Política de datos
Procedimiento Global para la recolección y retención datos
VISIÓN GENERAL
DEFINICIONES
PREÁMBULO
PASO 1: ¿POR QUÉ ESTÁ PROCESANDO DATOS PERSONALES?
A. El principio de limitación de propósitos
B. Propósito secundario
PASO 2: ¿EN QUÉ BASE LEGAL DEBE CONFIAR PARA PROCESAR DATOS PERSONALES?
A. El interesado ha dado su consentimiento para el procesamiento
B. El Procesamiento cumple con una de las siguientes bases legales
PASO 3: ¿QUÉ DATOS PERSONALES DEBEN RECOPILARSE? ¿PODRÍA LOGRARSE EL OBJETIVO SIN RECOPILAR DATOS PERSONALES O ANONIMIZÁNDOLOS?
A. Minimización de datos
B. Precisión
C. Procesamiento de datos personales confidenciales o categorías especiales de datos personales
PASO 4: ¿DURANTE CUÁNTO TIEMPO ES POSIBLE CONSERVAR LOS DATOS PERSONALES?
A. Definición de un período de retención de datos personales para cada propósito
B. Modo activo o «Necesita saber la base»
C. Archivo temporal
D. Archivo Permanente
E. Borrado
APPENDIX 1 – PROGRAMA INDICATIVO DE RETENCIÓN DE DATOS
DEFINICIONES
- Responsable del procesamiento se refiere a la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determine los fines y medios del procesamiento de datos personales.
Interesado se refiere a una persona identificada o identificable cuyos datos personales están relacionados con el procesamiento dentro de Pluxee, incluidos los datos personales de los actuales, anteriores y futuros solicitantes de Pluxee, empleados, clientes, consumidores/beneficiarios, proveedores/proveedores, contratistas/subcontratistas, accionistas o terceros. - Reglamento General de Protección de Datos o RGPD significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al procesamiento de datos personales y a la libre circulación de dichos datos, y por el que se deroga la Directiva 95/46/CE.
- Los datos personales se refieren a cualquier información relacionada con una persona física identificada o identificable; una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física.
- Procesamiento o procesamiento de datos personales se refiere a cualquier operación o conjunto de operaciones que se realizan sobre datos personales o en conjuntos de datos personales, ya sea por medios automatizados, como la recopilación, registro, organización, estructuración, adaptación o alteración del almacenamiento, recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición, alineación o combinación, restricción, borrado o destrucción.
- Datos personales sensibles y otras categorías especiales de datos se refiere a cualquier dato personal que revele origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliaciones sindicales y el procesamiento de datos genéticos, datos biométricos con el fin de identificar de forma única a una persona física, datos relativos a la salud o datos relativos a la vida sexual u orientación sexual de una persona física. Esta definición incluye también datos personales relativos a condenas penales y delitos.
PREÁMBULO
El RGPD establece las condiciones en las que una organización puede procesar datos personales.
El propósito de este Procedimiento es proporcionarle algunas orientaciones sobre cómo cumplir con los principios relacionados con la recopilación de datos personales establecidos en los artículos 5 y 6 del RGPD y enumerados del 1 al 4 a continuación. Los principios enumerados del 5 al 8 estarán cubiertos por otros procedimientos específicos.
Antes de recopilar cualquier dato personal que posea, debe tener en cuenta todas las implicaciones legales de hacerlo: debe identificar el objetivo que el procesamiento está destinado a alcanzar y debe tener en cuenta los posibles beneficios y riesgos para las personas que procesan sus datos personales.
Usted debe preguntarse:
1. ¿Por qué está procesando datos personales?
2. ¿En qué base legal puede confiar para procesar datos personales?
3. ¿Qué datos personales deben recopilarse? ¿Podría lograrse el objetivo sin recopilar datos personales o anonimizándolo?
4. ¿Cuánto tiempo necesito procesar los datos personales para lograr el propósito?
5. ¿Necesito informar a las personas que estoy procesando sus datos personales? (Consulte Código de conducta del Aviso de privacidad)
6. ¿Cómo deben procesarse los datos personales?
7. ¿Quién requiere acceso a los datos personales?
8. ¿Cómo debo registrar el Procesamiento? (Consulte Directrices de un fideicomiso)
PASO 1: ¿POR QUÉ ESTÁ PROCESANDO DATOS PERSONALES?
A. EL PRINCIPIO DE LIMITACIÓN DE PROPÓSITOS
Antes de procesar datos personales, debe identificar claramente por qué necesita recopilar datos personales. Este principio se llama el «principio de limitación de propósito».
El principio de limitación de propósito significa que solo debe recopilar y procesar datos personales para lograr fines específicos, explícitos y legítimos y no procesar datos personales más allá de dichos fines.
Por lo tanto, primero debe identificar los fines particulares para los que se recopilarán los datos personales.
La identificación del propósito es clave, ya que:
- Le permite evaluar si es legítimo.
- Informar a los interesados de los fines legítimos.
- Definir las medidas de seguridad adecuadas.
-
Determinar el período de retención de datos (consulte el paso 4).
Con el fin de garantizar la transparencia, los fines identificados son:
Específico
Debe asegurarse de que el propósito no es demasiado amplio, demasiado general o demasiado ambiguo.
Explícito
El propósito debe expresarse de manera clara e inteligible.
Legítimo
La finalidad debe estar justificada y debe equilibrarse con los derechos y libertades de los interesados.
Notado
La finalidad debe notificarse al interesado en el momento de la recopilación de sus datos personales.
Algunos ejemplos:
- Organización de la Conferencia – Propósito: Gestión de Eventos de Grupo
- Implementación de una nueva herramienta de evaluación de RRHH – Propósito: gestión de RRHH, talento y desarrollo profesional.
- Implementación de una nueva aplicación móvil ofrecida a los clientes de Pluxee permitiendo a sus empleados consultar y controlar sus cuentas de tarjeta – Propósito: Gestión de relaciones con el cliente.
B. PROPÓSITO SECUNDARIO
Si tiene la intención de procesar datos personales para un propósito diferente al que se recopilaron inicialmente, debe ponerse en contacto con la Oficina Global de Protección de Datos o con su punto de contacto único de protección de datos local. Dicho procesamiento secundario sólo podría llevarse a cabo lícitamente si dicho procesamiento se considera compatible con la finalidad original.
La Oficina Global de Protección de Datos o su Punto de Contacto Único de Protección de Datos Local evaluarán la compatibilidad del propósito secundario, teniendo en cuenta:
- Cualquier vínculo entre el propósito inicial y el propósito secundario;
- El contexto en el que se han recopilado datos personales, en particular las expectativas razonables de los interesados de los datos;
- La naturaleza de los datos personales (es decir, la vida personal, la vida profesional, los datos de identificación, etc.);
- Las consecuencias del procesamiento secundario.
- La existencia de salvaguardias apropiadas.
Ejemplos:
Uso de datos personales recopilados originalmente con fines de seguridad con el fin de controlar las horas de trabajo reales.
Uso de datos personales recopilados de los solicitantes de empleo para enviarles ofertas de empleo potenciales (siempre que se respete el período de retención de datos de dos años (02).
PASO 2: ¿EN QUÉ BASE LEGAL DEBE CONFIAR PARA PROCESAR DATOS PERSONALES?
Los datos personales deben ser tratados de manera legal, justa y transparente. Debe ser capaz de justificar el Procesamiento demostrando al menos una de las siguientes bases legales: o bien el interesado ha dado su consentimiento previo para el Procesamiento (a), o el Procesamiento cumple con una de las otras bases legales (b).
A. EL INTERESADO DE LOS DATOS HA DADO SU CONSENTIMIENTO PARA EL PROCESAMIENTO
La primera base legal para el procesamiento de datos personales es cuando un interesado ha dado su consentimiento. El consentimiento está estrictamente definido en el RGPD y debe cumplir los siguientes criterios. Debe ser:
- Libremente dado: Los interesados deben tener una opción genuina y deben ser capaces de proporcionar su consentimiento libremente sin ninguna coacción del Controlador. Los interesados también deben poder retirar su consentimiento en cualquier momento (tenga en cuenta que el consentimiento de un empleado en una relación empleador-empleado no se consideraría, en la mayoría de los casos, como libremente dada por las autoridades de supervisión de la UE).Informados: Los interesados reciben toda la información necesaria sobre el Procesamiento en un idioma y forma que puedan entender.
- Específico: El consentimiento se da para un propósito específico que fue puesto en conocimiento de los interesados antes de proporcionar el consentimiento.
- Inequívoco y claro: El consentimiento debe ser obvio y requerir una acción positiva de los interesados. El Responsable debe ser capaz de demostrar que el interesado dio su consentimiento registrando el consentimiento y almacenando la prueba.
Si necesita más información sobre el consentimiento, consulte el Código de prácticas de consentimiento para comprender cuándo y cómo solicitar el consentimiento de los interesados de los datos.
B. EL PROCESAMIENTO CUMPLE CON UNA DE LAS SIGUIENTES BASES LEGALES
i) El procesamiento es necesario para la ejecución de un contrato
El procesamiento de datos personales es necesario para la ejecución de un contrato en el que el interesado es parte o para tomar medidas a solicitud de los interesados antes de celebrar un contrato a solicitud del interesado.
Ejemplos:
- El procesamiento de los datos de nómina (información salarial y detalles de la cuenta bancaria) es necesario en un contexto de empleo.
- Procesamiento de la dirección del interesado para que los bienes comprados en línea puedan ser entregados.
ii) El procesamiento es necesario para el cumplimiento de una obligación legal
Es importante tener en cuenta que el Controlador debe estar sujeto a la obligación legal en juego al confiar en esta base.
Ejemplos:
- El procesamiento de datos personales de los empleados es necesario para cumplir con las leyes u obligaciones laborales en virtud de la legislación de salud y seguridad.
-
El procesamiento de los datos transaccionales de los consumidores desde el punto de venta es necesario para cumplir con la legislación fiscal.
iii) El procesamiento es necesario para proteger los intereses vitales del interesado o de otra persona física
Este fundamento jurídico se refiere a las circunstancias de vida o muerte del interesado y, por lo tanto, sólo será relevante en situaciones de emergencia.Ejemplos: Si el interesado está inconsciente, el procesamiento de sus datos personales puede ser necesario para proporcionar atención médica.
iv) El procesamiento es necesario para el desempeño de una tarea realizada en interés público o en el ejercicio de la autoridad oficial.
Ejemplos: El procesamiento es necesario para el seguimiento de las epidemias y su propagación. El procesamiento es necesario en situaciones de emergencias humanitarias o desastres naturales.
v) El procesamiento es necesario para los fines de los intereses legítimos perseguidos por el Controlador
Los intereses legítimos de un Responsable podrán proporcionar una base jurídica del Procesamiento, siempre que los intereses o los derechos y libertades fundamentales de las personas físicas no sean anulados, teniendo en cuenta las expectativas razonables del interesado basadas en su relación con el Responsable.
La confianza en la existencia de intereses legítimos como base legal para el procesamiento de datos personales requiere una evaluación cuidadosa y, en algunos casos, una «evaluación de intereses legítimos».Ejemplos: El procesamiento de datos personales con fines de prevención de fraude.
PASO 3: ¿QUÉ DATOS PERSONALES DEBEN RECOPILARSE? ¿PODRÍA LOGRARSE EL OBJETIVO SIN RECOPILAR DATOS PERSONALES O ANONIMIZÁNDOLOS?
Al recopilar datos personales, debe asegurarse de que solo recopila datos personales que sean absolutamente necesarios, proporcionados y precisos para los fines para los que se están procesando.
A. MINIMIZACIÓN DE DATOS
El principio de minimización de datos significa que debe limitar la recopilación de datos personales a lo que es directamente relevante y necesario para lograr un propósito específico. Deberías preguntarte si realmente lo necesitas.
i) Evaluar la necesidad
Debe evaluar si los datos personales que se van a recopilar son adecuados y razonables para lograr los fines específicos:
- Preguntar si el propósito específico se puede lograr mediante el uso de datos anónimos.
- Decida si su propósito podría lograrse excluyendo ciertos Datos Personales innecesarios.
Ejemplos:
Para enviar un boletín informativo a nuestros Clientes, usted recopila no sólo la dirección de correo electrónico profesional, sino también la fecha de nacimiento, el número y la edad de sus hijos, etc. .
Procesamiento de los datos transaccionales de los consumidores desde el punto de venta con fines de gestión contable.
ii) Evaluar la proporcionalidad
También debe considerar si los datos personales que desea recopilar son proporcionales al propósito legítimo que desea lograr. Es desproporcionado recopilar más datos de los que necesita para su propósito específico o utilizar un medio de recopilación de datos personales que sería más intrusivo que otros medios disponibles para el Controlador.
Cómo evaluar la proporcionalidad:
Considere cualquier impacto adverso que el Procesamiento pueda tener en la privacidad de los Interesados. Considere cualquier solución alternativa con consecuencias menos intrusivas.
Ejemplos:
- Procesamiento de datos biométricos para identificar empleados donde se podrían utilizar herramientas menos intrusivas (badge).
- Procesamiento de datos biométricos sólo para controlar el acceso a un área restringida.
B. PRECISIÓN
Los datos personales recopilados deben ser precisos y mantenerse actualizados. Debe implementar medidas razonables para evitar inexactitudes durante el proceso de recopilación de datos, así como durante el procesamiento continuo de datos personales.
Cómo garantizar la exactitud de los datos personales que recopila:
Verificar la autenticidad de la información e informar al interesado en caso de cambio. Siempre que sea posible, desarrolle interfaces fáciles de usar y proporcione a los interesados el derecho y la capacidad de actualizar sus datos personales directamente.
C. PROCESAMIENTO DE DATOS PERSONALES CONFIDENCIALES O CATEGORÍAS ESPECIALES DE DATOS PERSONALES
Dada su naturaleza, los datos personales sensibles y las categorías especiales de datos personales están sujetos a requisitos específicos.
Los datos personales confidenciales y las categorías especiales de datos personales no deben recopilarse a menos que sea estrictamente necesario para lograr el propósito y si existe un fundamento legal para hacerlo.
Si el procesamiento de datos personales sensibles y categorías especiales de datos personales es necesario para lograr la finalidad del Procesamiento:
Por favor, póngase en contacto con la Oficina Global de Protección de Datos o su punto de contacto único de protección de datos local para llevar a cabo una evaluación de riesgos y establecer las medidas de seguridad adecuadas. Limitar el acceso a las personas apropiadas. Procesar dichos datos de acuerdo con la Política de Seguridad de la Información de Grupo.
PASO 4: ¿DURANTE CUÁNTO TIEMPO ES POSIBLE CONSERVAR LOS DATOS PERSONALES?
Los datos personales no deben conservarse en un formulario que permita la identificación de los interesados durante más tiempo del necesario para los fines para los que se recopilan los datos personales. Una vez que la información ya no es necesaria, debe eliminarse, a menos que una ley local requiera que el Controlador la conserve durante un período determinado de tiempo.
A. DEFINICIÓN DE UN PERÍODO DE RETENCIÓN DE DATOS PERSONALES PARA CADA PROPÓSITO
Para cada propósito del Procesamiento de datos personales, se debe definir un término de retención de datos limitado.
Los períodos de retención de datos pueden diferir dependiendo del propósito del procesamiento. Dichos períodos deben fijarse teniendo en cuenta la finalidad del procesamiento y teniendo en cuenta:
- Cualquier requisito legal local que imponga un período de retención de datos específico.
- En ausencia de requisitos legales locales, los datos personales no deben conservarse durante más tiempo del necesario para la finalidad para la que se recopilan. La definición de un período de retención de datos es un proceso local. De hecho, la definición de dicho período se basa en primer lugar en los requisitos de cualquier ley local que pueda establecer un período de retención (por ejemplo, para cualquier procesamiento de recursos humanos, la legislación laboral local debe ser revisada).
Si las leyes locales no establecen un período de retención de datos específico para el Procesamiento en juego, el propietario de la empresa en cuestión tiene la responsabilidad de definir, junto con el punto de contacto único de protección de datos y el propietario de TI, un período de retención de datos específico que cumpla con el RGPD o cualquier otro requisito de las leyes de protección de datos aplicables.
El período de retención de datos establecido con el propietario de la empresa se asegurará de que el propósito del Procesamiento deje de existir, y si no hay ningún requisito legal para retener los datos personales, los datos personales deben ser inmediatamente anonimizados o eliminados.
Queda prohibida la conservación de los datos personales durante un período de tiempo ilimitado, a menos que los datos personales se anonimizan irreversiblemente.
Ejemplos:
- Conservar las imágenes de vigilancia capturadas por un dispositivo CCTV indefinidamente.
- Conservar las imágenes de vigilancia capturadas por un dispositivo CCTV durante un período limitado de tiempo de un (01) mes.
B. MODO ACTIVO O «NECESITA SABER LA BASE»
Los datos personales pueden ser accesibles a los empleados apropiados de Pluxee durante el período de retención de datos sobre una base de «necesidad de saber».
C. ARCHIVO TEMPORAL
Los datos personales pueden archivarse temporalmente con acceso restringido cuando la finalidad para la que recopiló los datos personales ya no existe:
(a) La información debe conservarse para la defensa contra una acción legal o contractual potencial o real o futura presentada por terceros, incluidos los interesados;
(b) La información debe conservarse para cumplir con una obligación legal.
En ambos casos, póngase en contacto con la Oficina Global de Protección de Datos o con su punto de contacto único de protección de datos local para determinar si necesita conservar los datos personales.
Ejemplos:
- Conservar indefinidamente los datos personales de un empleado para fines de RRHH en un modo activo.
- Conservar los datos personales de un empleado con fines de RRHH durante el período de empleo + cinco (05) años después de la terminación del empleo (período de retención de datos legales aplicable en virtud de la ley francesa) de forma archivada con el fin de defenderse de una posible reclamación de empleo.
ARCHIVO PERMANENTE
Los datos personales pueden almacenarse durante períodos más largos con fines estadísticos. Esto debe ser autorizado por la Oficina Global de Protección de Datos o el Punto de Contacto Único de Protección de Datos Local. En ese caso, Pluxee implementará las salvaguardias adecuadas para proteger a las personas, como la seudonimización . El archivo permanente se mantendrá en un soporte independiente, no accesible por los sistemas de producción, permitiendo sólo el acceso separado, único y con motivación precisa al servicio encargado que por sí solo está autorizado a consultar este tipo de archivo
En tal caso, póngase en contacto con la Oficina Global de Protección de Datos o con su punto de contacto único de protección de datos local para ayudarle en los siguientes puntos:
Conservar únicamente los datos personales necesarios para la investigación estadística
PROPÓSITO SUBYACENTE
PERÍODO DE RETENCIÓN DE DATOS
RECURSOS HUMANOS
Gestión administrativa
Fin del contrato de trabajo + 2 años
Gestión de nóminas
Fin del contrato de trabajo + 5 años
Proceso de reclutamiento
3 años después del último contacto con el candidato
Licencia de ausencia
Fin del contrato de trabajo + 1 año
Gestión de acceso
Máximo de 3 meses
Registros de CCTV
Máximo de 1 mes
Marketing
Base de datos de clientes y posibles clientes con fines de marketing
3 años después del último contacto con el interesado ;
Encuestas de satisfacción de los clientes
4 años
SEGURIDAD DE TI
Gestión de la seguridad de TI
6 meses
Finanzas
Gestión de facturación
10 años
Contabilidad
10 años
Anonimizar los datos personales retenidos de forma irreversible siempre que sea posible Si no es posible el anonimato, seudónimo. Archivar datos personales en un formato de solo lectura independiente y dar acceso únicamente al personal pertinente sobre una base puntual.
Ejemplos:
Conservar indefinidamente los datos personales de los consumidores con fines estadísticos (informes).
Seudonimización significa el método para sustituir la identidad del sujeto de datos de tal manera que se requiera información adicional para volver a identificar al sujeto de datos. La seudonimización se considera una medida de seguridad. Como este método es reversible, no impide la aplicación del GDPR (a diferencia de la anonimización, que es irreversible).
Conservar los datos personales de los consumidores con fines estadísticos (informar) de forma anónima.
E. BORRADO
Al final del período de retención de datos (incluido el modo activo y el archivo temporal), Pluxee eliminará o anonimizará los datos personales de forma segura.
APPENDIX 1 – PROGRAMA INDICATIVO DE RETENCIÓN DE DATOS
El período de retención de datos se definirá en función del procesamiento en cuestión. Los siguientes períodos de retención de datos se basan en los requisitos de varias leyes francesas.
PREÁMBULO
Pluxee se compromete a proteger la privacidad de sus empleados, clientes, consumidores y cualquier otra persona y ha implementado políticas, programas y prácticas de privacidad sólidas. En particular, cuando Pluxee, al ser un Encargado, lleva a cabo el Tratamiento de Datos Personales bajo las instrucciones documentadas de un Responsable.
Con el fin de cumplir con las mejores prácticas de retención de datos personales, Pluxee ha adoptado una Política Global de Retención de Datos. La presente Política describe cómo Pluxee, cuando actúa como Procesador, sigue los principios del RGPD y cualquier otra ley aplicable y, por lo tanto, cómo Pluxee garantiza la protección de los derechos y libertades de las personas.
DEFINICIONES
Responsable del tratamiento se refiere a la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determine los fines y medios del tratamiento de datos personales. En esta directiva, Responsable significa un cliente u otra entidad de Pluxee. Interesado se refiere a una persona identificada o identificable cuyos datos personales están preocupados por el procesamiento dentro del Pluxee, incluidos los datos personales de los actuales, anteriores y futuros solicitantes de Pluxee, empleados, clientes, consumidores/beneficiarios, proveedores/proveedores, contratistas/subcontratistas, accionistas o terceros. Reglamento General de Protección de Datos o RGPD significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE. Los datos personales se refieren a cualquier información relacionada con una persona física identificada o identificable; una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física Procesamiento de datos personales se refiere a cualquier operación o conjunto de operaciones que se realizan sobre datos personales o en conjuntos de datos personales, ya sea por medios automatizados, como la recopilación, registro, organización, estructuración, adaptación o alteración del almacenamiento, recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición, alineación o combinación, restricción, borrado o destrucción. Entidad Pluxee o entidades Pluxee se refiere a cualquier corporación, sociedad u otra entidad u organización que sea admitida de vez en cuando como miembro del Grupo Pluxee.
PREÁMBULO
Pluxee se compromete a proteger la privacidad de sus empleados, clientes, consumidores y cualquier otra persona y ha implementado políticas, programas y prácticas de privacidad sólidas.
Con el fin de cumplir con las mejores prácticas de retención de datos personales, Pluxee ha adoptado una Política Global de Retención de Datos. La presente política describe cómo Pluxee, cuando actúa como Responsable, sigue los principios del RGPD o cualquier otra ley de protección de datos aplicable.
DEFINICIONES
Responsable del tratamiento se refiere a la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determine los fines y medios del tratamiento de datos personales. En esta directiva, responsable significa un cliente u otra entidad de Pluxee. Interesado se refiere a una persona identificada o identificable cuyos datos personales están preocupados por el procesamiento dentro del Pluxee, incluidos los datos personales de los actuales, anteriores y futuros solicitantes de Pluxee, empleados, clientes, consumidores/beneficiarios, proveedores/vendedores, contratistas/subcontratistas, accionistas o terceros. Reglamento General de Protección de Datos o RGPD significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE. Los datos personales se refieren a cualquier información relacionada con una persona física identificada o identificable; una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física.Procesamiento de datos personales se refiere a cualquier operación o conjunto de operaciones que se realizan sobre datos personales o en conjuntos de datos personales, ya sea por medios automatizados, como la recopilación, registro, organización, estructuración, adaptación o alteración del almacenamiento, recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición, alineación o combinación, restricción, borrado o destrucción. Entidad Pluxee o entidades Pluxee se refiere a cualquier corporación, sociedad u otra entidad u organización que sea admitida de vez en cuando como miembro del Grupo Pluxee.
1. ALMACENAMIENTO DE DATOS PERSONALES DE CONFORMIDAD CON EL PRINCIPIO DE LIMITACIÓN DE ALMACENAMIENTO
A. DEFINICIÓN DE UN PERÍODO DE RETENCIÓN DE DATOS PERSONALES PARA CADA PROPÓSITO
Para cada propósito del Procesamiento de datos personales, se define un período limitado de retención de datos.
Los períodos de retención de datos pueden diferir dependiendo del propósito del procesamiento. Dichos períodos deben fijarse teniendo en cuenta la finalidad del tratamiento y teniendo en cuenta:
Cualquier requisito legal local que imponga un período de retención de datos; En ausencia de requisitos legales locales, los datos personales deben conservarse durante no más tiempo del necesario para la finalidad para la que se recopilan.
La definición de un período de retención de datos es un proceso local. De hecho, la definición de dicho período se basa en primer lugar en los requisitos de cualquier ley local que pueda establecer un período de retención (por ejemplo, para cualquier tratamiento de recursos humanos, la legislación laboral local debe ser revisada).
Si las leyes locales no establecen un período de retención de datos específico para el Procesamiento en juego, el propietario de la empresa en cuestión tiene la responsabilidad de definir, junto con el punto de contacto único de protección de datos y el propietario de TI, un período de retención de datos específico que cumple con el RGPD y cualquier otro requisito de las leyes de protección de datos aplicables.
El período de retención de datos establecido con el propietario de la empresa se asegurará de que una vez que el propósito del tratamiento deje de existir y si no hay ningún requisito legal para retener los datos personales, los datos personales deben ser inmediatamente anonimizados o eliminados.
Pluxee eliminará los datos personales solo de forma segura de acuerdo con la Política de Información y Seguridad del Grupo.
B. MODO ACTIVO
Los datos personales serán accesibles para los empleados apropiados de Pluxee en un modo activo durante el período de retención de datos sobre una base de «necesidad de saber».
C. ARCHIVO TEMPORAL
Los datos personales pueden archivarse temporalmente con acceso restringido cuando la finalidad para la que se recopilaron ya no existe:
(a) Mientras dure el plazo de prescripción: defensa contra una acción legal o contractual potencial o real o futura planteada por terceros, incluidos los interesados; o
(b) Cumplir con una obligación legal.
D. ARCHIVO PERMANENTE
Los datos personales pueden almacenarse durante períodos más largos con fines estadísticos. Esto debe ser autorizado por la Oficina Global de Protección de Datos o el Punto de Contacto Único de Protección de Datos Local. En ese caso, Pluxee implementará las salvaguardas adecuadas para proteger a las personas, como la seudonimización. El archivo permanente se mantendrá en un soporte independiente, al que no puedan acceder los sistemas de producción, permitiendo únicamente un acceso separado, único y con motivación precisa al servicio encargado, que por sí solo está autorizado a consultar este tipo de archivos.
En tal caso, póngase en contacto con la Oficina Global de Protección de Datos o con su punto de contacto único de protección de datos local para ayudarle en los siguientes puntos:
Conservar únicamente los datos personales necesarios para la investigación estadística Anonimizar los datos personales retenidos de forma irreversible siempre que sea posible Si la anonimización no es posible, seudonimizar. Archivar datos personales en un formato de solo lectura independiente y dar acceso únicamente al personal pertinente de forma única.
E. BORRADO
Al final del período de retención de datos (incluido el modo activo y el archivo temporal), Pluxee eliminará o anonimizará los datos personales de forma segura.
Si los datos personales han sido sub-procesados por un Procesador, Pluxee debe indicar al Encargado que elimine o devuelva los datos personales a más tardar en la fecha de rescisión del contrato. Pluxee debe exigir al Encargado que proporcione una certificación que confirme la buena supresión de los datos personales.
2. MONITOREO DE LA IMPLEMENTACIÓN EFECTIVA DE LOS PERIODOS DE RETENCIÓN DE DATOS.
Una vez que se haya establecido el período de retención de datos adecuado para un determinado Procesamiento de datos personales (ya sea debido a un requisito legal local o conjuntamente con el propietario de una empresa), Pluxee garantizará el seguimiento de su implementación cumpliendo con los siguientes pasos:
Asegúrese de que el período de retención de datos apropiado se ha registrado correctamente en OneTrust para cada Procesamiento de datos personales; Crear un grupo de trabajo de retención de datos que incluya el punto de contacto único de protección de datos local, el propietario de la empresa en cuestión y el equipo de IS&T para implementar técnicamente el período de retención de datos (incluido el modo activo y el archivo temporal);Elaborar un proceso detallado que incluya los pasos a seguir para eliminar los datos personales y al propietario de cada acción identificada en el proceso por el grupo de trabajo de retención de datos; Reunirse con el grupo de trabajo de retención de datos anualmente para revisar si el período de retención de datos se implementa correctamente y si los datos personales se archivan o eliminan correctamente.
Apéndice 1 – Programa indicativo de retención de datos:
El período de conservación de datos se definirá sobre la base del tratamiento de que se trate. Los siguientes períodos de retención de datos se basan en los requisitos de varias leyes francesas.
PROPÓSITO SUBYACENTE
PERÍODO DE RETENCIÓN DE DATOS
RECURSOS HUMANOS
Gestión administrativa
Fin del contrato de trabajo + 2 años
Gestión de nóminas
Fin del contrato de trabajo + 5 años
Proceso de reclutamiento
3 años después del último contacto con el candidato
Licencia de ausencia
Fin del contrato de trabajo + 1 año
Gestión de acceso
Máximo de 3 meses
Registros de CCTV
Máximo de 1 mes
Marketing
Base de datos de clientes y posibles clientes con fines de marketing
3 años después del último contacto con el interesado ;
Encuestas de satisfacción de los clientes
4 años
SEGURIDAD DE TI
Gestión de la seguridad de TI
6 meses
Finanzas
Gestión de facturación
10 años
Contabilidad
10 años
CÓMO AYUDAR AL RESPONSABLE A CUMPLIR CON LOS REQUISITOS DE LIMITACIÓN DE ALMACENAMIENTO
A. CUMPLIR CON LAS INSTRUCCIONES DEL RESPONSABLE CON RESPECTO AL PERÍODO DE RETENCIÓN DE DATOS PERSONALES
El Encargado siempre debe cumplir con las instrucciones del Responsable durante el Procesamiento de Datos Personales. Esto también se aplica a la eliminación de los datos personales al final del ciclo de vida del Tratamiento.
Por lo tanto, los datos personales siempre se conservarán y/o eliminarán y/o anonimizarán bajo las instrucciones del Responsable de conformidad con el período de retención de datos personales establecido por el usuario, siempre que dichas instrucciones no entren en conflicto con las leyes locales aplicables.
Por lo tanto, si durante la ejecución del contrato, el Responsable indica además a Pluxee que elimine o devuelva algunos de los datos personales procesados, Pluxee tendrá que cumplir con esta instrucción (siempre que dicha instrucción no entre en conflicto con las leyes locales aplicables).
Pluxee eliminará los datos personales solo de forma segura de acuerdo con la Política de Información y Seguridad del Grupo.
B. RESCISIÓN DEL CONTRATO
Pluxee y sus subprocesadores (si los hubiera) solicitarán al Responsable que determine su elección con respecto a la eliminación o devolución o anonimización de los datos personales. La elección se especificará en el contrato u otro documento vinculante con ese Responsable.
Al finalizar la prestación de los servicios relacionados con el Tratamiento de Datos Personales, Pluxee como Encargado y sus subprocesadores (si los hubiera), actuará de acuerdo con la elección del Responsable expresada en el contrato y eliminará, anonimizará o devolverá todos los datos Personales transferidos y sus copias al Responsable y demostrará que lo ha hecho proporcionando una certificación al Responsable. Esta certificación debe incluir al menos la fecha de eliminación, o anonimización de la lista de datos personales eliminados o anónimos y la firma del propietario de la empresa en cuestión y el responsable de protección de datos o el punto de contacto único de protección de datos local. Si las leyes locales aplicables establecen un período obligatorio de retención de los datos personales y requieren que Pluxee conserve los datos personales en consecuencia, Pluxee garantiza que asegurará la confidencialidad de los datos personales y no procesará activamente los datos personales, excepto para la finalidad para la que se conservan legalmente.
Si el Responsable no ha expresado contractualmente su elección, Pluxee solicitará al Responsable que comunique su decisión con respecto a los datos personales en la fecha de rescisión del contrato, a más tardar.
Por último, Pluxee actuando como Encargado informará a cada entidad de Pluxee a la que se hayan sub-procesado los datos Personales de cualquier supresión o anonimización de los datos y exigirá a cada entidad de Pluxee antes mencionada que haga lo mismo.
Politicas de privacidad
Su privacidad es muy importante para nosotros. Hemos desarrollado esta Política Global de Protección de Datos para que usted entienda cómo recopilamos, utilizamos, almacenamos, compartimos, transmitimos, transferimos, eliminamos o procesamos de otro modo (colectivamente «Procesar») sus Datos Personales. Esta Política Global de Protección de Datos describe las medidas que tomamos para garantizar la protección de sus Datos personales. También le informamos cómo puede ponerse en contacto con nosotros para responder a cualquier pregunta que pueda tener sobre la protección de datos.
1 ALCANCE
1.1 La Política Global de Protección de Datos se aplica a la organización global de entidades Pluxee (denominadas en adelante «Pluxee») para todas las dimensiones y actividades, en todas las geografías en las que operamos cuando se aplica la ley europea de protección de datos, a saber, el Reglamento General de Protección de Datos (o «RGPD»).1.2 Esta política se aplica al tratamiento de datos personales recopilados por Pluxee, directa o indirectamente, de todas las personas, incluidos, entre otros, los solicitantes de empleo actuales, pasados o potenciales de Pluxee, empleados, clientes, consumidores, niños, proveedores / vendedores, contratistas / subcontratistas, accionistas o cualquier tercero, con «Datos personales» que se definen como cualquier dato que se relaciona con una persona identificada o identificable o una persona que puede ser identificada por medios razonablemente probables de ser utilizados.1.3 En esta Política, «usted» y «su» se refiere a cualquier individuo cubierto. «Nosotros», «nos», «nuestro» y «Pluxee» se refiere a la organización global de entidades Pluxee.
2 DEFINICIONES
2.1 Queja significa la queja presentada por un interesado ante una Autoridad de Supervisión o un tribunal de justicia si el interesado considera que se infringen sus derechos en virtud del RGPD.
Responsable del tratamiento se refiere a la entidad que determina los fines y los medios del procesamiento de los Datos personales.2.2 Responsable del tratamiento se refiere a la entidad que determina los fines y los medios del procesamiento de los Datos personales.2.3 UE/EEE significa la Unión Europea/Espacio Económico Europeo.2.4 La legislación europea de protección de datos o el Reglamento General de Protección de Datos o RGPD se refieren al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos, y por el que se deroga la Directiva 95/46/CE.2.5 Punto de contacto de protección de datos local se refiere a la persona designada por una entidad de Pluxee, encargada de manejar los problemas de privacidad de datos locales. Este punto de contacto forma parte de la Red Global de Protección de Datos.2.6 Datos personales se refiere a cualquier información relacionada con una persona física identificada o identificable; una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física.2.7 Procesamiento o tratamiento de datos personales se refiere a cualquier operación o conjunto de operaciones que se realicen sobre Datos personales o en conjuntos de Datos personales, ya sea por medios automatizados, como la recopilación, registro, organización, estructuración, adaptación o alteración del almacenamiento, recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición, alineación o combinación, restricción, supresión o destrucción.2.8 La privacidad por diseño significa que cuando se inicie un nuevo proyecto digital o una nueva oportunidad de negocio, que implique el tratamiento de datos personales, se tendrá en cuenta la protección de datos, tanto en el momento de la definición de los medios como de las correspondientes medidas de seguridad técnicas y organizativas apropiadas para el Tratamiento y en el momento de la propia ejecución del Tratamiento. El mismo principio se aplica cuando Pluxee tiene la intención de fusionarse o adquirir una empresa, se asegurará de que se respeten los principios de protección de datos.2.9 La privacidad por defecto significa que el personal debe estar capacitado para manejar los Datos Personales e implementar procedimientos para garantizar que cada vez que se procesan los Datos Personales, se tomen las medidas técnicas y organizativas adecuadas para garantizar que, por defecto, solo se procesen los Datos Personales necesarios para cada propósito específico (en términos de cantidad de datos procesados, extensión del procesamiento y retención de datos) y que se hagan accesibles únicamente a un número limitado de personas que necesitan saber.2.10 Solicitud significa uno de los mecanismos proporcionados por el RGPD a las personas físicas para permitirles ejercer sus derechos (como el derecho de acceso, rectificación, supresión, etc.). Una persona puede realizar una Solicitud contra cualquier entidad que procese sus Datos Personales.2.11 Los Datos Personales Sensibles designados como «Categorías Especiales de Datos» en virtud del RGPD se refieren a cualquier Dato Personal que revele origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliaciones sindicales y el procesamiento de datos genéticos, datos biométricos con el fin de identificar de manera única a una persona física, datos relativos a la salud o datos relativos a la vida u orientación sexual de una persona física. Esta definición incluye también Datos personales relacionados con condenas penales y delitos.2.12 Entidad Pluxee o entidades Pluxee se refiere a cualquier corporación, sociedad u otra entidad u organización que es admitida periódicamente como miembro del Grupo Pluxee.2.13 Autoridad de Supervisión significa una autoridad pública independiente establecida por un Estado miembro, tal como se especifica en el RGPD.
3 RECOPILACIÓN Y TRATAMIENTO DEL USO DE SUS DATOS PERSONALES
3.1 CUMPLIMIENTO DE LA LEY EUROPEA DE PROTECCIÓN DE DATOS Y CUALQUIER LEY
LOCAL DE PROTECCIÓN DE DATOS APLICABLE3.1.1 Nos comprometemos a cumplir con cualquier legislación aplicable en relación con los Datos
personales y nos aseguraremos de que los Datos personales se recopilen y procesen de conformidad
con las disposiciones de la ley europea de protección de datos y otras leyes locales aplicables, si las
hubiera.3.2 LEGALIDAD, EQUIDAD Y TRANSPARENCIA3.2.1 No recopilamos ni procesamos Datos personales sin tener una razón legal para hacerlo. Es posible
que tengamos que recopilar y procesar sus Datos personales cuando sea necesario para la ejecución
de un contrato del que usted sea parte, o cuando sea necesario para el cumplimiento de una
obligación legal a la que estamos sujetos o cuando sea necesario, con su consentimiento previo.
También podemos recopilar y procesar sus Datos personales para los intereses legítimos de Pluxee,
excepto cuando dichos intereses sean anulados por sus intereses o derechos y libertades
fundamentales.3.2.2 Al recopilar y procesar sus Datos personales, le proporcionaremos un aviso de información o
declaración de privacidad justo y completo sobre quién es responsable del procesamiento de sus
Datos personales, para qué fines se procesan sus Datos personales, quiénes son los destinatarios,
cuáles son sus derechos y cómo ejercerlos, etc., a menos que sea imposible o requiera esfuerzos
desproporcionados para hacerlo.3.3 PROPÓSITO LEGÍTIMO, LIMITACIÓN Y MINIMIZACIÓN DE DATOS3.3.1 Sus Datos personales se recopilan para fines especificados, explícitos y legítimos y no se procesan
de manera incompatible con dichos fines.3.3.2 Cuando Pluxee actúa para sus propios fines, sus Datos personales se procesan principalmente para,
pero no limitado a, los siguientes fines: gestión de contratación, gestión de recursos humanos, gestión
contable y financiera y controles y informes relacionados, finanzas, tesorería y gestión fiscal, gestión
de riesgos, gestión de la seguridad de los empleados, provisión de directorio activo, herramientas de
TI o sitios web internos y cualquier otra solución digital o plataformas colaborativas , Gestión de
soporte de TI, incluyendo gestión de infraestructura, gestión de sistemas, aplicaciones, gestión de
salud y seguridad, gestión de la seguridad de la información, gestión de relaciones con los clientes,
ofertas, gestión de ventas y marketing, gestión de suministros, comunicación interna y externa y
gestión de eventos, cumplimiento de obligaciones contra el blanqueo de capitales o cualquier otro
requisito legal, operaciones de análisis de datos, gestión corporativa legal e implementación de
procesos de cumplimiento.3.4 PRECISIÓN DE LOS DATOS Y LIMITACIÓN DEL ALMACENAMIENTO3.4.1 Pluxee mantendrá los Datos Personales que se procesen de forma precisa y, de ser necesario ,
actualizados. Además, solo conservaremos los Datos personales durante el tiempo que sea
necesario para los fines para los que los recopilamos, incluidos los fines de satisfacer cualquier
requisito legal, contable o de informes y, cuando sea necesario para que Pluxee haga valer o
defienda contra reclamaciones legales, hasta el final del período de retención pertinente o hasta que
se hayan resuelto las reclamaciones en cuestión. Si desea obtener más información sobre nuestros
periodos de retención específicos para sus Datos personales establecidos en nuestra política de
retención, puede ponerse en contacto con nosotros a privacy.uy@pluxeegroup.com.
Al expirar el período de retención aplicable, destruiremos de forma segura sus datos personales de acuerdo
con las leyes y regulaciones aplicables.
SEGURIDAD DE SUS DATOS PERSONALES
4.1 Implementamos las medidas técnicas y organizativas adecuadas para proteger los Datos
Personales contra alteraciones o pérdidas accidentales o ilegales, o de no autorizados, uso,
divulgación o acceso, de acuerdo con nuestra Política de Seguridad de La Información y
Sistemas de Grupo.4.2 Tomamos, cuando sea apropiado, todas las medidas razonables basadas en la privacidad por
diseño y privacidad por defecto, principios para implementar las salvaguardias necesarias y
proteger el procesamiento de datos personales. También llevamos a cabo, dependiendo del nivel
de riesgo planteado por el procesamiento, una evaluación de impacto de privacidad («PIA») para
adoptar las salvaguardias adecuadas y garantizar la protección de los Datos Personales.
También proporcionamos medidas de seguridad adicionales para los datos considerados como
Datos personales sensibles.
DIVULGACIÓN DE SUS DATOS PERSONALES
5.1 Compartimos sus Datos personales, en las siguientes circunstancias:5.1.1 con entidades De Pluxee para los fines descritos en esta política;5.1.2 con terceros, incluidos ciertos proveedores de servicios que hemos conservado en relación con los
fines descritos en esta política y los servicios que proporcionamos;5.1.3 con las empresas que prestan servicios de control de blanqueo de capitales y financiación del
terrorismo y otros fines de prevención del fraude y del delito y las empresas que prestan servicios
similares, incluidas las instituciones financieras y los organismos reguladores con los que se
comparten dichos datos personales;5.1.4 con tribunales, autoridades encargadas de hacer cumplir la ley, reguladores, funcionarios
gubernamentales o abogados u otras partes cuando sea razonablemente necesario para el
establecimiento, ejercicio o defensa de una reclamación legal o equitativa, o para los fines de un
proceso de resolución de controversias alternativo confidencial;5.1.5 con proveedores de servicios que contratamos dentro o fuera de Pluxee, nacional o en el extranjero,
por ejemplo, centros de servicio compartidos, para procesar Datos personales para cualquiera de los
fines enumerados anteriormente en nuestro nombre y de acuerdo con nuestras instrucciones
solamente;5.1.6 sí vendemos o compramos cualquier negocio o activo, en cuyo caso podemos divulgar sus Datos
personales al posible vendedor o comprador de dicho negocio o activos a los que asignamos o
renovamos cualquiera de nuestros derechos y obligaciones.
6 TRANSFERENCIAS INTERNACIONALES DE DATOS PERSONALES
La legislación europea de protección de datos no permite la transferencia de Datos personales a
terceros países fuera del EEE (Espacio Económico Europeo) que no garanticen un nivel
adecuado de protección de datos. Algunos de los terceros países en los que Pluxee opera fuera
del EEE no proporcionan el mismo nivel de protección de datos que el país en el que reside y la
Comisión Europea no reconoce que proporcionan un nivel adecuado de protección para los
derechos de privacidad de datos de las personas. Para las transferencias de sus Datos personales a dichos países, ya sea a entidades dentro o
fuera de Pluxee, Pluxee ha establecido una protección adecuada para proteger sus Datos
personales. Se le proporcionará más información sobre cualquier transferencia de sus Datos
personales fuera de Europa en el momento de la recopilación de sus Datos personales a través
de avisos de privacidad o políticas de privacidad adecuados. Para obtener más información, incluida la obtención de una copia de los documentos utilizados
para proteger su información, póngase en contacto con nosotros en
privacy.uy@pluxeegroup.com
7 COOKIES
7.1 Algunos de nuestros sitios web pueden utilizar «cookies». Las cookies son partes de texto que se
colocan en el disco duro de su computadora cuando visita ciertos sitios web. Podemos utilizar cookies para indicarnos, por ejemplo, si nos ha visitado antes o si es un nuevo visitante y para
ayudarnos a identificar las funciones en las que puede tener el mayor interés. Las cookies
pueden mejorar su experiencia en línea al guardar sus preferencias mientras visita un sitio web.7.2 Le informaremos cuando visite nuestros sitios web qué tipos de cookies utilizamos y cómo
deshabilitar dichas cookies. Cuando lo exija la ley, tendrá la posibilidad de visitar nuestros sitios
web y rechazar el uso de cookies en cualquier momento en su computadora. Para obtener más
información, consulte nuestras políticas de cookies.
8 SUS DERECHOS
8.1 Pluxee se compromete a garantizar la protección de sus derechos en virtud de las leyes
aplicables. A continuación, encontrará una tabla que resume sus diferentes derechos:
Derecho de acceso
y rectificación
Puede solicitar una copia de los Datos personales que tenemos sobre usted.
También puede solicitar la rectificación de datos personales inexactos o que se
completen los Datos personales incompletos.
Derecho a borrar
Su derecho al olvido le da derecho a solicitar la supresión de sus Datos personales
en los casos en que:
(i) los datos ya no son necesarios para la finalidad para la que fueron
recogidos;
(ii) usted decide retirar su consentimiento;
(iii) usted se opone al tratamiento de sus Datos personales;
(iv) sus Datos personales han sido procesados ilegalmente;
(v) exista una obligación legal de borrar sus Datos personales;
(vi) Se requiera supresión para garantizar el cumplimiento de las leyes
aplicables.
Derecho a la restricción del tratamiento
Puede solicitar que se restrinja el tratamiento de sus Datos personales en los casos
en que:
(i) usted impugna la exactitud de sus Datos personales;
(ii) Pluxee ya no necesita sus Datos personales para los fines del
procesamiento;
(iii) Se ha opuesto al procesamiento por razones legítimas.
Derecho a la portabilidad de los datos
Puede solicitar, en su caso, la portabilidad de sus Datos personales que haya
facilitado a Pluxee, en un formato estructurado, de uso común y legible por
máquina, tiene derecho a transmitir estos datos a otro responsable de tratamiento
sin obstáculos de Pluxee cuando:
(a) el tratamiento de sus Datos personales se basa en el consentimiento o en un
contrato; Y
(b) el tratamiento se lleva a cabo por medios automatizados.
También puede solicitar que sus Datos personales se transmitan a un tercero de su
elección (cuando sea técnicamente posible).
Derecho a oponerse al procesamiento
Puede oponerse (es decir, ejercer su derecho a darse de baja) al procesamiento de
sus Datos personales, especialmente en relación con la elaboración de perfiles o
las comunicaciones de marketing. Cuando procesamos sus Datos personales
sobre la base de su consentimiento, puede retirar su consentimiento en cualquier
momento.
Derecho a no estar sujeto a decisiones automatizadas
Usted tiene derecho a no estar sujeto a una decisión basada únicamente en el
procesamiento automatizado, incluida la elaboración de perfiles, que tiene un
efecto legal sobre usted o le afecta significativamente.
Derecho a presentar una queja
Puede optar por presentar una queja ante la Autoridad de Supervisión de
protección de datos en el país de su residencia habitual, lugar de trabajo o lugar de
la supuesta infracción, independientemente de si ha sufrido daños y perjuicios.
También tiene derecho a presentar su reclamación ante los tribunales donde la
entidad Pluxee tiene un establecimiento o donde tiene su residencia habitual.
8.2 Para ejercer estos derechos, puede:8.2.1 Completar el formulario de solicitud y enviarlo a la dirección de correo electrónico genérica indicada
en los avisos de privacidad y/o las políticas de privacidad que se le proporcionen en el momento de la
recopilación de sus Datos personales; y/o al Oficial de Protección de Datos de Pluxee Uruguay en
data.protectionUY@Pluxee.com.8.2.2 Completar y enviar el formulario web de solicitud dedicado;8.3 Para obtener más información, consulte la Política Global de Solicitudes de Protección de datos.8.4 Puede optar por presentar una queja ante la Autoridad de Supervisión de protección de datos en
el país de su residencia habitual, lugar de trabajo o lugar de la supuesta infracción,
independientemente de si ha sufrido daños y perjuicios.8.5 También tiene derecho a presentar su reclamación ante los tribunales donde la entidad Pluxee
tiene un establecimiento o donde tiene su residencia habitual.
9 RECLUTAMIENTO DE CANDIDATOS
Para aquellas personas que formen parte del proceso de selección de personal de Pluxee Uruguay existe
una política particular que complementa la información que tiene esta Política Global. Ver Aviso de
Protección de Datos – Reclutadores Candidatos.
10 NIÑOS
10.1 Los niños merecen una protección específica con respecto a sus Datos personales, ya que
pueden ser menos conscientes de los riesgos, consecuencias y salvaguardias en cuestión y sus
derechos en relación con el tratamiento de datos personales. Dicha protección específica debe
aplicarse, en particular, al uso de Los Datos Personales de los niños con fines de marketing o
creación de perfiles de personalidad o de usuario y la recopilación de Datos Personales con
respecto a los niños al utilizar los servicios ofrecidos directamente a un niño.10.2 No recopilamos ni procesamos los Datos personales de los niños sin el consentimiento del titular
de la responsabilidad parental cuando sea necesario. En particular, no promovemos ni
comercializamos nuestros servicios a los Niños, excepto por servicios específicos y con el
consentimiento del titular de la responsabilidad parental. Si cree que hemos recopilado por error
datos personales de los niños, notifíquenos utilizando los datos de contacto que se proporcionan
a continuación.
11 ACTUALIZAR
11.1 Podemos actualizar esta política periódicamente a medida que nuestro negocio cambia o cambia los requisitos legales. Si realizamos cambios significativos en esta política, publicaremos un aviso en nuestro sitio web cuando los cambios entren en vigor y, en su caso, le enviaremos una comunicación directa sobre el cambio.
12 CONTÁCTENOS
12.1 Si tiene preguntas, comentarios y solicitudes con respecto a esta política, puede enviarlas a la dirección oficial de Protección de Datos de Pluxee Uruguay en privacy.uy@pluxeegroup.com o enviar una carta a Pluxee SVC Uruguay SA, Oficial de Protección de Datos de Pluxee Uruguay, Cebollatí 1470 Piso 3 Montevideo, Uruguay.
13 CONSULTA OTRAS POLÍTICAS
Política para la gestión de solicitudes sobre protección de datos Política global de retención de datos Procedimiento global de recogida de datos y retención de datos Formulario de queja o solicitud sobre el procedimiento de protección de datos personales
Política para la gestión de solicitudes sobre Protección de Datos
1 PREÁMBULO
1.1 Pluxee Grupo se compromete a tratar los Datos Personales de conformidad con el Reglamento General de Protección de Datos (RGPD) y cualquier otra ley aplicable y tiene como objetivo tratar con prontitud y eficiencia cualquier consulta relacionada con el tratamiento de Datos Personales por parte de las entidades de Pluxee.1.2 En algunos casos, las entidades de Pluxee pueden actuar como un procesador en nombre de un cliente. En este caso, el Cliente es responsable de gestionar las Solicitudes de interesado relacionadas con el cumplimiento del RGPD y los Datos Personales del Interesado.
2 ALCANCE
Esta política se aplica a la entidad local Pluxee SVC Uruguay S.A (en adelante designada como «Pluxee») para todas las dimensiones y actividades, a nivel nacional, donde se aplican las Reglas Corporativas Vinculantes de Pluxee o el Reglamento General de Protección de Datos.2.2 Esta política se aplica al tratamiento de datos personales recopilados por Pluxee, directa o indirectamente, de todas las personas, incluyendo, pero no limitado a los solicitantes de empleo actuales, pasados o potenciales de Pluxee, empleados, clientes, consumidores, niños, proveedores / vendedores, contratistas / subcontratistas, accionistas o cualquier tercero, con «Datos personales» que se definen como cualquier dato que se relaciona con una persona identificada o identificable o una persona que puede ser identificada por medios razonablemente probables de ser utilizados.2.3 En esta política, «usted» y «su» se refiere a cualquier individuo cubierto. «Nosotros», «nos», «nuestro» y «Pluxee» se refiere a la organización global de entidades Pluxee.
3 DEFINICIONES
3.1 Cliente significa organizaciones o corporaciones que le piden a Pluxee que realice servicios en su nombre para sus empleados / personal in situ que son los usuarios finales de estos servicios.3.2 Queja significa la queja presentada por un interesado ante una Autoridad de Supervisión o un tribunal de justicia si el interesado considera que se infringen sus derechos en virtud del RGPD.3.3 Responsable del tratamiento se refiere a la entidad que determina los fines y los medios del procesamiento de los Datos personales.3.4 Interesado se refiere a una persona identificada o identificable cuyos Datos Personales están relacionados con el procesamiento dentro de Pluxee, incluyendo los Datos Personales de los actuales, anteriores y futuros solicitantes de Pluxee, empleados, clientes, consumidores/beneficiarios, proveedores/vendedores, contratistas/subcontratistas, accionistas o cualquier tercero.3.5 Reglamento General de Protección de Datos o RGPD significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos, y por el que se deroga la Directiva 95/46/CE3.6 Oficial de Protección de Datos del Grupo se refiere a la persona designada y respaldada por el Comité Ejecutivo del Grupo Pluxee para supervisar las cuestiones de protección de datos a nivel del Grupo Pluxee, para definir y administrar el programa de cumplimiento de la protección de datos de Pluxee y las buenas prácticas relacionadas con la protección de datos y para garantizar su implementación como se establece en la Regla 20.3.7 Contacto local único de protección de datos se refiere a la persona designada por una entidad de Pluxee, encargada de manejar los problemas locales de protección de datos. En algunos casos, el punto de contacto local de protección de datos único puede ser nombrado como Oficial De Protección de Datos Local cuando así lo exija la ley de protección de datos aplicable.3.8 Datos personales se refiere a cualquier información relacionada con una persona física identificada o identificable; una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física3.9 Procesamiento o Procesamiento de Datos Personales significa cualquier operación o conjunto de operaciones que se realicen sobre Datos Personales o en conjuntos de Datos Personales, ya sea por medios automatizados, tales como la recopilación, registro, organización, estructuración, adaptación o alteración del almacenamiento, recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición, alineación o combinación, restricción, borrado o destrucción.3.10 Solicitud significa uno de los mecanismos proporcionados por el RGPD a las personas físicas para permitirles ejercer sus derechos (como el derecho de acceso, rectificación, supresión, etc.). Una persona puede realizar una Solicitud contra cualquier entidad que procese sus Datos Personales.3.11 Entidad Pluxee o entidades Pluxee se refiere a cualquier corporación, sociedad u otra entidad u organización que sea admitida de vez en cuando Como miembro del Grupo Pluxee. Colectivamente ‘Pluxee’.3.12 Autoridad de Supervisión significa una autoridad pública independiente establecida por un Estado miembro, tal como se especifica en el RGPD.
4 SUS DERECHOS EN VIRTUD DEL RGPD
4.1 Cuando Pluxee procese sus Datos Personales para sus propios fines, consulte la Sección «Sus derechos» de nuestra Política Global de Protección de Datos.4.2 Cuando Pluxee procese Datos Personales en nombre de un Cliente, Pluxee notificará al Cliente la Solicitud recibida de cualquier Interesado. Pluxee cooperará y proporcionará al Cliente asistencia en relación con la Solicitud, en la medida en que lo permita la ley.
5 ¿QUÉ HARÁN NUESTROS EQUIPOS SI RECIBEN UNA SOLICITUD?
5.1 Nuestro enfoque es participar positivamente y resolver su solicitud de manera satisfactoria sin que tenga que presentar una queja ante el Tribunal local o la Autoridad de Supervisión de Protección de Datos correspondiente.5.2 Si tiene alguna consulta con el tratamiento de sus Datos personales, no debe dudar en plantear su consulta a Pluxee. Para ayudarnos a tratar su Solicitud, proporcione una explicación completa por escrito de su consulta completando el Formulario de Solicitud a continuación.5.3 Pluxee informará a su Cliente en calidad como responsable de tratamiento de cualquier Solicitud realizada por un interesado tan pronto como sea posible. El Cliente se encargará de gestionar dicha Solicitud y Pluxee ayudará al Cliente a responder a las Solicitudes del Interesado. Pluxee gestionará directamente las Solicitudes solo cuando se acuerde con el Cliente o si el Cliente desapareció o dejó de existir por ley o se ha quedo insolvente. En todos los demás casos, Pluxee ayudará al Cliente a responder a las Solicitudes del interesado.5.4 En el caso de que el Pluxee no tenga suficiente información para llevar a cabo la solicitud, debe informar al interesado, dentro de los cinco días, y proporcionarle cinco días para corregir cualquier información inexacta o proporcionar información adicional.
6 MANEJO DE SOLICITUDES
6.1 En el momento de redactar su Solicitud y para permitir que Pluxee trate con prontitud su Solicitud de la manera más eficiente, se le invita a seguir estos pasos:6.2 PASO 1: Complete y envíe el Formulario de Solicitud por correo electrónico a la dirección de correo electrónico genérica indicada en los avisos de información y/o las políticas de privacidad que se le proporcionen en el momento de la recopilación de sus Datos Personales La dirección de correo electrónico es la siguiente: data.protectionUY@Pluxee.com.6.3 PASO 2: Su solicitud será tratada de forma confidencial e investigada cuando sea necesario. Durante este proceso, puede recibir comunicaciones adicionales del punto de contacto local de protección de datos único de Pluxee y/o de la Oficina Global de Protección de Datos de Pluxee para investigar su preocupación. Si no ha proporcionado suficiente información en su Solicitud, le informaremos qué información adicional se necesita para procesar su Solicitud.6.4 PASO 3: Una vez completada la información relacionada con su Solicitud, nos contactaremos con usted en un plazo de treinta (30) días para proporcionarle una respuesta. Este plazo puede prorrogarse en determinadas circunstancias, dependiendo de la naturaleza de la Solicitud.6.5 PASO 4: Tenga en cuenta que puede optar por presentar una queja ante la Autoridad de Supervisión de protección de datos en el país de su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, independientemente de si ha sufrido daños y perjuicios. Datos personales6.6 También tiene derecho a presentar su reclamación ante los tribunales donde la entidad Pluxee tiene un establecimiento o donde tiene su residencia habitual.
7 ANEXOS
7.1 FORMULARIO DE SOLICITUD
Politica Global sobre la recolección y retención de los datos
PREÁMBULO
Pluxee se compromete a proteger la privacidad de sus empleados, clientes, consumidores y cualquier otra persona y ha implementado políticas, programas y prácticas de privacidad sólidas. En particular, cuando Pluxee, al ser un Encargado, lleva a cabo el Tratamiento de Datos Personales bajo las instrucciones documentadas de un Responsable.
Con el fin de cumplir con las mejores prácticas de retención de datos personales, Pluxee ha adoptado una Política Global de Retención de Datos. La presente Política describe cómo Pluxee, cuando actúa como Procesador, sigue los principios del RGPD y cualquier otra ley aplicable y, por lo tanto, cómo Pluxee garantiza la protección de los derechos y libertades de las personas.
DEFINICIONES
Responsable del tratamiento se refiere a la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determine los fines y medios del tratamiento de datos personales. En esta directiva, Responsable significa un cliente u otra entidad de Pluxee. Interesado se refiere a una persona identificada o identificable cuyos datos personales están preocupados por el procesamiento dentro del Pluxee, incluidos los datos personales de los actuales, anteriores y futuros solicitantes de Pluxee, empleados, clientes, consumidores/beneficiarios, proveedores/proveedores, contratistas/subcontratistas, accionistas o terceros. Reglamento General de Protección de Datos o RGPD significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE.Los datos personales se refieren a cualquier información relacionada con una persona física identificada o identificable; una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física Procesamiento de datos personales se refiere a cualquier operación o conjunto de operaciones que se realizan sobre datos personales o en conjuntos de datos personales, ya sea por medios automatizados, como la recopilación, registro, organización, estructuración, adaptación o alteración del almacenamiento, recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición, alineación o combinación, restricción, borrado o destrucción. Entidad Pluxee o entidades Pluxee se refiere a cualquier corporación, sociedad u otra entidad u organización que sea admitida de vez en cuando como miembro del Grupo Pluxee.
PREÁMBULO
Pluxee se compromete a proteger la privacidad de sus empleados, clientes, consumidores y cualquier otra persona y ha implementado políticas, programas y prácticas de privacidad sólidas.
Con el fin de cumplir con las mejores prácticas de retención de datos personales, Pluxee ha adoptado una Política Global de Retención de Datos. La presente política describe cómo Pluxee, cuando actúa como Responsable, sigue los principios del RGPD o cualquier otra ley de protección de datos aplicable.
DEFINICIONES
Responsable del tratamiento se refiere a la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determine los fines y medios del tratamiento de datos personales. En esta directiva, responsable significa un cliente u otra entidad de Pluxee. Interesado se refiere a una persona identificada o identificable cuyos datos personales están preocupados por el procesamiento dentro del Pluxee, incluidos los datos personales de los actuales, anteriores y futuros solicitantes de Pluxee, empleados, clientes, consumidores/beneficiarios, proveedores/vendedores, contratistas/subcontratistas, accionistas o terceros. Reglamento General de Protección de Datos o RGPD significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE. Los datos personales se refieren a cualquier información relacionada con una persona física identificada o identificable; una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física. Procesamiento de datos personales se refiere a cualquier operación o conjunto de operaciones que se realizan sobre datos personales o en conjuntos de datos personales, ya sea por medios automatizados, como la recopilación, registro, organización, estructuración, adaptación o alteración del almacenamiento, recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición, alineación o combinación, restricción, borrado o destrucción. Entidad Pluxee o entidades Pluxee se refiere a cualquier corporación, sociedad u otra entidad u organización que sea admitida de vez en cuando como miembro del Grupo Pluxee.
1. ALMACENAMIENTO DE DATOS PERSONALES DE CONFORMIDAD CON EL PRINCIPIO DE LIMITACIÓN DE ALMACENAMIENTO
A. DEFINICIÓN DE UN PERÍODO DE RETENCIÓN DE DATOS PERSONALES PARA CADA PROPÓSITO
Para cada propósito del Procesamiento de datos personales, se define un período limitado de retención de datos.
Los períodos de retención de datos pueden diferir dependiendo del propósito del procesamiento. Dichos períodos deben fijarse teniendo en cuenta la finalidad del tratamiento y teniendo en cuenta:
Cualquier requisito legal local que imponga un período de retención de datos; En ausencia de requisitos legales locales, los datos personales deben conservarse durante no más tiempo del necesario para la finalidad para la que se recopilan.
La definición de un período de retención de datos es un proceso local. De hecho, la definición de dicho período se basa en primer lugar en los requisitos de cualquier ley local que pueda establecer un período de retención (por ejemplo, para cualquier tratamiento de recursos humanos, la legislación laboral local debe ser revisada).
Si las leyes locales no establecen un período de retención de datos específico para el Procesamiento en juego, el propietario de la empresa en cuestión tiene la responsabilidad de definir, junto con el punto de contacto único de protección de datos y el propietario de TI, un período de retención de datos específico que cumple con el RGPD y cualquier otro requisito de las leyes de protección de datos aplicables.
El período de retención de datos establecido con el propietario de la empresa se asegurará de que una vez que el propósito del tratamiento deje de existir y si no hay ningún requisito legal para retener los datos personales, los datos personales deben ser inmediatamente anonimizados o eliminados.
Pluxee eliminará los datos personales solo de forma segura de acuerdo con la Política de Información y Seguridad del Grupo.
B. MODO ACTIVO
Los datos personales serán accesibles para los empleados apropiados de Pluxee en un modo activo durante el período de retención de datos sobre una base de «necesidad de saber».
C. ARCHIVO TEMPORAL
Los datos personales pueden archivarse temporalmente con acceso restringido cuando la finalidad para la que se recopilaron ya no existe:
(a) Mientras dure el plazo de prescripción: defensa contra una acción legal o contractual potencial o real o futura planteada por terceros, incluidos los interesados; o
(b) Cumplir con una obligación legal.
D. ARCHIVO PERMANENTE
Los datos personales pueden almacenarse durante períodos más largos con fines estadísticos. Esto debe ser autorizado por la Oficina Global de Protección de Datos o el Punto de Contacto Único de Protección de Datos Local. En ese caso, Pluxee implementará las salvaguardas adecuadas para proteger a las personas, como la seudonimización. El archivo permanente se mantendrá en un soporte independiente, al que no puedan acceder los sistemas de producción, permitiendo únicamente un acceso separado, único y con motivación precisa al servicio encargado, que por sí solo está autorizado a consultar este tipo de archivos.
En tal caso, póngase en contacto con la Oficina Global de Protección de Datos o con su punto de contacto único de protección de datos local para ayudarle en los siguientes puntos:
Conservar únicamente los datos personales necesarios para la investigación estadística Anonimizar los datos personales retenidos de forma irreversible siempre que sea posible Si la anonimización no es posible, seudonimizar. Archivar datos personales en un formato de solo lectura independiente y dar acceso únicamente al personal pertinente de forma única.
E. BORRADO
Al final del período de retención de datos (incluido el modo activo y el archivo temporal), Pluxee eliminará o anonimizará los datos personales de forma segura.
Si los datos personales han sido sub-procesados por un Procesador, Pluxee debe indicar al Encargado que elimine o devuelva los datos personales a más tardar en la fecha de rescisión del contrato. Pluxee debe exigir al Encargado que proporcione una certificación que confirme la buena supresión de los datos personales.
2. MONITOREO DE LA IMPLEMENTACIÓN EFECTIVA DE LOS PERIODOS DE RETENCIÓN DE DATOS.
Una vez que se haya establecido el período de retención de datos adecuado para un determinado Procesamiento de datos personales (ya sea debido a un requisito legal local o conjuntamente con el propietario de una empresa), Pluxee garantizará el seguimiento de su implementación cumpliendo con los siguientes pasos:
PROPÓSITO SUBYACENTE
PERÍODO DE RETENCIÓN DE DATOS
RECURSOS HUMANOS
Gestión administrativa
Fin del contrato de trabajo + 2 años
Gestión de nóminas
Fin del contrato de trabajo + 5 años
Proceso de reclutamiento
3 años después del último contacto con el candidato
Licencia de ausencia
Fin del contrato de trabajo + 1 año
Gestión de acceso
Máximo de 3 meses
Registros de CCTV
Máximo de 1 mes
Marketing
Base de datos de clientes y posibles clientes con fines de marketing
3 años después del último contacto con el interesado
Encuestas de satisfacción de los clientes
4 años
SEGURIDAD DE TI
Gestión de la seguridad de TI
6 meses
Finanzas
Gestión de facturación
10 años
Contabilidad
10 años
Asegúrese de que el período de retención de datos apropiado se ha registrado correctamente en OneTrust para cada Procesamiento de datos personales; Crear un grupo de trabajo de retención de datos que incluya el punto de contacto único de protección de datos local, el propietario de la empresa en cuestión y el equipo de IS&T para implementar técnicamente el período de retención de datos (incluido el modo activo y el archivo temporal);Elaborar un proceso detallado que incluya los pasos a seguir para eliminar los datos personales y al propietario de cada acción identificada en el proceso por el grupo de trabajo de retención de datos; Reunirse con el grupo de trabajo de retención de datos anualmente para revisar si el período de retención de datos se implementa correctamente y si los datos personales se archivan o eliminan correctamente.
Apéndice 1 – Programa indicativo de retención de datos:
El período de conservación de datos se definirá sobre la base del tratamiento de que se trate. Los siguientes períodos de retención de datos se basan en los requisitos de varias leyes francesas.
CÓMO AYUDAR AL RESPONSABLE A CUMPLIR CON LOS REQUISITOS DE LIMITACIÓN DE ALMACENAMIENTO
A. CUMPLIR CON LAS INSTRUCCIONES DEL RESPONSABLE CON RESPECTO AL PERÍODO DE RETENCIÓN DE DATOS PERSONALES
El Encargado siempre debe cumplir con las instrucciones del Responsable durante el Procesamiento de Datos Personales. Esto también se aplica a la eliminación de los datos personales al final del ciclo de vida del Tratamiento.
Por lo tanto, los datos personales siempre se conservarán y/o eliminarán y/o anonimizarán bajo las instrucciones del Responsable de conformidad con el período de retención de datos personales establecido por el usuario, siempre que dichas instrucciones no entren en conflicto con las leyes locales aplicables.
Por lo tanto, si durante la ejecución del contrato, el Responsable indica además a Pluxee que elimine o devuelva algunos de los datos personales procesados, Pluxee tendrá que cumplir con esta instrucción (siempre que dicha instrucción no entre en conflicto con las leyes locales aplicables).
Pluxee eliminará los datos personales solo de forma segura de acuerdo con la Política de Información y Seguridad del Grupo.
B. RESCISIÓN DEL CONTRATO
Pluxee y sus subprocesadores (si los hubiera) solicitarán al Responsable que determine su elección con respecto a la eliminación o devolución o anonimización de los datos personales. La elección se especificará en el contrato u otro documento vinculante con ese Responsable.
Al finalizar la prestación de los servicios relacionados con el Tratamiento de Datos Personales, Pluxee como Encargado y sus subprocesadores (si los hubiera), actuará de acuerdo con la elección del Responsable expresada en el contrato y eliminará, anonimizará o devolverá todos los datos Personales transferidos y sus copias al Responsable y demostrará que lo ha hecho proporcionando una certificación al Responsable. Esta certificación debe incluir al menos la fecha de eliminación, o anonimización de la lista de datos personales eliminados o anónimos y la firma del propietario de la empresa en cuestión y el responsable de protección de datos o el punto de contacto único de protección de datos local. Si las leyes locales aplicables establecen un período obligatorio de retención de los datos personales y requieren que Pluxee conserve los datos personales en consecuencia, Pluxee garantiza que asegurará la confidencialidad de los datos personales y no procesará activamente los datos personales, excepto para la finalidad para la que se conservan legalmente.
Si el Responsable no ha expresado contractualmente su elección, Pluxee solicitará al Responsable que comunique su decisión con respecto a los datos personales en la fecha de rescisión del contrato, a más tardar.
Por último, Pluxee actuando como Encargado informará a cada entidad de Pluxee a la que se hayan sub-procesado los datos Personales de cualquier supresión o anonimización de los datos y exigirá a cada entidad de Pluxee antes mencionada que haga lo mismo.
Aviso de Protección de Datos – Candidatos
Pluxee Uruguay es un “responsable del tratamiento de datos personales”,
Esto significa que somos responsables de decidir cómo guardamos y usamos su información personal.
Con dirección en: Cebollatí 1470, piso 3, Montevideo, Uruguay, Pluxee SVC Uruguay S.A es parte del grupo de empresas pertenecientes a Pluxee Group. Pluxee fue fundada en Francia y se ha convertido en una empresa internacional que opera en 80 países en todo el mundo. Si un candidato solicita un puesto en Pluxee Uruguay, sus datos personales podrán compartirse con entidades de Pluxee dentro de Espacio Económico Europeo (EEE) y la región Latinoamericana debido, por ejemplo, a gestiones de RR.HH., nómina, legal y TI.
2 PRINCIPIOS DE PROTECCIÓN DE DATOS
2.1 Cumpliremos con la ley de protección de datos. Esto dice que la información personal que tenemos sobre dicho candidato debe ser:
2.2 Utilizada legalmente, de manera justa y transparente.
2.3 Recopilada sólo para fines válidos que le hayamos explicado claramente y no utilizada de ninguna manera que sea incompatible con esos propósitos.
2.4 Relevante para los fines que le hemos dicho y limitado sólo a esos propósitos.
2.5 Precisa y actualizada.
2.6 Se mantiene sólo el tiempo que sea necesario para los fines de los que le hemos dicho.
2.7 Mantenerse seguro.
3. EL TIPO DE INFORMACIÓN QUE OBTENDRÍAMOS SOBRE EL CANDIDATO, COMO LO USAMOS Y LA BASE LEGAL
Tipo de datos
Por qué
Base legal
La información que nos ha proporcionado en su currículum vitae y carta de presentación o registro en línea, incluido el nombre, datos de contacto, historial de empleo y calificaciones, identificación y derecho a trabajar.
Evalúe sus habilidades, calificaciones e idoneidad para el trabajo / rol.
Mantener registros relacionados con nuestros procesos de contratación.
Cumplir con los requisitos legales o reglamentarios.
Pasos para celebrar un contrato
Obligación legal
Intereses legítimos para decidir si contratar
Información de la entrevista, correspondencia y comunicaciones durante el proceso de contratación y los resultados del centro de evaluación / prueba
Evalúe sus habilidades, calificaciones e idoneidad para el puesto.
Comunicarnos contigo sobre el proceso de contratación.
Mantener registros relacionados con nuestros procesos de contratación.
Cumplir con los requisitos legales o reglamentarios.
Pasos para celebrar un contrato
Obligación legal
Intereses legítimos para decidir si contratar
Si corresponde, información de y para agencias involucradas en su reclutamiento
Igual que arriba e incluida la comunicación con la agencia de contratación
Pasos para celebrar un contrato
Obligación legal
Intereses legítimos para decidir si contratar
Referencias y cuando sea relevante para el puesto de trabajo, verificaciones de datos criminales y otras verificaciones de antecedentes
Evalúe sus habilidades, calificaciones e idoneidad para el trabajo / rol
Lleve a cabo verificaciones de antecedentes y referencias, cuando corresponda.
Mantener registros relacionados con nuestros procesos de contratación.
Cumplir con los requisitos legales o reglamentarios.
Pasos para celebrar un contrato
Obligación legal
Intereses legítimos para decidir si contratar y verificar la idoneidad, por ejemplo, si la función es brindar servicios al sector de la salud o la educación o requiere un alto grado de confianza e integridad
Información sobre las condiciones de salud que nos informa
Cuando sea relevante para el puesto de trabajo o para proporcionar ajustes razonables
Interés legítimo y obligación legal de poder proporcionar ajustes y fines de derecho laboral
Información que nos ha proporcionado sobre origen étnico, discapacidad, edad, creencias religiosas, género y orientación sexual / asignación de género
Dónde se recopila para monitorear, promover e informar sobre la igualdad de oportunidades y la diversidad
Interés legítimo en revisar la igualdad y la diversidad, obligación legal y garantizar un seguimiento y presentación de informes significativos sobre la igualdad de oportunidades. Puede pedirnos que no procesemos esta información.
4 SI NO PROPORCIONA INFORMACIÓN
4.1 Si no proporciona información cuando se le solicita, que es necesaria para que consideremos su solicitud (como evidencia de calificaciones o historial laboral), no podremos procesar su solicitud con éxito.
5 COMPARTIR DATOS
Es posible que tengamos que compartir sus datos con terceros, incluidos proveedores de servicios externos y otras entidades del Grupo Pluxee.
Exigimos a terceros que respeten la seguridad de sus datos y que los traten de acuerdo con la ley.
Podemos transferir su información personal fuera de la Unión Europea (UE).
Si lo hacemos, se debe esperar un grado similar de protección con respecto a su información personal.
6 SEGURIDAD DE DATOS
6.1 Hemos implementado las medidas de seguridad adecuadas para evitar que su información personal se pierda, utilice o acceda accidentalmente de forma no autorizada, alterada o divulgada. Además, limitamos el acceso a su información personal a aquellos empleados, agentes, contratistas y otros terceros que tienen una necesidad empresarial de saber. Solo procesarán su información personal según nuestras instrucciones y están sujetas a un deber de confidencialidad.
6.2 Hemos puesto en marcha procedimientos para hacer frente a cualquier sospecha de violación de la seguridad de los datos y le notificaremos al candidato y a cualquier regulador aplicable de una sospecha de violación cuando estemos legalmente obligados a hacerlo.
7 ¿DURANTE CUÁNTO TIEMPO UTILIZAREMOS SU INFORMACIÓN?
7.1 Si no tiene éxito en su solicitud, los registros se mantienen hasta por 12 meses.
7.2 Cuando se realizan ofertas de empleo, la información contractual se retiene durante aproximadamente 20 años después de que finaliza el empleo de acuerdo con los períodos de prescripción legales. Solo conservamos los datos personales durante el tiempo que sea necesario para los fines para los que se procesan, o si es necesario para obligaciones o reclamos legales.
8 SUS DERECHOS
8.1 Sus derechos en relación con la información personal
Pluxee se compromete a garantizar la protección de sus derechos en virtud de las leyes aplicables. A continuación, se encuentra una tabla que resume sus diferentes derechos:
Derecho de acceso
Derecho al olvido
Derecho a la restricción del procesamiento
Derecho a la portabilidad de datos
Derecho a oponerse al procesamiento, incluido el marketing directo **
Retirar el consentimiento para el procesamiento
Derecho a no estar sujeto a decisiones automatizadas *
Derecho a la restricción
Derecho a rectificación
sin intervención humana que tengan efectos legales significativos, a menos que se base en consentimiento o contrato. Si se utiliza la toma de decisiones automatizada en el proceso de contratación, se le informará y tendrá derecho a impugnar la decisión, hacer un comentario o solicitar la intervención humana.
8.2 Para ejercer estos derechos, el candidato puede:
8.2.1 Enviar su solicitud, consulta o actualización periódica de sus datos a través del correo electrónico a privacy.uy@pluxeegroup.com o por escrito al área de 8.2.2 Recursos Humanos de Pluxee Uruguay S.A en la dirección Cebollatí 1470, piso 3, Montevideo, Uruguay.
Tener en cuenta que por lo general es necesario concertar una cita telefónica para discutir su solicitud o consulta.
Las consultas podrán ser atendidas en un tiempo máximo de diez (10) días hábiles contados desde el día siguiente de recepción de la solicitud
Cuando no fuera posible atender la solicitud dentro del plazo establecido, se informará al interesado antes del vencimiento de los 10 días, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso deberá superar los diez (10) días hábiles siguientes al vencimiento del primer plazo.
En caso desee presentar un reclamo podrá registrarlos también por escrito al área de Recursos Humanos de Pluxee Uruguay en la dirección Cebollatí 1470, piso 3, Montevideo, Uruguay.
Los reclamos podrán ser atendidas en un tiempo máximo de diez (10) días hábiles contados desde el día siguiente de recepción del reclamo.
Cuando no fuera posible atender el reclamo dentro del plazo establecido, se informará al interesado antes del vencimiento de los 10 días, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso deberá superar los diez (10) días hábiles siguientes al vencimiento del primer plazo.
En el caso que la información proporcionada en el reclamo sea insuficiente o errónea de forma que no permita su atención, Pluxee podrá requerir dentro de los cinco (5) días siguientes de recibida la solicitud, documentación adicional al titular de los datos personales para atenderla.
Lo que podemos necesitar del candidato. Es posible que necesitemos solicitarle información específica para ayudarnos a confirmar su identidad y garantizar su derecho a acceder a la información (o a ejercer cualquiera de sus otros derechos). Esta es otra medida de seguridad apropiada para garantizar que la información personal no se divulgue a ninguna persona que no tenga derecho a recibirla.
Derecho a presentar una denuncia ante la Autoridad de Control competente
Si no está satisfecho con nuestra respuesta, puede buscar más recursos poniéndose en contacto con su Autoridad de Supervisión competente; La autoridad de control para Uruguay es la Unidad Reguladora y de Control de Datos Personales.. También puede ponerse en contacto con nuestra autoridad supervisora principal, la autoridad supervisora francesa (la «CNIL», www.cnil.fr).
CAMBIOS EN ESTE AVISO DE PRIVACIDAD
Nos reservamos el derecho de modificar este aviso de privacidad en cualquier momento y le notificaremos cualquier cambio tan pronto como sea razonablemente posible. También podemos notificarle de otras maneras, de vez en cuando, sobre cualquier cambio que podamos hacer en el procesamiento de su información personal.
Versión
Fecha
Detalle de cambios
Elaborado por
Revisado por
Aprobado por
01
20.10.20
Creación, implementación.
–
Federico Sánchez –
Analista de Control Interno
Juan Brito – Director de Recursos Humanos