Version 1
Este Protocolo de Processamento de Dados (o "Protocolo") explica como a Willis Towers Watson trata dos dados pessoais, em nome dos seus clientes, consumidores ou licenciados ("Cliente").
O Protocolo faz parte de qualquer acordo em vigor, entre a Willis Towers Watson e o Cliente, que expressamente o menciona (o "Acordo"). Quando este Protocolo utilizar termos definidos no Regulamento Geral de Proteção de Dados (Regulamento (UE) 2016/679) (o "Regulamento"), aplicar-se-ão as definições previstas nesse Regulamento.
Processamento de Dados
No que diz respeito aos dados pessoais processados pela Willis Towers Watson em nome do Cliente (consulte o Anexo 1), esta cumprirá os seguintes requisitos:
Limitações de utilização. A Willis Towers Watson apenas processará os dados pessoais necessários para prestar o serviço em questão, como instruído por escrito pelo Cliente, ocasionalmente, ou de qualquer forma exigido por lei.
Confidencialidade. A Willis Towers Watson conservará os dados pessoais confidencialmente e exigirá que o seu pessoal, que processe este tipo de dados, os proteja em conformidade com os requisitos deste Protocolo.
Programa de Segurança da Informação. A Willis Towers Watson conservará um programa escrito de segurança da informação, contendo medidas de segurança administrativas, técnicas e físicas adequadas, para proteger os dados pessoais contra ameaças antecipadas ou riscos para a sua segurança, confidencialidade ou integridade.
Apoio. A Willis Towers Watson will:
i. levará em conta a natureza do processamento e, tanto quanto possível, implementará medidas técnicas e organizativas para apoiar o Cliente no cumprimento da sua obrigação de responder a quaisquer pedidos de indivíduos, que exerçam os seus direitos ao abrigo do Capítulo III do Regulamento;
ii. levará em conta a natureza do processamento e a informação que tem disponível, apoiará o Cliente no cumprimento das suas obrigações de implementação de medidas de segurança adequadas, de notificação de violações de dados pessoais a autoridades supervisoras e a indivíduos e da realização de avaliações do impacto da proteção de dados e consulta daquelas autoridades, no que diz respeito a estas avaliações, quando exigido; e
iii. disponibilizará ao Cliente toda a informação que este possa razoavelmente solicitar, para apoiá-lo a demonstrar que as obrigações definidas no Artigo 28 do Regulamento, relacionadas com a nomeação de processadores, foram cumpridas, permitem e contribuem para as auditorias conduzidas pelo Cliente ou outro auditor nomeado por este.
A Willis Towers Watson pode cobrar uma taxa razoável por todo esse apoio descrito atrás, exceto se o mesmo foi solicitado diretamente em resultado de dos próprios atos ou omissões daquela, caso em que o mesmo correrá a expensas daquela. O Cliente deverá notificar a Willis Towers Watson, com trinta (30) dias de antecedência, em relação a: qualquer pedido de auditoria; caso não possa realizar uma auditoria que comprometeria obrigações de confidencialidade em relação a quaisquer outros clientes e consumidores daquela e; caso pretenda nomear outro auditor para realizar a auditoria, devendo garantir que este outro auditor celebra com a Willis Towers Watson um acordo de confidencialidade, a contento razoável desta.
Incidente relacionado com a Segurança. A Willis Towers Watson notificará prontamente o Cliente sempre que a mesma acredite ter havido uma violação da segurança que conduziu a destruição acidental ou ilegal, perda, alteração, divulgação ou acesso não autorizados aos dados pessoais processados por si, no contexto deste Protocolo ("Incidente relacionado com a Segurança"). Após facultar a notificação, a Willis Towers Watson investigará o Incidente relacionado com a Segurança, tomará as medidas necessárias para eliminar ou conter o impacto do mesmo e manterá o Cliente a par do seu estado e de todas as questões relacionadas com ele.
Devolução ou eliminação. O Cliente pode instruir a Willis Towers Watson a eliminar ou devolver os dados pessoais, no fim do período durante o qual a mesma processará os dados pessoais desse Cliente, como especificado no Anexo 1.
Sub-processamento
O Cliente compreende que a Willis Towers Watson possa utilizar sub-processadores, para prestar os serviços abrangidos pelo Acordo. Estes sub-processadores serão listados e aprovados no Acordo específico que o Cliente celebrou com a Willis Towers Watson, se for esse o caso. A Willis Towers Watson permanecerá como a responsável principal pelo cumprimento das suas obrigações, ao abrigo deste Protocolo, devendo garantir que os seus acordos com esses sub-processadores são, pelo menos, tão restritivos como este Protocolo. A Willis Towers Watson pode alterar ou adicionar sub-processadores ocasionalmente, após notificar por escrito, com antecedência razoável, o Cliente para que o mesmo possa expressar qualquer objeção, com fundamentos razoáveis, em relação à alteração proposta.
Dados tornados anónimos e pseudonimizados
O Cliente reconhece que os serviços incluem a pseudonimização e o tornar anónimos, para efeitos de elaboração de relatórios agregados e (tendências) investigação, concordando que a Willis Towers Watson possa utilizar dados pseudonimizados e tornados anónimos, para os seus próprios fins comerciais, cumprindo a mesma toda a legislação aplicável relativa a proteção de dados, no que diz respeito a esse processamento.
Dados
O Cliente confirma que a Willis Towers Watson possa transferir os dados pessoais para as suas filiais e sub-processadores, dentro e fora do Espaço Económico Europeu (EEE), para fins de apoio e cópias de segurança. A Willis Towers Watson estabeleceu medidas de segurança para proteger os dados pessoais transferidos para países fora do EEE, incluindo proteções contratuais adequadas.
Annex 1 - Descrição do processamento de dados pessoais
1. Objeto, natureza e finalidade
Todas as atividades de processamento (incluindo a recolha, organização e análise de dados pessoais), razoavelmente exigidas, destinam-se a facilitar ou dar apoio à prestação dos serviços descritos neste Contrato.
2. Duração do processamento de dados pessoais
A Willis Towers Watson processará os dados pessoais enquanto prestar serviços para o Cliente, mantendo os dados pessoais em arquivo, após essa data, na medida do necessário para legitimar os fins comerciais.
3. Categorias de indivíduos:
Os titulares de dados podem incluir indivíduos referidos em qualquer política ou regime, com os quais a Willis Towers Watson se tenha comprometido a prestar os seus serviços, e/ou indivíduos beneficiários, que efetuaram reivindicações ou que, de alguma forma, estão envolvidos nessa mesma política ou regime. Os titulares de dados incluirão, comummente: (1) funcionários, contratantes ou outros trabalhadores do Cliente ("Colaboradores") e/ou os respetivos membros da família, representantes ou outros relacionados com os Colaboradores; (2) os clientes anteriores, atuais e potenciais do Cliente e/ou os respetivos funcionários ou outros indivíduos relacionados com eles e/ou os respetivos membros das suas famílias, representantes ou outros relacionados com eles; e/ou (3) queixosos ou requerentes anteriores, atuais ou futuros, relacionados com qualquer apólice de seguro e/ou os respetivos membros das suas famílias, representantes ou outros relacionados com eles.
4. 4. Tipos de dados pessoais:
Os serviços previstos no Contrato podem dizer respeito ao processamento dos seguintes tipos de dados pessoais: nomes e informação de contacto;
- informação demográfica (como sexo, idade, data de nascimento, estado civil, nacionalidade, educação/situações de trabalho, habilitações académicas/profissionais, dados do emprego, passatempos, agregado familiar e dependentes);
- documentação pessoal de identificação e informação relacionada, como números de passaporte e números de identificação de funcionário;
- dados financeiros e de pagamento, como números de contas bancárias e informação sobre transações;
- informação relacionada com a prestação dos serviços, como a política de informação e reivindicações, incluindo a relacionada com incidentes que deram lugar a pedidos de indemnização e perdas relacionadas;
- registos de comunicações e filmes do circuito fechado de TV; e
- dados de recursos humanos, como cargo e funções; benefícios e informação sobre remunerações; informações sobre os dependentes/beneficiários; informação sobre qualificações académicas e profissionais; informação de contactos de emergência; e gestão da informação sobre desempenho.
5. Tipos de categorias especiais de dados pessoais referidos no Artigo 9 do Regulamento:
Os dados pessoais processados pela Willis Towers Watson podem incluir as seguintes categorias especiais de dados pessoais: características pessoais e circunstâncias de natureza sensitiva, como raça ou origem étnica, vida sexual, saúde mental e física, informação genética, detalhes de lesões, medicação/tratamento recebido, crenças políticas ou religiosas, filiação sindical e registos criminais, multas e outros do género.