1 - O QUE SE PRETENDE COM O RGPD?
Uniformizar o tratamento de dados pessoais na UE, mesmo quando esses dados circulam fora da Europa e garantir os direitos e liberdades dos cidadãos.
2 - A QUEM SE APLICA O RGPD?
O RGPD aplica-se a todas as empresas com instalações na UE que processam e/ou armazenam dados pessoais de residentes ou pessoas que viajam na UE.
Caso a empresa esteja fora da UE, mas processe dados pessoais de pessoas que estão na UE, terão igualmente que estar em conformidade.
3 - O QUE SÃO DADOS PESSOAIS?
Toda e qualquer informação relativa a uma pessoa singular que permite a sua identificação, direta ou indiretamente por um elemento identificador. Ex.: nome, nº de telefone, nº de contribuinte, e -mail, género, fotografia, localização, endereço IP ou endereço MAC.
São considerados dados sensíveis, os que revelam origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, associação sindical, dados biométricos e dados sobre saúde ou orientação sexual.
4 - QUAIS SÃO OS DIREITOS DOS TITULARES IDENTIFICADOS PELO RGPD?
• Direito ao Esquecimento - O titular tem direito a pedir para ser excluído dos registos da empresa.
Este direito deverá ser sempre cumprido, exceto quando existam leis que se sobreponham e apenas no que diz respeito aos dados concretos dessa sobreposição.
Ex.: Lei Tributária que obriga a um arquivo de documentação durante 10 anos
• Direito à Informação - Os titulares devem ser informados de previamente qual o objetivo da recolha dos dados e tempo de utilização dos mesmos. Esta informação terá de ser prestada de forma clara, simples e direta.
• Direito à Objeção - O titular pode pedir o cancelamento de algumas comunicações, isto significa que está no seu o direito de não receber informação de marketing direto (ex.: newsletters, push notifications ou sms) ou não permitir a perfilagem ou caracterização (profiling).
• Direito ao Acesso e à Retificação - O titular dos dados têm o direito de solicitar o acesso e/ou retificação dos seus dados pessoais, assim como questionar como estão a ser utilizados. A empresa deve fornecer cópia dos seus dados pessoais ou permitir o acesso aos mesmos (Ex. Acesso à área pessoal).
• Direito à Oposição - O titular pode solicitar que um, vários ou mesmo todos os seus dados não sejam processados, o que não invalida a permanência do registo na empresa.
• Direito à Portabilidade - Este reforça o direito de acesso dos titulares aos seus dados pessoais. O direito à portabilidade permite ao titular dos dados pedir e receber os seus dados pessoais, num formato estruturado, de uso correntes e de leitura automática.
• Direito ao Consentimento - A aceitação do pedido de consentimento para utilização dos dados dos titulares deve ser livre e explícito.
5 - O QUE É A VIOLAÇÃO À SEGURANÇA DOS DADOS PESSOAIS (DATA BREACHES)?
Uma violação de dados consiste numa falha de segurança que pode levar à destruição, perda, alteração, divulgação não autorizada, ou acesso a dados pessoais. Isto significa que uma violação à segurança de dados pessoais é mais do que perder apenas dados pessoais.
Exemplos:
- A perda ou roubo de um dispositivo com acesso aos dados pessoais dos titulares
- A perda ou roubo da chave de encriptação de uma base de dados
6 - EXISTEM DIFERENTES TIPOS DE VIOLAÇÕES DE SEGURANÇA?
Sim, existem dois tipos de violações de segurança, nomeadamente:
- Confidencialidade - Quando são revelados ou acedidos de forma acidental ou indevida dados pessoais.
- Disponibilidade - Quando acontece uma perda de acesso ou destruição de dados pessoais, quer seja de forma acidental ou indevida.
7 - QUAIS OS PRAZOS DE RESPOSTA AOS PEDIDOS DOS TITULARES?
O Prazo para responder aos pedidos dos direitos dos titulares é de 30 dias para identificar todos os dados necessários e/ou efetuar a operação desejada.
Estes pedidos devem ser fornecidos gratuitamente desde que os mesmos sejam efetuados num número dentro dos limites do razoável, em caso de abuso poderá ser cobrado um valor meramente representativo. É possível prolongar este prazo desde que exista uma justificação plausível e devidamente documentada.
8 - QUAIS OS PRAZOS PARA NOTIFICAÇÃO DE UMA VIOLAÇÃO DE SEGURANÇA?
O prazo para notificação de uma violação de segurança à autoridade supervisora (CNPD) é de 72 horas após ter conhecimento da mesma, e em determinadas circunstâncias, será necessário notificar os titulares afetados por essa violação de dados.
- Não é necessário notificar a CNPD se a violação de dados não representar um risco para os direitos e liberdades dos indivíduos.
- Não é necessário notificar o titular se a violação também não representar um alto risco para os direitos e liberdades dos mesmos.
Ex: Em caso de acesso a dados protegidos por mecanismos de encriptação robusta, as notificações aos titulares não são necessárias.
9 - QUAIS AS MULTAS POR INCUMPRIMENTO?
O governo português definiu os valores das coimas na proposta de lei aprovada em Conselho de Ministros, com valores específicos para pequenas e médias empresas (PME). Os valores das coima entre mínimos e máximos é uma decisão que cabe à CNPD e que tem em conta vários critérios. Ex.: Volume de negócios, dimensão e natureza dos serviços prestados, e o caráter continuado da infração.
Contraordenações graves:
• De € 1000 a € 1 000 000 ou 2% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de PME.
Contraordenações muito graves:
• De € 2000 a € 2 000 000 ou 4% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de PME;
10 - A ZONE SOFT E O RGPD > QUEM É QUEM?
Pontos de Venda > ("Controllers”) são os responsáveis pelo Tratamento dos Dados Pessoais.
O responsável pelo tratamento dos Dados Pessoais é a pessoa singular ou colectiva, a autoridade pública, a agência ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais.
O Ponto de Venda é responsável por demonstrar o cumprimento dos princípios relativos à recolha e tratamento de dados pessoais, no que diz respeito à legalidade (consentimento), imparcialidade, transparência e tempo de utilização dos dados.
Deve ainda garantir apenas a recolha dos dados essenciais (minimização de dados), limitação de armazenamento, integridade, e confidencialidade.
A Função dos Parceiros
Os Parceiros são os facilitadores dos softwares da Zone Soft têm obrigações de confidencialidade para com os dados, quer do PDV quer dos titulares, assim como garantir o melhor o melhor serviço e informação aos PDV e facultar apoio na satisfação dos direitos dos titulares.
Os Parceiros devem ainda apoiar os PDV em processos de Backup, nomeadamente no ZS POS Mobile uma vez que este implica algumas ações de caráter mais técnico
A Zone Soft é o Subcontratante ("Data Processor”)
O subcontratante é a pessoa singular ou coletiva, a autoridade pública, a agência ou qualquer outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes e segurança dos mesmos. A Zone Soft como Software Provider atua como subcontratante dos PDV e/ou parceiros, que são na verdade os responsáveis pelo tratamento de dados pessoais;
11 - A ZONE SOFT NO ÂMBITO DO RGPD
1. A Zone Soft, não utiliza os dados pessoais, para qualquer outra finalidade que não a contratualizada e não os comunica nem os transfere para terceiros;
2. A Zone Soft trata os dados pessoais apenas mediante instruções documentadas do responsável pelo tratamento (PDV e / ou Parceiros). E tem o dever de informar de imediato o PDV e/ou Parceiros se alguma instrução violar o Regulamento;
3. Os Colaboradores da Zone Soft que têm acesso aos dados pessoais em causa assumiram um compromisso de confidencialidade ou estão sujeitas a adequadas obrigações legais de confidencialidade;
4. A Zone Soft implementou todas as medidas técnicas e organizativas adequadas para assegurar um nível de segurança de acordo com o risco no âmbito do negócio;
5. A Zone Soft toma em conta a natureza do tratamento, e na medida do possível, presta assistência ao PDV e/ou Parceiro através de medidas técnicas e organizativas que permitem que estes cumpram a sua obrigação de dar resposta aos pedidos dos titulares no exercício dos seus direitos;
6. A Zone Soft presta assistência ao PDV e/ou Parceiro no sentido de assegurar o cumprimento das obrigações relacionadas com a cooperação com a autoridade de controlo (CNPD) e com a notificação a enviar a essa entidade e aos titulares dos dados pessoais, em casos de violação da segurança dos dados tratados, tendo em conta a natureza do tratamento e a informação ao dispor do subcontratante;
7. A Zone Soft consoante a escolha do PDV e/ou Parceiro, reúne as condições de apagar ou devolve todos os dados pessoais depois de concluída a prestação de serviços relacionados com o tratamento, apagando as cópias existentes, exceto quando outra legislação se sobreponha;
8. Após o término do contrato (ou seja, após o cancelamento da última licença de um determinado serial) todos os dados recolhidos e guardados em base de dados, assim como respetivos Back Ups serão eliminados 30 dias após a data do pedido de cancelamento, excepto se contratualizado serviço específico para este efeito (ZS cloud keeper);
9. A Zone Soft disponibiliza ao PDV e/ou Parceiro todas as informações necessárias (no âmbito do negócio) para demonstrar o cumprimento das obrigações previstas no RGPD e facilita e contribui para eventuais auditorias.
12 - DE QUE FORMA AS SOLUÇÕES DA ZONESOFT AJUDAM OS SEUS CLIENTES A CUMPRIR COM O RGPD?
A partir da versão 2018.1 é possível exercer tanto o direito ao esquecimento como portabilidade e acesso aos dados dos titulares.
13 - COMO SÃO DISPONIBILIZADOS OS DADOS AOS TITULARES?
Os dados sujeitos aos direitos dos titulares são apresentados em talão com a informação da respetiva ação.
Os colaboradores dos pontos de venda têm acessos atribuídos pelos mesmos e estão obrigados ao sigilo e confidencialidade, assim são os responsáveis (em nome da empresa ou do responsável pelo tratamento dos dados) por facultar a informação aos titulares. Os dados registados em talão são os seguintes:
- Todos os Dados disponíveis do Cliente
- Carimbo - AA-MM-DD HH-MM-SS
- Identificação do PDV
- Identificação do Utilizador
14 - OS ACESSOS ÀS ÁREAS PESSOAIS DE CADA CLIENTE FICAM DOCUMENTADAS?
Sim, as ações efetuadas pelos colaboradores, são registadas em sistema através de LOGS para efeitos de documentação.
15 - QUAIS OS MECANISMOS DE SEGURANÇA DA INFORMAÇÃO IMPLEMENTADOS PELA ZONE SOFT?
1. A nova versão os acessos ZS bms vão gerar Palavras Passes aleatórias nas novas contas;
Todos os utilizadores terão de definir nova Palavra Passe;
2. Credenciais à BD – A Palavra Passe passa a ser definida pelo agente na instalação. Passa a existir a obrigatoriedade de atribuir uma Palavra Passe individual para cada PDV ainda que sejam do mesmo grupo;
16 - O UPDATE QUE CONTEMPLA AS NOVAS REGRAS DO RGPD (VERSÃO 2018.0.0.1) É AUTOMATICAMENTE DISPONIBILIZADO OU TERÁ DE SER EFETUADO UMA ACTUALIZAÇÃO MANUAL DAS VERSÕES?
Por uma questão de estabilidade do sistema temporariamente o upgrade tem de ser feito de forma manual.
Quando o update for automático, e para os clientes que não tenham senha no login do utilizador, será solicitada a criação de acessos próprios no front-office ao iniciar sessão.
17 - A ZONE SOFT E O ARMAZENAMENTO DE BASE DE DADOS:
UMA VEZ QUE A ZONESOFT SÓ PODERÁ ARMAZENAR BASES DE DADOS MEDIANTE CONTRATO VÁLIDO, E TERÁ DE ELIMINAR TODAS AS BASES DE DADOS INACTIVAS, EXISTE ALGUMA FORMA DE OBTERMOS O ÚLTIMO BACKUP DESSAS MESMAS BASES DE DADOS?
A Zone Soft como subcontratante é responsável pelo armazenamento e segurança dos dados enquanto a licença se encontra ativa. A partir do momento em que esta se encontra cancelada o Cliente-Licenciado terá um prazo de 30 dias para efetuar o BU da Base de Dados e garantir a sua disponibilidade para efeitos fiscais/legais.
18 - NO ÂMBITO DO RGPD, OS PARCEIROS PODEM ACEDER ÀS BASES DE DADOS DOS PONTOS DE VENDA?
A responsabilidade do BU desta Base de Dados é do Cliente-Licenciado que poderá delegar esta mesma responsabilidade no Parceiro/Agente mediante condições contratuais e de serviço.
19 - A ZONE SOFT VAI CONTINUAR A GARANTIR AS BDS NA CLOUD?
Sim, a Zone Soft vai garantir as BDs na Cloud desde que exista pelo menos 1 conta licenciada ativa.
20 - OS CLIENTES QUE QUEIRAM REATIVAR AS SUAS LICENÇAS E CUJAS BDS JÁ NÃO ESTEJAM NA CLOUD ZONE SOFT, CASO TENHAM A BD LOCAL, TÊM FORMA DE REATIVAR OU ACEDER AQUELES DADOS CASO SEJA NECESSÁRIO?
Sim, no momento da reativação da licença e desde que este BU seja fornecido pelo Cliente-Licenciado.
21 - CASO OS CLIENTES INATIVOS QUEIRAM APENAS CONSULTAR FATURAÇÃO, COMO O PODEM FAZER?
O Cliente-Licenciado que tenha necessidade de aceder a um Saft ou informação de faturação para efeitos de auditoria ou outro, deverá submeter (via sistema de ticket com o apoio do parceiro) um pedido para o efeito e será emitida uma licença temporária mediante aprovação prévia.
Não encontra aqui a resposta à sua questão?
Envie-nos um email para rgpd@zonesoft.org