Política de Privacidade – App Rotas dos 5 Rios

Introdução

A Política de Privacidade foi desenvolvida para apoiar a ADIRN – Associação para o Desenvolvimento Integrado do Ribatejo Norte (doravante ADIRN), na adaptação da sua aplicação para dispositivos móveis “Rotas dos 5 Rios” ao Regulamento Geral de Proteção de Dados, aprovado pelo Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 (“RGPD”).

Esta política é complementada por outras sobre segurança/security, as quais são relevantes para os negócios da empresa, descrevendo, em conjunto, a abordagem da ADIRN quanto à segurança da informação e privacidade.

Esta política aplica-se a todos os Profissionais e Parceiros da ADIRN e, quando identificados, a terceiros que acedam aos ativos da empresa.

Os termos ‘Privacidade’, ‘Privacidade de Dados’ e ‘Proteção de Dados’ podem ser usados no mesmo sentido pois estão associados a um conjunto complexo de requisitos legais que se aplicam aos Dados Pessoais, o qual vai para além da segurança de dados e confidencialidade. Por exemplo, inclui requisitos sobre a transparência do uso de dados e sobre a sua conservação.

O cumprimento desta política é obrigatório e, portanto, todos os Profissionais e Parceiros têm a responsabilidade individual de garantir a sua conformidade com a mesma e, se necessário, devem solicitar esclarecimentos aos líderes das respetivas equipas.

É responsabilidade da ADIRN definir os mecanismos apropriados para alcançar a conformidade com esta política, sendo a responsabilidade pela implementação operacional das equipas, com o apoio do Privacy Officer.

O cumprimento desta política pode ser monitorizado por meio de fiscalizações, auditorias e/ou solicitações de confirmações por escrito de conformidade, sendo todas as áreas responsáveis por avaliar regularmente a sua conformidade com a mesma dentro da sua área de responsabilidade.

Em conformidade qualquer colaborador que tenha violado esta política está sujeito a ação disciplinar.

Esta política baseia-se nos princípios estabelecidos no RGPD. No entanto, existem diferenças nacionais na aplicabilidade da proteção de dados e privacidade da ADIRN, quando se efetua tratamento de dados pessoais fora da UE, quando se recebe dados pessoais de fora da UE ou quando se efetua tratamento de dados pessoais de cidadãos não comunitários.

Em caso de dúvida, contacte o Privacy Officer (adirn@adirn.pt).

Princípios de Proteção de Dados

No âmbito do funcionamento da aplicação móvel das “Rotas dos 5 Rios”, efetuamos tratamentos de Dados Pessoais: seja quando recebemos dados pessoais no decurso do registo na aplicação, atualização da conta, localização com base em GPS para navegação das rotas ou através do mecanismo de observação de aves, ou de uma série de outras atividades relacionadas e de suporte. Os dados são recebidos diretamente do Titular através da aplicação instalada no seu smartphone.

Todos os profissionais e parceiros devem apenas solicitar dados pessoais de um Titular de Dados que sejam relevantes e necessários para cumprir determinada finalidade e tarefa empresarial.

A ADIRN compromete-se a cumprir com os princípios de proteção de dados pessoais definidos pelo RGPD, a saber:

  • Licitude, lealdade e transparência: significa que devemos ter uma razão legítima por força da qual tratamos Dados Pessoais, por exemplo, consentimento do Titular dos Dados, cumprimento de uma obrigação legal a que estamos sujeitos. Também significa que devemos informar, de forma clara, o Titular dos Dados sobre o tratamento;
  • Limitação das Finalidades: devemos apenas solicitar Dados Pessoais para finalidades determinadas, explícitas e legítimas e não os tratar para além da finalidade para a qual foram solicitados;
  • Minimização dos dados: os Dados Pessoais objeto de tratamento devem ser adequados, pertinentes e limitados ao necessário;
  • Exatidão: temos a obrigação de garantir que os Dados Pessoais são exatos e atualizá-los sempre que necessário;
  • Limitação da conservação: não devemos reter Dados Pessoais por um período superior ao necessário para as finalidades para as quais são tratados, embora possamos reter alguns para fins históricos e estatísticos;
  • Integridade e Confidencialidade: devemos ter em vigor controlos de segurança adequados para proteção dos dados contra o tratamento não autorizado e ilegal, perda, destruição ou danificação, incluindo medidas técnicas e organizacionais, tais como processos definidos, formação e consciencialização;
  • Transferência legal fora do Espaço Económico Europeu: apenas transferimos Dados Pessoais para fora do EEE desde que existam salvaguardas adequadas, tal como uma base contratual;
  • Direitos do Titular de Dados: os Titulares dos dados têm vários direitos que devemos respeitar (por exemplo, o direito a aceder a uma cópia dos dados que arquivamos e o direito de retirar o consentimento dado para efeitos de marketing direto).

Licitude e lealdade no tratamento

Sempre que se recolha Dados Pessoais é necessário ter uma base legal para o inerente tratamento. De acordo com o RGPD, devemos identificar pelo menos um dos seguintes motivos para tratamento de Dados Pessoais:

  • Consentimento: O Titular dos Dados deu o consentimento para que os mesmos sejam tratados para uma ou mais finalidades específicas;
  • Contratual: O tratamento é necessário para a execução de um contrato do qual o Titular dos Dados faz parte ou para diligências pré-contratuais;
  • Legal: O tratamento é necessário para cumprir com uma obrigação legal, à qual o Responsável pelo tratamento está sujeito;
  • Interesses vitais: O tratamento é necessário para proteger os interesses vitais do Titular dos Dados;
  • Interesse público: O tratamento é necessário para o desempenho de uma tarefa realizada no interesse público;
  • Interesses legítimos: O tratamento é necessário para os interesses legítimos do Responsável pelo tratamento, exceto quando se prevalecerem interesses ou direitos e liberdades fundamentais do Titular dos Dados.

Quando atuamos na qualidade de Responsável pelo tratamento, devemos garantir que temos uma base legítima para recolher e tratar Dados Pessoais.

Nalgumas situações, podemos atuar como Subcontratante em nome de nosso cliente, caso em que é da responsabilidade do mesmo garantir que tem um motivo correto para o tratamento dos Dados Pessoais, o qual deverá partilhar connosco. No entanto, devemos tomar medidas para garantir que o nosso contrato seja claro sobre as nossas responsabilidades a esse respeito e que, se recolhermos Dados Pessoais diretamente dos Titulares dos Dados em nome do cliente, tenhamos as bases para o fazer legitimamente.

Quando uma Categoria Especial de Dados é tratada há um conjunto adicional de condições que deve ser cumprido. Por favor contacte o Privacy Officer para mais orientações.

O RGPD exige que se forneça aos Titulares dos Dados informações sobre o tratamento a fim de garantir um tratamento equitativo e transparente. Sempre que recolhermos Dados Pessoais devemos garantir que explicamos apropriadamente a razão pela qual precisamos das informações e como vamos tratá-las. Quando as informações são reunidas através do nosso site esta informação é dada através de um ‘Aviso de privacidade’.

Quaisquer outras informações a facultar aquando da recolha de dados pessoais também devem ser fornecidas na internet. Consulte os ‘Termos de Utilização e a ‘Política de Privacidade‘ para obter mais informações.

Tratamento apenas para finalidades específicas

Sempre que recolhemos e tratamos Dados Pessoais devemos garantir que apenas os utilizamos para as finalidades específicas que foram comunicadas ao respetivo titular.

A ADIRN nunca deve tratar Dados Pessoais para fins adicionais que não tenham sido comunicados ao Titular dos Dados. Só assim estaremos esclarecidos quanto ao propósito do tratamento e devemos entender os propósitos para os quais os nossos clientes podem ter recolhido os Dados Pessoais ou entre em contacto com o Privacy Officer.

Tratamento adequado, pertinente e limitado

Quando recolhemos e tratamos Dados Pessoais devemos seguir o princípio da minimização dos dados. Isso significa que devemos recolher apenas os Dados Pessoais mínimos necessários para realizar uma tarefa específica.

Adicionalmente, devemos garantir que temos uma quantidade adequada de dados pessoais para realizar uma tarefa específica de maneira adequada. Por exemplo, recolher os dados necessários apenas para identificar uma pessoa.

Isto também se aplica a qualquer partilha e outras atividades de tratamento. É importante minimizar os dados mantidos e tratados; devemos garantir que se partilharmos dados interna ou externamente ou se os usarmos em atividades como testes, só devemos usar/partilhar a quantidade mínima em cada caso.

Exatidão dos dados pessoais

Temos a obrigação de garantir que os Dados Pessoais sejam mantidos exatos e atualizados. Devemos garantir a existência de processos adequados para manter os dados exatos sempre que necessário (por exemplo, dos profissionais ou de clientes atuais e potenciais mantidos pelas áreas relevantes).

Ao atuar como Responsável pelo tratamento em relação a um cliente não seremos obrigados a implementar mecanismos para manter esses dados atualizados; isso será responsabilidade do Responsável pelo tratamento, ou seja, nosso cliente.

Conservação de Dados Pessoais

Os Dados Pessoais não devem ser conservados por mais tempo do que o necessário. Isto significa que devemos definir e aplicar períodos de conservação máximos dos Dados Pessoais que tratamos e implementar processos para apagá-los no seu termo. Portanto, os seguintes períodos de conservação podem ser aplicados:

(i) pelo tempo que for necessário para a atividade ou serviços relevantes;

(ii) qualquer período de conservação exigido por lei;

(iii) o fim do período em que os litígios ou investigações possam surgir em relação aos serviços; ou

(iv) pelo período mínimo previsto no contrato.

Direitos dos Sujeitos de Dados

O RGPD exige que informemos as pessoas sobre os Dados Pessoais que recolhemos, as finalidades e meios para os quais são objeto de tratamento. Tal informação é dada sob a forma de um ‘Aviso de Privacidade’.

a) Direito de Acesso

  • O Titular dos Dados tem o direito de pedir para ver os Dados Pessoais que temos a seu respeito, a finalidade do tratamento e as categorias de dados em questão.
  • Devemos notificar o Titular dos Dados dos destinatários com quem vamos partilhar os seus dados, especialmente se o destinatário estiver noutro país ou se pertencer a uma organização internacional.
  • Sempre que possível, definiremos o prazo de conservação dos dados para atender aos objetivos comerciais.
  • Devemos comunicar ao Titular dos Dados a existência do direito de se opor ao tratamento e do seu direito de retificação e apagamento.
  • Devemos comunicar ao Titular dos Dados a existência do seu direito de reclamação a uma Autoridade de controlo.
  • Quando os dados são recolhidos de alguém que não seja o próprio Titular dos Dados devemos comunicar ao próprio a fonte desses dados.
  • Devemos garantir que temos processos em vigor para identificar e responder às questões de acesso por parte do Titular dos Dados, sem demora injustificada, e no prazo máximo de um mês.

b) Direito de retificação

  • Os Titulares dos Dados têm o direito à retificação dos dados inexatos, cabendo à ADIRN todos os esforços para o fazer de imediato.

c) Direito ao apagamento

  • O Titular dos Dados tem o direito de obter do Responsável pelo tratamento o apagamento dos seus dados (‘direito de ser esquecido’). Cabe à ADIRN fazer o possível para apagar de imediato os dados mantidos, exceto quando houver uma exigência legal para a sua conservação. Se receber uma solicitação de um Titular de Dados contacte primeiro o Privacy Officer antes de apagar quaisquer dados.

d) Direitos das crianças

  • Todos os indivíduos, incluindo crianças, estão protegidos pelo RGPD. Para crianças menores de 13 anos não devemos tratar os seus Dados Pessoais com base no seu consentimento, salvo autorização pelos respetivos titulares das responsabilidades parentais.

e) Marketing

  • Por vezes podemos enviar aos nossos clientes e parceiros material de marketing para informá-los de serviços, eventos futuros ou outras atividades do seu interesse, caso em que devemos indicar o direito a retirar o consentimento a qualquer altura se desejarem não voltar a ser contatados nesses termos.
  • Devemos, também, assegurar que temos processos que garantam que todas as preferências de participação sejam registadas e respeitadas.

Segurança dos Dados Retidos

A ADIRN manterá a segurança dos dados protegendo a Confidencialidade, Integridade e Disponibilidade dos Dados Pessoais, sendo que:

  • Confidencialidade significa que apenas pessoas autorizadas podem aceder aos dados;
  • Integridade significa que os Dados Pessoais devem ser exatos e adequados para as finalidades inerentes ao tratamento;
  • Disponibilidade significa que os utilizadores autorizados devem poder aceder aos dados se precisarem para as finalidades autorizadas.

Divulgação de Dados

Todos os profissionais e parceiros devem evitar qualquer divulgação inapropriada de Dados Pessoais e cumprir com os nossos deveres gerais em relação à Confidencialidade.

É permitido:

a) Divulgar Dados Pessoais a terceiros apenas sob instrução ou quando tivermos uma base legítima para o fazer, e não haja restrições em vigor.

b) Divulgar Dados Pessoais a terceiros no caso de vendermos ou comprarmos qualquer negócio ou ativos, ou quando formos um Responsável conjunto pelo tratamento, enquanto parte de uma joint venture.

c) Partilhar Dados Pessoais com um terceiro que esteja a tratar dados em nosso nome, o que pode incluir a transferência de dados para um terceiro país.

Geralmente os Dados Pessoais podem ser divulgados:

a) Aos Profissionais ou agentes para que possam desempenhar as suas funções enquanto tal.

b) Nos casos em que a não divulgação poderá prejudicar a prevenção ou deteção de crimes, a dedução de acusação contra infratores, ou a avaliação ou cobrança de qualquer imposto ou taxa. A ADIRN deve ter motivos adequados para divulgar os dados sob esta categoria a fim de evitar processos criminais. Todas as divulgações devem ser justificadas e documentadas.

Para fins legais os dados podem ser divulgados se:

a) Exigido por lei, estatuto ou por ordem do tribunal.

b) Com a finalidade de obter assessoria jurídica;

c) No âmbito ou para efeitos de um processo judicial ou quando necessário para defesa de um direito legal.

d) Para salvaguarda da segurança nacional.

Transferência internacional de Dados Pessoais

A ADIRN pode transferir quaisquer Dados Pessoais para um terceiro país ou organização internacional. Os Dados Pessoais que possuímos também podem ser tratados por funcionários que operam num terceiro país ou para um de nossos fornecedores.

Temos de garantimos que pelo menos uma das seguintes condições se aplique:

a) O país para o qual os Dados Pessoais são transferidos garante um nível adequado de proteção para os direitos e liberdades dos Titulares dos Dados, por decisão da Comissão da UE.

b) Sejam fornecidas salvaguardas apropriadas (por exemplo cláusulas tipo de proteção de dados).

c) O Titular dos Dados ter dado consentimento explícito para a transferência após ter sido informado dos possíveis riscos.

d) A transferência ser necessária por uma das razões estabelecidas no RGPD, incluindo a execução de um contrato entre a ADIRN e o Titular dos Dados, ou proteção dos interesses vitais do Titular dos Dados.

e) A transferência ser legalmente exigida por motivos importantes de interesse público ou para a propositura de ações judiciais ou defesa no âmbito das mesmas.

Informações de log, cookies e web beacons

O website e plataforma Alerta Concursos Públicos utilizam cookies para distinguir os seus utilizadores. A ADIRN recolhe informações padrão de registo na Internet, incluindo o endereço IP do utilizador, o tipo e o idioma do navegador, os horários de acesso e os endereços dos sites de referência.

Para garantir que o nosso website seja bem gerido e para facilitar a navegação a ADIRN ou os seus prestadores de serviço também podem usar cookies (pequenos arquivos de texto armazenados no navegador do usuário) ou web beacons (imagens eletrónicas que permitem ao nosso site contar os visitantes que acedem a um site e a certos cookies) para recolher dados agregados.

Informação de Profissionais

Recolha e Conservação

  • A ADIRN, enquanto empregadora, recolhe, trata e conserva dados pessoais de trabalhadores, contratados, consultores e candidatos. O Departamento de Recursos Humanos e outros departamentos que tratam Dados Pessoais de profissionais devem verificar e documentar qual a base legal inerente ao tratamento que efetuarem. Os Dados Pessoais dos profissionais só devem ser tratados quando houver um objetivo válido e legítimo para o efeito.
  • A recolha de dados pessoais relacionados com os nossos funcionários ocorre por meio de diversos canais e formatos, tais como: formulários de inscrição; formulários web eletrónicos, (por exemplo, durante o processo de recrutamento); registos de dados; imagens de CCTV; Fotografias de equipa, incluindo cartões de identificação; dados de outras fontes (por exemplo empregadores anteriores); verificações de crédito e verificações de segurança; etc.
  • A criação e o armazenamento de dados pessoais relacionados com os nossos profissionais ocorrem por meio de vários canais e formatos, tais como: recibos de pagamento; registos de avaliação; Contratos de trabalho; e-mails; registos de doença; etc.

Formação e Consciencialização

  • Temos o compromisso de fornecer formação adequada sobre proteção de dados pessoais a todos os profissionais. Se necessário forneceremos formação personalizada e consciencialização para as pessoas tendo em conta as suas funções.

Desenho do processo e alteração

  • Para todos os novos sistemas e procedimentos de negócio propostos que envolvam Dados Pessoais deve-se considerar se é necessária uma avaliação do impacto sobre a privacidade e a segurança das informações para identificar riscos e controlos

Privacy Policy

Introduction

The Privacy Policy has been developed to support ADIRN – Association for the Integrated Development of Ribatejo Norte (hereinafter ADIRN), in adapting its application for mobile devices “Rotas dos 5 Rios” to the General Data Protection Regulation, approved by Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 (“GDPR”).

This policy is supplemented by others on security/security which are relevant to the Company’s business, together describing ADIRN’s approach to information security and privacy.

This policy applies to all ADIRN Professionals and Partners and, where identified, to third parties accessing company assets.

The terms ‘Privacy’, ‘Data Privacy’ and ‘Data Protection’ can be used in the same sense as they are associated with a complex set of legal requirements that apply to Personal Data, which goes beyond data security and confidentiality. For example, it includes requirements on the transparency of data use and on data retention.

Compliance with this policy is mandatory and, therefore, all Professionals and Partners have the individual responsibility to ensure their compliance with it and, if necessary, should request clarification from their team leaders.

It is the responsibility of the ADIRN to define the appropriate mechanisms to achieve compliance with this policy, with responsibility for operational implementation of the teams, supported by the Privacy Officer.

Compliance with this policy may be monitored through inspections, audits and/or requests for written confirmations of compliance, and all areas are responsible for regularly assessing their compliance with this policy within their area of responsibility.

Accordingly any employee who has breached this policy is subject to disciplinary action.

This policy is based on the principles set out in the GDPR. However, there are national differences in the applicability of ADIRN’s data protection and privacy when processing personal data outside the EU, when receiving personal data from outside the EU or when processing personal data of non-EU citizens.

If in doubt, please contact the Privacy Officer (adirn@adirn.pt).

Data Protection Principles

In the context of the operation of the mobile application of “Rotas dos 5 Rios”, we carry out processing of Personal Data: whether when we receive personal data in the course of registration in the application, account update, location based on GPS for navigation of the routes or through the birdwatching mechanism, or a series of other related and supporting activities. The data is received directly from the Holder through the app installed on their smartphone.

All professionals and partners should only request personal data from a Data Subject that is relevant and necessary to fulfil a certain business purpose and task.

ADIRN is committed to comply with the principles of personal data protection defined by the RGPD, namely:

Lawfulness, fairness and transparency: it means that we must have a legitimate reason by virtue of which we process Personal Data, e.g. consent of the Data Subject, compliance with a legal obligation to which we are subject. It also means that we must clearly inform the Data Subject about the processing;
Purpose Limitation: we must only request Personal Data for specified, explicit and legitimate purposes and not process it beyond the purpose for which it was requested;
Data Minimisation: the Personal Data undergoing processing must be adequate, relevant and limited to what is necessary;
Accuracy: we are obliged to ensure that Personal Data is accurate and to update it whenever necessary;
Retention Limitation: we shall not retain Personal Data for longer than necessary for the purposes for which they are processed, although we may retain some for historical and statistical purposes;
Integrity and Confidentiality: we must have in place adequate security controls to protect data against unauthorised and unlawful processing, loss, destruction or damage, including technical and organisational measures such as defined processes, training and awareness raising;
Lawful transfer outside the European Economic Area: we only transfer Personal Data outside the EEA provided that adequate safeguards, such as a contractual basis, are in place;
Data Subject Rights: data subjects have various rights which we must respect (for example, the right to access a copy of the data we store and the right to withdraw consent given for direct marketing purposes).
Lawfulness and fairness in processing

Whenever Personal Data is collected, it is necessary to have a lawful basis for the inherent processing. In accordance with the GDPR, we must identify at least one of the following grounds for processing Personal Data:

Consent: The Data Subject has given consent for the Data to be processed for one or more specific purposes;
Contractual: The processing is necessary for the performance of a contract to which the Data Subject is a party or for pre-contractual diligence;
Legal: Processing is necessary to comply with a legal obligation, to which the Data Controller is subject;
Vital interest: Processing is necessary to protect the Data Subject’s vital interests;
Public interest: Processing is necessary for the performance of a task carried out in the public interest;
Legitimate interests: Processing is necessary for the legitimate interests of the Controller, except where the interests or fundamental rights and freedoms of the Data Subject prevail.
When acting as a Controller, we must ensure that we have a legitimate basis for collecting and processing Personal Data.

In some situations, we may act as a Sub-Contractor on behalf of our customer, in which case it is their responsibility to ensure that they have a proper reason for processing Personal Data, which they must share with us. However, we must take steps to ensure that our contract is clear about our responsibilities in this regard and that if we collect Personal Data directly from Data Subjects on your behalf, we have the basis to do so legitimately.

Where a Special Category of Data is processed there is an additional set of conditions that must be met. Please contact the Privacy Officer for further guidance.

The GDPR requires that Data Subjects are provided with information about the processing to ensure fair and transparent processing. Whenever we collect Personal Data we must ensure that we properly explain why we need the information and how we will treat it. Where information is gathered through our website this information is given through a ‘Privacy Notice’.

Any other information to be provided when collecting personal data should also be provided on the internet. Please refer to the ‘Terms of Use and ‘Privacy Policy’ for further information.

Processing only for specified purposes

Whenever we collect and process Personal Data we shall ensure that we only use it for the specific purposes communicated to the data subject.

ADIRN shall never process Personal Data for additional purposes that have not been communicated to the Data Subject. Only then will we be clear as to the purpose of the processing and should we understand the purposes for which our customers may have collected the Personal Data or contact the Privacy Officer.

Appropriate, relevant and limited processing

When we collect and process Personal Data we must follow the principle of data minimisation. This means that we shall collect only the minimum Personal Data necessary to perform a specific task.

Additionally, we must ensure that we have an adequate amount of Personal Data to perform a specific task adequately. For example, collect the data that is only necessary to identify a person.

This also applies to any sharing and other processing activities. It is important to minimise the data held and processed; we should ensure that if we share data internally or externally or use it in activities such as testing, we should only use/share the minimum amount in each case.

Accuracy of Personal Data

We have an obligation to ensure that Personal Data is kept accurate and up to date. We must ensure that appropriate processes are in place to keep data accurate where necessary (for example, of current and potential professionals or clients held by the relevant areas).

When acting as a Handler in relation to a client we will not be required to implement mechanisms to keep this data up to date; this will be the responsibility of the Handler, i.e. our client.

Conservation of Personal Data

Personal Data must not be kept for longer than necessary. This means that we must define and apply maximum retention periods for the Personal Data we process and implement processes to delete them upon their expiry. Therefore, the following retention periods may apply:

(i) for as long as is necessary for the relevant activity or services;

(ii) any retention period required by law;

(iii) the end of the period during which disputes or investigations may arise in relation to the services; or

(iv) for the minimum period provided for in the contract.

Data Subjects’ Rights

The GDPR requires us to inform individuals about the Personal Data we collect, the purposes and means for which it is processed. Such information is given in the form of a ‘Privacy Notice’.

a) Right of Access

The Data Subject has the right to request to see the Personal Data we hold about them, the purpose of the processing and the categories of data concerned.
We must notify the Data Subject of the recipients with whom we will share their data, especially if the recipient is in another country or belongs to an international organisation.
Where possible, we will set the data retention period to meet business purposes.
We must communicate to the Data Subject the existence of the right to object to processing and of their right to rectification and erasure.
We shall notify the Data Subject of the existence of their right to complain to a supervisory Authority.
Where data is collected from someone other than the Data Holder themselves we shall communicate to the Data Holder the source of that data.
We shall ensure that we have processes in place to identify and respond to access queries by the Data Subject without undue delay and within one month at the latest.
b) Right of Rectification

Data Subjects have the right to rectification of inaccurate data, and ADIRN shall make every effort to do so promptly.
c) Right to erasure

The Data Subject has the right to obtain from the Controller the erasure of their data (‘right to be forgotten’). It is the responsibility of ADIRN to do its utmost to immediately erase the data held, except where there is a legal requirement to retain it. If you receive a request from a Data Subject please contact the Privacy Officer first before erasing any data.
d) Rights of Children

All individuals, including children, are protected by the GDPR. For children under the age of 13 we shall not process their Personal Data on the basis of their consent, unless authorised by their parental responsibilities.
e) Marketing

We may sometimes send our customers and partners marketing material to inform them of services, upcoming events or other activities of interest to them, in which case we must indicate their right to withdraw consent at any time if they wish not to be contacted again on those terms.
We must also ensure that we have processes in place to ensure that all participation preferences are recorded and respected.
Security of Retained Data

ADIRN shall maintain data security by protecting the Confidentiality, Integrity and Availability of Personal Data, where:

Confidentiality means that only authorised persons can access the data;
Integrity means that Personal Data must be accurate and suitable for the purposes inherent to the processing;
Availability means that authorised users must be able to access the data if they need it for the authorised purposes.
Disclosure of Data

All professionals and partners must avoid any inappropriate disclosure of Personal Data and comply with our general duties in relation to Confidentiality.

It is permitted to:

(a) Disclose Personal Data to third parties only on instruction or where we have a legitimate basis to do so, and there are no restrictions in place.

b) Disclose Personal Data to third parties where we sell or buy any business or assets, or where we are a joint controller as part of a joint venture.

c) Share Personal Data with a third party that is processing data on our behalf, which may include transferring data to a third country.

Generally Personal Data may be disclosed:

(a) to Professionals or agents to enable them to perform their functions as such.

b) Where non-disclosure would prejudice the prevention or detection of crime, the bringing of charges against offenders, or the assessment or collection of any tax or duty. The ADIRN must have adequate reasons for disclosing data under this category in order to avoid criminal proceedings. All disclosures must be justified and documented.

For legal purposes data may be disclosed if:

a) Required by law, statute or by order of the court.

b) For the purpose of obtaining legal advice;

(c) within the scope of, or for the purpose of, a judicial proceeding or when necessary in defence of a legal right.

(d) for the safeguarding of national security.

International Transfer of Personal Data

ADIRN may transfer any Personal Data to a third country or international organisation. Personal Data held by us may also be processed by employees operating in a third country or to one of our suppliers.

We must ensure that at least one of the following conditions applies:

(a) the country to which the Personal Data is transferred ensures an adequate level of protection for the rights and freedoms of Data Subjects, as decided by the EU Commission.

b) Appropriate safeguards are provided (e.g. type of data protection clauses).

(c) The Data Subject has given explicit consent to the transfer after having been informed of the possible risks.

d) The transfer is necessary for one of the reasons set out in the GDPR, including the performance of a contract between ADIRN and the Data Subject, or protection of the Data Subject’s vital interests.

e) The transfer is legally required for important reasons of public interest or for the bringing of legal proceedings or defence in connection therewith.

Log information, cookies and web beacons

The Alert Public Tenders website and platform uses cookies to distinguish its users. ADIRN collects standard internet log information, including the user’s IP address, browser type and language, access times and referring website addresses.

To ensure that our website is well managed and to facilitate navigation ADIRN or its service providers may also use cookies (small text files stored in the user’s browser) or web beacons (electronic images that allow our website to count visitors accessing a site and certain cookies) to collect aggregate data.

Professional Information

Collection and Retention

ADIRN, as an employer, collects, processes and retains personal data of employees, contractors, consultants and candidates. The Human Resources Department and other departments that process the Personal Data of professionals must verify and document the legal basis for their processing. Personal Data of professionals should only be processed where there is a valid and legitimate purpose for doing so.
The collection of personal data relating to our employees occurs through various channels and formats, such as: application forms; electronic web forms, (e.g. during the recruitment process); data logs; CCTV images; staff photographs, including ID cards; data from other sources (e.g. previous employers); credit checks and security checks; etc.
The creation and storage of personal data relating to our professionals occurs through various channels and formats, such as: pay slips; appraisal records; Contracts of employment; emails; sickness records; etc.
Training and Awareness

We are committed to providing adequate training on personal data protection to all professionals. If necessary we will provide bespoke training and awareness for individuals taking into account their roles.
Process design and change

For all proposed new business systems and procedures involving Personal Data consideration should be given to whether an impact assessment on privacy and information security is required to identify risks and controls.

Projeto ‘Rotas dos 5 Rios’ & Termos de Utilização