Regulamento Geral de Proteção de Dados (RGPD)
Proteção de Dados
No dia 25 de maio de 2018 passou a ser aplicável o Regulamento Geral de Proteção de Dados (RGPD) nos Estados da União Europeia, que compreende novas regras quanto ao tratamento de dados pessoais das pessoas singulares. Na sua essência o regime define uma série de regras, efeitos e consequências sobre a forma como as instituições reúnem, tratam e utilizam os dados pessoais dos
Face ao novo RGPD, o Politécnico de Leiria estabelece um conjunto de princípios a que deve obedecer o acesso e o tratamento de dados, assim como novos direitos para os titulares de dados pessoais. O Politécnico de Leiria está fortemente empenhado na proteção dos seus dados pessoais e no respeito pelo exercício do seu direito à privacidade.
Regulamento Geral de Proteção de Dados (RGPD)
SEGURANÇA DA INFORMAÇÃO E RGPD
Privacidade e Proteção de Dados Pessoais
O novo Regulamento Geral sobre a Proteção de Dados foi publicado no Jornal Oficial da União Europeia e é aplicável a partir do dia 25 de maio de 2018. Relativamente ao novo regulamento, é importante saber que:
Dados Pessoais
Dados pessoais são todas as informações relativas a uma pessoa identificada ou identificável (nome, morada, património, vencimento, datas, números de cartões, nº de telefone, IP, vídeos, imagem, raça, dados biométricos, folhas de presença, avaliações, curriculum vitae, etc).
Gabinete de Proteção de Dados
O Gabinete de Proteção de Dados (DPO) do Politécnico de Leiria é responsável pela proteção de dados pessoais dentro da instituição. Poderá ser contactado através de dpo@ipleiria.pt. Não deve reunir dados pessoais seja em papel ou em formato eletrónico sem que o DPO do Politécnico de Leiria seja informado.
Violação das políticas de privacidade
Quando existir violação de dados pessoais e considere-se por violação de dados pessoais uma violação de segurança que provoque, seja de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou acesso não autorizado, a dados pessoais deverá reportar de imediato o incidente de segurança de através de privacidade@ipleiria.pt.
O DPO tem a responsabilidade e obrigação de comunicar as autoridades todas as fugas ou perdas de dados pessoais ocorridos na organização, a menos que a violação dos dados pessoais não seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares.
Transmissão de dados
Ao enviar dados pessoais para outros, estes deverão ser encriptados ou protegidos com palavra-passe (a palavra-passe não deverá ser enviada via correio eletrónico).
Deverá existir cuidado redobrado no tratamento de documentos com informações criticas como é o caso de dados médicos ou de menores;
Antes de remeter informação via correio eletrónico com caráter de divulgação, tal como informação sobre ações de formação, oferta formativa ou outra de natureza afim, certifique-se que o destinatário da mensagem deu o seu consentimento escrito para o envio desse tipo de informação. Caso não possua seu consentimento, procure obtê-lo, por correio eletrónico, antes do envio da informação.
Eliminação de dados pessoais
Ao destruir ou eliminar dados pessoais, estes devem ser apagados/destruídos de forma definitiva, garantindo assim que não serão recuperados por terceiros.
Redes Sociais
O Politécnico de Leiria utiliza as redes sociais (LinkedIn, Facebook, Instagram e YouTube) para fins comunicacionais e informativos.
Recomenda-se que os utilizadores das redes sociais anteriormente indicadas leiam as respetivas Políticas de Privacidade, de forma a tomarem conhecimento das atividades de processamento dos dados, dos direitos em vigor e dos recursos disponíveis para proteção da privacidade nestas plataformas digitais.
FAQ sobre RGPD
O Regulamento Geral sobre a Proteção de Dados, Regulamento (UE) 2016/679, de 27 de abril de 2016, do Parlamento Europeu e do Conselho, regula a proteção de pessoas singulares no que diz respeito ao tratamento dos dados pessoais e à livre circulação desses dados e dita as regras que serão aplicáveis ao tratamento dos dados pessoais
As disposições normativas do novo Regulamento Geral sobre a Proteção de Dados, Regulamento (UE) 2016/679, de 27 de abril de 2016, publicado no Jornal Oficial da União Europeia no dia 4 de maio de 2016 entram em vigor em 2016, mas são aplicáveis desde o dia 25 de maio de 2018.
O RGPD aplica-se aos responsáveis pelo tratamento de dados com estabelecimento no território da União Europeia, desde que o tratamento de dados se efetue no contexto das atividades desse estabelecimento.
De acordo com o RGPD os dados pessoais são todas as informações, de qualquer natureza e independentemente do respetivo suporte, incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável. É considerada identificável a pessoa que possa ser considerada identificada direta ou indiretamente, designadamente por referência a um identificador como o nome, número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, mental, económica ou social. São exemplos de dados pessoais: nome, morada, vencimento, datas, números de cartões, n.º de telefone, IP, vídeos, imagem, raça, dados biométricos, ente outros.
Não. Apenas é um dado pessoal se estiver associado ao nome de uma pessoa singular. Não é dado pessoal se o endereço de e-mail for, por exemplo, info@empresa.com, mas já é um dado pessoal se se tratar por exemplo de: nome.apelido@empresa.com.
A imagem fotográfica ou filmada é um dado pessoal especialmente protegido, sendo que o seu tratamento (desde a recolha à divulgação) é permitido quando se verificar alguma das situações previstas nas alínea a) a j) do n.º 2 do artigo 9.º do RGPD ou se a situação for enquadrável em previsão legislativa nacional.
É qualquer operação ou conjunto de operações efetuadas sobre os dados pessoais, com ou sem meios automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.
É a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais.
- Os dados pessoais são objeto de um tratamento lícito, leal e transparente para com o titular dos dados;
- Os dados pessoais são recolhidos para finalidades determinadas, explícitas e legítimas e não podem ser tratados posteriormente de uma forma incompatível com essas finalidades;
- Os dados pessoais devem ser adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados («minimização dos dados»);
- Os dados pessoais devem ser exatos e atualizados sempre que necessário, podendo ser apagados ou retificados sem demora («exatidão»);
- Os dados pessoais devem ser conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados;
- Os dados pessoais devem ser tratados com integridade e confidencialidade.
Sim, o RGPD permite o tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos. Os dados ainda poderão ser conservados pelo período definido em legislação específica.
O responsável pelo tratamento deve adotar as medidas técnicas ou organizativas adequadas de forma a garantir a segurança dos dados pessoais, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental.
Direito à Informação
Poderá solicitar informação sobre o tratamento dos seus dados pessoais.
Direito de Acesso
Poderá solicitar o acesso aos dados pessoais que lhe digam respeito.
Direito à Correção
Poderá solicitar a correção dos dados pessoais inexatos ou completar os dados que se encontram incompletos.
Direito ao Apagamento
Poderá solicitar o apagamento de dados pessoais nos termos regulados pelo RGPD nomeadamente quando o seu tratamento seja ilícito.
Direito de Oposição
Poderá opor-se ao tratamento dos seus dados pessoais para fins de comercialização ou por motivos que digam respeito à sua situação particular.
Direito à Limitação
Poderá limitar o tratamento dos seus dados em casos específicos.
Direito à Portabilidade
Poderá receber os seus dados em formato de leitura automática e enviá-los para outro responsável pelo tratamento.
Deverá remeter um requerimento escrito ao responsável pela proteção de dados (Presidente do Politécnico de Leiria), com os seguintes elementos:
- nome;
- dados de identificação;
- dados de contacto, preferencialmente e-mail;
- indicação do pedido em termos claros e precisos;
- data e assinatura do requerente.
Para comprovação da identidade do titular dos dados, o titular do pedido deve exibir o cartão do cidadão ou remeter ao responsável pelo tratamento dos dados, cópia do cartão do cidadão com a seguinte declaração: “Declaro que autorizo a utilização da cópia do meu cartão do cidadão para comprovação dos meus dados pessoais no pedido de acesso/retificação dos meus dados.”
A resposta deve ser exercida no prazo de um mês a contar da receção do pedido. No caso do Politécnico de Leiria não dispor dos dados ou tiver intenção de recusar o pedido deverá dar conhecimento ao requerente dentro do mesmo prazo.
O acesso, depois de apreciado o requerimento entregue pelo titular de dados nesse sentido, pode ser feito através das seguintes vias:
- Consulta presencial;
- Reprodução de fotocópia ou certidão;
- Qualquer outro sistema que seja compatível com o sistema de tratamento de dados.
FAQ sobre RGPD e Recursos Humanos
Para efeitos de constituição e manutenção do vínculo de emprego público (relação laboral), O IPLeiria através dos seus serviços é legalmente obrigado a proceder à verificação da reunião dos requisitos legalmente previstos, entre os quais: a identificação, a nacionalidade e a maioridade (cf. artigo 17.º da LTFP, anexa à Lei n.º 35/2014, de 20/06).
Para além da recolha destes, atualmente, o documento de identificação nacional (Cartão do cidadão) contém dados necessários ao cumprimento de obrigações contributivas (segurança social e identificação fiscal).
A não junção do documento de identificação, ou a sua não apresentação quando solicitado, implica a impossibilidade de verificação dos requisitos gerais de admissão, pelo que a exigência tem lei que torna lícita a recolha e tratamento dos referidos dados.
Para efeitos de constituição e manutenção do vínculo de emprego público, o IPLeiria está legalmente obrigado a verificar vários requisitos, entre eles: se o trabalhador/candidato a trabalhador cumpre as leis de vacinação obrigatória (cf. alínea e), do n.º 1,artigo 17.º da LTFP). Em Portugal a vacinação não é obrigatória, com exceção das vacinas contra o tétano e difteria (as combinações de vacina têm as duas). O Decreto-lei n.º 44198, de 20.02.1962, em vigor, determina:
“Art.º 4 Nenhum individuo poderá (…) ser admitido em quaisquer funções públicas, dos corpos administrativos, (…) ou das pessoas coletivas de utilidade pública administrativa sem que, por certificado médico ou atestado da respetiva autoridade sanitária, prove que se encontra devidamente vacinado contra o tétano. (…).”
Os serviços de RH têm a obrigação de proceder à verificação dos requisitos legalmente previstos, no entanto, extravasa a competência deste serviço a reunião desses mesmos requisitos, cabendo essa obrigação ao trabalhador.
De acordo com o RGPD, é lícito o tratamento de dados pessoais, ainda que estes sejam considerados sensíveis, se o tratamento for necessário para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos. Acresce a esta norma, legislação nacional que obriga as instituições de ensino superior à recolha e tratamento de dados para fins estatísticos. Estes dados são recolhidos no estritamente exigido pela DGEEC/DGES (entidade de regula e determina a recolha desses dados nas instituições de ensino superior).