solicitação por escrito, enviada pelo correio,
    • Identificação pelo documento de identificação em caso do pedido apresentado pessoalmente, 
    • meios de verificação eletrónica enviada pelo titular de dados,
  • A solicitação pode ser enviada pelo serviço postal, para a sede da entidade tratada pelo pedido ou fisicamente entregada às sedes sociais dentro do horário de expediente normal.
  • O pedido deve ser sempre marcado "Pedido de RGPD" (por exemplo, em um envelope), caso contrário, o tratamento pode ser prolongado.
  • No caso de representação do titular de dados, por favor, forneça um documento com base no qual o cliente representar o titular (proxy, procuração).
  • E-mail não é obrigatório e facilita o processamento desta solicitação.
Em caso de dúvidas em relação aos pedidos de RGPD, por favor contacte-nos por e-mail dataprotection@suncanihvar.com. Por favor, seja lembrado que a comunicação por e-mail não é um meio de comunicação 100% seguro e a sua segurança, a de origem ou a entrega não é garantida.