POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PARA FORNECEDORES
POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PARA FORNECEDORES
A STIHL FERRAMENTAS MOTORIZADAS LTDA.
(“STIHL”) está comprometida com o respeito à privacidade e à proteção de dados pessoais de todas as suas partes interessadas, inclusive seus Fornecedores. A STIHL procura Fornecedores que compartilhem esse compromisso ao tratar dados pessoais em nome da STIHL ou no âmbito de seus contratos. A presente Política de Privacidade e Proteção de Dados para Fornecedores (“Política”) informa sobre as práticas de proteção de Dados Pessoais da STIHL e sobre as obrigações dos Fornecedores com relação ao Tratamento de Dados Pessoais, no âmbito da relação comercial. Qualquer contrato futuro mutuamente aceito e celebrado entre o Fornecedor e a STIHL poderá complementar ou alterar esta Política. Em caso de contradição ou conflito entre esta Política e o contrato, as disposições do referido contrato prevalecerão.
Para fins desta Política, todos os termos iniciados em letra maiúscula e não definidos de forma específica neste instrumento terão o significado atribuído a eles pela LGPD (Lei nº 13.709/2018).
COMO TRATAMOS DADOS PESSOAIS DE REPRESENTANTES DE FORNECEDORES
O Fornecedor reconhece que, no curso de seu relacionamento comercial, a STIHL poderá, periodicamente, tratar Dados Pessoais relacionados a funcionários ou indivíduos que atuem em nome do Fornecedor na prestação de serviços (“Representantes”). É responsabilidade do Fornecedor, atuando na qualidade de Controlador dos Dados dos Representantes, garantir que (a) os Dados recebidos pela STIHL sejam coletados e compartilhados em acordo com a legislação aplicável, e
(b) os Representantes sejam informados sobre as atividades de tratamento de Dados Pessoais realizadas pela STIHL, conforme descritas nesta Política.
Quais Dados Pessoais tratamos e qual a finalidade do tratamento?
A STIHL coleta e armazena os Dados Pessoais minimamente necessários para o gerenciamento do relacionamento comercial com o Fornecedor, especialmente Dados Pessoais identificadores, tais como nome, CPF, RG, data de nascimento, naturalidade, estado civil, telefone, endereço de e-mail e físico, cargo, tamanho de camiseta, CTPS e/ou FRE e ASO. Dentre as principais finalidades para o tratamento dos Dados Pessoais estão:
✓ Efetuar o cadastro de Fornecedores;
✓ Obtenção de orçamentos e cotações de preços para a contratação de serviços ou realização de compras.
✓ Adquirir passagens aéreas ou terrestres e hospedagens;
✓ Realizar o cadastro para obtenção de descontos na compra de produtos da STIHL;
✓ Realizar o cadastro de participantes em eventos organizados pela STIHL, confecção de tamanhos de camisetas, crachás e liberação da entrada;
✓ Execução de contratos, elaboração de procurações emissão de pedidos de compras;
✓ Gestão de Fornecedores e Representantes, incluindo cadastro em sistemas e plataformas utilizadas (Fornecedor Online, Pool4Tool, Colaboration, etc. ou outras que vierem a substituí-los);
✓ Receber produtos ou serviços, permitindo e controlando o acesso aos sistemas e dependências da STIHL;
✓ Gestão de faturamento e contabilidade;
✓ Avaliação Financeira e auditorias dos Fornecedores;
✓ Facilitação de relacionamento comercial com o Fornecedor;
✓ Confirmar o vínculo entre o Representante e o
Fornecedor
✓ Cumprimento de exigências legais e regulatórias;
✓ Fiscalização de documentos legais relativos aos empregados de fornecedores que prestam serviços dentro da STIHL (fiscalização de terceiros).
Como coletamos ou recebemos os Dados Pessoais? Como parte do processo de orçamentação, formalização e do cumprimento dos contratos com os Fornecedores, a STIHL coletará ou receberá Dados Pessoais dos Representantes dos Fornecedores por meio dos contratos, formulários, dispositivos, interações com equipes de compras, e-mails, acessos aos nossos sistemas e websites, entre outros. Também podemos receber Dados Pessoais diretamente do Representante (por exemplo, ao realizar cadastros, entrar em contato conosco, ou acessar nossos sistemas e plataformas disponibilizadas pela STIHL).
Quais as bases legais para o tratamento dos Dados Pessoais?
As hipóteses para o tratamento de Dados Pessoais encontram-se elencados no artigo 7º da LGPD. Com relação ao tratamento de Dados Pessoais indicado nesta
Política, as bases legais utilizadas pela STIHL são: (i) execução de contratos; (ii) prevenção à fraude; (iii) cumprimento de obrigações legais; (iv) exercício regular de direitose (v) legítimo interesse.
Quem poderá acessar os Dados Pessoais?
Os Dados Pessoais somente serão acessíveis, no limite e conforme a necessidade, por uma lista limitada de destinatários dentro da STIHL ou empresas do grupo STIHL. Os Xxxxx Xxxxxxxx também poderão ser compartilhados com prestadores de serviços que atuam em nome da STIHL (por exemplo, prestadores de serviços de TI, agência de viagens e prestadora de serviços de portaria e segurança) e com órgãos governamentais (por exemplo, autoridades fiscais). Sempre que houver compartilhamento de Dados Pessoais com terceiros, a STIHL tomará medidas adequadas para que o tratamento ocorra com o mesmo nível de proteção previsto por esta Política.
Como armazenamos os Dados Pessoais?
Os Dados Pessoais são armazenados em servidores localizados na STIHL. Ao armazenar Dados Pessoais, implementamos medidas de segurança técnicas, administrativas e contratuais para protegê-los de acessos, divulgação, uso, modificação, perda ou destruição não autorizadas.
Quando Dados Xxxxxxxx são transferidos para fora do Brasil, a STIHL se utiliza de medidas de segurança adequadas para que a transferência seja realizada de acordo com esta Política e conforme permitido pelas leis aplicáveis em matéria de proteção de dados, como por exemplo a análise dos padrões de privacidade e segurança de terceiros, a celebração de contratos apropriadose/ou políticas internas do grupo STIHL.
Por quanto tempo mantemos os Dados Pessoais? Mantemos Dados Pessoais pelo tempo que for necessár io para cumprimento da finalidade para a qual os Dados Pessoais foram coletados ou até quando os Dados Pessoais se tornarem desnecessários ou não pertinentes às finalidades almejadas, ressalvadas as disposições em Lei, considerando especialmente os seguintes critérios:
▪ Duração do relacionamento contratual;
▪ Gestão de relacionamento comercial;
▪ Exigências legais e regulatórias.
Quais são os direitos dos Titulares de Dados Pessoais? Os Titulares de Dados possuem os seguintes direitos no que diz respeito ao tratamento de seus Dados Pessoais pela STIHL:
▪ O direito de confirmar que a STIHL trata seus Dados Xxxxxxxx e receber informações sobre o Tratamento (inclusive informações de uso compartilhado dos Dados Pessoais);
▪ O direito de acessar, corrigir e atualizar os Dados Pessoais e, em alguns casos, de se opor ao Tratamento pela STIHL em caso de descumprimento das disposições da LGPD;
▪ O direito de solicitar que seus Dados Xxxxxxxx sejam excluídos, anonimizados ou bloqueados, quando desnecessários ou excessivos, ou em caso de descumprimento das disposições da LGPD;
▪ O direito de revogar o consentimento dado para o Tratamento dos Dados Pessoais (quando o consentimento for a base legal utilizada para o Tratamento);
▪ O direito de apresentar reclamação à ANPD se considerar que seus direitos de proteção de dados foram violados.
Como Entrar em Contato Conosco?
Para esclarecimento de dúvidas com relação a esta Política ou para o exercício de direitos dos Titulares de Dados, conforme estabelecido acima, é possível entrar em contato por meio do nosso Portal da Privacidade localizado em xxxxx://xxx.xxxxx.xxx.xx/xxxxxxxx-xx- dados-pessoais.aspx ou com nosso Encarregado de Proteção de Dados, pelo endereço de e-mail xxxxxxxxxxx@xxxxx.xxx.xx.
OBRIGAÇÕES DOS FORNECEDORES NO TRATAMENTO DE DADOS PESSOAIS EM NOME DA STIHLOU NO ÂMBITO DA RELAÇÃO COMERCIAL
A STIHL espera que seus Fornecedores e demais Parceiros Comerciais, ao tratar Dados Pessoais em nome da STIHL ou no âmbito da relação comercial, cumpram com as normas e políticas de proteção de Dados Pessoais praticadas pela STIHL, bem como com as normas de privacidade e proteção de dados aplicáveis, inclusive a LGPD e quaisquer outras leis e regulamentos relacionados ao tratamento de dados pessoais e privacidade aplicáveis, bem como com todas as diretrizes e códigos de conduta expedidos pela Autoridade Nacional de Proteção de Dados (“ANPD”) ou outra autoridade competente. Isso inclui, mas não se limita a:
1. Que os Dados Pessoais sejam Tratados em acordo com a legislação aplicável, incluindo o Tratamento em consonância com os princípios da finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, não descriminalização, responsabilização e prestação de contas;
2. Somente Tratar Dados Pessoais mediante instruções documentadas da STIHL, e informar imediatamente caso considere que qualquer instrução da STIHL viola a LGPD ou qualquer lei ou regulamentação aplicável;
3. Não reutilizar ou compartilhar Dados Pessoais, exceto se instruído ou autorizado pela STIHL previamente, ou se exigido pela lei aplicável e, nesse caso, o Fornecedor deverá informar a STIHL sobre essa exigência legal antes do tratamento;
4. Não transferir Dados Pessoais para fora do Brasil sem a
aprovação prévia por escrito da STIHL, exceto quando a transferência de dados ocorrer para um país reconhecido pela ANPD como tendo um nível adequado de proteção;
5. Manter uma estrutura interna com medidas técnicas e organizacionais adequadas para garantir que o Tratamento realizado em nome da STIHL atenda aos requerimentos de segurança e confidencialidade da LGPD, incluindo a implementação de procedimentos adequados de gerenciamento de direitos de acesso, retenção e segurança dos Dados Pessoais;
6. Não subcontratar ou terceirizar o Tratamento dos Dados Pessoais sem autorização prévia e expressa da STIHL e, ainda assim, sempre mediante contrato escrito impondo as mesmas obrigações estabelecidas pelas STIHL para seus Fornecedores, incluindo obrigações de segurança e confidencialidade;
7. Comunicar imediatamente a STIHL nos casos de (i) identificação ou suspeita de qualquer incidente relacionado aos Dados (eventos de acesso ou divulgação não autorizada de Dados Pessoais e/ou situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito de Dados Pessoais); (ii) qualquer reclamação ou demanda relacionada ao tratamento de Dados Pessoais, incluindo alegações de que o tratamento viola os direitos de um titular de dados; ou (iii) qualquer ordem, emitida por autoridade judicial ou administrativa, que tenha por objetivo solicitar a divulgação, acesso ou bloqueio de Dados Pessoais;
8. Disponibilizar à STIHL todas as informações necessárias para demonstrar o cumprimento com as obrigações aqui elencadas e (i) permitir e contribuir com a realização de auditorias, incluindo inspeções e investigações, e (ii) prestar assistência à STIHL, inclusive na realização de
avaliações de impacto à proteção de dados e garantia do exercício dos direitos dos titulares;
9. Se responsabilizar pelo Tratamento de Dados Pessoais que realizar, obrigando-se a manter a STIHL indene de qualquer obrigação e responsabilidade por eventuais omissões ou erros cometidos pelo Fornecedor – ou por qualquer de seus empregados, prepostos, representantes, terceiros e subcontratados – no Tratamento dos Dados Pessoais, se tratados em desacordo com a Legislação Aplicável ou com as instruções da STIHL;
10. Excluir ou devolver todos os Dados Pessoais conforme
solicitado pela STIHL após o término da prestação dos serviços relacionados ao contrato e excluir cópias existentes, exceto se as leis brasileiras exigirem o armazenamento dos Dados Pessoais;
11. Manter a confidencialidade de todas as informações da STIHL que venha a ter acesso, protegendo e não as divulgando para terceiros, salvo se a divulgação for prévia e expressamente autorizada pela STIHL.
PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
A STIHL empenha seusmelhores esforços para promover um alto nível de segurança no Tratamento e armazenamento de Dados Pessoais e informações confidenciais, e espera que o Fornecedor se comprometa de igual maneira. Dentre as práticas mínimas de segurança da informação exigidas, principalmente no Tratamento de Dados Pessoais em que a STIHL seja controladora, encontram-se:
⮚ Informar, sem atraso, se Dados Pessoais ou mídia de armazenamento móvel forem perdidos, copiados sem autorização ou obtidos por espionagem, bem como se houver indícios de quaisquer outras irregularidades relacionadas com o tratamento de Dados Pessoais;
⮚ Manter controles de acesso adequados, mantendo logs de acesso, com data, hora e computador responsável pelo acesso a referidos dados, assim como registro das atividades realizadas, bem como limitando o acesso aos Dados Pessoais ao estritamente necessário à prestação de serviços, garantindo, ainda, a segurança, integridade, confidencialidade e rastreabilidade do acesso aos Dados;
⮚ Xxxxxxxx aos agentes, empregados e todos os colaboradores treinamento apropriado sobre segurança da informação e proteção de Xxxxx Xxxxxxxx;
⮚ O sistema deve ser protegido por um software de proteção apropriado, como um verificador de vírus contra ataques mal intencionados. O software de proteção deve ser mantido atualizado em todos os momentos;
⮚ As instalações que armazenam os sistemas ou partes devem ser protegidas por medidas adequadas para evitar a falsificação dos dados, como bloqueios e sistemas de controle contra o acesso de pessoas não autorizadas, em particular se o sistema ou partes não estiverem sob controle visual permanente do Fornecedor;
⮚ Proteger os dados pessoais e confidenciais às pessoas autorizadas por meio de um ID de usuário e uma senha pessoal complexa, cuja alteração deve ser forçada pelo menos a cada 180 dias. Se o sistema também for usado por pessoas não autorizadas, é necessário garantir que tais pessoas não possam acessar os dados pessoais;
⮚ Se o sistema for conectado à internet ou se o sistema puder ser acessado de outra forma, um firewall
configurado apropriadamente ou outras medidas apropriadas devem ser usadas a fim de prevenir acesso externo não autorizado ao sistema;
⮚ Se os Dados forem armazenados e transportados por meio de memória móvel, assim como cartões de memória ou CDs ou dispositivos de processamento de Dados, como notebooks, eles devem ser protegidos por uma criptografia forte.
Ao celebrar um relacionamento comercial como Fornecedor da STIHL, o Fornecedor concorda em se obrigar a esta Política de Privacidade e Proteção de Dados para Fornecedores.