Procedimento de Proteção de Dados Pessoais de Clientes, Fornecedores e Parceiros de
Negócio
I.ENQUADRAMENTO
Dando cumprimento aos imperativos decorrentes da legislação de proteção de dados, designadamente do
Regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho, de 27 de Abril de 2016, relativo à proteção
das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses
dados, e conforme previsto no HEIRule26, o presente Procedimento de Proteção de Dados Pessoais de
Clientes, Fornecedores e Parceiro de Negócio, transpõe em Portugal, o Heineken Privacy Procedure for
Customer, Suppliers and Business Partners Data, na sua versão de Dezembro de 2017.
II.ÂMBITO DE APLICAÇÃO
Os princípios postulados pelo presente Procedimento são aplicáveis a todos os tratamentos de dados
realizados no âmbito da Empresa, sem prejuízo das regras especiais previstas por categorias de dados
pessoais, aplicáveis aos tratamentos que incidam sobre esses dados quando prossigam as finalidades
previstas.
O presente Procedimento deve ser considerado em articulação com a HEIRULE 26, o Procedimento de Proteção
de Dados dos Colaboradores e a Política de Retenção, Eliminação, Exercício de Direitos Sobre Dados
Pessoais e Ações a Ter em Conta em Caso de Violação de Dados Pessoais (Data Breach).
PROCEDIMENTO DE PROTEÇÃO DE DADOS PESSOAIS DE CLIENTES, FORNECEDORES E PARCEIROS DE
NEGÓCIO
Artigo 1. Objeto, aplicabilidade e implementação
Objeto
1.1 Este Procedimento diz respeito ao tratamento de dados pessoais de clientes, fornecedores, parceiros de
negócio e outros indivíduos, efetuados pelas entidades dos Grupo HEINEKEN ou por Terceiro por conta da
HEINEKEN. Este procedimento não contém o tratamento de dados pessoais de Colaboradores no contexto da sua
relação laboral com a HEINEKEN.
Tratamento eletrónico ou manual
1.2 Este Procedimento aplica-se ao tratamento de dados pessoais através de meios eletrónicos ou acessíveis
sistematicamente em formato físico através de um sistema de arquivo manual.
Procedimento e aplicação da lei nacional
1.3 Os Indivíduos mantêm os direitos e remédios resultantes da lei nacional aplicável. Este Procedimento
deve aplicar-se apenas quando oferecer uma proteção de dados pessoais acrescida. Quando a lei nacional
ofereça uma maior proteção do que este Procedimento, a mesma deve ser aplicável. Quando este Procedimento
permitir uma maior proteção do que a lei nacional ou fornecer garantias adicionais, direitos e remédios
aos Indivíduos, o mesmo deve ser aplicável.
Sub-políticas e notificações
1.4 A HEINEKEN pode complementar este Procedimento com sub-políticas ou notificações que sejam
harmonizadas com a mesma.
Responsabilidade
1.5 O Gestor Responsável (Managing Director) será responsável pelo cumprimento deste Procedimento.
Data de implementação
1.6 Este Procedimento foi aprovado pelo Conselho de Administração da Heineken N. V. e entra em vigor a 1
de janeiro de 2018 devendo ser publicada na intranet da HEINEKEN e ser disponibilizada aos Indivíduos
mediante solicitação.
Prevalência do Procedimento sobre políticas
anteriores
1.7 Este Procedimento tem prevalência sobre todas as políticas de proteção de dados da HEINEKEN existentes
na Data Efetiva na medida em que forem contraditórias com os termos da mesma.
Implementação
1.8 Este Procedimento deve ser implementada pela HEINEKEN com base nos prazos previstos no Artigo 23.
Papel da Heineken International B.V.
1.9 A Heineken N.V. encarregou a Heineken International B.V. da coordenação e implementação deste
Procedimento.
Artigo 2.Finalidades dos tratamentos de dados pessoais
Finalidades Comercias Legítimas
2.1 Os dados
pessoais devem ser recolhidos, utilizados ou de outra forma Tratados com uma (ou mais) das seguintes
finalidades (Finalidades Comerciais):
(a) Avaliação e aceitação de clientes, fornecedores e parceiros de negócio. Esta finalidade inclui o
Tratamento de Dados Pessoais necessários e em conexão com a avaliação e aceitação de clientes,
fornecedores e parceiros de negócio, incluindo a confirmação e verificação da identidade dos Indivíduos
relevantes (que pode envolver o recurso a entidades de notação de risco de crédito ou outros Terceiros), a
execução de due diligence ou a confrontação com listas de sanções publicamente disponíveis publicadas pelo
Governo ou por outras autoridades públicas.
(b) Conclusão e execução de contratos com clientes, fornecedores e parceiros de negócio. Esta
finalidade diz respeito ao tratamento de dados pessoais necessário à conclusão e execução de contratos com
os clientes, fornecedores e parceiros de negócio, incluindo atividades necessárias de análise e seleção
(e.g. para o acesso às instalações ou sistemas das entidades do Grupo HEINEKEN e no cumprimento do Código
de Conduta Empresarial da HEINEKEN) e para registar e estabelecer financeiramente os serviços prestados,
produtos e materiais de e para as entidades do Grupo HEINEKEN. Esta finalidade inclui também o Tratamento
de Dados Pessoais em conexão com a execução dos contratos, incluindo a prestação de serviços ao
cliente.
(c) Desenvolvimento e melhoramento dos produtos e/ou serviços. Esta finalidade inclui o tratamento de
dados pessoais que são necessários para o desenvolvimento e melhoramento dos produtos e/ou serviços da
HEINEKEN, pesquisa e desenvolvimento (R&D).
(d) Gestão de relações e marketing. Esta finalidade inclui atividades como as de manutenção e promoção
de contactos com clientes, fornecedores e parceiros de negócio, gestão de contas, serviços de apoio ao
cliente, pedidos e desenvolvimento, execução e análise de estudos de mercado e estratégias de mercado,
incluindo atividades de marketing online (e.g. publicidade, análise da utilização online dos serviços e do
site da HEINEKEN e a venda de produtos).
(e) Execução de processos internos, da gestão interna e reportes de gestão. Esta finalidade inclui a
gestão dos ativos da empresa, condução das auditorias e investigações, revisões e cumprimento do Código de
Conduta da HEINEKEN e outros termos aplicáveis às relações com os clientes, fornecedores e parceiros de
negócio e outros Indivíduos, contabilidade e finanças, implementação de controlos de negócio, provisão de
plataformas de tratamento centralizado para ganhos de eficiência, gestão de fusões, aquisições e
alienações e o tratamento de dados pessoais para o registo da gestão e análise, arquivo, fins de seguros,
aconselhamento legal ou comercial oferecidos aos ou realizados por força da relação existente com os
Indivíduos, bem como a prevenção, preparação e resolução de litígios
(f) Saúde, Segurança no Trabalho, Segurança nas Instalações e Integridade. Esta finalidade compreende
atividades, como aquelas envolvendo a proteção dos interesses da HEINEKEN e de seus trabalhadores,
clientes, fornecedores e parceiros de negócio e atividades que envolvam a saúde e segurança ocupacional, a
proteção dos ativos da HEINEKEN e dos seus Colaboradores, e a autenticação dos Indivíduos para fins de
concessão e manutenção de direitos de acesso às instalações, identificação e estatuto dos mesmos.
(g) Cumprimento da lei. Esta finalidade diz respeito ao tratamento de dados pessoais necessário à execução
das tarefas necessárias ao cumprimento das obrigações legais ou de recomendações sectoriais a que está
sujeita a HEINEKEN, incluindo a divulgação de dados pessoais a instituições governamentais ou autoridades
de supervisão, incluindo a autoridade tributária, quando relacionada, ou;
(h) Proteção de interesses vitais de Indivíduos. Tal acontece quando o tratamento é necessário para
proteção de interesses vitais de um Indivíduo.
Quando surja uma questão em que o tratamento de dados pessoais possa ser baseado numa das Finalidades
Comerciais Legítimas acima referidas, o Encarregado de Proteção de Dados (Privacy Officer) deve ser
consultado antes de ocorrer o tratamento.
Consentimento
Consentimento
2.2 Se a Finalidade Comercial não
existir, ou se tal for exigido pela lei nacional, adicionalmente a estar ao abrigo de uma Finalidade
Comercial Legítima, a HEINEKEN deve (também) requerer o consentimento do indivíduo para o tratamento. Se
para ocorrer o tratamento é justificadamente necessário o consentimento (e.g. requer a prestação de um
serviço ou procuram obter um benefício), o consentimento do Indivíduo é considerado implícito e
automaticamente dado na solicitação do Indivíduo.
Quando solicitado o consentimento a Indivíduos, a HEINEKEN deve informá-los do seguinte:
a) dos
objetivos do tratamento para o qual o consentimento é requerido;
b) das possíveis consequências para o Indivíduo do Tratamento;
c) qual é a sociedade responsável pelo Tratamento; e
d) que ele/ela é livre de recursar ou revogar o consentimento a qualquer altura, e
e) a revogação do consentimento não afeta a legalidade do tratamento relevante levado a cabo até
então.
Recusa ou revogação do consentimento
2.3 O Indivíduo pode recusar consentir ou revogar o consentimento a qualquer momento. A revogação do
consentimento não deve afetar a legalidade do tratamento baseado nesse consentimento antes da
revogação.
Artigo 3.Uso para outras Finalidades
Uso dos dados para Finalidades
Secundárias
3.1 Em termos gerais, os dados pessoais dos Indivíduos devem ser usados apenas para Finalidades Comerciais
para os quais foram originalmente recolhidos (Finalidades Originais). Os dados pessoais podem ser tratados
para uma Finalidade Legítima da HEINEKEN, diferente da Finalidade Original (Finalidade Secundária), apenas
se a Finalidade Original e Finalidade Secundária estiverem estritamente relacionadas. Dependendo da
sensibilidade dos dados pessoais relevantes, e quando o uso de dados para a Finalidade Secundária possa
ter consequências negativas para o indivíduo, o uso da Finalidade Secundária pode requerer medidas
adicionais, tais como:
a) limitar o acesso aos dados;
b) impor condições adicionais de confidencialidade;
c) levar a cabo medidas de segurança adicionais;
d) informar o Indivíduo da Finalidade Secundária;
e) oferecer a oportunidade de “opt-out”, quando aplicável; e
f) obter o consentimento do Indivíduo, conforme os artigos 2.2 e 4.3.
Artigo 4.Objetivos do Tratamento de Dados Sensíveis
Objetivos específicos para Tratamento de
Dados Pessoais Sensíveis
4.1 Este artigo regula as regras específicas do tratamento de Dados Pessoais Sensíveis. A HEINEKEN deve
tratar os Dados Pessoais Sensíveis apenas na extensão do que for necessário para levar a cabo a Finalidade
Comercial aplicável.
As seguintes categorias de Dados Pessoais Sensíveis podem ser recolhidas,
utilizadas ou de qualquer forma Tratada apenas para uma (ou mais) das finalidades especificadas
infra:
a) Dados raciais ou étnicos (incluindo imagens e imagens móveis de um
Indivíduo:
i. em alguns países, fotografias e imagens de vídeo dos Indivíduos podem ser qualificados como dados
raciais ou étnicos. A HEINEKEN pode tratar essas fotografias (e.g. fotocópia do passaporte contendo a
fotografia) e imagens de vídeo para proteção dos ativos da HEINEKEN e dos seus empregadores, acesso ao
site e por razões de segurança;
ii. para avaliação e aceitação dos clientes incluindo a
identificação e autenticação dos clientes (incluindo a confirmação e verificação da identidade de
Indivíduos);
iii. para avaliação e verificação do estado do fornecedor ou parceiro de negócio e
direitos de acesso às instalações; e
iv. para verificação e confirmação do conselho fornecido pela
HEINEKEN aos indivíduos (e.g. quando os indivíduos participem em conferência de vídeo que seja
registado).
b) Dados criminais (incluindo dados relacionados com condutas
criminais, registos criminais ou procedimentos relacionados com condutas criminais ou ilegais):
i. para avaliação e aceitação dos clientes, fornecedores e parceiros de negócio, incluindo a identificação
e autenticação dos clientes (incluindo confirmação e verificação da identidade dos indivíduos
relevantes);
ii. para execução de um acordo com os clientes; e ainda
iii. para proteção dos
interesses da HEINEKEN ou dos seus Colaboradores, clientes, fornecedores e parceiros de negócio.
c) Religião e crenças filosóficas:
(i) adaptar produtos específicos e
serviços para um Cliente e adaptar, restrições dietéticas ou feriados religiosos, e.g. para eventos do
Cliente, Fornecedor ou Parceiro de Negócio.
Objetivos gerais do tratamento de dados
sensíveis
4.2 Para além dos objetivos específicos referidos no artigo 4.1. (acima), todas as categorias de dados
sensíveis devem ser tratados segundo uma (ou mais) das seguintes circunstâncias:
a) quando
requerido ou permitido para cumprimento de uma obrigação legal ou recomendação sectorial a que esteja
sujeita a HEINEKEN;
b) quando exigido ou permitido pela lei local aplicável;
c) para o
estabelecimento, exercício e defesa de uma reclamação legal;
d) para proteger um interesse vital do
Indivíduo, mas apenas quando seja impossível obter primeiro o consentimento do Indivíduo;
e) apenas
na extensão necessária para cumprir com uma obrigação legal resultante do direito internacional público
(ex.: tratados);
f) quando os dados sensíveis tenham sido manifestamente tornados públicos pelo
Indivíduo; ou
g) apenas na extensão necessária para cumprimento de razões de interesse público
substancial.
Consentimento, recusa e supressão do
mesmo
4.3 Para além dos objetivos específicos constantes do artigo 4.1 e dos objetivos gerais constantes do
artigo 4.2., todas as categorias de dados sensíveis podem ser tratadas se o indivíduo der o seu
consentimento expresso para o tratamento referido. Se um dos objetivos constantes dos artigos 4.1. e 4.2
for aplicável, a HEINEKEN deve requerer o consentimento para o Tratamento, apenas se a lei local aplicável
assim o requerer. Os requisitos constantes dos artigos 2.2 e do artigo 2.3 aplicam-se à concessão, recusa
e supressão do consentimento.
Autorização prévia do Encarregado de
Proteção de Dados (Privacy Officer)
4.4 Quando os dados sensíveis são tratados por imposição da lei ou da lei nacional aplicável ao
tratamento, o tratamento requer a autorização prévia apropriada do Encarregado de Proteção de Dados
(Privacy Officer).
Uso de dados sensíveis para
Finalidades Secundárias
4.5 Os dados sensíveis dos Indivíduos podem ser tratados para as Finalidades Secundárias, de
acordo com o artigo 3.
Artigo 5.Quantidade e qualidade dos dados
Excesso de dados
5.1 A HEINEKEN deve restringir o tratamento dos dados pessoais apenas aos dados razoavelmente adequados e
relevantes para a Finalidade Comercial aplicável. A HEINEKEN deve tomar os passos necessários razoáveis
para destruir os dados pessoais que não são necessários para a Finalidade Comercial aplicável.
Manutenção dos dados
5.2 A HEINEKEN deve reter os dados pessoais apenas pelo período de tempo necessário para a Finalidade
Comercial aplicável, apenas na extensão necessária para o cumprimento com os requerimentos legais, ou
aconselháveis à luz das limitações estatuídas aplicáveis. A HEINEKEN deve especificar (e.g. como uma
sub-política, informação ou retenção de registo) o período de tempo necessário para que certas categorias
de dados pessoais sejam mantidos.
Prontamente após o fim do período de manutenção, o Encarregado
de Proteção de Dados (Privacy Officer) deve assegurar diretamente que os dados são:
a) destruídos
ou apagados de forma segura;
b) não-identificados;
c) transferidos para um arquivo (a menos
que seja proibido pela lei ou pelos registos de retenção aplicáveis).
Qualidade dos dados
5.3 Os dados pessoais devem ser precisos, completos e atualizados na extensão do razoavelmente necessário
para a Finalidade Comercial aplicável.
“Design da
Privacidade”
5.4 A HEINEKEN deve tomar os passos comerciais necessários do ponto de vista
técnico e organizacional para assegurar a implementação dos requerimentos do artigo 5, considerando o
design de novos sistemas e procedimentos de tratamento de dados pessoais dos Indivíduos.
Precisão, completude e atualização dos dados pessoais
É da
responsabilidade dos Indivíduos assegurar que os Dados Pessoais, tal como detidos pela HEINEKEN, são
exatos, completos e estão atualizados. Os sujeitos devem informar a HEINEKEN de qualquer alteração, de
acordo com o Artigo 6.
Artigo 6.Requerimentos de informação do Indivíduo
Requerimentos para informação
6.1 A HEINEKEN deve
dar conhecimento aos Indivíduos através de uma Política de Proteção de Dados ou Notícia de Proteção de
Dados da seguinte informação, a não ser que o Indivíduo já possua a mesma:
a. dos Finalidade
Comerciais (incluindo os Finalidades Secundárias), para os quais os seus Dados são tratados;
b.
qual sociedade do grupo é que é responsável pelo tratamento, e também a informação de contacto do
Encarregado de Proteção de Dados (Privacy Officer);
c. as categorias de Terceiros a quem foram
divulgados os Dados (se algum) e se algum dos terceiros se localiza num país fora da ZEE, e, nesse caso,
se esse Terceiro ou país não está coberto por uma Decisão Adequada; e
d. outra informação
relevante, e.g.:
i. a natureza e categorias dos dados pessoais;
ii. o período durante o qual os dados serão mantidos ou (se não possível) o critério
usado para determinar esse período;
iii. uma visão geral dos direitos dos
Indivíduos de acordo com este Procedimento, e como podem os mesmos ser exercidos;
iv. a existência de uma decisão automática, tal como referida no artigo 10.1, mas também a
informação relevante considerando a lógica envolvente e as possíveis consequências negativas para o
Indivíduo;
v. a fonte dos Dados (quando os dados pessoais não tenham sido
fornecidos pelo Indivíduo), incluindo quando os dados pessoais resultarem de fonte pública.
Dados pessoais não fornecidos pelo indivíduo
6.2 Se a
lei nacional aplicável assim o exigir, se os Dados Pessoais não forem obtidos diretamente do Indivíduo, a
HEINEKEN deve informar o Indivíduo das condições resultantes do artigo 6.1., a menos que o Indivíduo tenha
já essa informação:
a. no momento em que os Dados Pessoais são registados na base de dados da
HEINEKEN; ou
b. no momento em que os Dados Pessoais são enviados, considerando que esse envio se
verifica 6 meses após o registo dos Dados Pessoais na base de dados da HEINEKEN.
Excepções
6.3 Os requerimentos do artigo 6.2 podem
ser afastados se:
a) for impossível ou puder envolver esforço desproporcional divulgar essa
informação aos indivíduos;
b) originar custos desproporcionais.
Estas excepções aos
requerimentos são qualificados como Interesses Prevalecentes.
Artigo 7.Direitos de Acesso, Retificação e Eliminação
Direitos dos Indivíduos
7.1 Todos os Indivíduos têm o direito de requerer cópia do Tratamento dos seus Dados Pessoais,
desenvolvido pela ou sob a alçada da HEINEKEN e ainda, quando razoavelmente possível, a seguinte
informação: as categorias de dados em causa, a informação acessível e a sua fonte, as propostas de negócio
do tratamento, os períodos de recolha (ou o critério usado para determinar esses períodos), as categorias
de terceiras partes destinatárias dos dados pessoais relevantes, incluindo qualquer terceira parte
localizada num país fora da ZEE e quando uma terceira parte esteja coberta por uma Decisão de Adequação, e
a existência de uma decisão automática, nos termos do artigo 10.1, e ainda informação com sentido sobre a
lógica envolvida e as potenciais consequências negativas para o Indivíduo.
Se os dados pessoais do
Indivíduo estiverem incorretos, incompletos ou não forem tratados segundo a lei aplicável a este
procedimento, o Indivíduo goza do direito que esses Dados sejam rectificados, apagados ou que o tratamento
seja restringido (tal como apropriado).
O Indivíduo tem também o direito de se opor a:
a) o
tratamento dos seus Dados com base em motivos relativos à sua pessoa, a menos que a HEINEKEN consiga
demonstrar um interesse legitimo prevalecente para o tratamento.
b) o tratamento destes Dados para
comunicações de marketing direto, incluindo o que seja necessário na extensão e quando relacionado com
esse marketing direto.
O Indivíduo tem o direito (sendo sua opção) de receber uma cópia dos dados
por ele disponibilizados, num formato de leitura óptica.
Procedimento
7.2 O Indivíduo deve enviar a sua solicitação à sua pessoa ou ponto de contacto indicado na Política ou
Informação de Proteção de Dados. Se nenhuma pessoa ou ponto de contacto for indicado, o Indivíduo deve
enviar o pedido através da secção geral de contactos que consta do website da HEINEKEN Antes de atender à
solicitação do Indivídio, a HEIENKEN pode requerer ao Indivíduo para:
a) especificar as categorias
de dados pessoais que ele pretende ter acesso;
b) especificar a extensão razoavelmente possível do
sistema de dados em que os dados vão ser armazenados;
c) especificar as circunstâncias em que a
HEINEKEN obteve os dados pessoais;
d) fazer prova da sua identidade quando a HEINEKEN tenha dúvidas
razoáveis relativas à identidade, ou adicionar informação relativamente à sua identificação;
e)
pagar uma taxa para compensar a HEINEKEN dos custos razoáveis relacionados com o pedido, considerando que
a HEINEKEN consegue demonstrar que o pedido é manifestamente infundado ou excessivo, e.g. devido ao seu
carácter repetitivo; e
f) no caso do pedido de rectificação, eliminação ou restrição,
especificando as razões porque é que os dados pessoais dos Indivíduos estão incorretos, incompletos ou não
são processados de acordo com a lei aplicável ou o tratamento.
Período de resposta
7.3 Após 4 semanas de recepção do pedido por parte da HEINEKEN, a pessoa ou o ponto de contacto, ou ainda
o Encarregado de Proteção de Dados (Privacy Officer) deve informar o Indivíduo, eletronicamente ou por
escrito, (i) da posição da HEINEKEN relativamente ao pedido e qualquer ação que a HEINEKEN tenha levado a
cabo em reposta ou (ii) a última data em que vai ser informado da posição da HEINEKEN e a razão para o
atraso, não devendo essa data ultrapassar as 8 semanas após a comunicação enviada para o Indivíduo.
Reclamação
7.4 Um Indivíduo pode apresentar uma reclamação de acordo com o artigo 18.3 se:
A) a resposta ao
seu pedido for por si considerada insatisfatória (e.g. o pedido é recusado);
B) o Indivíduo não
recebeu qualquer resposta, tal como previsto no artigo 7.3; ou
C) o período de tempo, nos termos no
artigo 7.3, à luz das circunstâncias relevantes, revela-se demasiado longo e o indivíduo reclamou mas não
viu o mesmo satisfeito num período mais pequeno, mais razoável, dentro do qual irá receber uma
resposta.
Recusa de pedidos
7.5 A HEINEKEN pode recusar uma solicitação de um Indivíduo se:
a) o pedido não preenche os
requisitos dos artigos 7.1 e 7.2;
b) o pedido não é suficientemente específico;
c) a
identidade do indivíduo em causa não pode ser estabelecida por meios razoáveis, incluindo a prestação de
informações adicionais pelo indivíduo;
d) a HEINEKEN puder demonstrar de forma razoável que o
pedido é manifestamente infundado ou excessivo, e.g. devido ao seu carácter repetitivo. Um intervalo de
tempo entre os pedidos de menos de 6 meses deve ser rejeitado por se considerar desrazoável; ou
e)
o pedido viola os direitos de outros Indivíduos.
Inexistência da Obrigação de
Processamento de informação de identificação.
7.6 A HEINEKEN não está obrigada a tratar informação adicional de forma a identificar o Indivíduo com o
único propósito de possibilitar o exercício dos direitos dos Indivíduos nos termos do artigo 0.
Artigo 8.Segurança e requisitos de
confidencialidade
Segurança dos Dados
8.1 A HEINEKEN deve tomar as
medidas comerciais, técnicas, físicas e organizacionais apropriadas a proteger os dados pessoais dos
Indivíduos de qualquer mal uso ou acidente, ilegal ou não autorizada destruição, perda, alteração,
divulgação, aquisição ou acesso. Para atingir isto, a HEINEKEN tem de desenvolver e implementar a política
de segurança da HEINEKEN e outras políticas relacionadas com a proteção de Dados Pessoais.
Acesso do Staff
8.2 Membros do Staff devem ser
autorizados a aceder a dados pessoais apenas na extensão do necessário para cumprir com a Finalidade
Comercial aplicável e exercer a sua função.
Obrigações de
confidencialidade
8.3 Membros do staff que tenham acesso a dados pessoais devem cumprir
com as suas obrigações de confidencialidade.
Requisito
de notificação de Violação da Segurança dos Ddados
8.4 A HEINEKEN deve informar o
Indivíduo da violação da segurança dos dados num período de tempo razoável, depois da descoberta dessa
violação, a menos que a lei ou uma autoridade de supervisão determine que essa notificação possa ser
prejudicial a uma investigação (criminal) ou causar danos à segurança nacional. Neste caso, a notificação
deve ser adiada tal como indicado por essa autoridade. A HEINEKEN deve responder prontamente às questões
de Indivíduos relacionados com a violação da segurança desses dados.
Artigo 9.Marketing direto
Marketing direto
9.1 Este artigo estabelece os
requisitos relacionados com o tratamento de dados pessoais para objetivos de marketing direto (e.g.
contato com o indivíduo por e-mail, fax, telefone, SMS, ou outro, com vista a solicitação de uma proposta
comercial ou de caridade).
Consentimento para marketing
Direito (opt-in)
9.2 As sociedades do Grupo HEINEKEN em Portugal apenas devem enviar aos
indivíduos em Portugal comunicações comerciais eletrónicas para fins de marketing com o consentimento
prévio do indivíduo (“opt-in”), obtido através da plataforma indicada pelo Privacy Officer. Se a lei
aplicável não requerer o consentimento prévio do indivíduo, a HEINEKEN deve em qualquer situação oferecer
ao indivíduo a oportunidade de dispensar essa comunicação comercial não solicitada.
Exceção (opt-out)
9.3 Um novo consentimento prévio do
Indivíduo ao envio de comunicações comerciais não solicitadas não é necessário se:
a) o indivíduo
forneceu os seus detalhes de contacto eletrónicos a uma sociedade do grupo no contexto de venda de um
produto ou prestação de serviço de uma dessas sociedades do grupo;
b) os detalhes de contacto são
usados para marketing direto dos produtos ou serviços similares dessa sociedade do grupo;
c) foi
concedido ao Indivíduo de forma clara a distintiva a oportunidade de recusar, de forma gratuita e fácil, o
uso desses detalhes de contacto eletrónicos quando estes tenham sido recolhidos pela sociedade do grupo.
Informação que deve ser prestada em cada
comunicação
9.4 Em todas as comunicações relativas a marketing direto que sejam feitas ao
indivíduo, ao mesmo deve ser dada a oportunidade de pôr termo a essas comunicações.
Objeção a marketing direto
9.5 Se um indivíduo recusar
receber comunicações de marketing por parte da HEINEKEN, ou retirar o seu consentimento relativo à receção
dessas comunicações, a HEINEKEN deve tomar os passos necessários para se abster de enviar mais materiais
de marketing requeridos pelo indivíduo. A HEINEKEN deve fazê-lo no período de tempo estabelecido pela lei
aplicável.
Terceiros e marketing
direto
9.6 Não devem ser disponibilizados dados para serem usados por terceiros ou sob a
alçada dos mesmos, para objetivos de marketing direto dessa terceira parte sem o consentimento prévio do
indivíduo.
Dados pessoais de crianças
9.7
A HEINEKEN não deve usar quaisquer Dados Pessoais de Crianças para efeitos de marketing direito, sem o
consentimento prévio dos seus pais ou dos responsáveis a quem foi entregue a sua tutela ou curatela.
Registos de marketing direto
9.8 A
HEINEKEN deve manter um registo dos indivíduos e das suas opções “opt-in” e “opt-out” e deve regularmente
verificar os registos das opções de saída.
Artigo 10. Processos automáticos de decisão (incluindo a criação de perfis)
Processos Automáticos de Decisão
10.1 Ferramentas
automáticas podem ser usadas para tomar decisões sobre Indivíduos mas decisões com um resultado negativo
para o indivíduo podem não se basear apenas nos resultados demonstrados pela ferramenta automatizada. A
restrição não se aplica se:
a) o uso de ferramentas automáticas for necessária para o desempenho de
uma tarefa para o cumprimento de obrigação legal ou recomendações sectoriais a que a HEINEKEN esteja
sujeita;
b) a decisão feita pela HEINEKEN com objetivos de (a) propor ou celebrar contrato ou (b)
cumprimento de contrato, desde que o pedido subjacente que levou a uma decisão da HEINEKEN tenha sido
feito pelo Indivíduo (e.g. quando ferramentas automáticas são usadas para filtrar submissões de concursos
publicitários, passatempos ou promoções ou
c) o indivíduo deu o seu consentimento
expresso.
d) No caso do artigo 9.1b) ou c) ser aplicável, a HEINEKEN deve tomar as medidas
necessárias para salvaguardar os interesses legítimos do Indivíduos, e.g. oferecendo a oportunidade ao
Indivíduo demonstrar o seu ponto de vista.
Artigo 11.Transferências de Dados Pessoais de Indivíduos para Terceiros
Transferências para Terceiros
11.1 Este artigo elenca os requisitos relativos à transferência de dados pessoais de Indivíduos da
HEINEKEN para Terceiros. É de notar que a transferência de dados pessoais de Indivíduos inclui situações
em que a HEINEKEN divulga dados pessoais de Indivíduos a terceiros (e.g. no contexto de uma Due Diligence
societária) ou quando a HEINEKEN permite acesso a dados pessoais por parte de terceiros de forma remota.
Terceiros Processadores de Dados Pessoais e Terceiros
Controladores dos Dados Pessoais
11.2 Existem duas categorias de terceiros:
a) Terceiros Processadores de Dados Pessoais : são Terceiros que tratam os dados pessoais dos Indivíduos
apenas em nome da HEINEKEN e sob as suas instruções (e.g. terceiros que processam registo de forma online
feitos pelos consumidores);
b) Terceiros Controladores de Dados Pessoais: são Terceiros que tratam
dados pessoais de Indivíduos e determinam objetivos e meios do tratamento (e.g. entidades governamentais
ou prestadores de serviços que fornecem serviços directamente aos Indivíduos).
Transferência apenas para efeitos da Finalidade Comercial
11.3 A HEINEKEN deve transferir dados pessoais dos Indivíduos para Terceiros apenas na extensão do
necessário para prosseguir uma Finalidade Comercial para a qual o Dado Pessoal do Indivíduo é objecto de
um Tratamento (incluindo Finalidades Secundárias de acordo com o artigo 3 ou objetivos aos quais o
Indivíduo tenha dado o seu consentimento, de acordo com o artigo 2).
Garantias do Terceiro Controlador do Tratamento
11.4 Terceiros Controladores do Tratamento (que não autoridades governamentais) podem tratar os dados
pessoais dos Indivíduos transmitidos pela HEINEKEN apenas se tiverem celebrado um contrato por escrito ou
por via electrónica com a HEINEKEN. No contrato, a HEINEKEN deve garantir a proteção interesses dos
Indivíduos quando os dados pessoais dos Indivíduos são transferidos os Terceiros Controladores do
Tratamento. Todos esses contratos devem ser celebrados com consulta do Encarregado de Proteção de Dados
(Privacy Officer). Dados de Contacto Individuais de Negócio podem ser transferidos para terceiros
responsáveis pelo tratamento sem garantias se for razoavelmente expectável que os Dados de Contacto de
Empresa vão ser usados pelos terceiros responsáveis pelo tratamento para contactar o individuo em relação
a propostas de negócio legítimas, considerando as responsabilidades profissionais do mesmo.
Contratos com Terceiros Processadores de Dados
11.5 Os Terceiros Processadores de Dados podem tratar dados pessoais dos Indivíduos apenas se tiverem
celebrado validamente por escrito ou eletronicamente contrato com a HEINEKEN (Contrato de Processamento de
Dados). O Contrato com Terceiro Processador de dados pessoais deve incluir as seguintes
disposições:
a) o Terceiro Processador de Dados Pessoais deve tratar os dados pessoais dos
Indivíduos apenas de acordo com as instruções da HEINEKEN, incluindo as transferências de dados pessoais
dos Indivíduos para qualquer Terceiros Processadores de Dados localizados em país fora da ZEE e quando o
Terceiro Processador de Dados ou país não se encontre coberto por uma Decisão de Adequação, a menos que o
Terceiros Processadores de Dados seja obrigado a fazê-lo de acordo com requisitos vinculativos aplicados a
Terceiros Processadores de Dados ou para objetivos autorizados pela HEINEKEN;
b) o Terceiro
Processador de Dados deve manter os Dados Pessoais dos Indivíduos confidenciais;
c) o Terceiro
Processador de Dados deve tomar as medidas técnicas, físicas e organizacionais de segurança necessárias à
proteção dos dados pessoais;
d) o Terceiro Processador de Dados apenas deve permitir que
subcontratados tratem dados pessoais em conexão com as suas obrigações com a HEINEKEN (a) com o
consentimento especifico e genérico da HEINEKEN e (b) baseado num contrato escrito ou eletrónico válido
com o subcontratado, que imponha uma proteção de proteção de dados semelhante à imposta ao Terceiro
Processador de Dados nos termos do contrato, e estabeleça a responsabilidade do Terceiro Processador de
Dados em relação à HEINEKEN pelo desempenho do subcontratado, de acordo com o contrato que tiver em vigor
com a Heineken.
e) A HEINEKEN goza do direito de rever as medidas de segurança tomadas por um
Terceiro Processador de Dados e o mesmo deve submeter todas as instalações relevantes no âmbito da qual
seja realizado um tratamento de dados a auditorias e inpecções da HEINEKEN, um terceiro indicado pela
HEINEKEN ou qualquer autoridade pública.
f) O Terceiro Processador de Dados deve informar
prontamente a HEINEKEN de qualquer violação atual ou suspeita da segurança dos dados pessoais dos
Indivíduos; e
g) o Terceiro Processador de Dados deve responder prontamente e de forma apropriada
com (a) questões da HEINEKEN relacionadas com o processamento de dados pessoais; e
(b) solicitações de
assistência da HEINEKEN, quando razoavelmente solicitadas para grantir o cumprimento do Tratamento de
Dados Dessoais de acordo com a lei aplicável; e
h) Em caso de cessação do contrato de Processamento
de Dados, o Terceiro Processador de Dados deve, se a HEINEKEN assim o desejar, devolver os dados pessoais
e cópias dos mesmos ou deve, de forma segura, apagar esses dados pessoais, excetuando quando o contrato de
Processameto de Dados ou a lei aplicável disponha de diferente forma.
Transferência de dados para Terceiros fora da ZEE e que não estão
cobertos por uma Decisão de Adequação
11.6 Este artigo elenca regras adicionais aos dados pessoais que são (a) recolhidos originalmente em
conexão com atividades de uma das sociedades do grupo que se encontra localizada na ZEE ou localizada em
país fora da ZEE mas em sociedade ou país coberto por uma Decisão de Adequação; e b) transferência para
Terceiro que se encontre em país localizado fora da ZEE e Terceiro ou países não cobertos por uma Decisão
de Adequação;
Os Dados Pessoais podem ser transferidos para Terceiros apenas se:
a) a
transferência for necessária para o desempenho ou cumprimento de contrato com o Indivíduo, ou para tomar
os passos necessários em caso de pedido do Indivíduo anterior à celebração do contrato, e.g. processamento
de ordens.
b) tiver sido celebrado um contrato entre a HEINEKEN e o Terceiro, sendo necessário que
o Terceiro (a) esteja vinculado aos termos deste Procedimento como se de uma sociedade do grupo Heineken
se tratasse; ou (b) ofereça garantias com um nível de proteção similar ao estabelecido neste Procedimento;
o contrato deve ser conforme com qualquer requisito de contrato nos termos do direito local aplicável (se
existir algum);
c) a transferência é necessária para a celebração ou cumprimento do contrato
concluído no interesse do Indivíduo entre a HEINEKEN e o Terceiro (e.g. no caso de agências de turismo
para agendamento das viagens aéreas);
d) o terceiro foi certificado por programa que é reconhecido
nos termos do direito local aplicável, como proporcionando um nível de proteção “adequado” dos
dados;
e) o terceiro implementou regras societárias vinculativas ou um mecanismo de controlo de
transferências semelhante que oferece garantias adequadas nos termos da lei aplicável;
f) a
transferência é necessária para proteger um interesse vital do Indivíduo;
g) a transferência é
necessária para o estabelecimento, exercício e defesa de um direito;
h) a transferência é
necessária para satisfazer a necessidade de proteger interesses públicos de uma sociedade democrática;
ou
i) a transferência é necessária para o desempenho de tarefa necessária ao cumprimento de uma
obrigação legal ou recomendação sectorial a que está sujeita a sociedade relevante do grupo; ou
j)
a transferência é necessária para satisfazer uma Finalidade Comercial da HEINEKEN, considerando que a
transferência não é repetitiva, diz respeito apenas a um número limitado de Indivíduos, e os interesses
dos Indivíduos afetados não prevalecem obre a Finalidade Comercial para o qual a transferência é
feita.
Os números 11.6 (h), (i) e (j) acima requererem a aprovação prévia do Encarregado Global de
Proteção de Dados (Global Privacy Officer).
Consentimento para a
transferência
11.7 Se nenhum dos motivos elencados no artigo 11.6 se verificar ou se a lei local aplicável assim
(também) o requerer, a HEINEKEN deve tentar obter o consentimento do Indivíduo para a transferência dos
Dados do Indivíduo a um Terceiro localizado em país fora da ZEE, em que esse Terceiro ou país não se
encontre coberto por uma Decisão de Adequação.
Antes de requerer o consentimento, a HEINEKEN deve
disponibilizar a seguinte informação ao Indivíduo:
a) a finalidade da transferência;
b) a
identidade da sociedade cedente;
c) a identidade ou categorias de Terceiros para quem os Dados vão
ser transferidos;
d) as categorias de Dados que vão ser transferidos;
e) o país para onde os
Dados vão ser transferidos; e
f) o facto que os Dados vão ser transferidos para terceiro localizado
em país fora da ZEE e que esse terceiro ou país não se encontram cobertos por uma Decisão de
Adequação.
Os requisitos constantes dos artigos 2.2 e 2.3 aplicam-se ao pedido, recusa ou revogação
do consentimento.
Transferência de dados para terceiros fora da ZEE que não se
encontrem cobertos por uma Decisão de Adequação
11.8 Este artigo elenca as regras adicionais às transferências de dados pessoais que são recolhidos em
conexão com atividades de sociedade do grupo localizada em país fora da ZEE, e em sociedade do grupo ou
país que não se encontre coberto por Decisão de Adequação para Terceiro também localizado em país fora da
ZEE ou que não se encontre coberto por uma Decisão de Adequação. Adicionalmente às razões constantes do
artigo11.6, estas transferências são permitidas se:
a) necessárias para o cumprimento de obrigação
legal a que está sujeita sociedade do grupo;
b) necessária para prosseguir um interesse público;
ou
c) necessária para satisfazer uma Finalidade Comercial da HEINEKEN.
Artigo 12.Interesses prevalecentes
Interesses Prevalecentes
12.1 As obrigações da HEINEKEN ou os direitos dos Indivíduos especificados no artigo 12.2 e 12.3 podem
prevalecer se, sob determinadas circunstâncias especificas, existe uma necessidade que prevalece sobre o
interesse do indivíduo (interesse prevalecente). Um interesse prevalecente existe se houver uma
necessidade de:
(a) proteger um interesse de negócio legítimo da HEINEKEN, incluindo:
(i) a saúde e segurança dos empregados e Indivíduos;
(ii) direitos
de propriedade intelectual, segredos de negócio e reputação da HEINEKEN;
(iii)
a continuidade das operações de negócio da HEINEKEN;
(iv) a preservação da
confidencialidade numa proposta de venda, fusão ou aquisição de negócio;
(v) o
envolvimento de aconselhamento ou consultores para objetivos jurídicos e fiscais, de negócio e de
seguro;
(b) prevenir ou investigar (incluindo a cooperação com a aplicação da lei) suspeitas ou
violações reais da lei, violações dos termos do contrato de trabalho ou não cumprimento do Código de
Conduta Comercial da HEINEKEN ou outras políticas e procedimentos da HEINEKEN; ou
(c) proteger ou
defender os direitos ou liberdades da HEINEKEN, seus empregados ou outras pessoas.
Exceções em caso de Interesses Prevalecentes
12.2
Se um Interesse Prevalecente existir, uma ou mais das seguintes obrigações da Heineken ou direitos dos
Indivíduos pode ser afastado:
a) Artigo 3.1 (o requisito de Processar Dados Pessoais para
propósitos intimamente relacionados);
b) Artigo 6.1 (informações facultadas aos Indivíduos, Dados
Pessoais não obtidos dos Indivíduos);
c) Artigo 6 (direitos dos Indivíduos); Artigo 8.2 e 8.3
(Limitações de acesso do Staff e requisitos de confidencialidade); e
d) Artigos 11.4, 11.5, 11.6b)
(Contratos com Terceiros).
Dados Pessoais
Sensíveis
12.3 Os requisitos dos Artigos 4.1 e 4.2 (Dados Pessoais Sensíveis) podem ser afastados apenas com
base em um dos seguintes Interesses Prevalecentes do Artigo 12.1(a)(i), 12.1(a)(ii), 12.1(a)(iii),
12.1(a)(v), 12.1(b), e 12.1(c).
Consulta ao Encarregado
Mundial de Protecção de Dados Pessoais (Global Privacy Officer)
12.4 Afastar as obrigações da HEINEKEN ou os direitos dos Indivíduos com base num Interesse Prevalecente
requer consulta prévia ao Encarregado Mundial de Proteção de Dados (Global Privacy Officer). O Encarregado
Mundial de Proteção de Dados (Global Privacy Officer) deverá documentar o seu aconselhamento.
Informação ao Indivíduo
12.5 A pedido do Indivíduo, a HEINEKEN informará o mesmo do Interesse Prevalecente relativamente ao qual
foram afastadas obrigações da HEINEKEN ou direitos do Indivíduo, a menos que o Interesse Prevalecente em
particular ponha em causa os requisitos dos Artigos 6.1 ou 7.1, casos em que o pedido será recusado.
Artigo 13. Fiscalização e Cumprimento
Encarregado Mundial de Proteção de Dados (Global Privacy
Officer)
13.1 Heineken International B.V. deverá nomear um Encarregado Mundial de Proteção de Dados (Global Privacy
Officer) que assumirá as seguintes funções:
(a) Supervisão pelo cumprimento do presente
Procedimento;
(b) Coordenação da rede de Encarregados de Proteção de Dados e comunicação e
consulta aos mesmos relativas a questões referentes à proteção de dados centrais;
(c) Apresentar
relatórios anuais sobre proteção de dados, conforme necessário, ao Conselho Executivo responsável pelos
riscos e cumprimento das questões relativas à proteção de dados, e como previsto no artigo
16.2;
(d) Coordenação, em conjunto com a rede de Encarregados de Proteção de Dados e outros
responsáveis de compliance, de investigações oficiais ou inquéritos relativos ao Processamento de Dados
Pessoais tomadas por uma autoridade governamental;
(e) Gestão de conflitos entre o presente
Procedimento e a lei aplicável como previsto no Artigo 20.2;
(f) Aprovação de transferências como
previsto no Artigos 20.1 e 11.6;
(g) Monitorização da performance e revisão periódica da Análise do
Impacto sobre a Proteção de Dados (PIA) perante um novo sistema ou processo comercial implementados que
envolvam Procedimento de Dados Pessoais como previsto no Artigo 14.3;
(h) Análise de documentos,
notificações e comunicações de Violações de Segurança de Dados;
(i) Deliberar sobre reclamações
como previsto no Artigo 17; e criação e manutenção de um quadro geral para:
(i)
o desenvolvimento, execução e atualização de políticas e procedimentos de proteção de dados locais;
(ii) a manutenção, atualização e publicação deste Procedimento e subpolíticas
relacionadas;
(iii) a criação, manutenção e atualização de informação
relacionada com a estrutura e funcionamento de todos os sistemas de processamento de dados pessoais (como
exigido no Artigo 14);
(iv) o desenvolvimento, execução e atualização das
formações sobre proteção de dados e programas de sensibilização;
(v) controlo,
auditoria e elaboração de relatórios sobre o cumprimento do presente Procedimento a dirigir ao órgão de
gestão;
(vi) a recolha, investigação e resolução de inquéritos, problemas e
reclamações relativas a privacidade; e
(vii) definição e atualização das
medidas/sanções adequadas para as violações ao presente Procedimento (e.g. normas disciplinares);
(j) Elaborar processos de gestão de dados, sistemas e ferramentas para implementação da estrutura de
manutenção de proteção de dados como referido em 13.1(i).
Além disso, e sem prejuízo do disposto
no Artigo 13.2, o Encarregado Mundial de Proteção de Dados (Global Privacy Officer) poderá determinar para
que Unidade Organizacional específica se revela necessário um Encarregado de Protecção de Dados (veja-se
Artigo 13.2), devendo o mesmo ser nomeado pela Unidade Organizacional respetiva.
Encarregado de Proteção de Dados (Privacy
Officer)
13.2 HEINEKEN deve, para cada Unidade Organizacional, designar um Encarregado de Proteção de Dados
(Privacy Officer). HEINEKEN poderá também designar um Encarregado de Proteção de Dados (Privacy Officer)
para um grupo de Unidades Organizacionais. Os Agentes de Privacidades designados podem, em troca,
estabelecer uma rede de Encarregado de Proteção de Dados (Privacy Officer) adequada ao cumprimento direto
deste Procedimento nas respetivas regiões ou funções. Uma lista dos Encarregados de Proteção de Dados
(Privacy Officers) designados deve ser publicada na intranet da HEINEKEN.
Os Encarregados de Proteção
de Dados (Privacy Officers) executarão as seguintes funções:
(a) Implementação dos processos de
gestão de dados, sistemas e ferramentas, desenvolvidas pelo Encarregado Mundial de Proteção de Dados
(Global Privacy Officer) para execução do quadro de gestão da proteção de dados na sua respetiva Unidade
Organizacional;
(b) Apoio e avaliação geral do cumprimento da gestão geral de dados dentro da
respetiva Unidade Organizacional;
(c) Aconselhamento regular às respetivas equipas executivas, ao
Gestor Reponsável, Administradores, Gerentes e o Encarregado Mundial de Proteção de Dados (Global Privacy
Officer) sobre os riscos relativos à protecção de dados e respetivo cumprimento;
(d) Manutenção de
(ou garantir o acesso a) um inventário da informação do sistema sobre a estrutura e funcionamento de todos
os sistemas que processam Dados Pessoais do Indivíduos (como disposto no Artigo 14.2);
(e)
Disponibilidade para pedidos de aprovação de privacidade ou de aconselhamento como previstos no Artigos
2.1, 2.2, 4.4, Artigo 7 e 11.7;
(f) Fornecimento de informações relevantes para o relatório anual
de protecção de dados do Encarregado Mundial de Proteção de Dados (Global Privacy Officer) (como previsto
no Artigo Artigo 16);
(g) Colaboração com o Encarregado Mundial de Proteção de Dados (Privacy
Officer) em eventuais investigações oficias ou inquéritos realizados pelas autoridades governamentais;
(h) Possuir e autorizar todas as subpolíticas de protecção de dados apropriadas nas suas
organizações;
(i) Instrução para que os Dados Pessoais dos Indivíduos armazenados sejam excluídos
ou destruídos, desidentificados ou transferidos conforme exigido pelo Artigo 5.2;
(j) Decidir e
notificar o Encarregado Mundial de Proteção de Dados (Global Privacy Officer) sobre reclamações, conforme
descrito no Artigo 16.2; e
(k) Cooperar com o Encarregado Mundial de Proteção de Dados (Global
Privacy Officer), outros Encarregado de Proteção de Dados e os responsáveis de Compliance para:
(i) Garantir que as instruções, ferramentas e formação em vigor permitem que a Unidade
Organizacional cumpra com este Procedimento;
(ii) Compartilhar e fornecer
orientações sobre as melhores práticas de gestão de proteção de dados dentro de sua Unidade
Organizacional;
(iii) Garantir que os requisitos de proteção de dados sejam
tomados em consideração sempre que novas tecnologias forem implementadas na sua Unidade Organizacional;
e
(iv) Notificar o Gestor Responsável do envolvimento de prestadores de
serviços externos com tarefas de tratamento de dados para a sua Unidade Organizacional.
O Gestor Responsável (Responsible Manager ou Managing
Director)
13.3 O Gestor Responsável é responsável pela implementação efetiva da gestão de proteção de dados na sua
Unidade Organizacional (incluindo, mas não limitado à obrigação de nomear um Encarregado de Proteção de
Dados (Privacy Officer) e a responsabilidade de executar Avaliações de Impacto de Privacidade, quando
necessárias), integração nas práticas de gestão e por garantir que os recursos adequados e orçamento estão
disponíveis.
Os Gerentes Responsáveis são responsáveis por:
(a) Assegurar a conformidade geral da gestão de proteção de dados dentro de sua Unidade Organizacional,
também durante e após a reestruturação organizacional, subcontratação, fusões e aquisições e
alienações;
(b) Implementar os processos, sistemas e ferramentas de gestão de dados, criados pelo
Encarregado Mundial de Proteção de Dados (Global Privacy Officer) para implementar a estrutura de gestão
de proteção de dados na sua respetiva Unidade Organizacional;
(c) Assegurar que os processos e
sistemas de gestão de proteção de dados permaneçam atualizados em relação a mudanças de circunstâncias e
requisitos legais e regulamentares;
(d) Assegurar e monitorizar o cumprimento contínuo por
terceiros dos requisitos deste Procedimento caso os Dados Pessoais sejam divulgados pela HEINEKEN a um
Terceiro (incluindo a assinatura de um contrato escrito ou eletrónico com o Terceiro e a obtenção de
confirmação desse contrato por parte do departamento jurídico);
(e) Assegurar que os Indivíduos
relevantes na sua Unidade Organizacional seguem as formações sobre proteção de dados; e
(f)
Instruir para que os Dados Pessoais do Indivíduos armazenados sejam excluídos ou destruídos,
desidentificados ou transferidos conforme exigido pelo Artigo 5.2.
Os Gerentes Responsáveis são
responsáveis por:
Os Gerentes Responsáveis são responsáveis por:
(g) Designar um Encarregado de Proteção de Dados
(Privacy Officer) para sua Unidade Organizacional;
(h) Consultar o Encarregado Mundial de Proteção
de Dados (Global Privacy Officer) em todos os casos em que se verifique um conflito entre a legislação
local aplicável e o presente Procedimento, conforme descrito no Artigo 20.2; e
(i) Informar o
Encarregado Mundial de Proteção de Dados (Global Privacy Officer) de qualquer nova exigência legal que
possa interferir com a capacidade da HEINEKEN de cumprir este Procedimento, conforme exigido pelo Artigo
20.3.
Encarregado de Proteção de Dados (Privacy Officer) com cargo
estatutário
13.4 Quando um Encarregado de Proteção de Dados (Privacy Officer) exercer a sua posição de acordo com a
lei, ele deverá cumprir as suas responsabilidades laborais na medida em que não entre em conflito com sua
posição estatutária.
Artigo 14.Políticas e Procedimentos
Políticas e Procedimentos
14.1 A HEINEKEN deverá
desenvolver e implementar políticas e procedimentos que obedeçam ao presente Procedimento.
Informação de Sistema
14.2 A HEINEKEN deve manter
informações prontamente disponíveis relativas à estrutura e ao funcionamento de todos os sistemas e
procedimentos de Tratamento de Dados Pessoais (e.g. inventário de sistemas e processos, Avaliações de
Impacto de Privacidade).
Privacy Impact Assessments (PIA) ou Avaliação de Impacto em Proteção de Dados
(AIP)
14.3 A HEINEKEN deverá manter um procedimento para conduzir e documentar uma avaliação prévia
do impacto que o tratamento pode ter na proteção de Dados Pessoais, onde tal Tratamento é suscetível de
provocar um alto risco para os direitos e liberdades dos Indivíduos, em particular quando novas
tecnologias sejam usadas.
Artigo 15.Formação
Formação do Staff
15.1 HEINEKEN deve fornecer
formação sobre o presente Procedimento e obrigações de confidencialidade relacionadas aos membros doStaff
com acesso a Dados Pessoais.
Artigo 16.Monitorização e Auditoria de Conformidade
Auditorias
16.1 A Auditoria Global da HEINEKEN deve auditar processos e procedimentos negociais que envolvam o
Tratamento de Dados Pessoais para cumprimento deste Procedimento. As auditorias devem ser realizadas no
decorrer das atividades regulares da Auditoria Global ou a pedido do Encarregado Mundial de Proteção de
Dados (Global Privacy Officer). O Encarregado Mundial de Proteção de Dados (Global Privacy Officer) pode
solicitar que uma auditoria, conforme especificado neste Artigo 16.1, seja conduzida por um auditor
externo. Os padrões profissionais aplicáveis de independência, integridade e confidencialidade devem ser
observados durante a realização de uma auditoria. O Encarregado Mundial de Proteção de Dados (Global
Privacy Officer) e os Encarregados de Protecção de Dados devem ser informados dos resultados das
auditorias. As violações do Procedimento reportadas serão reportadas, por sua vez, à gerência sénior. Uma
cópia dos resultados da auditoria será fornecida à Autoridade de Proteção de Dados da Holanda, mediante
solicitação.
Relatório Anual de Protecção de Dados
16.2 O Encarregado Mundial de Proteção de Dados (Global Privacy Officer) deve implementar os processos
apropriados para monitorizar a conformidade com este Procedimento e produzir um relatório anual sobre
Protecção de Dados Pessoais para a Direção Executiva sobre o cumprimento do presente Procedimento, riscos
de proteção de dados e outras questões relevantes. Cada Encarregado de Proteção de Dados (Privacy Officer)
deve fornecer informações relevantes para o relatório ao Encarregado Mundial de Proteção de Dados (Global
Privacy Officer).
Mitigação
16.3 A
HEINEKEN, se assim for indicado, deverá assegurar que as medidas adequadas para fazer face a violações do
presente Procedimento identificadas durante a monitorização ou auditoria sobre o cumprimento levadas a
cabo nos termos deste Artigo 16, são tomadas.
Artigo 17.Procedimento de Reclamações
Reclamação ao Encarregado de Proteção de Dados (Privacy Officer)
17.1 Um Indivíduo pode apresentar
uma reclamação relativa ao cumprimento do presente Procedimento ou violações dos seus direitos nos termos
da lei local aplicável:
(a) de acordo com o procedimento aplicável às reclamações estabelecido no
Código de Conduta Empresarial da HEINEKEN ou em contrato; ou
(b) com o Encarregado de Proteção de
Dados (Privacy Officer) apropriado.
O Encarregado de Proteção de Dados (Privacy Officer) apropriado
deverá:
(c) notificar o Encarregado Mundial de Proteção de Dados (Global Privacy
Officer);
(d) iniciar uma investigação; e
(e) quando necessário, aconselhar o negócio sobre
as medidas apropriadas para o cumprimento e monitorização, até a conclusão, das etapas que visam a
alcançar a conformidade.
O Encarregado de Proteção de Dados (Privacy Officer) apropriado pode
consultar qualquer autoridade governamental com jurisdição sobre um assunto específico sobre as medidas a
serem tomadas.
Resposta aos Indivíduos
17.2 No prazo de quatro semanas após a HEINEKEN receber uma reclamação, o Encarregado de Proteção de Dados
(Privacy Officer) informará o Indivíduo, por escrito ou eletronicamente sobre (i) a posição da HEINEKEN em
relação à reclamação e qualquer ação que a HEINEKEN tenha tomado ou tomará em resposta; ou (ii) quando o
reclamante será informado da posição da HEINEKEN, cuja data não será nunca posterior a doze semanas após
da data desta informação por escrito. O Encarregado de Proteção de Dados (Privacy Officer) apropriado
enviará uma cópia da reclamação e respetiva resposta por escrito ao Encarregado Mundial de Proteção de
Dados (Global Privacy Officer).
Reclamação ao Encarregado Mundial de Proteção de Dados (Global
Privacy Officer)
17.3 Um Indivíduo pode apresentar uma reclamação para o Encarregado
Mundial de Proteção de Dados (Global Privacy Officer) se:
(a) a resolução da reclamação pelo
Encarregado de Proteção de Dados (Privacy Officer) apropriado é insatisfatória para o Indivíduo (por
exemplo, a queixa é rejeitada)
(b) o Indivíduo não recebeu resposta como previsto no Artigo
17.2
(c) o prazo concedido ao Indivíduo, nos termos do Artigo 17.2, é, à luz das circunstâncias
relevantes, excessivamente longo e o Indivíduo objetou, mas não lhe foi concedido um prazo mais curto e
mais razoável no qual receberá uma resposta; ou
(d) nos casos referidos no Artigo 7.4.
O
procedimento descrito nos Artigos 17.1 e 17.2 aplica-se às queixas apresentadas ao Encarregado Mundial de
Proteção de Dados (Global Privacy Officer).
Artigo 18. Aspetos Legais
Procedimento de Reclamações
18.1 Os Indivíduos são
encorajados a seguir primeiro o procedimento de reclamações estabelecido no Artigo 17 deste Procedimento
antes de apresentarem qualquer queixa ou reclamação junto à AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS
(ANPD) ou tribunais competentes.
Legislação Local e Jurisdição
18.2 Os direitos contidos neste Artigo são adicionais e não devem prejudicar quaisquer outros direitos ou
recursos que qualquer das partes possa fazer valer de acordo com a lei.
Em caso de violação deste
Procedimento, o Indivíduo poderá apenas, à sua escolha, apresentar uma reclamação ou queixa às seguintes
AUTORIDADES NACIONAIS DE PROTEÇÃO DE DADOS (ANPD)s ou tribunais (conforme aplicável):
(a) no país
do CEE na origem da transferência de dados contra a empresa do grupo no referido país de origem
responsável pela transferência de dados relevante;
(b) do país da CEE onde o Indivíduo reside,
contra a Empresa do Grupo que é Controlador de Dados dos Dados relevantes; ou
(c) na Holanda,
contra a HEINEKEN International B.V.
As AUTORIDADES NACIONAIS DE PROTEÇÃO DE DADOS (ANPD)s e os tribunais devem aplicar as suas próprias leis
substantivas e processuais. Qualquer escolha feita pelo Indivíduo não prejudicará os direitos substantivos
ou processuais que ele ou ela possam ter sob a lei aplicável.
Direito a reclamar por danos diretos
18.3 No caso de um Indivíduo apresentar uma reclamação nos termos do Artigo 18.2 18.2 , o mesmo terá
direito a uma compensação pelos danos, na medida prevista pela lei da CEE aplicável, resultantes da
violação deste Procedimento.
Ónus da prova em relação ao pedido de
indemnização
18.4 No caso de um Indivíduo apresentar um pedido de indemnização por danos
nos termos do Artigo18.218.2 , caberá ao Indivíduo demonstrar que sofreu danos reais e estabelecer fatos
que demonstrem ser plausível que o dano tenha ocorrido devido a uma violação deste Procedimento.
Posteriormente, a Empresa relevante do Grupo deverá provar que os danos sofridos pelo Indivíduo devido a
uma violação deste Procedimento não são imputáveis à HEINEKEN.
Assistência mútua e reparação
18.5 Todas as
Empresas do Grupo devem cooperar e auxiliarem-se umas às outras na medida do razoavelmente possível para
lidar com:
(a) um pedido, reclamação ou queixa feita por um Indivíduo; ou
(b) uma
investigação ou investigação levada a cabo pela AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD) competente
ou autoridade pública.
A Empresa do Grupo que receber uma solicitação, reclamação ou queixa de um
Indivíduo é responsável pelo tratamento de qualquer comunicação com o Indivíduo em relação a sua
solicitação, reclamação ou queixa, exceto quando as circunstâncias determinem o contrário.
A
Empresa do Grupo responsável pelo Processamento ao qual a solicitação, reclamação ou reclamação se refere,
deve suportar todos os custos envolvidos e reembolsar a HEINEKEN International B.V.
Conselho da AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD)
líder
18.6 A HEINEKEN International B.V. deve-se reger pelo parecer das AUTORIDADES NACIONAIS DE PROTEÇÃO DE
DADOS (ANPD)s competentes em conformidade com o Artigo 18.2 emitido sobre a interpretação e aplicação do
presente Procedimento.
Mitigação
18.7A HEINEKEN International B.V. deve assegurar que as medidas adequadas para fazer face a violações
deste Procedimento por uma Empresa do Grupo são tomadas.
Lei aplicável a este procedimento
18.8 Este
procedimento será regido e interpretado de acordo com a lei holandesa.
Artigo 19.Sanções para incumprimento
Incumprimento
19.1 O não cumprimento do presente
Procedimento pelos Colaboradores pode resultar na aplicação das medidas apropriadas de acordo com a
legislação laboral local aplicável até e inclusive à resolução unilateral do contrato de trabalho, após o
devido processo disciplinar.
Artigo 20. Conflitos entre o Procedimento e a Lei Local
Conflito de leis ao transferir dados
20.1 Quando
uma exigência legal de transferências de Dados Pessoais entrar em conflito com as leis do(s) Estado(s)
Membro(s) da CEE ou da lei da Suíça, a referida transferência requer a aprovação prévia do Encarregado
Mundial de Proteção de Dados (Global Privacy Officer). O Encarregado Mundial de Proteção de Dados (Global
Privacy Officer) deverá procurar o conselho da Global Legal Affairs, se apropriado. O Encarregado Mundial
de Proteção de Dados (Global Privacy Officer) pode procurar aconselhamento junto da Autoridade Nacional de
Proteção de Dados Holandesa ou outra autoridade governamental competente.
Conflito entre Procedimento e lei
20.2 Em todos os
outros casos, onde houver um conflito entre a lei local aplicável e o Procedimento, o Gestor Responsável
relevante deverá consultar o Encarregado Mundial de Proteção de Dados (Global Privacy Officer) para
determinar como cumprir este Procedimento e resolver o conflito na medida do razoavelmente praticável
atendendo aos requisitos legais aplicáveis à Empresa relevante do Grupo.
Novos requisitos legais
conflitantes
20.3 O Gestor Responsável relevante deve informar prontamente o Encarregado Mundial de
Proteção de Dados (Global Privacy Officer) sobre qualquer novo requisito legal que possa interferir com a
capacidade da HEINEKEN cumprir este Procedimento.
Artigo 21. Mudanças ao Procedimento
21.1 Quaisquer alterações a este Procedimento requerem a aprovação prévia do Chief HR Officer e do
Executive Director Global Legal Affairs da HEINEKEN. A HEINEKEN notificará a Autoridade Nacional de
Proteção de Dados Holandesa para a Proteção de Dados no caso de se verificar alterações materiais a este
Procedimento anualmente.
21.2 Este Procedimento pode ser alterado pela HEINEKEN sem o consentimento
dos Indivíduos, mesmo que a alteração tenha por objeto a concessão de um benefício anteriormente conferido
aos Indivíduos.
21.3 Qualquer alteração entrará em vigor e terá efeito imediato após ter sido
aprovada de acordo com este Artigo 21e publicada na rede intranet da HEINEKEN.
21.4 Qualquer
pedido, reclamação ou queixa de um Indivíduo relativa ao presente Procedimento será julgada contra o
procedimento em vigor no momento em que o pedido, reclamação ou queixa é feita.
Artigo 22. Exceção entre sistemas locais
22.1. Este Procedimento não se aplica ao Tratamento de Dados Pessoais recolhidos em conexão com atividades
locais de uma Empresa do Grupo HEINEKEN localizada num país fora da CEE e em que a Empresa do Grupo ou
país não estejam cobertos por uma Decisão de Adequação, com exceção dos requisitos de segurança e
administração deste Procedimento, que permanecerão aplicáveis. Em relação a tal Tratamento de Dados
Pessoais, a Empresa do Grupo HEINEKEN relevante pode decidir se aplica o presente Procedimento. Tal
Tratamento de Dados Pessoais dos Indivíduos deve estar, pelo menos, em conformidade com a legislação local
aplicável.
Artigo 23. Períodos de Transição
Período Geral de Transição
23.1 Exceto nos
casos indicados infra, deverá haver um período de transição de dois anos para implementação do presente
Procedimento. Assim, exceto quando indicado de outra forma, ao fim do período de dois anos após a Data
Efetiva, todo o Tratamento de Dados Pessoais de Indivíduos será realizado em conformidade com o presente
Procedimento. Durante o período de transição, qualquer transferência de Dados Pessoais para uma Empresa do
Grupo realizada nos termos do presente Procedimento como um mecanismo de transferência de dados só poderá
ocorrer na medida em que (i) a Empresa do Grupo que recebe tais Dados Pessoais cumpra o presente
Procedimento, ou (ii) a transferência de dados atende a um dos motivos de transferência listados nos
Artigos 11.6 a11.8.
Período de Transição para novas
empresas do Grupo
23.2 Qualquer entidade que se torne uma Empresa do Grupo após a Data
Efetiva deverá cumprir o presente Procedimento no prazo de dois anos após se tornar uma Empresa do
Grupo.
Período de Transição para Entidades
Cedida
23.3 Uma Entidade Cedida poderá permanecer coberta por este Procedimento após a sua
alienação por um período a requerer pela HEINEKEN para que a mesma se desvincule do Tratamento de Dados
Pessoais de Indivíduos relativo a essa Entidade Cedida.
Período de Transição para Sistemas Informáticos
23.4
Quando a implementação do presente Procedimento exigir atualizações ou alterações nos sistemas
informáticos (incluindo a substituição de sistemas), o período de transição será de três anos a partir da
Data Efetiva ou da data em que uma entidade se torna uma Empresa do Grupo ou qualquer período mais longo
que seja razoavelmente necessário para concluir o processo de atualização, alteração ou
substituição.
Período de Transição para Acordos
Existentes
23.5 Caso existam acordos com Terceiros afetados por este Procedimento, as
disposições dos acordos prevalecerão até que os contratos sejam renovados no curso normal dos
negócios.
Período de Transição entre Sistemas Locais
23.6 O Tratamento de Dados Pessoais de Indivíduos que foram recolhidos em conexão com
atividades de uma Empresa do Grupo localizada num país fora da CEE, não estando a Empresa do Grupo ou o
respetivo país coberto por uma Decisão de Adequação, deverá obedecer ao cumprimento do presente
Procedimento dentro de cinco anos após Data Efetiva.
Contatos
HEINEKEN Encarregado Mundial de Proteção de Dados (Global Privacy Officer)
c/o Heineken International B.V.
Tweede Weteringplantsoen 21
1017 ZD Amsterdam
The Netherlands
Tel: +31 (0)20 523 92 39
ANEXO – INTERPRETAÇÕES DESTE PROCEDIMENTO
INTERPRETAÇÕES DESTE PROCEDIMENTO
(a) Salvo se o contexto exigir interpretação contrária, todas as referências a um determinado Artigo ou
Anexo são referências a esse Artigo ou Anexo no presente documento ou a este documento, conforme possam
ser alteradas;
(b) As epígrafes são referidas apenas por conveniência e não devem ser utilizadas na
interpretação de qualquer disposição deste Procedimento;
(c) se uma palavra ou frase é definida, as
suas outras formas gramaticais têm um significado correspondente;
(d) a forma masculina deve
incluir a forma feminina;
(e) as palavras "incluem", "inclui" e "incluindo" e quaisquer palavras
que as sigam devem ser interpretadas sem limitação à generalidade de quaisquer palavras ou conceitos
precedentes e vice-versa;
(f) a referência a um documento (incluindo, sem limitação, uma referência
a este Procedimento) tem por objeto o documento com as respetivas alterações, modificações, suplementações
ou substituições, salvo na medida proibida pelo presente Procedimento ou por outro documento; e
(g)
uma referência à lei inclui qualquer requisito regulamentar, recomendação sectorial e melhores práticas
emitidas pelas autoridades de supervisão nacionais e internacionais relevantes ou outros organismos.
DEFINIÇÕES
Decisão de Adequação
DECISÃO DE ADEQUAÇÃO
significará uma decisão emitida pela Comissão Europeia nos termos do Artigo 25 da Diretiva de Proteção de
Dados da UE que considera que um país ou região fora da CEE ou uma categoria de destinatários em tal país
ou região fornece um nível 'adequado' de proteção de dados.
Arquivo
ARQUIVO significará uma coleção de
Dados Pessoais dos Indivíduos que já não são necessários para atingir as finalidades para as quais os
Dados originalmente foram recolhidos ou que não são mais usados para atividades gerais das empresas, sendo
apenas usados para fins históricos, científicos ou estatísticos, litígios, resolução de litígios,
investigações ou fins gerais de arquivamento. Um arquivo inclui qualquer conjunto de dados aos quais os
Indivíduos já não podem ter acesso a não ser que sejam um administrador do sistema.
Artigo
ARTIGO deverá significar um artigo do presente
Procedimento.
Regras de Empresa Obrigatórias
REGRAS DE EMPRESA OBRIGATÓRIAS significa uma política de protecção de dados de um grupo de empresas que,
de acordo com a legislação local aplicável (como o Artigo 25 da Diretiva de Proteção de Dados da UE), é
considerada como proporcionadora de um nível adequado de proteção para a transferência de Dados Pessoais
dentro desse grupo de empresas.
Dados de Contato de
Empresas
DADOS DE CONTATO DE EMPRESAS significa todos os dados normalmente encontrados num cartão de visita e
utilizados pelo Indivíduo no seu contato com a HEINEKEN.
Parceiro de Negócios
PARCEIRO DE NEGÓCIOS significará qualquer Terceiro, que não seja um Cliente ou Fornecedor, que tenha ou
tenha tido uma relação comercial ou aliança estratégica com a HEINEKEN (por exemplo, parceiro de
marketing, joint venture ou parceiro de desenvolvimento conjunto).
Finalidade Comercial
Finalidade Comercial significa
uma finalidade para Processamento de Dados Pessoais, conforme especificada no Artigo 2 ou Artigo 3, ou
para Processar Dados Sensíveis, conforme especificada no Artigo 3 ou Artigo 4.
Crianças
CRIANÇAS abrangerá indivíduos com menos de 13
anos de idade.
Cliente
CLIENTE deverá significar qualquer pessoa,
organização privada, ou órgão governamental que adquire, pode adquirir ou adquiriu um produto ou serviço
HEINEKEN.
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS
(ANPD)
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD) deverá significar qualquer
autoridade para a proteção de dados de um país da CEE.
Violação da Segurança de Dados
VIOLAÇÃO DE SEGURANÇA
DE DADOS significa aquisição, acesso, uso ou divulgação não autorizados de Dados Pessoais não
criptografados que comprometam a segurança ou privacidade de tais informações, na medida em que o
comprometimento represente um alto risco de danos financeiros, de reputação ou outros danos para o
Indivíduo. Considera-se que uma Violação de Segurança de Dados não ocorreu se se verificou uma aquisição,
acesso ou uso não intencionais de dados pessoais não criptografados por um Colaborador da Heineken ou por
um Terceiro Processador de Dados ou um Indivíduo agindo sob sua própria autoridade, se
(h) a
aquisição, acesso ou uso de Dados Pessoais foi feito de boa fé e no curso e no âmbito do vínculo do
emprego ou relacionamento profissional de tal funcionário ou outro indivíduo; e
(i) os Dados
Pessoais não foram adquiridos, acedidos, utilizados ou divulgados por qualquer pessoa.
Entidade Alienada
ENTIDADE ALIENADA deverá significar a alienação, por parte da HEINEKEN, de uma empresa do grupo ou negócio
por meio de:
(a) uma venda de ações em resultado da qual a Empresa do Grupo cedida já não se
qualifica como uma Empresa do Grupo e/ou
(b) uma cisão, venda de ativos ou qualquer outra forma ou
formulário.
CEE ou ZEE
CEE ou COMUNIDADE ECONOMICA
EUROPEIA ou ZEE ou Zona Económica Europeia deverá significar todos os Estados-Membros da União Europeia,
incluindo a Noruega, a Islândia e o Liechtenstein.
Data
Efetiva
DATA EFECTIVA corresponde à data de entrada em vigor do presente Procedimento
conforme estabelecido no Artigo 1.6.
Colaborador
COLABORADOR deverá significar os seguintes
Indivíduos:
(a) um empregado, candidato a emprego ou ex-funcionário da HEINEKEN, incluindo
trabalhadores temporários que trabalhem sob a supervisão direta da HEINEKEN (por exemplo, contratados
independentes e estagiários). Este termo não inclui pessoas que trabalham na HEINEKEN como consultores ou
funcionários de terceiros que prestam serviços à HEINEKEN
(b) um (antigo) diretor executivo ou não
executivo da HEINEKEN
Dados dos Colaboradores
DADOS DOS COLABORADORES ou DADOS refere-se a qualquer informação relativa a um Colaborador identificado ou
identificável no contexto da sua relação laboral com a HEINEKEN. Esta definição não cobre o tratamento de
Dados do Colaborador enquanto cliente da HEINEKEN.
Emprego
Livre
EMPREGO LIVRE significa uma relação de trabalho na qual o empregador ou o empregado pode rescindir o
vínculo laboral a qualquer momento, por qualquer motivo, com ou sem aviso prévio.
Directiva de Proteção de Dados da UE
DIRECTIVA DE PROTEÇÃO DE DADOS DA UE corresponde à Diretiva 95/46/CE do Parlamento Europeu e do Conselho
relativa à proteção dos Indivíduos referente ao tratamento e à livre circulação desses dados ou a qualquer
deles que seja seu sucessor ou substituto.
Conselho Executivo
CONSELHO EXECUTIVO deverá significar o Conselho Executivo da Heineken N.VV.
Encarregado Mundial de Proteção de Dados (Global Privacy Officer)
O Encarregado Mundial de Proteção de
Dados (Global Privacy Officer) corresponde ao Encarregado tal como referido no Artigo 13.1.
Empresa do Grupo
EMPRESA DO GRUPO significa a Heineken NV e qualquer sociedade ou pessoa coletiva na qual a Heineken NV,
direta ou indiretamente, detenha mais de 50% do capital social emitido, detenha mais de 50% do poder de
voto nas assembleias gerais de acionistas, tenha o poder de nomear a maioria dos diretores, ou de outra
forma dirigir as atividades de outra entidade legal; contudo, qualquer sociedade ou pessoa coletiva deverá
ser considerada uma Empresa do Grupo somente enquanto existir um contato e/ou relação coberta pelo Código
de Conduta Empresarial da HEINEKEN.
HEINEKEN
HEINEKEN corresponde à Heineken N.V. e às suas Empresas do Grupo.
Heineken International B.V.
HEINEKEN INTERNATIONAL B.V. corresponde à Heineken International B.V., com sede em Tweede
Weteringplantsoen 21, 1017 ZD, Amesterdão, Holanda.
Código de Conduta Empresarial da HEINEKEN
O CÓDIGO DE CONDUTA EMPRESARIAL DA HEINEKEN corresponde ao Código de Conduta Empresarial da HEINEKEN
publicado na intranet da HEINEKEN e quaisquer alterações ao mesmos, de tempos a tempos.
Heineken N.V.
HEINEKEN N.V. deverá significar Heineken N.V., tendo a sua sede registada em Tweede Weteringplantsoen 21,
1017 ZD, Amsterdam, The Netherlands.
Indivíduo
INDIVÍDUO deverá significar qualquer indivíduo (funcionário ou qualquer pessoa que trabalhe para) Cliente,
Fornecedor ou Parceiro de Negócios e qualquer outro indivíduo cujos Dados Pessoais a HEINEKEN trate no
contexto da prestação dos seus serviços.
Unidade
Organizacional (OpCo)
UNIDADE ORGANIZACIONAL corresponde a cada empresa operacional ou Função Global da HEINEKEN.
Finalidade Original
FINALIDADE ORIGINAL significa a finalidade para a qual os Dados Pessoais foram originalmente
coletados.
Interesse Prevalecente
INTERESSE PREVALECENTE corresponde aos interesses prementes estabelecidos no Artigo 12.1 com base nos
quais as obrigações da HEINEKEN ou os Direitos das Pessoas estabelecidos nos Artigos 12.2e 12.3 podem, sob
circunstâncias específicas, ser afastados se este interesse urgente superar o interesse do
Indivíduo.
Dados Pessoais ou Dados
DADOS PESSOAIS ou DADOS deverá significar qualquer informação relativa a um Indivíduo identificado ou
identificável.
Avaliação de impacto de privacidade (AIP) ou Privacy Impact
Assessment (PIA)
AVALIAÇÃO DE IMPACTO DE PRIVACIDADE (AIP ou PIA) corresponde ao
procedimento de condução e documentação de uma avaliação prévia do impacto que um determinado Tratamento
pode ter na proteção de Dados Pessoais, onde tal Tratamento é suscetível de provocar um alto risco para os
direitos e liberdades de Indivíduos, em particular quando novas tecnologias sejam usadas.
Uma AIP
deve conter:
(a) uma descrição de:
(i) Tratamento;
(ii) A
Finalidade Comercial para o qual os Dados Pessoais são tratados;
(iii) as
finalidades específicas para as quais os Dados Sensíveis são tratados;
(iv) as
categorias de destinatários de Dados Pessoais, incluindo destinatários localizados num país fora da CEE,
cujos destinatários ou países não estejam cobertos por uma Decisão de Adequação;
(v) Períodos de armazenamento de Dados Pessoais;
(b) Uma avaliação de:
(i) a necessidade e proporcionalidade do Tratamento;
(ii) os riscos para
os direitos de protecção de dados dos Indivíduos e
as medidas para mitigar esses riscos.
Encarregado de Proteção de Dados (Privacy
Officer)
ENCARREGADO DE PROTEÇÃO DE DADOS (PRIVACY OFFICER) corresponde aos agentes nomeados de acordo com os
Artigos 13.1 e 13.2.
Tratamento
Tratamento
deverá significar qualquer operação executada em Dados Pessoais, seja ou não por meios automáticos, como
recolha, registo, armazenamento, organização, alteração, uso, divulgação (incluindo a concessão de acesso
remoto), transmissão ou exclusão de Dados Pessoais.
Procedimento
PROCEDIMENTO corresponde ao presente Procedimento de Proteção de Dados de Clientes, Fornecedores e
Parceiros de Negócios e quaisquer aditamentos ao mesmo.
Contrato de Processador de Dados (Data Processor Agreement ou Data
Controller Agreement)
CONTRATO DE PROCESSADOR deverá significar qualquer contrato cujo
objeto se refira ao Processamento de Dados Pessoais celebrado pela HEINEKEN e um Fornecedor, enquanto
Terceiro Processador ou Terceiro Controlador, em que este realiza ou passa a realizar o processamento de
dados a pedido da Heineken através de um Data Processor Agreement ou Data Controller Agreement,
respectivamente.
Gestor Responsável
GESTOR RESPONSÁVEL corresponde ao presidente (Managing Director) de uma unidade organizacional
(OpCo).
Finalidade Secundária
FINALIDADE SECUNDÁRIA deverá significar qualquer finalidade que não seja a Finalidade Original para a qual
os Dados Pessoais são processados posteriormente.
Dados
Sensíveis ou Dados Pessoais Sensíveis
DADOS SENSÍVEIS ou DADOS PESSOAIS SENSÍVEIS
significarão Dados Pessoais que revelam a origem racial ou étnica de um Indivíduo, opiniões políticas ou
filiação em partidos políticos ou organizações semelhantes, crenças religiosas ou filosóficas, filiação a
um sindicato ou organização profissional ou comercial, saúde física ou mental, incluindo qualquer opinião,
deficiências, código genético, vícios, vida sexual, ofensas criminais, antecedentes criminais, dados
biométricos, processos relativos a comportamento criminal ou ilegal, ou números emitidos pelo
governo.
Staff
STAFF deverá significar todos os Colaboradores e outras pessoas que tratam Dados Pessoais como parte de
seus respetivos deveres ou responsabilidades usando os sistemas de tecnologia da informação da HEINEKEN ou
trabalhando principalmente nas instalações da HEINEKEN.
Fornecedor
FORNECEDOR deverá significar qualquer Terceiro que forneça bens ou serviços à HEINEKEN (por exemplo, um
agente, consultor ou vendedor).
Terceiro
TERCEIRO deverá significar qualquer pessoa, organização privada ou órgão governamental fora da
HEINEKEN.
Terceiro Controlador
TERCEIRO CONTROLADOR corresponde ao Terceiro que Processa Dados Pessoais e determina as finalidades e os
meios do Tratamento.
Terceiro(s) Processador(es)
TERCEIRO(S)
PROCESSADOR(ES) corresponde ao Terceiro que Processa Dados Pessoais em nome da HEINEKEN que não esteja sob
a autoridade direta da HEINEKEN.
