Fonte PDF: SOP_GDPR_Requests_Release_Deletion.pdf
SOP - Treinamento e Verificação de Dados GDPR
Objecto
Para garantir que todo o pessoal EasyDNA compreenda e cumpra com a Proteção Geral de Dados
Regulamento (GDPR), incluindo tratamento adequado de pessoal, sensível e altamente
Dados sensíveis e procedimentos de verificação para os clientes existentes.
- Visão geral de GDPR
O Regulamento Geral de Proteção de Dados (GDPR) protege os direitos de privacidade de
As organizações recolhem, utilizam e armazenam dados pessoais.
GDPR é baseado em seis princípios fundamentais que devem ser seguidos em todos os momentos:
- Legalidade, Equidade e Transparência - Processamento deve ser legal, justo,
e claro para o indivíduo.
- Limitação de Finalidade - Os dados recolhidos só devem ser utilizados para o indicado
propósito.
- Minimização de dados - Colete apenas o necessário.
- Precisão - Mantenha os dados exatos e atualizados.
- Limitação de Armazenamento - Não mantenha dados por mais tempo do que o necessário.
- Integridade e Confidencialidade – Proteger os dados contra o acesso não autorizado,
perda ou destruição.
Toda a equipe EasyDNA compartilha a responsabilidade pela proteção de dados do cliente sob estes
princípios.
- Classificações de dados
Dados Pessoais
Qualquer informação que identifique ou identifique uma pessoa, direta ou indiretamente.
Exemplos:
- Nome, endereço, número de telefone, e-mail
- Número de ordem ligado a um cliente
- Número de referência do processo
- Dados de pagamento
Dados pessoais sensíveis
Dados que revelam os atributos ou crenças pessoais de um indivíduo.
Exemplos:
- Raça ou etnia
- Religião ou opinião política
- Informações sanitárias
- Dados biométricos
- Orientação sexual
Dados altamente sensíveis
Informações que exigem o mais elevado nível de protecção devido a potenciais danos ou
discriminação se exposta.
Exemplos:
- Dados genéticos ("resultados ADN", ficheiros em bruto)
- Dados relativos à condenação penal
- Documentos de identidade (passaporte, cartão de identificação)
- Dados de relacionamento pré-natal ou pós-morte
Todas as análises genéticas e de relacionamento manipuladas por EasyDNA ou Endeavor DNA são
classificados como dados altamente sensíveis.
-
Processamento de dados e Base Jurídica
O tratamento de dados inclui qualquer operação realizada em dados pessoais, como
recolha, armazenamento, utilização, partilha ou eliminação.
O processamento deve ter pelo menos uma base jurídica ao abrigo do artigo 6.o do GDPR
Exemplo de base jurídica no contexto EasyDNA
O Cliente de Consentimento marca a caixa de consentimento quando
apresentação de amostras
Processamento de contrato necessário para executar o DNA
análise
Obrigação legal Cumprimento da imigração ou do tribunal
ordens
Interesses vitais Casos raros que envolvem medicamentos
emergências
Interesses legítimos Prevenção ou qualidade da fraude interna
controlo
Nota: Em relações de emprego ou cliente-serviço, "consentimento" raramente é válido devido a
Desequilíbrio de poder; confiar em vez disso em obrigações contratuais ou legais.
-
Verificações com Clientes existentes
Objecto
Proteger os dados dos clientes e impedir o acesso ou a divulgação não autorizados.
Procedimento
-
Confirmar a Identidade do Chamador:
- Peça o número de referência do caso, nome completo e endereço de e-mail
utilizado na ordem.
- Cruzar com ATP ou CRM.
- Verificar informações de segurança:
- Confirmar data de nascimento, endereço ou tipo de teste.
- Não divulgar resultados ou informações sensíveis até que a verificação seja
Completo.
- Se o chamador falhar a verificação:
- Recusem-se educadamente a partilhar dados.
- Aconselhar: "Por razões de proteção de dados, não podemos compartilhar esta informação
até que a verificação esteja concluída. Por favor envie-nos um e-mail do endereço
registado no seu caso."
- Verificação dos registos nas notas:
- Adicionar nota ATP: "Cliente verificado em GDPR check - confirmado DOB +
CR."
- Tratamento dos pedidos de acesso dos sujeitos (SARs)
Tipos de pedidos
- Pedido de acesso - O cliente solicita uma cópia de todos os dados pessoais detidos.
- Utilizar o formulário EN - GDPR REC 4.2 (RECORD).
- Pedido de exclusão ("Direito a ser esquecido") - Exclusão de pedidos de cliente
os seus dados.
- Utilizar o formulário EN - GDPR REC 1.1 (DELETE).
Procedimento
-
Verifique a identidade do solicitante.
-
Registar o pedido utilizando o formulário adequado.
-
Enviar ao responsável pela protecção de dados (DPO) para processamento.
-
Os dados devem ser fornecidos ou suprimidos no prazo de 30 dias, a menos que sejam alargados em
Artigo 12.o, n.o 3, GDPR.
-
Confirmar a conclusão do cliente por escrito.
-
Retenção e eliminação de dados
- Manter os dados do cliente apenas durante o tempo necessário para o ensaio, entrega de resultados,
e cumprimento legal.
- Uma vez atingidos os limites de retenção, os dados devem ser excluídos de forma segura de todos
sistemas (ATP, e-mail, unidades compartilhadas e arquivos de laboratório).
- Para dados sensíveis e altamente sensíveis, garantir que o laboratório também confirma
eliminação.
Exemplos de retenção:
Tipo de dados Período de retenção típico
Registros de casos 2 anos pós-análise
Processos jurídicos/de imigração 7 anos
O funcionário regista 5 anos após o termo do emprego
Gravações CCTV/Call 30-90 dias
- Violação de dados
Uma violação de dados ocorre quando os dados pessoais são acessados, divulgados ou perdidos
não intencional ou ilegalmente.
Passos Imediatos
- Avise o DPO dentro de 24 horas.
- Gravar detalhes do incidente (quem, o que, quando, onde, como).
- O OPD avalia se a notificação à autoridade de supervisão (por exemplo, ICO, OAIC)
é necessário no prazo de 72 horas.
- Os indivíduos afetados devem ser informados se a violação for de alto risco.
- Avaliação do impacto na proteção de dados (DPIA)
É necessária uma DPIA para que as actividades de processamento possam resultar num risco elevado de
Direitos dos indivíduos (por exemplo, processamento genético ou de saúde).
Deve descrever o objectivo, avaliar a necessidade e descrever a redução dos riscos
Passos.
Activadores de chaves para o DPIA:
- Utilização de novas tecnologias (AI, automação)
- Tratamento em larga escala de dados sensíveis
- Monitorização do comportamento público ou em linha
- Funções e responsabilidades
Responsabilidade de Papel
Todo o pessoal siga os princípios GDPR; garantir a segurança
manipulação de todos os pessoais e sensíveis
dados.
Serviço ao Cliente / CSR Realizar verificação antes de divulgar ou
actualização dos dados dos clientes.
DPO Supervisione a conformidade, manuseie SARs,
aconselhar sobre violações e DPIAs.
Gerentes Assegure que a equipe complete o treinamento GDPR
e implementar atualizações políticas.
- Documentos e Ligações de Referência
- Termos de Serviço e Política de Proteção de Dados:
https://easydna.co.uk/terms-of-service/
- PT - GDPR REC 1.1 - Pedido de Acesso ao Assunto (Excluído)
- PT - GDPR REC 4.2 - Pedido de Acesso ao Assunto (Record)
- Notas de Curso do DPO (sessões 1-3)
- UE GDPR [Regulamento (UE) 2016/679]
- Revisão e Formação
- Todos os funcionários devem completar o treinamento GDPR anualmente.
- Sessões de atualização a serem registradas em registros de treinamento de RH.
- Este SOP é revisto pelo DPO a cada 12 meses ou mediante uma política significativa
alterações.
- Addendum - Verificação quando o cliente se recusa a fornecer ID
Objecto
Fornecer um processo consistente e auditável para verificar a identidade de um requerente de RAE
(acesso/apagamento) quando eles se recusam a compartilhar foto ID, alinhado com nossa verificação
Controlos e gestão da SAR.
Âmbito de aplicação
Todos os pedidos de acesso ao assunto onde o ID é recusado, mas a verificação ainda é necessária devido
à natureza dos nossos dados (dados genéticos altamente sensíveis).
Contexto jurídico (síntese)
- De acordo com o artigo 12.o, n.o 6, UK GDPR, onde há uma dúvida razoável sobre
identidade, podemos solicitar informações adicionais antes do processamento. Prazos
Corre uma vez que "o que precisamos" é recebido, pelo nosso procedimento SAR.
A. Verificação baseada em código (Alternativa aprovada ao ID da foto)
Quando utilizar
- O solicitante se recusa a fornecer ID, mas irá completar o nosso formulário e aceitar um
Código de verificação único.
- Temos um ponto de contato confiável já no arquivo (e-mail registrado e, se
disponível, um número de telefone). Isto complementa os controlos de verificação existentes
Clientes existentes.
Procedimento
- Gerar um código de uma vez
- Crie um código alfanumérico de 8-10 caracteres.
- Nota ATP: "GDPR" código de verificação alt-ID gerado."
- Enviar o Código
- Enviar por e-mail o caso para o endereço de e-mail registrado no arquivo
(nunca para um endereço novo ou não verificado).
- Incluir esta instrução:
"Por favor escreva o código abaixo na caixa 'Código de verificação' na caixa
Assunto dos dados anexo [Deleção/Acesso] Formulário, assinar o formulário, e
resposta do mesmo endereço de e-mail."
- Retorno de chamada opcional (se o número estiver no arquivo)
- Se um número de telefone estiver no arquivo, faça uma breve chamada e peça ao cliente para
leia de volta o código que receberam por e-mail. Não divulgar
dados pessoais até que a verificação esteja completa. Registar a chamada por verificação
Verificações.
- Formulário de Devoluções do Cliente
- Impressões e sinais dos clientes PT - GDPR REC 1.1 (DELETE) or PT -
GDPR REC 4.2 (RECORD), escreve o código no "Código de verificação"
caixa, e respostas do e-mail registrado.
- Verificar o & Registo
- Confirmar: código corresponde, formulário é assinado, resposta veio do registrado
e- mail.
- Exemplo de nota ATP:
"GDPR alt-ID verificado via código único. Código: [xxx- xxxx], correspondente ao assinar
Forma. O e-mail corresponde ao ficheiro. Prosseguindo com [DELEÇÃO/ACCESS]."
- Processar o Pedido
- Encaminhar para o DPO e completar dentro da linha do tempo SAR definida no
SOP (30 dias, excepto se prorrogado nos termos do n.o 3 do artigo 12.o); confirmar
conclusão por escrito.
Caixas laterais
- Apenas por e-mail (sem telefone móvel ou fixo): Prossiga com código de e-mail +
formulário assinado (passos 2, 4, 5); o passo de chamada é opcional.
- Afirmações de tutela: Se o requerente alegar ser um tutor legal,
o caso já evidencia tutela ou obter a prova necessária por
Procedimentos existentes antes de proceder ao apagamento/acesso. Se faltar, aumente
Para o DPO.
- Sinais de personificação ou inconsistência: Pause e aumente para o DPO
Nos termos do artigo 12.o, n.o 6, da avaliação da proporcionalidade.
Minimização e retenção de dados
- Manter o formulário SAR assinado que contém o código no registro SAR por nosso
regras de retenção; apagar quaisquer rascunhos transitórios uma vez processados e seguir o
controles de eliminação existentes para dados altamente sensíveis (ATP, e-mail, unidades compartilhadas,
arquivos de laboratório).
B. Escalação (quando a verificação baseada em códigos falha ou é recusada)
Se o requerente recusar o método de código ou a dúvida material permanece após os controlos:
- Pausar o processamento, nota "dúvida razoável" nos termos do artigo 12.o, n.o 6.
- Escalar para o DPO para uma avaliação da proporcionalidade e próximas etapas.
- Atualizar o cliente: timelines retomar uma vez que a verificação suficiente é recebida, em
Em linha com o nosso procedimento SAR.
C. Wording Padrão (Excertos de E-mail)
Oferta - Método de Código
Obrigado pelo seu pedido. Como alternativa ao ID da foto, podemos verificar a identidade
com um código de segurança único. Vamos enviar-lhe um código único. Por favor escreva isto
Código do objeto de dados em anexo [Deleção/Acesso] Formulário, assinar e responder de
O mesmo endereço de e-mail registado. Uma vez verificado, prosseguiremos dentro do
Prazo normal.
Recusa do método de código
Entendemos a sua posição. Porque processamos dados genéticos altamente sensíveis,
Devem verificar a identidade do requerente para evitar a supressão ou a divulgação não autorizadas. Se
você não deseja usar o método de código, vamos encaminhar seu pedido para nossos dados
Funcionário de Proteção para avaliação nos termos do artigo 12.o, n.o 6, UK GDPR e irá atualizá-lo
nos próximos passos.
D. Registros e trilha de auditoria
- Entradas obrigatórias ATP: geração de código, expedição, resultado da correspondência, rota
usado (código), e qualquer escalada do DPO.
- O ficheiro SAR deve incluir: o formulário SAR assinado que indica o código de verificação e
o e-mail final de conclusão.
- Aplicar os controles de retenção e exclusão existentes.
Proprietário: DPO, Grupo EasyDNA
Data de eficácia: Outubro de 2025
Próxima revisão: Por ciclo de revisão da seção 11.