《处理数据主体权利请求的政策》
1. 引言
根据关于隐私和数据保护相关问题的内部治理和管理,康克玛特设计咨询公司(Concremat Engenharia e Tecnologia)(简称“康克玛特”或“公司”)制定了本《处理数据主体权利请求的政策》(简称“政策”)。
2. 目的
本政策旨在确立接收和处理数据主体、国家数据保护局(ANPD)和其他具有合法性的机构(如监察部和消费者协会)所提出请求的程序。
3. 适用范围
本政策适用于康克玛特进行的所有个人数据处理。因此,本政策涉及公司的所有员工、实习生、学徒、受训人员、雇员、经理和总监;服务提供商、供应商、商业伙伴、顾问和第三方;康克玛特可能与之互动的公共机构和实体,以及任何其他方,无论是自然人还是法人,无论盈利与否。
4. 数据主体权利行使的管理
数据主体权利的行使,是指由数据主体或其法律代表提出请求,以获得关于康克玛特处理个人数据的信息。这项权利被称为“数据主体访问权申请”(”SATD”)。
针对这一申请,即SATD,数据主管应在高级管理层和其他必要部门的支持下,进行登记,并采取措施来满足数据主体的请求。
为使数据主体能够行使其权利,并能够与康克玛特取得联系,公司最好是通过数字媒体(网站、社交网络等),以醒目的方式和易懂的语言,公布其沟通渠道。
5. 有效申请的要求
5.1 申请人的身份
为了正式启动应答处理程序,数据主体或其合法代表,必须提供适当的身份证明。
只有能够证明身份的个人数据主体所提出的请求,方可被受理;通过代理人提出申请时,必须出示有具体授权的委托书。为了尊重隐私和保护数据,SATD不得涉及申请人以外,其他人员的相关数据。
只有在代表的身份得到认证后,方可采取措施对请求进行分析和答复。对于涉及未成年人数据的请求,只能由父母或监护人提出请求。父母和监护人的身份必须通过任何有效的法律手段来证明。
5.2 申请的接收
通过电子邮件、客户服务中心、信函等方式收到的数据主体请求,必须由接收人在收到后二十四小时之内转交给数据主管。
申请提交的方式无法自动记录收件日期时(数据主体亲自到场、邮寄等),接收人必须确保登记收件日期,以便计算应答期限。
6. SATD的分类
收到SATD,并确认申请者的身份和/或合法性之后,还需确保识别所接待数据主体的类别,确定其与康克玛特关系的性质,具体如下:
(i) 客户:属于康克玛特客户公司的任何自然人;
(ii) 员工:康克玛特的雇员、前雇员、雇员的家属、行政人员、董事或股东;
(iii) 合作伙伴:与康克玛特有合作关系的分销商、供应商等相关个人;
(iv) 第三方:不符合上述任何项目的其他个人。
对申请进行内部分析后,可能有三种结果:
a) 如果康克玛特仅被确定为所请求数据处理对象的运营方,则数据主管将通报申请方,由于这种原因无法提供应答,并告知数据控制者的详细联系方式,以便数据主体向其提出请求。
b) 如果确定康克玛特不是所请求数据处理对象的代理方,则数据主管将通报申请方,由于这种原因无法提供应答,并告知数据控制者的详细联系方式,并在可能的情况下,告知正确的数据处理代理方;
c) 如果数据主体提供的信息充分,并且康克玛特是数据的控制方,则数据主管应向申请人确认收到申请,并告知预计的应答期限。
7. SATD应答流程
7.1 数据主体的权力
个人数据主体可在任何时候,要求并行使以下权利:
(i) 确认数据的存在;
(ii) 访问数据;
(iii) 更正数据(不完整、不准确、过时的数据等);
(iv) 对不必要的、过多的或处理不符合《通用数据保护法》规定的数据进行匿名化、屏蔽或删除;
(v) 在保守商业和工业机密的情况下,将数据转移至另一个服务或产品供应商;
(vi) 删除经同意处理的个人数据;
(vii) 与康克玛特共享使用数据的公共和私营实体信息;
(viii) 撤销同意;
(ix) 要求对仅基于个人数据自动处理所作出的、影响其利益的决定,进行重审,包括旨在确定其个人情况、职业、消费习惯、信用状况或个性等方面的决定。
7.2 拒绝申请
应该注意的是,《通用数据保护法》并未赋予数据主体绝对的权利,因此,每个案例都会根据其特殊性进行分析,可以在向数据主体澄清相关原因后,拒绝或部分接受申请或做出应答。
对申请的处理有疑问时,数据主管应向高级管理层请求支持。
7.3 对申请的分析
在完成上述初步分析后,数据主管应根据SATD的内容,通过电子邮件、电话或会议的方式联系内部的相关部门,对SATD进行评估和处理。
被联系的部门应在数据主管规定的时间内,反馈所需信息。如有必要,数据主管将与数据主体取得联系,为应答SATD收集所需的进一步澄清信息。
如有必要,数据主管将与数据主体联系,获取补充信息。
数据主管应确保在内部规定的时间内,收到和/或核查信息,以便遵守与数据主体约定的应答期限,并评估是否有任何需要第三方同意或不应由康克玛特应答的信息。
7.4 确认数据存在并访问数据
在向数据主体确认个人数据的存在并授权访问时:
a) 如仅需告知康克玛特是否控制申请方数据时,应立即由数据主管以简明的格式告知;
b) 通过明确和完整的声明,说明数据的来源、是否存在记录、所使用的标准和数据处理的目的,注意遵守商业和工业机密;
在回应访问数据的请求时,数据主管应提供康克玛特所控制的数据主体相关资料的完整转录(例如,姓名:姓名信息的转录;个人税号CPF:号码的转录;地址:地址信息的转录)。
仅靠转录数据无法满足访问数据要求时,数据主管仅应提供登记页面截屏或其他文件的打印或电子副本。
数据主体有权获得关于其数据处理的信息,包括以下及今后可能规定的内容,(1)数据处理的具体目的;(2)数据处理的形式和期限,但须遵守商业和工业机密;(3)数据控制者的身份;(4)数据控制者的联系信息;(5)数据控制者对数据共享使用的信息及共享的目的;(6)将进行数据处理的代理人责任;(7)这些代理人的权利。
这些信息和其他有助于数据主体了解其数据处理情况的信息,应包含在《隐私政策》中,康克玛特的所有平台应在明显位置,以易懂的语言发布该政策。
7.5 数据的更正
涉及不完整、不准确或过时数据,或任何其他需要更正的情况时,申请人应在SATD中详细告知哪些数据需要更正,以及更正的原因(如不完整、不准确、过时等),并告知更正后的数据。
数据主管将与相关部门进行评估,确定是否可以更新或补充数据,确认数据的准确性或最新性。得到确认后,数据主管应要求相关部门进行数据更正,随后告知申请人应答完成,并对SATD进行登记。
7.6 数据可携带性
数据可携带性的情况应由国家数据保护局进行规定。相关规定公布后,数据主管应及时更新本节内容。
对于在收到SATD之前,已经被匿名化的个人数据,不适用可携带性。
7.7 数据的匿名化、屏蔽或删除
对不必要的、过多的或处理不符合《通用数据保护法》规定的数据,申请进行匿名化、屏蔽或删除时,申请人应在SATD中详细说明,希望对哪些数据匿名化、屏蔽或删除,并说明这些数据不必要、过度或处理违反法律规定的理由。
收到SATD,并确认申请者的身份和合法性之后,数据主管将与相关部门一起评估,确定这些数据是否真的是不必要、过度或违反法律规定处理的。有任何一种情况被证实时,数据主管将要求相关部门进行数据的匿名化、屏蔽或删除,随后告知申请人应答完成,并对SATD进行登记。
不能证实数据是不必要、过度或被违法处理时,数据主管将拒绝SATD,并向数据主体详细说明理由。
删除个人数据或对其进行匿名化时,数据主管应采取措施,将所有康克玛特系统和目录中的有关信息匿名化或彻底删除,包括物理和数字介质,依法允许保留的数据除外。
数据主管还应确保,及时通报任何共享使用数据的联合控制方或运营方,以便以同样的方式,删除数据或对其进行匿名化处理。
为保证落实删除或匿名化的要求,如有必要,数据主管应要求与康克玛特共享使用数据的联合控制方或运营方,提供完成删除的证明。
出现以下情况时,删除数据的请求可能会被拒绝:有具体证据表明,康克玛特因履行法律或监管义务而储存相关数据,并以书面形式说明这些义务;数据由康克玛特独家使用,禁止第三方访问,并且数据已进行了匿名化处理。
匿名化处理,即通过使用合理的,或国家数据保护局规定的技术手段,省略部分数据,从而使数据不可能直接或间接与个人产生关联。
7.8 撤销同意和数据删除
在任何时候,数据主体可以撤销对其数据处理的同意。
数据主管应与相关部门一起评估数据处理的目的,如果发现对履行与数据主体签订的合同和义务有任何损害时,应告知撤销同意的后果。
如果被告知上述情况后,数据主体仍选择维持其SATD时,数据主管应安排中断对有关数据的处理,并采取措施,以便联合控制方或运营方作出同样的安排。
数据主体可以要求获得关于任何康克玛特与之共享数据的实体的信息。
收到SATD,并确认申请者的身份和合法性之后,数据主管将与相关部门一起评估与其他实体的任何数据共享,然后答复申请人,至少应告知哪些数据被共享,何时被共享,与哪些实体共享以及出于何种目的。
7.9 对自动决定的重审
涉及通过自动决定进行个人资料处理时,即在没有人工干预的情况下由计算机程序,对个人情况、职业、消费习惯、信用状况或个性等方面作出决定时,数据主体可以要求对这些决定进行重审。
在这种情况下,数据主管将要求相关部门为有关数据主体做出一个新的决定,由相关部门选择,该决定是通过以前使用的同一系统,还是通过人工来做出。
数据主体提出请求时,数据主管应提供关于自动决定所使用的标准和程序的明确和充分的信息,但必须遵守商业和工业机密。
7.10 SATD应答期限
所有数据主体提出的请求,应在收到后的十五个日历日内做出答复,具体条例对期限另有规定的情况除外。所有流程和申请都必须存档。
如果申请的答复涉及复杂的流程,需要更长的时间时,数据主管应说明这种需要,并在十五天期限结束前,通知申请人,说明延期的理由和预计完成的时间。
8. 应答国家数据保护局或其他主管机构的要求
收到申请后,数据主管必须确认所收到的申请,确实是由国家数据保护局或其他主管机构或部门发出的。
如果出现欺诈性或涉嫌欺诈性申请,或以非法方式发出的申请,数据主管必须通知有关部门,并直接与国家数据保护局,或相关机构或部门联系,以澄清问题。
数据主管应采取必要措施,确保只有合法的和有关的机构才能获得相关信息。申请来自国家数据保护局以外的机构或部门时,应由数据主管与高级管理层一起进行处理,并得到法务部门的支持。
8.1 应答的期限
应答国家数据保护局或其他机构的请求时,应在通知中指定的期限内完成;未告知期限的,则应在十五天内完成,具体条例对期限另有规定的情况除外。
8.2 答复记录登记
对数据主体、国家数据保护局和相关机构所提请求的回应,必须始终由数据主管在专门报告中登记,其中应包含尽可能多的细节,如:申请人的身份、请求的性质、所提供的信息、请求和回应的日期、任何相互交流的信息。
9. 处罚措施
针对数据主体、国家数据保护局和其他公共机构提出的请求,不能适当、及时给予答复,或未做出答复的,将根据《行为准则》和《通用数据保护政策》中的规定,进行处罚,且不影响执行其他民事和劳动处罚措施。