Conformidade com o GDPR

Este aviso de GDPR explica como a RemotIQ Pty Ltd trata dados pessoais quando se aplicam o Regulamento Geral sobre a Proteção de Dados (Regulamento (UE) 2016/679, GDPR) e o GDPR do Reino Unido (UK GDPR). Complementa nossa Política de Privacidade. Em caso de incompatibilidade sobre matéria especificamente regida pelo GDPR ou UK GDPR, prevalece este aviso para as pessoas no escopo.

Quem está abrangido

O GDPR aplica-se ao tratamento de dados pessoais de pessoas no Espaço Económico Europeu (EEE). O UK GDPR aplica-se ao tratamento de dados pessoais de pessoas no Reino Unido. Cumprimos ambos quando aplicáveis. As referências ao GDPR neste aviso devem ser lidas como referência ao UK GDPR para pessoas no Reino Unido.

Nosso papel: responsável e operador

Temos dois papéis distintos conforme a atividade. Como responsável (controller), determinamos as finalidades e meios do tratamento para visitantes do site, prospects, clientes, fornecedores, candidatos e contatos corporativos. Nossa Política de Privacidade descreve esse tratamento. Como operador (processor), tratamos dados pessoais por conta de clientes ao prestar serviços — por exemplo, ao operar ou manter um sistema com dados dos usuários finais do cliente. Nesse caso, o cliente é o controller e nosso tratamento rege-se por suas instruções documentadas e pelo Acordo de Tratamento de Dados (DPA) firmado entre as partes.

Categorias de dados pessoais

Como controller, normalmente tratamos: dados de identificação e contato (nome, e-mail, telefone, cargo, empresa); dados comerciais (propostas, faturas, metadados de pagamento); dados técnicos (endereço IP, identificadores de dispositivo, fingerprint do navegador onde estritamente necessário, registros de interações); dados de candidatos (nome, contatos, CV e quaisquer informações adicionais que você decida fornecer). Como processor, as categorias são determinadas pelo cliente e descritas no DPA e instruções; não coletamos dados adicionais por iniciativa própria.

Bases legais (quando somos controller)

Apoiamo-nos nas seguintes bases do Artigo 6 do GDPR. Execução de contrato — para entregar serviços, gerir contas, emitir faturas e responder a solicitações. Interesses legítimos — para comunicar com prospects que iniciam contato, manter e melhorar serviços, manter registros, gerir segurança e administrar o negócio de forma proporcional. Consentimento — para cookies não essenciais, comunicações de marketing onde exigido e qualquer tratamento em que o consentimento seja a base mais apropriada; pode ser retirado a qualquer momento. Obrigação legal — para cumprir leis aplicáveis, incluindo fiscais, contabilísticas, antibranqueamento e pedidos lícitos de autoridades. Não recorremos a decisões automatizadas com efeitos jurídicos ou similares relevantes nos termos do Artigo 22 do GDPR.

Tratamento por conta de clientes (quando somos processor)

Quando atuamos como processor, cumprimos o Artigo 28 do GDPR. Tratamos dados pessoais apenas conforme instruções documentadas do controller, incluindo transferências internacionais, salvo exigência legal. Asseguramos que o pessoal com acesso esteja sujeito a confidencialidade. Adotamos medidas técnicas e organizativas adequadas. Recorremos a subprocessors apenas com autorização do controller e repassando obrigações equivalentes. Assistimos o controller, considerando a natureza do tratamento e a informação disponível, no cumprimento de obrigações para com titulares de dados e em matéria de segurança e notificação de violações. Apagamos ou devolvemos os dados pessoais ao final da prestação, salvo retenção exigida por lei.

Subprocessors

Recorremos a subprocessors cuidadosamente selecionados — por exemplo, infraestrutura, e-mail e pagamentos. Mantemos lista atualizada disponível a clientes sob DPA. Notificamos o cliente com antecedência sobre subprocessor novo ou substituto e damos ao controller direito de oposição. Garantimos por contrato que o subprocessor fica sujeito às mesmas obrigações de proteção de dados constantes do nosso DPA, em particular oferecendo garantias suficientes de medidas técnicas e organizativas.

Transferências internacionais

Estamos sediados na Austrália, que a Comissão Europeia não declarou jurisdição com nível adequado nos termos do Artigo 45 do GDPR. Quando transferimos dados pessoais do EEE ou Reino Unido para a Austrália ou outros países terceiros, apoiamo-nos nas Cláusulas Contratuais Padrão (Decisão de Execução (UE) 2021/914) para transferências do EEE, e no UK International Data Transfer Addendum publicado pela ICO para transferências do Reino Unido. Realizamos avaliações de impacto e aplicamos medidas suplementares — encriptação em trânsito e em repouso, controles de acesso e, quando apropriado, pseudonimização — para salvaguardar os dados. Cópia do mecanismo aplicável está disponível mediante pedido em privacy@remotiq.com.au.

Segurança

Implementamos medidas técnicas e organizativas adequadas para proteger os dados pessoais contra destruição acidental ou ilícita, perda, alteração, divulgação ou acesso não autorizados. Incluem: encriptação em trânsito (TLS) e em repouso quando suportado; controles de acesso com mínimo privilégio; autenticação multifator para contas administrativas; práticas seguras de desenvolvimento; segregação entre ambientes de cliente; gestão de risco de fornecedores; logs e monitoramento; backups e restauração testada; procedimentos de resposta a incidentes. Revisamos regularmente as medidas e atualizamos conforme risco e estado da arte.

Notificação de violação de dados

Como controller, notificamos a autoridade de controle competente sobre violação sem demora indevida e, quando viável, em até 72 horas após o conhecimento, salvo quando a violação for improvável de resultar em risco para os direitos e liberdades das pessoas. Quando a violação for suscetível de gerar risco elevado, comunicamos as pessoas afetadas sem demora indevida. Como processor, notificamos o controller sem demora indevida após o conhecimento de violação que afete seus dados, fornecendo informação necessária para que ele cumpra suas próprias obrigações.

Seus direitos

Pessoas no EEE e Reino Unido têm os seguintes direitos: direito de informação; direito de acesso; direito de retificação; direito de apagamento (direito ao esquecimento) em circunstâncias definidas; direito de limitação do tratamento; direito de portabilidade para os dados que forneceu, quando o tratamento se baseia em consentimento ou contrato e é automatizado; direito de oposição ao tratamento baseado em interesse legítimo (incluindo perfis) e ao marketing direto a qualquer momento; direito de retirar o consentimento a qualquer momento sem afetar a licitude do tratamento anterior; direito a não ser sujeito a decisão baseada exclusivamente em tratamento automatizado com efeitos jurídicos ou similares.

Como exercer seus direitos

Se somos o controller dos seus dados, escreva para privacy@remotiq.com.au. Respondemos em 30 dias; em pedidos complexos ou numerosos podemos estender por até dois meses adicionais informando o motivo. Não cobramos pela resposta, salvo pedidos manifestamente infundados ou excessivos. Podemos precisar verificar sua identidade para proteger seus dados. Se detemos seus dados apenas como processor por conta de um cliente, encaminhamos seu pedido a esse cliente (controller) sem demora indevida; você também pode contactá-lo diretamente.

Crianças

Nossos serviços destinam-se a organizações e aos profissionais que nelas trabalham. Não coletamos conscientemente dados pessoais de menores de 16 anos (ou da idade aplicável de consentimento digital conforme a lei local) sem consentimento verificável dos pais ou responsáveis. Se acreditar que detemos dados de uma criança, escreva para privacy@remotiq.com.au e os apagaremos.

Retenção

Como controller, retemos os dados apenas pelo tempo necessário à finalidade, incluindo requisitos legais, contabilísticos ou de reporting. Os prazos típicos constam da Política de Privacidade. Como processor, retemos os dados pela duração da prestação e os apagamos ou devolvemos ao final conforme o DPA, salvo retenção exigida por lei.

Acordo de Tratamento de Dados (DPA)

Clientes que precisem de um DPA podem solicitar nosso modelo em privacy@remotiq.com.au. Incorpora as Cláusulas Contratuais Padrão da UE e o UK Addendum quando aplicável, e cobre governança de subprocessors, medidas de segurança, notificação de violações e assistência aos direitos dos titulares. Assinamos o DPA antes de qualquer tratamento de dados pessoais por conta do cliente quando aplicável GDPR ou UK GDPR.

Autoridades de controle

Você tem o direito de apresentar reclamação a uma autoridade de controle, especialmente no Estado-Membro da residência habitual, local de trabalho ou local da alegada infração. No Reino Unido, a autoridade é o Information Commissioner's Office (ICO) — ico.org.uk. A lista de autoridades da UE é publicada pelo Comitê Europeu para a Proteção de Dados em edpb.europa.eu. Ainda assim, agradeceríamos a oportunidade de tratar suas preocupações conosco antes — escreva para privacy@remotiq.com.au.

Representantes na UE e Reino Unido

Atualmente não estamos estabelecidos na UE nem no Reino Unido. Quando o Artigo 27 do GDPR ou UK GDPR exigir nomeação de representante, designaremos um e atualizaremos este aviso com seus contatos. Enquanto isso, dirija pedidos a privacy@remotiq.com.au.

Alterações deste aviso

Atualizamos este aviso quando o tratamento muda ou quando orientações de autoridades ou jurisprudência tornam apropriada uma clarificação. A data de vigência indica a versão atual. Alterações materiais serão comunicadas previamente às pessoas e clientes afetados.

Contato

Privacidade e GDPR: privacy@remotiq.com.au. Postal: RemotIQ Pty Ltd, #203 Hampton Rd, Northampton WA 6535, Australia.