POLÍTICA DE PRIVACIDADE PARA COLABORADORES

POLÍTICA DE PRIVACIDADE PARA COLABORADORES DA DADOTECA

1. OBJETIVOS

Este documento contém informações e formalizações de procedimento sobre as formas de coleta, guarda, utilização, compartilhamento, tratamento e divulgação de dados pessoais armazenados em sistemas da DADOTECA, bem como informa as medidas utilizadas para assegurar a proteção dos dados coletados na DADOTECA junto aos seus colaboradores. Entende-se por colaboradores as seguintes condições, não excluindo outras possibilidades que também possam ter acesso aos sistemas da DADOTECA: empregados, terceiros, administradores, sócios, funcionários, prestadores de serviço, dentre outras formas de colaboração com a DADOTECA.

2. REGRAS E RESPONSABILIDADES DA POLÍTICA

• APLICABILIDADE DA POLÍTICA

2.1.1 Todos os colaboradores que utilizam, mantêm ou lidam com ativos de informação da DADOTECA devem seguir esta política. Exceções da política ou uso diferente do quanto disposto neste documento serão permitidos somente quando aprovadas antecipadamente pela administração da DADOTECA.

2.1.2 Os colaboradores autorizados a visualizar informações em um determinado nível de classificação serão autorizados a acessar informações somente naquele nível ou em nível inferior com base na necessidade de acesso. Todo acesso aos sistemas deve ser configurado para negar acesso a tudo além daquilo que um usuário específico necessite ter acesso no desempenho de sua função profissional.

2.1.3 A Segurança da Informação aprovará a autorização de acesso com base na classificação da atividade e função do colaborador, bem como manterá um controle de acesso com base na função, definindo as diferentes áreas e projetos, bem como seus níveis mínimos de acesso.

2.1.4 Os colaboradores devem informar a Administração  sobre questões de segurança da informação e vulnerabilidades aplicáveis aos sistemas da DADOTECA.

2.1.5 Toda detecção e resposta a incidentes, especialmente relacionado a sistemas da DADOTECA, deve seguir esta política. Os colaboradores devem estar cientes de suas responsabilidades na detecção de incidentes de segurança para facilitar o plano e os procedimentos de resposta a incidentes. Todos os colaboradores têm a responsabilidade de auxiliar nos procedimentos de resposta a incidentes dentro de sua área específica de responsabilidade. Alguns exemplos de incidentes de segurança que o colaborador pode reconhecer em suas atividades diárias incluem, sem limitação:

(i) Violação, dano ou acesso não autorizado (ex. logins não autorizado, desaparecimento de papéis de sua mesa, cadeados quebrados, falta de arquivos de log, alerta de um guarda de segurança, evidência em vídeo de uma invasão ou de entrada física não programada ou autorizada).

(ii) Fraude – informações imprecisas dentro de bases de dados, logs, arquivos ou registros impressos.

(iii) Comportamento anormal do sistema (ex. reinicialização não programada do sistema, mensagens inesperadas, erros anormais em arquivos de log do sistema ou em terminais).

(iv) Notificações sobre eventos de segurança (ex. alertas de integridade de arquivos, alarmes de detecção de intrusos, e alarmes de segurança física).

2.1.6. Todos os colaboradores, independentemente de suas responsabilidades profissionais, devem estar cientes dos identificadores de potenciais incidentes e de quem notificar nestas situações.

2.1.7 Como consequência das relações comerciais mantidas com a DADOTECA, o Colaborador poderá receber certos dados relacionados a pessoas naturais identificadas ou identificáveis (“Dados Pessoais”). Em virtude disso, o Colaborador declara e garante que os Dados Pessoais por ele recebidos serão tratados nos termos da Lei 13.709/2018 (Lei de Proteção de Dados Pessoais) e demais leis e normas que regulem o tema.

2.1.8 O Colaborador se compromete, por si, por seus prepostos e colaboradores, a realizar o tratamento de Dados Pessoais recebidos por força do relacionamento comercial com a DADOTECA apenas com a finalidade de cumprimento de suas obrigações legais e contratuais, abstendo-se de utilizar tais dados, no presente ou no futuro, para qualquer outra finalidade ou em desacordo com a legislação.

2.1.9 O Colaborador se compromete ainda a informar imediatamente a DADOTECA caso receba qualquer pedido de correção, inclusão ou exclusão dos dados pessoais a que tiver acesso por força do relacionamento comercial com a DADOTECA, de modo que possam ser adotadas as medidas cabíveis.

2.1.10 Além disso, o Colaborador declara que implementa políticas organizacionais visando garantir a proteção dos dados pessoais, que são solicitadas pela DADOTECA constantemente, incluindo medidas técnicas de segurança para prevenir a violação de Dados Pessoais, responsabilizando-se pela comunicação tempestiva e eficaz dos incidentes de segurança que envolvam Dados Pessoais.

2.1.11. No mais, o Colaborador se compromete a devolver e/ou destruir os Dados Pessoais recebidos em consequência do relacionamento comercial mantido com a DADOTECA, conforme vier a ser determinado pela DADOTECA, sempre que a devolução ou destruição lhe for demandada para fins de garantir os princípios e condições estabelecidas pela legislação em vigor, sob pena de integral responsabilidade civil e criminal.

3. ADMINISTRAÇÃO

3.1. Devido ao seu relacionamento direto e constante com os colaboradores, assim como sua posição de interação com os demais prestadores de serviço, a Administração da DADOTECA tem um papel importante no que se refere à segurança das informações. Os seguintes itens são responsabilidade da Administração:

(i) Auxiliar a Segurança da Informação com a disseminação das políticas de Segurança da Informação e orientação sobre o uso aceitável a todos os usuários de sistema relevantes incluindo colaboradores, prestadores de serviço e parceiros de negócio.

(ii) Realizar verificações de antecedentes de potenciais colaboradores que terão acesso aos dados pessoais. Quando possível e, dentro das condições previstas pela legislação, as verificações devem incluir: histórico de empregos anteriores, verificação de antecedentes criminais, verificações de crédito e análise de referências pessoais.

(iii) Certificar-se que novos colaboradores e terceiros participem do treinamento de conscientização sobre segurança de informação após a contratação e pelo menos uma vez por ano.

(iv) Trabalhar com a Segurança da Informação para administrar sanções e ações disciplinares referentes a violações da Política de segurança da informação.

(v) Notificar a equipe de Infraestrutura e Tecnologia quando qualquer colaborador for desligado.

4. AUTENTICAÇÃO DE USUÁRIO

4.1. USUÁRIOS

 

4.1.1. Cada usuário deve utilizar um ID de usuário único e uma senha secreta pessoal para acessar os sistemas e redes de informação da DADOTECA.

4.2.1. É proibida a utilização de IDs de usuários não autenticados (ex. Sem senha) ou a utilização de IDs que não estejam associados a um usuário único. Os privilégios de acesso de cada usuário devem ser autorizados de acordo com a necessidade de tratamento, restritos ao mínimo de privilégios necessários para a execução de suas tarefas e concedidos com base na classificação. Todos os sistemas de acesso devem estar configurados de forma a negar qualquer acesso não autenticado (deny-all).

 

4.2. SISTEMAS

 

4.2.1. Todo sistema informatizado deverá ter um processo de controle de acesso automático ou procedural para autenticar todos os usuários do sistema informático.

4.2.2. Usuários inativos poderão desativados ou removidos a cada período de expiração de senha.

4.2.3. O usuário e a senha dos usuários com acesso ao ambiente não devem ser
compartilhados.

4.2.4. O compartilhamento de senha implica em desativação do usuário em questão.

4.2.5. O usuário deverá desligar estação de trabalho e console dos servidores quando não estiverem sendo utilizados. Ademais, os equipamentos deverão ser posicionados de forma que o ângulo de visão seja restrito.

4.2.6. É proibido o uso de software não autorizado, bem como utilizar software com licença para “uso não comercial”.

5. RESPONSABILIDADE GERAL

 

5.2. GERENCIAMENTO DE CONTAS

5.1.1. A DADOTECA pode disponibilizar nos seus sistemas acesso a informações, incluindo dados pessoais e dados pessoais sensíveis. O acesso a esses conteúdos, multimídia ou não, será realizado de forma que o colaborador acompanhe as informações que estejam armazenadas na Instituição.

5.1.2. O cadastro para o uso dos sistemas será realizado no primeiro acesso do usuário e, será permitido um único cadastramento por usuário, devendo o acesso, a visualização e o uso dos sistemas serem feitos pelo usuário em caráter pessoal e intransferível.

5.1.3. No caso de usuários menores de 18 anos ou de outras pessoas que necessitem de representação na forma da lei, o cadastramento deverá ser realizado com a assistência dos pais ou dos representantes legais.

5.1.4. Toda e qualquer ação executada ou conteúdo publicado pelo usuário durante o uso dos sistemas será de sua exclusiva e integral responsabilidade, devendo isentar e indenizar a DADOTECA de quaisquer reclamações, prejuízos, perdas e danos causados a DADOTECA em decorrência de tais ações ou manifestações.

5.1.5. A DADOTECA se reserva o direito de incluir, excluir ou alterar os conteúdos e funcionalidades do seu portal corporativo e dos seus sistemas, bem como suspendê-los temporariamente ou cancelá-los, a qualquer momento, independentemente de aviso prévio ao usuário. Da mesma forma, poderá modificar o presente “Termos de Uso e Política de Privacidade”, cuja versão mais recente estará sempre disponível para consulta através do próprio sistema.

5.1.6 A DADOTECA não se responsabiliza por qualquer dano, prejuízo ou perda no equipamento do usuário causado por falhas nos sistemas. A DADOTECA também não será responsável por qualquer sistema malicioso (vírus) que possa atacar o equipamento do usuário em decorrência do acesso, utilização ou navegação dos sistemas e na Internet; ou como consequência da transferência de dados, arquivos, imagens, textos ou áudio. O usuário não poderá atribuir a DADOTECA qualquer responsabilidade, nem exigir o pagamento por lucro cessante em virtude de prejuízos resultantes de dificuldades técnicas, falhas nos sistemas ou na Internet e perda de dados ou mídias. O usuário não poderá introduzir ou instalar qualquer tipo de programa de computador ou equipamento no ambiente de tecnologia da DADOTECA sem prévia autorização.

5.1.7. Os conteúdos multimídia compartilhados nas redes sociais não terão o controle de privacidade da DADOTECA. Ou seja, esses conteúdos multimídia não estarão sob vigência do presente “Termo de Uso e Política de Privacidade”, passando a estar sob a vigência dos Termos de Uso e Política de Privacidade das respectivas redes sociais.

5.1.8. A DADOTECA SE EXIME DE TODA E QUALQUER RESPONSABILIDADE PELOS DANOS E PREJUÍZOS DE QUALQUER NATUREZA QUE POSSAM DECORRER DO ACESSO, INTERCEPTAÇÃO, ELIMINAÇÃO, TRATAMENTO, ALTERAÇÃO, MODIFICAÇÃO OU MANIPULAÇÃO, PELO COLABORADOR OU POR TERCEIROS NÃO AUTORIZADOS, DOS DADOS PESSOAIS OU DADOS PESSOAIS SENSÍVEIS DURANTE A UTILIZAÇÃO DO PORTAL E DOS SISTEMAS DA DADOTECA.

5.1.9. As informações solicitadas ao usuário no momento do cadastro serão utilizadas pela DADOTECA somente para os fins previstos no presente “Termos de Uso e Política de Privacidade” e em nenhuma circunstância, tais informações serão cedidas ou compartilhadas com terceiros, exceto por ordem judicial, autoridade competente ou requisito regulatório. Todas as informações, dados pessoais e dados pessoais sensíveis, independentemente do local de armazenamento, serão retidas enquanto perdurarem as exigências legais, reguladoras e comerciais.

5.110. Todo dado pessoal, sensível ou não, que não for mais necessária por exigência legal, reguladora ou comercial poderá ser removida dos sistemas através de um método aprovado pelo departamento de segurança da DADOTECA. Esta especificação inclui todos os dados armazenados nos sistemas, arquivos temporários ou contidos em mídia de armazenamento.

5.1.11. A DADOTECA poderá monitorar e arquivar todas as transações do colaborador, sem qualquer tipo de restrição. Para mais informações, contate a administração.

5.1.12 As informações serão mantidas pelo tempo necessário para fornecer o serviço solicitado pelo Usuário, ou declarado pelos propósitos descritos neste documento, e o Usuário sempre pode solicitar que o fornecedor do sistema suspenda ou remova os dados, resguardado o arquivamento de ofício e obrigatório em razão de requisitos regulatórios.

5.1.13 Mais detalhes sobre a coleta ou processamento de Dados Pessoais podem ser solicitados à administração a qualquer momento.

5.1.14 A DADOTECA se reserva o direito de fazer alterações a esta política de privacidade a qualquer momento, dando aviso aos seus Usuários previamente.  Se um Usuário se opuser a qualquer das alterações à Política, o Usuário deverá cessar de usar os sistemas e poderá solicitar que a DADOTECA apague os seus Dados Pessoais, resguardados os requisitos regulatórios. Salvo indicação em contrário, a política de privacidade vigente aplica-se a todos os dados pessoais e dados pessoais sensíveis que tem sobre os usuários.

5.1.15 A DADOTECA poderá colher, tratar e compartilhar dados sensíveis de seus colaboradores, apenas e tão somente quando assim for exigido para o cumprimento de contrato, segurança, prestação de serviço ou demanda regulatória. Neste sentido, o titular será devidamente alertado e saberá quais dados sensíveis estão sendo coletados, tratados e compartilhados, para fins da legais.

5.1.16. É proibida a entrada (sem exceção por cargo/função) no ambiente das áreas críticas com pertences que possam ser utilizados para saída de informação (ex: papéis, bolsas, celulares etc). Obs: As exceções deverão constar em procedimento acordado com a área de segurança da DADOTECA.

5.1.17. Os documentos que contenham informação sensível ou classificada devem ser removidos de impressoras, imediatamente.

5.1.18. Ter local apropriado (especialmente quando o local estiver desocupado) para guarda de informações do negócio sensíveis ou críticas, em papel ou em mídia de armazenamento eletrônicas, quando não em uso.

5.1.19 É proibido o uso (sem exceção por cargo/função) de impressoras em salas exclusivas de atendimento dos clientes da DADOTECA.

5.1.20 A DADOTECA não compartilha informações pessoais de seus usuários com terceiros que não tenham vínculo com a DADOTECA.

5.1.21 Ao concordar, o usuário submeter-se-á automaticamente aos termos e condições estabelecidos pelo presente “Termos de Uso e Política de Privacidade” do portal corporativo e dos sistemas da DADOTECA.

6. SANÇÕES

 

6.1 As sanções a quem infringir esta Política de Privacidade poderão variar de acordo com a gravidade e o impacto, conforme as seguintes penalidades, além das imputações cíveis e criminais pertinentes ao caso, além da reparação do dano quando for possível ou oportuno:

• Advertência;
• Multa;
• Suspensão;
• Rescisão Contratual.