POLITICA DE PROTECÇÃO DE DADOS PESSOAIS

1. ENQUADRAMENTO

Entrou em vigor o Regulamento Geral sobre Proteção de Dados (RGPD) - Regulamento nº 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, que estabelece as regras relativas à proteção, tratamento e livre circulação dos dados pessoais das pessoas singulares e que se aplica a todas as entidades que procedam ao tratamento desses dados em qualquer Estado membro da União Europeia, nomeadamente Portugal.

Surge um conceito importante ao nível do RGP é o da conformidade, têm de ser as organizações/empresas a garantir a conformidade e demonstrar essa conformidade no dia a dia, o que está ligado ao conceito de auto-regulação são as próprias empresas tem de se impor a si próprias regras, garantir e controlar todos os processos de recolha e de tratamento de dados que está a cumprir e segue à risca todas as obrigatoriedades do RGPD.

Deste modo, este manual tem como finalidade, implementar normativos para:

1. Proteção na Conceção e por Omissão, na implementação de procedimentos de proteção de dados desde a conceção (privacy by design) de produtos, serviços e sistemas, passando pela proteção de dados por omissão (privacy by default) (Artigo 25. °).
2. A adoção de códigos de conduta destinados a contribuir para a correta aplicação do Regulamento são incentivados para promover mais transparência no processamento e, simultaneamente, estabelecer regras internas conhecidas pelos colaboradores (Artigo 40. °).
3. Data Privacy Officer com a nomeação de um encarregado da proteção de dados (data privacy officer), que deverá assegurar o cumprimento das obrigações legais (Artigo 37. °).
4. A Notificação de Violações de Dados, no cumprimento das obrigações de notificar as autoridades de controlo de violações de dados sofridas e de avaliar a notificação aos indivíduos afetados (Artigos 33. ° e 34. °).
5. Manter Registos das Atividades das atividades internas de tratamento de dados (Artigo 30. °, n. ° 5).

Inversão do ónus da prova, a organização tem de demonstrar e provar que cumpre o RGPD quando há uma acusação a dizer que esta não está a cumprir alguma regra do RGPD (data breach).

Minimização de dados, recolher o mínimo de dados que precisa na altura, recolher e usar só o que se precisa para a função. Usar os dados só para certa finalidade que foi indicado no momento da recolha. Estar preparadas para prevenir e detetar incidentes de dados.

Deste modo, temos por objetivo fazer cumprir um conjunto de direitos que os titulares vão poder exigir: Direito Acesso e Informação; direito à Retificação; Direito ao Esquecimento; Direito à Portabilidade.

O presente Manual visa disciplinar e sistematizar a Proteção de Dados Pessoais das pessoas singulares no âmbito desta empresa, bem como garantir, de forma complementar ao regime legal vigente, a proteção dos direitos dos titulares dos dados que interagem com HEALTH CARE SERVICES (HECS) - SERVIÇOS DE SAÚDE, LDA. As regras constantes do presente manual abrangem todo o tratamento de dados pessoais e a livre circulação desses dados, em defesa dos direitos e das liberdades fundamentais dos seus titulares, quando a responsabilidade do tratamento seja da HEALTH CARE SERVICES (HECS) - SERVIÇOS DE SAÚDE, LDA.

O presente manual aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados.

HEALTH CARE SERVICES (HECS) - SERVIÇOS DE SAÚDE, LDA., com sede na Rua Eduardo Viana, nº 7, na freguesia da Ramada e concelho de Odivelas, contribuinte Nº 510973957A empresa, pretende com este manual munir-se de procedimentos /documentos necessários para caso ocorram determinadas circunstâncias, para que as obrigações previstas no RGPD possam ser cumpridas de modo rápido e eficaz: Registo de atividades de tratamento; Realização de avaliações de impacto para a privacidade sempre que sejam necessárias; Dispor de um procedimento de atuação no prazo de 72h para notificar a CNPD em caso de violação de proteção de dados, assim como os titulares dos dados.

2. MEDIDAS EM USO

Todos os intervenientes da HEALTH CARE SERVICES (HECS) - SERVIÇOS DE SAÚDE, LDA, devem ter em conta que todos os dados são pessoais, sempre foram, agora requerem é mais atenção desde a sua obtenção, armazenamento e tratamento.

2.1. PROTEÇÃO NA CONCEÇÃO E POR OMISSÃO, NA IMPLEMENTAÇÃO DE PROCEDIMENTOS DE PROTEÇÃO DE DADOS DESDE A CONCEÇÃO

Designamos de segurança da informação, o processo de organização e estruturação que permita preservar a confidencialidade - assegurar que a informação é acessível somente por pessoas devidamente autorizadas, garantir a veracidade bem como os métodos de processamento, o conteúdo da informação e a disponibilidade, isto é assegurar o acesso à informação por quem devidamente autorizado, esta deve ser acessível sempre que necessária.

O presente manual de procedimentos desta empresa, visa ser um documento para conhecimento e de divulgação.

São normativos designados neste ponto nomeadamente de:

• Obrigatoriedade de triturar o papel de todos os dados que já não sejam necessários, documentos que referenciem dados pessoais ou quando seja exercido o direito ao esquecimento (pessoais e clientes);
• Apagar os dados depois de ser cumprida a finalidade para que foram recolhidos; mas deverá ter-se em atenção os prazos legais de manutenção dos dados designado mais à frente;
• Eliminar os contatos ou o registo do cliente, ou prestadores de serviço, quando os mesmos já não sejam necessários e quando o cliente exerça o direito ao esquecimento;
• Guardar em local seguro as passwords de acesso a portais, arquivos digitais, plataformas ou documentos que possuam dados pessoais;
• Guardar em lugar seguro as chaves de acesso aos armários onde se guarda a documentação objeto deste manual;
• Redigir e atualizar contratos com clausulas de privacidade e licitude com todos os prestadores de serviços e clientes que mencionem que a empresa cumpre o RGPD e salvaguarde que os mesmos também garantem o seu cumprimento;
• Conservados os processos e contratos dos prestadores de serviço e clientes, em local acessível apenas ao gerente da empresa e respetivo Encarregado de Proteção de dados, em armário fechado;
• As pastas, documentos, dossiers com nomes ou códigos de clientes devidamente etiquetados e estarem dentro de um armário fechado e não estarem visíveis ou acessíveis a qualquer pessoa;
• As pastas, documentos, dossiers com conteúdos confidenciais devem estar etiquetados com essa mesma indicação;
• As bases de dados eletrónicas organizadas, categorizadas e disponíveis em formato que permitam a sua atualização constante e/ou exportação dos dados, para que seja possível, se o titular dos dados assim o quiser, exercer o direito à portabilidade ou o direito à retificação, apenas no sistema Google Cloud - GSuite, no seguinte alojamento G Suite ID: healthcareserviceshecs.com.

2.2. A ADOÇÃO DE CÓDIGOS DE CONDUTA DESTINADOS A CONTRIBUIR PARA A CORRETA APLICAÇÃO DO REGULAMENTO

A Segurança da informação é um processo organizado e estruturado que permita preservar a confidencialidade - assegurar que a informação é acessível somente por pessoas devidamente autorizadas, integridade garantir a veracidade bem como os métodos de processamento, o conteúdo da informação não pode ser modificada de forma inesperada e a disponibilidade isto é assegurar o acesso à informação por quem devidamente autorizado, esta deve ser acessível sempre que necessária. Deste modo o código de conduta designa em si mesmo:

• Incutir a responsabilidade pela segurança da informação a todos os membros desta empresa;
• Estabelecer medidas adequadas à organização para garantira a segurança da informação, verificar regularmente o respetivo cumprimento e eficácia do inscrito neste manual;
• Implementar procedimentos sistemáticos que visam a redução dos riscos e à não interrupção da atividade;
• Proteger a informação própria e que nos é confiada, impedindo a sua divulgação e alteração ilegal;
• Ter meios para reagir imediatamente e adequadamente à situação em caso de violação da segurança;
• A Política de passwords e acesso informação: manter as passwords confidenciais, estas não devem ser escritas em papeis ou locais visíveis; não gravar as passwords de forma automática, mudar as passwords regularmente; guardá-las em softwares encriptados, não utilizar passwords iguais para os sistemas da organização e sistemas pessoais; e utilizar passwords seguras e fáceis de memorizar.
• O posto de trabalho deve estar sempre arrumado e cumprir o princípio de “clean desk”;
• Não deixar documentos soltos em cima das secretárias, arquivá-los numa pasta e colocar no armário ou numa gaveta com chave;
• O pc quando não estiver a ser utilizado bloquear a sessão;
• À hora de almoço, ou nos períodos de pausa, não deixar os programas ou sistemas informáticos em funcionamento, deve sempre ser bloqueada a sessão;
• O pc tem de ter apenas software autorizado devidamente licenciado;
• Todos os documentos de trabalho da organização estão armazenados no sistema Google Cloud - GSuite, que por sua vez está alojado G Suite ID: healthcareserviceshecs.com e não no disco local e sempre com proteção de password;
• Os documentos, impressões, agendas e blocos de apontamentos com dados confidenciais devem ser tratados de forma a garantir que terceiros não possam ter conhecimento do seu conteúdo;
• As impressões para impressora de rede devem ser recolhidas o mais rápido possível.

O correio eletrónico é uma ferramenta de trabalho e deve ser utilizada de forma profissional e cuidada, a sua utilização imprudente e inadequada pode dar origem a ataques aos nossos sistemas. Neste sentido:

• Não utilizar o email para reenviar emails com brincadeiras ou correntes de sorte;
• Verificar sempre os endereços dos destinatários;
• Não abrir emails e ficheiros de origem desconhecida, eliminá-los imediatamente;
• Nunca enviar informação pessoal que seja solicitada por email.
• Não seguir as ligações a links de emails suspeitos;
• Informações críticas de negócio ou dados pessoais só deveriam ser enviados em formato encriptado.

Todos os correios eletrónicos de trabalho da organização estão armazenados no sistema Google Cloud - GSuite, que por sua vez está alojado G Suite ID: healthcareserviceshecs.com, sempre com password.

Pishing, vírus e ranomware

Pishing é crime informático baseado no envio de um email fraudulento com o objetivo de obter dados pessoais ou do negócio, é um email falso normalmente emitido em nome de uma entidade credível tal como um Banco, Facebook, Microsoft, Vodafone, etc. Vírus são programas maliciosos- malware que se espalham a outros computadores com o objetivo de permitir acessos ou danificar dados e serviços; existem diferentes tipos de vírus o spyware regista a atividade do utilizador e envia para o atacante;adware ataca o tulizador com publicidade; scareware é um falso alerta de vírus ou problemas informáticos que levam o utilizador a fazer o que lhe pedem como por exemplo instalar um programa; Ransomware é uma estratégia de resgate suportada por um software de encriptação que bloqueia o acesso aos ficheiros ou aos computadores, até que se pague o resgate. Este software encripta os dados com uma chave secreta. Deste modo:

• Caso se detete um vírus no computador ou comportamento anormal desligar a internet e desligar o cabo de rede se existir, não desligar o computador, contatar alguém da área de informática;
• O pc tem de ter instalado um antivírus devidamente atualizado e a firewall ligada (nunca desligar a firewall), e estar preparado para receber atualizações do software licenciado;
• Sempre que aceder à internet certificar-se que o site é seguro duplo clique sobre o cadeado ou aceder pelo endereço começado por https://;
• O pc tem de estar protegido com password;
• Não é permitido aceder a sites com conteúdos ilegais ou inadequados;
• Não utilizar serviços de email públicos de email, de transferência de ficheiros e ou serviços cloud para troca de dados da organização;
• Não utilizar sites públicos (Dropbox) para colocar informação da organização;
• Não utilizar ferramentas ou redes sociais (WhatsApp) para comunicar com clientes ou fornecedores, nem enviar informação da organização por emails pessoais – gmail, Hotmail (não são seguros);
• Não registar o endereço de email profissional em redes sociais;
• Caso seja necessário fazer prova do envio de emails é possível e aconselhável pedir recibo de entrega, este não possui informação confidencial e pode ser guardado como prova de entrega.

Neste sentido os computadores desta organização utilizam o programa Kaspersky Total Security (https://my.kaspersky.com/), com a Versão completa e data de ativação nov/16/2018, 9:12:21 (UTC), com os seguintes componentes: Kaspersky Total Security; Kaspersky Internet Security; Kaspersky Password Manager.

A HEALTH CARE SERVICES (HECS) - SERVIÇOS DE SAÚDE, LDA adquiriu a Google Cloud - GSuite que permite o rastreio de quem acedeu a que entidades e quais as que contém dados pessoais, bem como as operações que foram executadas, permitindo a despistagem de incidentes de violação de dados seus e das bases de dados dos seus clientes.

2.3. NOMEAÇÃO DO ENCARREGADO DA PROTEÇÃO DE DADOS

Na entidade HEALTH CARE SERVICES (HECS) - SERVIÇOS DE SAÚDE, LDA, foi nomeado em 25 de junho de 2018, como Encarregado de Proteção de Dados, com os seguintes contatos do conhecimento dos stakeholders:

• Email de contato: gestaodeprestadores@healthcareserviceshecs.com ;
• Telefone de contato: Tel. 910831076.

É RESPONSÁVEL PELOS SEGUINTES PONTOS:

• Definir e coordenar as ações de comunicação e formação adequadas para a implementação desta política, assegurando que todos os colaboradores e outras pessoas autorizadas sejam informadas acerca desta Política;
• Assegurar que os riscos de cumprimento nesta matéria sejam identificados, avaliados e geridos de acordo com as Políticas aprovadas;
• Propor e implementar as medidas de motorização adequadas, incluindo as auditorias que venham a ser legalmente estabelecidas.
• Ser um ponto de contacto direto com a Autoridade de Proteção de Dados e perante os titulares.
• Comunicar as violações de segurança à Autoridade de Proteção de Dados.
• Responder ao exercício de direitos dos titulares dos dados.

2.4. NOTIFICAÇÃO DE VIOLAÇÃO DE DADOS PESSOAIS

O ENCARREGADO DA PROTEÇÃO DE DADOS da HEALTH CARE SERVICES (HECS) - SERVIÇOS DE SAÚDE, LDA, no cumprimento das obrigações previstas no artigo 33.º do RGPD, deve recolher os seguintes dados a fim de submeter na CNPD a notificação de violação de dados pessoais, em: https://www.cnpd.pt/bin/notifica_rgpd/data_breach.htm

Assim e segundo o Artigo 33.º, do REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016, a Notificação de uma violação de dados pessoais à autoridade de controlo, sempre que (citamos):

“1. Em caso de violação de dados pessoais, o responsável pelo tratamento notifica desse facto a autoridade de controlo competente nos termos do artigo 55.o, sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma, a menos que a violação dos dados pessoais não seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares. Se a notificação à autoridade de controlo não for transmitida no prazo de 72 horas, é acompanhada dos motivos do atraso.

2. O subcontratante notifica o responsável pelo tratamento sem demora injustificada após ter conhecimento de uma violação de dados pessoais.

3. A notificação referida no n.o 1 deve, pelo menos:

a)Descrever a natureza da violação dos dados pessoais incluindo, se possível, as categorias e o número aproximado de titulares de dados afetados, bem como as categorias e o número aproximado de registos de dados pessoais em causa;

b)Comunicar o nome e os contactos do encarregado da proteção de dados ou de outro ponto de contacto onde possam ser obtidas mais informações;

c)Descrever as consequências prováveis da violação de dados pessoais;

d)Descrever as medidas adotadas ou propostas pelo responsável pelo tratamento para reparar a violação de dados pessoais, inclusive, se for caso disso, medidas para atenuar os seus eventuais efeitos negativos;

4. Caso, e na medida em que não seja possível fornecer todas as informações ao mesmo tempo, estas podem ser fornecidas por fases, sem demora injustificada.

5. O responsável pelo tratamento documenta quaisquer violações de dados pessoais, compreendendo os factos relacionados com as mesmas, os respetivos efeitos e a medida de reparação adotada. Essa documentação deve permitir à autoridade de controlo verificar o cumprimento do disposto no presente artigo.”(Fim citação)

2.5. MANTER REGISTOS DAS ATIVIDADES DAS ATIVIDADES INTERNAS DE TRATAMENTO DE DADOS (ARTIGO 30. °, N. ° 5).

Modelo de registo das atividades de tratamento (Art. 30.º), é considerado o modelo proposto pela CNPD, em:

• https://www.cnpd.pt/bin/rgpd/rgpd.htm

Em ficheiro anexo a este documento em formato livro excel, conforme indicações de preenchimento e campos designados pela CNPD.

3. DISPOSIÇÕES FINAIS

Todos os colaboradores da HEALTH CARE SERVICES (HECS) - SERVIÇOS DE SAÚDE, LDA têm a obrigação de conhecer o conteúdo do presente manual e das suas atualizações posteriores. Os colaboradores estão obrigados a cumprir o presente manual e colaborar na sua aplicação. O não cumprimento das presentes regras pode conduzir à instauração de ação disciplinar. O desconhecimento da presente Política não justifica qualquer tipo de incumprimento. Os colaboradores deverão abster-se de qualquer comportamento sobre o qual tenham dúvidas, podendo solicitar ao Encarregado de Proteção de Dados, gestaodeprestadores@healthcareserviceshecs.com , para qualquer esclarecimento.

O presente manual será revisto periodicamente ou sempre que, por força das necessidades decorrentes das atribuições fatos, ou alterações legislativas, assim o obriguem.

Após aprovação, procede-se à divulgação do presente Manual aos colaboradores desta empresa.

O presente Manual é de aplicação imediata.

As atualizações ao manual constante do presente documento serão válidas a partir da data da respetiva aprovação.