Privacidade

Política de Privacidade de Dados

Última revisão: 19 maio 2016

Política de Privacidade de Dados

(Actualizado a 11 de maio de 2018)

1. Introdução

A Política de Privacidade foi desenvolvida para apoiar a Deloitte Portugal na adaptação da sua atividade ao Regulamento Geral de Proteção de Dados, aprovado pelo Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 (“RGPD”).

Esta política é complementada por outras sobre segurança/security, tal como a Política de Retenção da Deloitte e a Política de Segurança de Informação, as quais são relevantes para os negócios da empresa, descrevendo, em conjunto, a abordagem da Deloitte Portugal quanto à segurança da informação e privacidade.

Esta política aplica-se a todos os Profissionais e Partners da Deloitte e, quando identificados, a terceiros que acedam aos ativos da empresa.

Os termos 'Privacidade', 'Privacidade de Dados' e 'Proteção de Dados' podem ser usados ​​no mesmo sentido pois estão associados a um conjunto complexo de requisitos legais que se aplicam aos Dados Pessoais, o qual vai para além da segurança de dados e confidencialidade. Por exemplo, inclui requisitos sobre a transparência do uso de dados e sobre a sua conservação.

O cumprimento desta política é obrigatório e, portanto, todos os Profissionais e Partners têm a responsabilidade individual de garantir a sua conformidade com a mesma e, se necessário, devem solicitar esclarecimentos aos lideres das respetivas equipas.

É da responsabilidade da Deloitte definir os mecanismos apropriados para alcançar a conformidade com esta política, sendo a responsabilidade pela implementação operacional das equipas, com o apoio do Privacy Officer.

O cumprimento desta política pode ser monitorizado por meio de fiscalizações, auditorias e/ou solicitações de confirmações por escrito de conformidade, sendo todas as áreas responsáveis ​​por avaliar regularmente a sua conformidade com a mesma dentro da sua área de responsabilidade.

Em conformidade qualquer Colaborador ou Partner que tenha violado esta política está sujeito a ação disciplinar, de acordo com a Política Disciplinar.

Esta política baseia-se nos princípios estabelecidos no RGPD. No entanto, existem diferenças nacionais na aplicabilidade da proteção de dados e privacidade da Deloitte Portugal, nomeadamente, em relação a Angola, bem como globalmente, quando se efetua tratamento de dados pessoais fora da UE, quando se recebe dados pessoais de fora da UE ou quando se efetua tratamento de dados pessoais de cidadãos não comunitários.

Em caso de dúvida contacte o Privacy Officer.

 

2. Princípios de Proteção de Dados

No âmbito da nossa atividade, efetuamos tratamentos de Dados Pessoais: seja quando recebemos dados pessoais no decurso das nossas oportunidades de negócio, dos nossos compromissos com clientes, de atividades de marketing ou de uma série de outras atividades relacionadas e de suporte. Os dados podem ser recebidos diretamente de um Titular de Dados (por exemplo, pessoalmente, via correio, e-mail, telefone ou de outras fontes), nomeadamente dos nossos clientes, parceiros, subcontratados, responsáveis conjuntos pelo Tratamento, prestadores de serviços de suporte e agências de referência de crédito.

Todos os Profissionais e Partners devem apenas solicitar dados pessoais de um Titular de Dados que sejam relevantes e necessários para cumprir determinada finalidade e tarefa empresarial.

A Deloitte compromete-se a cumprir com os princípios de proteção de dados pessoais definidos pelo RGPD, a saber:

  • Licitude, lealdade e transparência: significa que devemos ter uma razão legítima por força da qual tratamos Dados Pessoais, por exemplo, consentimento do Titular dos Dados, cumprimento de uma obrigação legal a que estamos sujeitos. Também significa que devemos informar, de forma clara, o Titular dos Dados sobre o tratamento;
  • Limitação das Finalidades: devemos apenas solicitar Dados Pessoais para finalidades determinadas, explícitas e legítimas e não os tratar para além da finalidade para a qual foram solicitados;
  • Minimização dos dados: os Dados Pessoais objeto de tratamento ​​devem ser adequados, pertinentes e limitados ao necessário;
  • Exatidão: temos a obrigação de garantir que os Dados Pessoais são exatos e atualizá-los sempre que necessário;
  • Limitação da conservação: não devemos reter Dados Pessoais por um período superior ao necessário para as finalidades para as quais são tratados, embora possamos reter alguns para fins históricos e estatísticos;
  • Integridade e Confidencialidade: devemos ter em vigor controlos de segurança adequados para proteção dos dados contra o tratamento não autorizado e ilegal, perda, destruição ou danificação, incluindo medidas técnicas e organizacionais, tais como processos definidos, formação e consciencialização;  
  • Transferência legal fora do Espaço Económico Europeu: apenas transferimos Dados Pessoais para fora do EEE desde que existam salvaguardas adequadas, tal como uma base contratual, nomeadamente para Angola (enquanto unidade de negócios da Deloitte Portugal);
  • Direitos do Titular de Dados: os Titulares dos dados têm vários direitos que devemos respeitar (por exemplo, o direito a aceder a uma cópia dos dados que arquivamos e o direito de retirar o consentimento dado para efeitos de marketing direto).

3. Licitude e lealdade no tratamento

Sempre que se recolha Dados Pessoais é necessário ter uma base legal para o inerente tratamento. De acordo com o RGPD, devemos identificar pelo menos um dos seguintes motivos para tratamento de Dados Pessoais:

  • Consentimento: O Titular dos Dados deu o consentimento para que os mesmos sejam tratados ​​para uma ou mais finalidades específicas;
  • Contratual: O tratamento é necessário para a execução de um contrato do qual o Titular dos Dados faz parte ou para diligências pré-contratuais;
  • Legal: O tratamento é necessário para cumprir com uma obrigação legal, à qual o Responsável pelo tratamento está sujeito;
  • Interesses vitais: O tratamento é necessário para proteger os interesses vitais do Titular dos Dados;
  • Interesse público: O tratamento é necessário para o desempenho de uma tarefa realizada no interesse público;
  • Interesses legítimos: O tratamento é necessário para os interesses legítimos do Responsável pelo tratamento, exceto quando se prevalecerem interesses ou direitos e liberdades fundamentais do Titular dos Dados.

Quando atuamos na qualidade de Responsável pelo tratamento (consulte a definição no Anexo A) devemos garantir que temos uma base legítima para recolher e tratar Dados Pessoais.

Nalgumas situações, podemos atuar como Subcontratante em nome de nosso cliente, caso em que é da responsabilidade do mesmo garantir que tem um motivo correto para o tratamento dos Dados Pessoais, o qual deverá partilhar connosco. No entanto, devemos tomar medidas para garantir que o nosso contrato seja claro sobre as nossas responsabilidades a esse respeito e que, se recolhermos Dados Pessoais diretamente dos Titulares dos Dados em nome do cliente, tenhamos as bases para o fazer legitimamente.

Quando uma Categoria Especial de Dados é tratada (cf. definição no Anexo A) há um conjunto adicional de condições que deve ser cumprido. Por favor contacte o Privacy Officer para mais orientações.

O RGPD exige que se forneça aos Titulares dos Dados informações sobre o tratamento a fim de garantir um tratamento equitativo e transparente. Sempre que recolhermos Dados Pessoais devemos garantir que explicamos apropriadamente a razão pela qual precisamos das informações e como vamos tratá-las. Quando as informações são reunidas através do nosso site esta informação é dada através de um 'Aviso de privacidade'.

Quaisquer outras informações a facultar aquando da recolha de dados pessoais também devem ser fornecidas na internet. Consulte a 'Política de Privacidade Online e Declarações de Cookies' para obter mais informações ou entre em contacto com o Privacy Officer.

4. Tratamento apenas para finalidades específicas

Sempre que recolhemos e tratamos Dados Pessoais devemos garantir que apenas os utilizamos para as finalidades específicas que foram comunicadas ao respetivo titular.

A Deloitte nunca deve tratar Dados Pessoais para fins adicionais que não tenham sido comunicados ao Titular dos Dados. Só assim estaremos esclarecidos quanto ao propósito do tratamento e devemos entender os propósitos para os quais os nossos clientes podem ter recolhido os Dados Pessoais.

5. Tratamento adequado, pertinente e limitado

Quando recolhemos e tratamos Dados Pessoais devemos seguir o princípio da minimização dos dados. Isso significa que devemos recolher apenas os Dados Pessoais mínimos necessários para realizar uma tarefa específica.

Adicionalmente, devemos garantir que temos uma quantidade adequada de dados pessoais para realizar uma tarefa específica de maneira adequada. Por exemplo, recolher os dados necessários apenas para identificar uma pessoa.

Isto também se aplica a qualquer partilha e outras atividades de tratamento. É importante minimizar os dados mantidos e tratados; devemos garantir que se partilharmos dados interna ou externamente ou se os usarmos em atividades como testes, só devemos usar / partilhar a quantidade mínima em cada caso.

6. Exatidão dos dados pessoais

Temos a obrigação de garantir que os Dados Pessoais sejam mantidos exatos e atualizados. Devemos garantir a existência de processos adequados ​​para manter os dados exatos sempre que necessário (por exemplo, dos profissionais ou de clientes atuais e potenciais mantidos pelas áreas relevantes).

Ao atuar como Responsável pelo tratamento em relação a um cliente não seremos obrigados a implementar mecanismos para manter esses dados atualizados; isso será responsabilidade do Responsável pelo tratamento, ou seja, nosso cliente.

7. Conservação de Dados Pessoais

Os Dados Pessoais não devem ser conservados por mais tempo do que o necessário. Isto significa que devemos definir e aplicar períodos de conservação máximos dos Dados Pessoais que tratamos e implementar processos para apagá-los no seu termo. Portanto, os seguintes períodos de conservação podem ser aplicados: (i) pelo tempo que for necessário para a atividade ou serviços relevantes; (ii) qualquer período de conservação exigido por lei; (iii) o fim do período em que os litígios ou investigações possam surgir em relação aos serviços; ou (iv) pelo período mínimo previsto no contrato.

8. Direitos dos Sujeitos de Dados

O RGPD exige que informemos as pessoas sobre os Dados Pessoais que recolhemos, as finalidades e meios para os quais são objeto de tratamento. Tal informação é dada sob a forma de um 'Aviso de Privacidade'.

a)   Direito de Acesso

  • O Titular dos Dados tem o direito de pedir para ver os Dados Pessoais que temos a seu respeito, a finalidade do tratamento e as categorias de dados em questão.
  • Devemos notificar o Titular dos Dados dos destinatários com quem vamos partilhar os seus dados, especialmente se o destinatário estiver noutro país ou se pertencer a uma organização internacional.
  • Sempre que possível, definiremos o prazo de conservação dos dados para atender aos objetivos comerciais.
  • Devemos comunicar ao Titular dos Dados a existência do direito de se opor ao tratamento e do seu direito de retificação e apagamento.
  • Devemos comunicar ao Titular dos Dados a existência do seu direito de reclamação a uma Autoridade de controlo.
  • Qando os dados são recolhidos de alguém que não seja o próprio Titular dos Dados devemos comunicar ao próprio a fonte desses dados.
  • Devemos garantir que temos processos em vigor para identificar e responder às questões de acesso por parte do Titular dos Dados, sem demora injustificada, e no prazo máximo de um mês.

b)   Direito de retificação

  • Os Titulares dos Dados têm o direito à retificação dos dados inexatos, cabendo à Deloitte todos os esforços para o fazer de imediato.

c)   Direito ao apagamento

  • O Titular dos Dados tem o direito de obter do Responsável pelo tratamento o apagamento dos seus dados ('direito de ser esquecido'). Cabe à Deloitte fazer o possível para apagar de imediato os dados mantidos, exceto quando houver uma exigência legal para a sua conservação. Se receber uma solicitação de um Titular de Dados contacte primeiro o Privacy Officer antes de apagar quaisquer dados.

d)   Direitos das crianças

  • Todos os indivíduos, incluindo crianças, estão protegidos pelo RGPD. Para crianças menores de 13 anos não devemos processar os seus Dados Pessoais com base no seu consentimento, salvo autorização pelos respetivos titulares das responsabilidades parentais.

 

e)   Marketing

  • Por vezes podemos enviar aos nossos clientes e parceiros material de marketing para informá-los de serviços, eventos futuros ou outras atividades do seu interesse, caso em que devemos indicar o direito a retirar o consentimento a qualquer altura se desejarem não voltar a ser contatados nesses termos.
  • Devemos, também, assegurar que temos processos que garantam que todas as preferências de participação sejam registadas e respeitadas.

Para todas as questões relativas aos direitos dos Titulares de Dados contacte o Privacy Officer.

9. Segurança dos Dados Retidos

A Deloitte manterá a segurança dos dados protegendo a Confidencialidade, Integridade e Disponibilidade dos Dados Pessoais, sendo que:

  • Confidencialidade significa que apenas pessoas autorizadas podem aceder aos dados;
  • Integridade significa que os Dados Pessoais devem ser exatos e adequados para as finalidades inerentes ao tratamento;
  • Disponibilidade significa que os utilizadores autorizados devem poder aceder aos dados se precisarem para as finalidades autorizadas.

Poderá encontrar informações mais completas sobre as nossas políticas de segurança aqui.

10. Divulgação de Dados

Todos os Profissionais e Partners devem evitar qualquer divulgação inapropriada de Dados Pessoais e cumprir com os nossos deveres gerais em relação à Confidencialidade.

É permitido:

a)    Partilhar os Dados Pessoais que mantemos com qualquer empresa membro da Deloitte, desde que tenhamos uma base legítima para o fazer e não haja restrições adicionais;

b)    Divulgar Dados Pessoais a terceiros apenas sob instrução ou quando tivermos uma base legítima para o fazer, e não haja restrições em vigor;

c)     Divulgar Dados Pessoais a terceiros no caso de vendermos ou comprarmos qualquer negócio ou ativos, ou quando formos um Responsável conjunto pelo tratamento, enquanto parte de uma joint venture;

d)    Partilhar Dados Pessoais com um terceiro que esteja a tratar dados em nosso nome, o que pode incluir a transferência de dados para um terceiro país.

Geralmente os Dados Pessoais podem ser divulgados:

a)    Aos Profissionais ou agentes para que possam desempenhar as suas funções enquanto tal;

b)    Nos casos em que a não divulgação poderá prejudicar a prevenção ou deteção de crimes, a dedução de acusação contra infratores, ou a avaliação ou cobrança de qualquer imposto ou taxa. A Deloitte deve ter motivos adequados ​​para divulgar os dados sob esta categoria a fim de evitar processos criminais. Todas as divulgações devem ser justificadas e documentadas.

Para fins legais os dados podem ser divulgados se:

a)    Exigido por lei, estatuto ou por ordem do tribunal;

b)    Com a finalidade de obter assessoria jurídica;

c)     No âmbito ou para efeitos de um processo judicial ou quando necessário para defesa de um direito legal; ou

d)    Para salvaguarda da segurança nacional.

11. Transferência internacional de Dados Pessoais

A Deloitte pode transferir quaisquer Dados Pessoais para um terceiro país ou organização internacional. Os dados pessoais que possuímos também podem ser tratados ​​por funcionários que operam num terceiro país, por exemplo Angola ou que trabalham para nós ou para um de nossos fornecedores.

Temos de garantimos que pelo menos uma das seguintes condições se aplique:

a)    O país para o qual os Dados Pessoais são transferidos garante um nível adequado de proteção para os direitos e liberdades dos Titulares dos Dados, por decisão da Comissão da UE;

b)    Sejam fornecidas salvaguardas apropriadas (por exemplo cláusulas tipo de proteção de dados);

c)     O Titular dos Dados ter dado consentimento explícito para a transferência após ter sido informado dos possíveis riscos;

d)    A transferência ser necessária por uma das razões estabelecidas no RGPD, incluindo a execução de um contrato entre a Deloitte e o Titular dos Dados, ou proteção dos interesses vitais do Titular dos Dados;

e)    A transferência ser legalmente exigida por motivos importantes de interesse público ou para a propositura de ações judiciais ou defesa no âmbito das mesmas.

12. Informações de log, cookies e web beacons

O site da Deloitte usa cookies para distinguir os seus utilizadores. A Deloitte recolhe informações padrão de registo na Internet, incluindo o endereço IP do utilizador, o tipo e o idioma do navegador, os horários de acesso e os endereços dos sites de referência. Para garantir que o nosso site seja bem gerido e para facilitar a navegação a Deloitte ou os seus prestadores de serviço também podem usar cookies (pequenos arquivos de texto armazenados no navegador do usuário) ou web beacons (imagens eletrónicas que permitem ao nosso site contar os visitantes que acedem a um site e a certos cookies) para recolher dados agregados.

13. Informação de Profissionais

Recolha e Conservação

  • A Deloitte, enquanto empregadora, recolhe, trata e conserva dados pessoais de trabalhadores, contratados, consultores e candidatos. O Departamento de Recursos Humanos e outros departamentos que tratam Dados Pessoais de profissionais devem verificar e documentar qual a base legal inerente ao tratamento que efetuarem. Os Dados Pessoais dos profissionais só devem ser tratados ​​quando houver um objetivo válido e legítimo para o efeito.
  • A recolha de dados pessoais relacionados com os nossos funcionários ocorre por meio de diversos canais e formatos, tais como: formulários de inscrição; formulários web eletrónicos, (por exemplo, durante o processo de recrutamento); registos de dados; imagens de CCTV; Fotografias de equipa, incluindo cartões de identificação; dados de outras fontes (por exemplo empregadores anteriores); verificações de crédito e verificações de segurança; etc.
  • A criação e o armazenamento de dados pessoais relacionados com os nossos profissionais ocorrem por meio de vários canais e formatos, tais como: recibos de pagamento; registos de avaliação; Contratos de trabalho; e-mails; registos de doença; etc.

Formação e Conscientização

  • Temos o compromisso de fornecer formação adequada sobre proteção de dados pessoais a todos os profissionais. Se necessário forneceremos formação personalizada e consciencialização para as pessoas tendo em conta as suas funções.

Desenho do processo e alteração

  • Para todos os novos sistemas e procedimentos de negócio propostos que envolvam Dados Pessoais deve-se considerar se é necessária uma avaliação do impacto sobre a privacidade e a segurança das informações para identificar riscos e controlos.
  • Para o efeito todos os Profissionais e Partners devem entrar em contacto com o Privacy Officer antes de adotar novos procedimentos.

Anexo A – Definições

Conceito

Definição

Autoridades de controlo

Significa uma autoridade pública independente estabelecida em Portugal - Comissão Nacional de Proteção de Dados – e em  Angola – Agência de Proteção de Dados Pessoais.

Categorias especiais de Dados Pessoais

Corresponde aos Dados Pessoais que revelem:

• origem racial ou étnica;

• opiniões políticas;

• convicções religiosas e filosóficas;

• filiação sindical;

• saúde física ou mental;

• dados genéticos e biométricos

• dados relativos à vida sexual e orientação sexual; e

• condenações penais e infrações ou supostas ofensas, incluindo qualquer processo penal ou sentenças judiciais relativas a uma pessoa.

Colaborador

Significa trabalhadores e pessoas singulares contratados pela Firma, permanentes ou temporários, excluindo Partners.

Confidencialidade

Confidencialidade é uma característica que se aplica à informação. Proteger e preservar a confidencialidade das informações significa garantir que não sejam disponibilizadas ou divulgadas a entidades não autorizadas. Neste contexto, as entidades incluem pessoas e processos.

Dados Pessoais

Qualquer informação relacionada a uma pessoa singular identificada ou identificável (ie 'Titular dos Dados'); uma pessoa identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador como um nome, um número de identificação, dados de localização, identificador online ou mais um fator específico físico, fisiológico, genético, mental , identidade cultural ou social dessa pessoa.

Divulgação de Dados

Significa partilhar ou fornecer acesso a Dados Pessoais, seja ao Titular dos Dados, ao Responsável conjunto pelo tratamento, Subcontratante ou qualquer outro Terceiro.

Firma

A firma refere-se às firmas-membro existentes em Portugal, incluindo as detidas por estas.

Incidente de Segurança da Informação

Significa qualquer evento adverso, ocorrência ou evento suspeito que possa afetar a confidencialidade, disponibilidade ou integridade de qualquer um dos Ativos da empresa.

Informação

Abrange todos os conhecimentos e dados comunicados ou recebidos sobre um facto ou circunstância particular. As Informações da Firma abrangem todas as informações, identificadas ou não confidenciais, sob qualquer forma, escritas ou orais, que a Equipa ou Partners podem ter acesso sobre a Empresa, os seus Profissionais ou Partners.

Integridade da Informação

A precisão e integridade das Informações e dos métodos usados para as tratar e gerir.

Limitação do Tratamento

A marcação de dados pessoais armazenados com o objetivo de limitar seu tratamento no futuro.

Partner(s)

Usado para descrever Equity Partners e outros tipos de Partners.

Privacidade

 

É a forma como como recolhemos, conservamos e tratamos Dados Pessoais de acordo com as expectativas dos nossos clientes e funcionários e com um conjunto complexo de requisitos legais e regulamentares. Também conhecido como Privacidade e / ou Proteção de Dados, embora nos EUA o termo Proteção de Dados geralmente se concentre na segurança dos dados e, não, nos requisitos legais mais amplos.

Processador de Dados

Significa uma pessoa singular ou coletiva, autoridade pública, agência ou outro organismo, a quem são divulgados dados pessoais, sejam terceiros ou não.

Pseudonomização

Significa o processamento de dados pessoais que não podem ser atribuídos a um Titular de Dados específico sem o uso de informações adicionais, desde que tais informações sejam mantidas separadamente e estejam sujeitas a medidas técnicas e organizacionais para garantir que não se tornem identificáveis.

Representante

Significa Weshare – Serviços Gerais de Gestão, S.A. em relação ao cumprimento das obrigações pelas pessoas jurídicas que operam sob a marca Deloitte em Angola.

Responsável pelo tratamento

A pessoa singular ou coletiva, autoridade pública, agência ou qualquer outro organismo que, individualmente ou em conjunto com outros, determina o objetivo e os meios do Tratamento de Dados Pessoais; Se os fins e os meios de tratamento forem determinados pelo direito da União ou pela legislação de um Estado-Membro, o Responsável pelo tratamento ou os critérios específicos para a sua nomeação podem ser designados pelo direito da União ou pelo direito dos Estados-Membros.

Sistema

Um conjunto de componentes interativos ou interdependentes, incluindo pessoas, processos e tecnologia que trabalham juntos para produzir um resultado pretendido.

Terceiros

Fornecedores externos, organizações ou indivíduos contratados pela Empresa para usar, gerir ou tratar ativos da empresa ou prestar serviços para ou em nome da empresa. Terceiros e fornecedores no âmbito desta política incluem, mas não estão limitados a:

• fornecedores em regime de outsourcing (também conhecidos como outsourcers);

• prestadores de serviços (por exemplo, para gestão de alojamento de dados, gestão de infraestrutura de rede);

• fornecedores e equipa de suporte e manutenção de hardware e software;

• empresas de TI ou de processos de negócios e consultoras.

Titular dos Dados

Significa a pessoa que é o sujeito da Informação a ser processada, isto é, o(s) indivíduo(s) a quem a Informação se refere, por exemplo clientes de serviços de retalho ou funcionários do cliente.

Tratamento

Qualquer operação ou conjunto de operações que são executadas em Dados Pessoais ou conjuntos de Dados Pessoais, seja ou não por meios automatizados, como recolha, registo, organização, estruturação, adaptação ou alteração de armazenamento, recuperação, consulta, divulgação de uso por transmissão, disseminação ou de outra forma disponibilizado, alinhamento ou combinação, restrição, rasura ou destruição.

Violação de Dados Pessoais

Uma quebra de segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais transmitidos, conservados ou objeto de tratamento de outra forma.

 


English version:

Privacy Policy

(Latest update: 11 May 2018)

1.    Introduction

This Policy has been developed to support Deloitte Portugal (referred to below as “we”, “us” or “our”) data protection compliance activities, prepared following the General Data Protection Regulation (GDPR).

A number of additional policies, including the Deloitte Retention Policy and policies within the Information Security Policy framework, which cover the key Information Security domains that are relevant to the firm’s business operations, complements the Privacy Policy. Together, these policies outline the firm’s approach to managing Information Security and Privacy.

This policy applies to all Staff and Partners of Deloitte and, where identified, Third Parties accessing the firm’s Assets.

The terms Privacy, Data Privacy and Data Protection may be used in the same sense, as they refer to the complex set of legal requirements that apply to Personal Data, which is much broader than just Information Security and Confidentiality.  For example, it includes requirements around transparency of data usage and the retention of data.

Adherence to this policy is mandatory and therefore all Staff and Partners have an individual responsibility to ensure their personal compliance with this policy and should seek guidance from their team leaders for further clarification if required.

The responsibility for the operational implementation lies with the teams with the support of the Privacy Officer.

Compliance with this policy may be monitored through inspections, audits and/or requests for written confirmations of compliance. All areas are responsible for regularly assessing the compliance of this policy within their area of responsibility.

Any Staff or Partners found to have violated this policy may be subject to disciplinary action as per the processes included in the Disciplinary Policy.

This Policy is based on the principles set out in GDPR. However, there are national differences in the applicability of data protection and Privacy by Deloitte Portugal, namely, in respect to the Angola territory, as well as globally, when we are Processing Personal Data outside the EU, receiving Personal Data from outside the EU or Processing Personal Data of non-EU citizens.

Please contact the Privacy Officer if you have any questions regarding regional variations when Processing Personal Data at ptprivacy@deloitte.pt

2.    Data Protection Principles

In the course of our business, we process Personal Data. This may include Personal Data we receive through our service opportunities, our client engagements, from marketing activities or from a range of other related and support activities.  The data may be received directly from a Data Subject, for example, in person, via mail, email, telephone or from other sources, including, but not limited to, third parties, joint controllers, technical and non-technical subcontractors and support services.

All Staff and Partners should only collect Personal Data that is relevant and necessary to accomplish a corporate function and responsibility.

Deloitte is committed to adhering to the data protection principles set out by the GDPR, which are:

  • Lawfulness, fairness and transparency; this means that we should have a legitimate basis for which we are processing Personal Data, for example a contractual relationship with the Data Subject, or that the processing is necessary for compliance with a legal obligation to which we are subject. It also means that we should inform the Data Subject about the processing in accessible and easy to understand communication.
  • Purpose; we should only collect Personal Data for specified, explicit and legitimate purposes and not process the data further than for the purpose for which it was collected.
  • Data Minimisation; the Personal Data processed should be adequate, relevant and limited to what is necessary in relation to the purposes.
  • Accuracy; we have an obligation to ensure that Personal Data is accurate and to keep Personal Data up to date, where required.
  • Storage; we should not retain Personal Data for a longer period than what is necessary for the purposes for which it was processed, although we may retain certain data for historical and statistical purposes.
  • Integrity and Confidentiality; we should have the right security controls in place to protect against unauthorised and unlawful processing and against accidental loss or destruction of, or damage to, Personal Data.  This includes both technical and organisational measures such as defined processes and training and awareness.
  • Lawful transfer to third countries or international organisations; we only transfer Personal Data to third countries or an international organisation where the Eu Commission has decided that they ensure an adequate level of protection or otherwise there are appropriate safeguards in place, such as the right contractual framework. This safeguards are in place in respect to the transfers to Angola as part of the Portuguese network.
  • Data Subject Rights; Data Subjects have a number of rights that we should adhere to, for example the right to access a copy of the data we hold on them, and the right to opt out of direct marketing, which they have previously opted in to.


3. Fair and lawful Processing

Whenever we collect Personal Data, we must have a legal basis on which to collect and process the data.  In accordance with GDPR, we must be able to identify at least one of the following grounds for processing the Personal Data:

  • Consent: The Data Subject has given consent for the data to be processed for one or more specific purposes.
  • Contractual:  The processing is necessary for the performance of a contract that the Data Subject is a party to, or is entering into.
  • Legal: The processing is necessary to comply with a legal obligation, to which the Data Controller is subject.
  • Vital interests: The processing is necessary to protect the vital interests of the Data Subject.
  • Public interest: The processing is necessary for the performance of a task carried out in the public interest.
  • Legitimate interests: The processing is necessary for the purposes of the legitimate interests of the Data Controller, except where such interests are overridden by the interests or fundamental rights and freedoms of the Data Subject.

Where we act as a Data Controller (see Appendix A – Definitions), we must ensure that we have a legitimate ground to collect and process the Personal Data.

In some cases we will be acting as a data processor on behalf of our client, in which case it is ultimately the responsibility of our client to ensure they have the correct basis for processing the Personal Data, including the righ to share with us. However, we should take steps to ensure that our contract is clear on our own responsibilities in this regard, and that if we are collecting Personal Data directly from Data Subjects on behalf of clients, that we have the grounds to do so legitimately.

Where a Special Category of Data is being processed (see Appendix A for definition), there are a further set of conditions that should be met.  Please contact the Privacy Officer for further guidance at ptprivacy@deloitte.pt

GDPR requires us to provide the Data Subjects with information about the processing in order to ensure fair and transparent processing.  Wherever we collect Personal Data from Data Subjects, we should ensure that we provide appropriate Information on why we require the Information, and how we are going to process it.  When Information is collected through our website, this Information is given in the form of a ‘Privacy Notice’.

Any further Information required at the point of collection to make it clear why we require the Information should also be provided on the web page.  Please see the “Online Privacy and Cookie Statement” for further information at https://global.deloitteresources.com/Pages/Privacy.aspx, or contact ptprivacy@deloitte.pt.

4.    Processed for specific purposes only

Whenever we collect and process Personal Data, we should ensure that we only use the data for the specific purposes that have been communicated to the Data Subject.

Deloitte should never process Personal Data for additional purposes that have not been communicated to the Data Subject. Thus, we be clear as to the purpose of processing and should understand the purpose that our clients may have collected the Personal Data for.

5.    Adequate, relevant and non-excessive Processing

When we collect and process Personal Data, we should follow the principle of data minimisation.  This means that we should only collect the minimum Personal Data necessary to do a particular task.

At the same time, we should ensure that we have an adequate amount of Personal Data to do a particular task properly.  For example, collect no more than the required and necessary Personal Data to be able to identify them uniquely.

This also applies to any sharing and other processing activities. It is important to minimise the data held and processed; we should ensure that if we are sharing data internally or externally, or using data in activities such as testing, we should only use / share the minimum amount of data at each point.

6.    Accuracy of Personal Data

We have an obligation to ensure that Personal Data is kept accurate and up to date.  We should ensure that we have reasonable processes in place to keep data accurate where required, for example employee Personal Data or existing and prospective client Personal Data held by the relevant areas.

When acting as a Data Processor in relation to a client engagement, we will not be required to put in place mechanisms to keep that data updated; that will be the responsibility of the Data Controller i.e. our client.

7.    Retention of Personal Data

Personal Data should not be retained longer than required.  This means that we should set and apply maximum retention periods to Personal Data that we process, and put in place processes to delete the Personal Data upon expiry of the set retention period. Therefore the following retention periods may apply: (i) as long as is necessary for the relevant activity or services; (ii) any retention period that is required by law; (iii) the end of the period in which litigation or investigations might arise in respect of the services; or (iv) for the minimum period foreseen by contract.

8.    Data Subjects Rights

GDPR requires us to inform individuals about the Personal Data we collect and the purposes and means for which it is processed. This Information is given in the form of a ‘Privacy Notice’.

a)    Right to Access

  • The Data Subject has the right to ask us the Information that we hold about them, the purpose of the Processing and the categories of Personal Data concerned.
  • We should notify the Data Subject with whom we share their Personal Data, particularly if the recipient is in a third country or international organisation.
  • Where possible, we will define how long we need to retain Personal Data in order to meet its business purposes.
  • We should communicate to the Data Subject the existence of their right to object to the processing and to their right to rectification and erasure of Personal Data.
  • We should communicate to the Data Subject the existence of their right to complaint to the appropriate Supervisory Authority.
  • Where data has been collected from someone other than the Data Subject himself/herself, we should communicate the source of that data to the Data Subject.
  • We should ensure that we have processes in place to identify and respond to Data Subject access requests without undue delay and no later than one month upon receipt of the request.

b)      Right to rectification

  • Data Subjects are entitled to have inaccurate data corrected. Deloitte will endeavour to rectify inaccurate data without undue delay.

c)      Right to erasure

  • The Data Subject has the right to erasure (“right to be forgotten”).  We will endeavour to erase data held without undue delay, except where there is legal requirement for the retention of data.  Please contact ptprivacy@deloitte.pt before erasing any data if a request is received from a Data Subject.

d)      Children’s Rights

  • All individuals, including children, are protected under GDPR. For children below the age of 13, we should not process their Personal Data based on their consent unless this is given or authorised by the person with parental responsibility over the child.

e)      Marketing

  • We may send to our clients and third parties targeted marketing material from time to time to inform them of similar services, future events or other activities that we believe will be of interest to them. We will provide them with an option to opt-out if they no longer wish to be contacted.
  • We will also ensure that we have processes in place that ensure that all opt-in preferences are recorded and respected.

For all matters concerning Data Subject rights please contact ptprivacy@deloitte.pt

9.    Security of Data Held 

Deloitte will maintain the information secure by protecting the Confidentiality, Integrity and Availability of the Personal Data, defined as follows

  • Confidentiality means that only people who are authorised can access the data.
  • Integrity means that Personal Data should be accurate and suitable for the purpose for which it is processed.
  • Availability means that authorised users should be able to access the data if they need it for authorised purposes.

Full details of our Security Policy can be found here.  

10.  Data Disclosure

All Staff and Partners should avoid any inappropriate disclosure of Personal Data and adhere to our general duties in relation to Confidentiality.

We may:

a)    Share Personal Data we hold with any Deloitte member firm, provided we have a legitimate basis to do so and no further restrictions are in place.

b)    Only disclose Personal Data we hold to third parties under instruction or where we have a legitimate basis to do so and no further restrictions are in place.

c)     Disclose Personal Data to third parties in the case where we sell or buy any business or assets, or where we are joint controller.

d)    Share Personal Data with a Third Party that is Processing data on our behalf.  This may include transferring data to be processed in a third country.

Personal Data can usually be disclosed:

a)    To Employees or agents to enable them to perform their duties as Employees or agents.

b)    In instances where failure to do so would be likely to prejudice either the prevention or detection of crime, the apprehension or prosecution of offenders, or the assessment or collection of any tax or duty. Deloitte should have reasonable grounds for disclosing the data under this category in order to avoid criminal prosecution. All disclosers should be justified and documented.

For legal purposes data may be disclosed if:

a)   Required by statute, by any rule of law, by order of the regulator, supervisory authority or court;

b)   Made for the purpose of obtaining legal advice;

c)   Made for the purposes of, or in the course of, legal Processing or where it is necessary for defending or establishing legal right; or

d)   For the safeguarding of national security.

11.  Overseas Transfer of Personal Data

We may transfer any Personal Data to a third country or international organisation. Personal Data we hold may also be processed by Staff operating in a third country, namely Angola, or work for us or for one of our suppliers.

We will ensure that at least one of the following conditions are applied:

a)   The country to which the Personal Data is transferred ensures an adequate level of protection for the Data Subjects' rights and freedoms as per decision of the EU Commission published in the Official Journal of the European Union;

b)   Appropriate safeguards have been provided, e.g. standard data protection clauses;

c)   The Data Subject has given explicit consent to the transfer after having been informed of the possible risks;

d)   The transfer is necessary for one of the reasons set out in GDPR, including the performance of a contract between Deloitte and the Data Subject, or to protect the vital interests of the Data Subject;

e)   The transfer is legally required on important public interest grounds or for the establishment, exercise or defence of legal claims

12.  Log information, cookies, and web beacons

Deloitte’s website uses cookies to distinguish one user from another. Deloitte collects standard internet log information including the user’s IP address, browser type and language, access times and referring website addresses. To ensure that our website is well managed and to facilitate improved navigation, we or our service providers may also use cookies (small text files stored in a user’s browser) or web beacons (electronic images that allow our website to count visitors who have accessed a particular page and to access certain cookies) to collect aggregate data.

13.  Employee Information

a)    Collection and Storage

  • Deloitte as an employer collects, processes, and stores Personal Data from Employees, contractors, consultants, and applicants. HR units and other units that process such Personal Data should understand and document on what legal basis they are Processing Personal Data. This Personal Data should only be processed where there is a valid and lawful business purpose to do so.
  • Collection of Personal Data relating to our Employees, contractors, consultants and aplicants occurs through a variety of channels and formats, such as: application forms; electronic web-forms, for example during the recruitment process; data logs; CCTV footage; video and recorded events; staff photographs including identification cards; data from other sources such as previous employers; credit checks and security checks; etc.
  • Creation and storage of Personal Data relating to our Employees occurs through a variety of channels and formats, such as: pay slips; appraisal records; employment contracts; emails; sickness records; etc.

b)    Training and Awareness

  • We are committed to providing appropriate Data Protection training to all Employees. If necessary, we will provide tailored training and awareness to certain individuals based on their job roles.

c)     Process Design and Change

  • For all proposed new systems and business processes involving Personal Data, consideration should be given to whether a Privacy and Information Security Impact Assessment is required to identify risks and controls.
  • All staff and Partners should contact the Privacy Officer before adopting new processes to determine whether this is required.

    Appendix A – Definitions

Terms

Definitions

Confidentiality

Confidentiality is a characteristic that applies to Information. To protect and preserve the confidentiality of Information means to ensure that it is not made available or disclosed to unauthorised entities. In this context, entities include both individuals and processes.

Data Controller

The natural or legal person, public authority, agency or any other body which alone or jointly with others determines the purpose and means of the Processing of Personal Data; where the purposes and means of Processing are determined by Union law or Member State law, the controller or the specific criteria for his nomination may be designated by Union law or by Member State law.

Data Disclosure

Means sharing or providing access to Personal Data, either to Data Subject, joint controller, processor or any other Third Party.

Data Processor

Means a natural person or legal person, public authority , agency or another body, to which personal data are disclosed, whether a third prty or not.

Data Subject

Means the individual who is the subject of the Information being processed, i.e. the individual(s) about whom the Information relates, e.g. Client retail customers or Employees.

Firm

The firm refers to Deloitte Portugal Network, including the legal entities that operate under Deloitte brand in Portugal, Angola, Cape Verde and São Tomé e Príncipe.

Information

The term Information encompasses all knowledge and data communicated or received concerning a particular fact or circumstance. Firm Information encompasses all classifications of Information alongside unwritten knowledge that Firm Staff or Partners may have about the Firm, its Staff or Partners.

Integrity of Information

The accuracy and completeness of both Information and the methods used to process and manage it.

Information Security Incident

An incident is any adverse event, occurrence or suspected event or occurrence that may impact the confidentiality, availability or integrity of any of the firm's Assets.

Personal Data

Is any Information that relates to an identified or identifiable natural person ‘Data Subject’; an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, online identifier or one more factor specific to the physical, physiological, genetic, mental economic, cultural or social identity of that person.

Partner(s)

Used to describe Non-Equity and Equity Partners.

Personal Data Breach

A breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, Personal Data transmitted stored or otherwise processed.

Privacy

 

Privacy is about how we collect, store and process Personal Data in line with the  expectations of the relevant Data Subjects, as well as a complex set of legal and regulatory requirements.  Also referred to as Data Privacy and/or Data Protection, although in the US the term Data Protection is typically focused on the security of data and not the broader legal requirements.

Processing

Any operation or set of operations which is performed upon Personal Data or sets of Personal Data, whether or not by automated means, such as collection, recording, organization, structuring, storage adaptation or alteration, retrieval, consultation, use disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction.

Pseudonymisation

Means the processing of personal data which cannot be attributed to a specific Data Subject whitout the use of additional information, provided such information is kept separately and is subject to tecnhical and organisational measures to ensure that is does not become indetifiable.

Representative

Means Weshare – Serviços Gerais de Gestão, S.A. in respect to the compliance of the obligations by the legal entities that operate under Deloitte brand in Angola

Restriction of Processing

The marking of stored Personal Data with the aim of limiting their Processing in the future.

Special categories of Personal Data

Is data relating to an individual’s that reveals:

·       racial or ethnic origin;

·       political opinions;

·       religious and philosophical beliefs;

·       membership of a trade union;

·       physical or mental health;

·       genetic data, biometric data

·       health data or data relating to sex life and sexual orientation; and

·       criminal convictions, or alleged offences, including any criminal proceedings or court sentences relating to an individual.

Staff/Employee

Individuals employed by the Firm, including self-employed, permanent Staff and Temporary Staff, excluding Partners.

Supervisory Authorities

Means an independent public authority which is established in Portugal -  Comissão Nacional de Proteção de Dados - and  Angola – Agência de Proteção de Dados Pessoais.

System

A set of interacting or interdependent components including people, processes and technology that work together to produce an intended output.

Third Party

External suppliers, organisations or individuals contracted by the Firm to process personal data, use, handle or process the Firm Assets or provide services to or on the Firm’s behalf. The Third Parties and suppliers in scope of this policy, include, but are not limited to:

·       outsourcing providers (also known as outsourcers);

·       service providers (for example data hosting management, network infrastructure management);

·       hardware and software support and maintenance providers and staff;

·       IT or business process outsourcing firms and consultancies.