Skip to content

Procedimento de Proteção de Dados das Regras Corporativas Consolidadas (o BCR) da Hydro

Você encontrará aqui a versão pública do BCR da Hydro, que proporciona a base legal para a transferência de dados pessoais dentro das empresas do Grupo Hydro. O BCR é aplicável a todos os dados pessoais dentro do Grupo Hydro que são protegidos pelas leis aplicáveis de proteção de dados da UE.

1 Introdução

Ao realizar seus negócios diários, a Hydro processa dados pessoais relacionados com empregados, clientes, fornecedores e outros parceiros de negócios. Os dados pessoais são transferidos periodicamente entre membros do Grupo Hydro ao longo das atividades empresariais legítimas da companhia.

A Norsk Hydro ASA e todas as Entidades Jurídicas da Hydro sediadas no Espaço Econômico Europeu estão sujeitas às regras da Lei de Proteção de Dados aplicável da UE que contém requisitos estritos relativos ao processamento e à transferência de dados pessoais. Como regra geral, a Lei de Proteção de Dados aplicável da UE não permite a transferência de dados pessoais a países terceiros que não garantam um nível de proteção adequado dos dados pessoais.

Por este motivo, a Norsk Hydro ASA comprometeu-se com o princípio geral de proteção dos dados pessoais no Código de Conduta da Hydro.

O presente Procedimento de Proteção de Dados define como essa proteção deve ser implementada para garantir princípios consistentes e uniformes na Hydro para o processamento de todos os dados pessoais, e estabelecer a base jurídica necessária para a transferência de dados pessoais de Entidades Jurídicas da Hydro sediadas no EEE para Entidades Jurídicas da Hydro sediadas fora do EEE de acordo com a Lei de Proteção de Dados aplicável da UE.

O presente Procedimento de Proteção de Dados está baseado na Lei de Proteção de Dados aplicável da UE e na legislação de proteção de dados da Noruega, que implementa tal Lei de Proteção de Dados aplicável da UE. O presente Procedimento de Proteção de Dados tem como finalidade garantir a conformidade com a Lei de Proteção de Dados aplicável da UE e garantir a as salvaguardas adequadas para a transferência de dados pessoais.

2 Escopo e aplicabilidade

2.1 Escopo

O presente Procedimento de Proteção de Dados está sujeito à responsabilidade do Departamento de Conformidade Corporativo. Este Procedimento de Proteção de Dados forma as Regras Corporativas Consolidadas (BCR), segundo definido na Seção 7.

O presente Procedimento de Proteção de Dados aborda todos os processamentos de dados pessoais pela Hydro protegidos pela Lei de Proteção de Dados aplicável da UE.

As rotinas e requisitos descritos no presente são complementares às medidas de segurança da informação e aos requisitos definidos nos Documentos de Direção da Hydro.

2.2 Aplicabilidade

O presente Procedimento de Proteção de Dados é aplicável a todas as Entidades Jurídicas do Grupo Hydro conforme definido na seção 7, e a todos os empregados da Hydro, incluindo empresas contratadas e outros colaboradores que representem a Hydro. Além disso, Titulares dos Dados de Terceiros deverão ser beneficiados pelos direitos concedidos a eles no presente.

2.3 Implementação

Este Procedimento de Proteção de Dados será parte dos Documentos Orientadores da Hydro no momento da adoção pelo Diretor de Compliance Corporativa da Norsk Hydro ASA.

O Chefe de Privacidade de Dados desempenha o papel de supervisão da implementação e conformidade deste Procedimento de Privacidade de Dados no Grupo Hydro.

2.4 Obrigatoriedade de prestação de contas

De acordo com a propriedade designada de sistemas e aplicativos de TI, a função corporativa ou gestão da Área de Negócios deve garantir que as operações e procedimentos estejam em conformidade com o presente Procedimento de Proteção de Dados quando seja relevante. Isto inclui a responsabilidade por garantir a definição e manutenção da documentação adequada de controle interno, conforme descrito neste Procedimento de Proteção de Dados.

3 Processamento e transferência cobertos por este Procedimento

3.1 Registros e fluxo de dados de TI

O presente Procedimento de Proteção de Dados abrange o processamento e a transferência de dados pessoais empregando sistemas e aplicativos de TI na Hydro que envolvem o fluxo de dados entre Entidades Jurídicas e em todas as fronteiras nacionais. O Chefe de Privacidade de Dados mantém uma lista de todas as Entidades Jurídicas às quais este Procedimento de Proteção de Dados é aplicável, incluindo informações sobre sua localização geográfica.

3.2 Categorias de dados pessoais e finalidades de processamento

Esta seção fornece uma visão geral das categorias de dados pessoais e as finalidades do processamento que são cobertas pelo presente Procedimento de Proteção de Dados.

Dados de gestão de RH

Administrar e gerenciar a relação dos empregados (inclusive candidatos, ex-empregados, empresas contratadas e dependentes)

Dados de administração de TI

Prestar suporte e gerenciar a tecnologia da informação (TI) e a administração e segurança da informação do sistema da informação (SI).

Dados de HSE

Prestar suporte e gerenciar serviços de saúde e ocupacionais, e registro, gerenciar e emitir relatório de informações relacionadas com a saúde, serviço e meio ambiente - HSE (incidentes, problemas, etc.)

Supervisão via vídeo/logs de acesso

Prestar suporte e gerenciar a proteção contra entrada ilegal ou não autorizada em áreas, edifícios ou salas, ou prestar suporte para o controle de equipamento e/ou processos de produção

Dados de relações empresariais

Prestar suporte e gerenciar relações com clientes, fornecedores ou parceiros (internos e externos), bem como processamento de informações em processos de recrutamento

Reclamações

Realizar o acompanhamento de reclamações e preocupações relatadas por empregados

Informações de investigação

Prestar suporte e gerenciar investigações de incidentes e questões (por exemplo, relativas a violação em potencial por empregados das condições empregatícias ou incidentes ou questões que possam afetar a empresa negativamente)

4 Responsabilidades da Hydro ao processar dados pessoais

4.1 Hydro no papel de Controladora

Geralmente, cada entidade jurídica é considerada um Controlador individual que determina a finalidade e os meios de processamento de dados pessoais. Em certos casos, quando a Norsk Hydro ASA determina as finalidades e meios de processamento de dados pessoais no Grupo Hydro, a Norsk Hydro ASA é considerada a Controladora. Quando duas ou mais Entidades Jurídicas determinam as finalidades e meios de processamento de dados pessoais, elas são consideradas Controladoras em conjunto.

Quando uma entidade jurídica que estiver agindo como Controladora contratar um prestador de serviço terceirizado para o fornecimento de serviços que envolvem o processamento de dados pessoais protegidos pelas Leis de Proteção de Dados da UE em nome da Controladora, será necessário elaborar um Acordo de Processamento de Dados de acordo com o Regulamentação Geral de Proteção de Dados.

As bases legais exigidas para a transferência de dados pessoais envolvidos devem ser definidas de acordo com a seção 6 naqueles casos em que uma entidade jurídica no EEE contratar um processador terceirizado situado em Terceiro País para prestar serviços que envolvem o processamento de dados pessoais protegidos sob a Lei de Proteção de Dados aplicável da UE.

4.2 Hydro no papel de Processadora

Uma entidade jurídica pode prestar serviços que envolvem o processamento de dados pessoais em nome de outra entidade jurídica que é considerada Controladora de tais dados pessoais.

No decurso desse processamento, a entidade jurídica que prestar os serviços relevantes será considerada a Processadora que processa os dados pessoais em nome da entidade jurídica que tem a responsabilidade como Controladora. Nesses casos, a entidade jurídica que age como Processadora atua unicamente em nome da Controladora, e deve agir sob a direção da Controladora e de acordo com os requisitos e princípios definidos nos presentes Procedimentos de Proteção de Dados, de acordo com a seção 6. Na extensão do exigido pelas leis de proteção de dados locais aplicáveis, a Controladora deve instruir a Processadora por meio de acordo por escrito segundo os requisitos locais.

5 Princípios-chave do presente Procedimento de Proteção de Dados

Esta seção fornece uma visão geral dos princípios-chave a serem observados pelo Grupo Hydro e seus empregados em relação ao processamento de dados pessoais dentro do escopo do presente Procedimento de Proteção de Dados.

5.1 Obrigação de cumprimento do Procedimento

O presente Procedimento de Proteção de Dados é aplicável a todas as Entidades Jurídicas do Grupo Hydro. Cada entidade jurídica deve estar comprometida com cumprir o presente Procedimento de Proteção de Dados mediante o Código de Conduta da Hydro, e executar os acordos com a Norsk Hydro ASA relativos à responsabilidade a respeito deste Procedimento de Proteção de Dados.

Todos os empregados da Hydro deverão observar as regras no presente Procedimento de Proteção de Dados como parte do Código de Conduta da Hydro e de acordo com as condições empregatícias relevantes.

Os empregados da Hydro que relatarem violações de dados pessoais não sofrerão nenhuma consequência negativa como resultado de tal relato. Onde for o caso, será disponibilizado treinamento adicional em privacidade de dados de acordo com a seção 5.4 do presente Procedimento de Proteção de Dados.

5.2 Direitos do Titular dos Dados

Todos os Titulares dos Dados, cujos dados pessoais estejam sendo processados em conformidade com o presente Procedimento de Proteção de Dados, serão beneficiados pelos direitos deste.

Os direitos do Titular dos Dados incluem o direito de aplicação dos princípios gerais de privacidade definidos na seção 6 do presente Procedimento de Proteção de Dados, incluindo os princípios de:

  • Processamento justo e legal
  • Limitação de finalidade
  • Qualidade e proporcionalidade de dados
  • Processamento legítimo
  • Transparência e informação
  • Direitos de acesso, retificação, exclusão e bloqueio de dados
  • Direito de objetar o processamento
  • Segurança e confidencialidade
  • Restrições de transferência externa para fora do grupo de empresas

Os direitos aplicáveis pelos Titulares dos Dados como beneficiários de terceiros incluem remediações por qualquer violação dos direitos concedidos, e o direito de receber compensação, quando for o caso, de acordo com as leis aplicáveis de Proteção de Dados da UE.

Os Titulares dos Dados podem optar por apresentar uma reclamação perante

  • uma autoridade competente de proteção de dados, ou
  • o tribunal da jurisdição da Norsk Hydro ASA (sedes no EEE) na Noruega, na corte onde está sediada a Controladora ou Processadora no EEE, ou onde o Titular dos Dados tiver sua residência habitual.

Os Titulares dos Dados são incentivados a observar primeiramente os procedimentos de reclamação definidos na seção 5.7 do presente Procedimento de Proteção de Dados antes de apresentar qualquer reclamação às autoridades de proteção de dados ou tribunais competentes.

5.3 Informações aos Titulares dos Dados

Todos os Titulares dos Dados que sejam beneficiados pelo presente Procedimento de Proteção de Dados deverão ter fácil acesso às informações que descrevem seus direitos de privacidade de dados.

As informações serão fornecidas nos seguintes documentos:

  • Código de Conduta da Hydro
    Define os princípios de proteção dos Dados Pessoais para garantir a conformidade com as leis e regulamentos aplicáveis.
  • Declaração de privacidade (interna)
    A declaração de privacidade interna tem como finalidade fornecer informações a todos os empregados da Hydro sobre o processamento de dados pessoais realizado pela empresa. A declaração encontra-se disponível na intranet da Hydro. Na declaração, existe um link para o presente Procedimento de Proteção de Dados.
  • Declaração de privacidade da Hydro (externa)
    A finalidade da declaração de privacidade externa é fornecer informações a pessoas externas que visitam o site Hydro.com e seus subsites. É fornecido um link para outros documentos relevantes, como esta versão pública do Procedimento de Proteção de Dados.
  • Versão pública do Procedimento de Proteção de Dados
    Esta versão pública do Procedimento de Proteção de Dados, que extrai informações não sigilosas, estará disponível no site Hydro.com. Esta versão pública explica as Regras Corporativas Consolidadas (BCR) para o processamento de dados, a base jurídica para a transferência de dados pessoais para outros países, e os direitos relativos a essas regras do Titular dos Dados afetado.

5.4 Treinamento e conscientização

Os programas apropriados de treinamento e conscientização de privacidade de dados na Hydro devem garantir a implementação e conformidade com esta Norma de Proteção de Dados em todas as funções e áreas no Grupo Hydro. O objetivo do treinamento apropriado é fazer com que o presente Procedimento de Proteção de Dados seja conhecido, compreendido e aplicado de modo efetivo em todo o Grupo Hydro.

5.5 Supervisão e conformidade

A Hydro estabeleceu funções internas para monitorar a supervisão e a conformidade com o presente Procedimento de Proteção de Dados. As informações de contato do Chefe de Privacidade de Dados estão disponíveis na seção 8.

5.6 Auditoria e revisão

Para garantir a conformidade com o presente Procedimento de Proteção de Dados, a Hydro irá executar auditorias e revisões referentes à conformidade da Hydro com o Procedimento de Proteção de Dados.

5.7 Tratamento de reclamações

Se um Titular de Dados for da opinião que o processamento de dados pessoais na Hydro não é compatível com o presente Procedimento de Proteção de Dados ou as leis ou regulamentações aplicáveis, o Titular de Dados pode apresentar uma reclamação à Hydro.

A reclamação pode ser feita anonimamente ou usando o nome completo e enviada ao Chefe de Privacidade de Dados, ao Coordenador de Privacidade de Dados ou ao Campeão de Privacidade de Dados, ou à diretoria ou usando o “AlertLine” da Hydro.

A Hydro deverá informar o Titular dos Dados por escrito no prazo de quatro (4) semanas após o recebimento de uma reclamação, informando o resultado do processamento da reclamação. Se, devido à complexidade da reclamação, não for possível responder no período de quatro (4) semanas, a Hydro irá informar o Titular dos Dados de modo correspondente e fornecer uma estimativa cabível para o prazo dentro do qual será fornecida uma resposta. O limite do prazo não deve ser superior a (3) meses a partir do recebimento da reclamação.

O procedimento acima explanado independe do direito do Titular dos Dados de levar um caso às autoridades competentes de proteção de dados ou aos tribunais da jurisdição, de acordo com as seções abaixo.

5.8 Responsabilidade

A Norsk Hydro ASA assume a responsabilidade por quaisquer danos causados por uma entidade jurídica situada fora do EEE resultante de uma violação de salvaguardas, direitos ou remedições adicionais concedidos mediante o presente Procedimento de Proteção de Dados para o processamento de dados pessoais protegidos de acordo com a Lei de Proteção de Dados aplicável da UE e de acordo com o escopo deste Procedimento de Proteção de Dados. Além disso, a Norsk Hydro ASA deverá tomar as medidas necessárias para remediar tais atos de uma entidade jurídica situada fora do EEE e, quando for o caso, pagar a compensação pelos danos resultantes da violação.

A responsabilidade de apresentar a prova cabe à Norsk Hydro ASA e não ao Titular dos Dados. Portanto, quando a Norsk Hydro ASA puder provar que uma entidade jurídica do Grupo Hydro não é responsável pela violação de uma proteção adicional de acordo com o presente Procedimento de Proteção de Dados que resultou no dano reclamado por um Titular dos Dados, ela poderá eximir-se de qualquer responsabilidade.

5.9 Cooperação com autoridades de proteção de dados

A Hydro compromete-se a cooperar com as autoridades de proteção de dados competentes, principalmente por meio da aplicação de recomendações e instruções das autoridades, e respondendo às solicitações das autoridades relativas ao presente Procedimento de Proteção de Dados. As autoridades competentes de proteção de dados podem realizar auditorias a fim de verificar a conformidade com este Procedimento de Proteção de Dados.

O Chefe de Privacidade de Dados será o ponto de contato para a Autoridade de Proteção de Dados norueguesa em todos os assuntos relativos ao presente Procedimento de Proteção de Dados ou ao processamento de dados pessoais na Hydro de modo geral.

5.10 Lei e jurisdição aplicáveis

O presente Procedimento de Proteção de Dados será regido e interpretado de acordo com a Lei de Proteção de Dados aplicável da UE e a legislação de proteção de dados relevante da Noruega na implementação de tal lei.

Os Titulares dos Dados conservarão seus direitos e remediações conforme disponíveis nas suas jurisdições locais em que tal lei local aplicável proporcionar mais proteção que o presente Procedimento de Proteção de Dados. Quando este Procedimento de Proteção de Dados proporcionar mais proteção que a lei local aplicável, ou oferecer salvaguardas, direitos ou remedições adicionais aos Titulares dos Dados, o presente Procedimento de Proteção de Dados deverá prevalecer.

Não obstante a jurisdição da autoridade competente de proteção de dados ou das autoridades governamentais, de acordo com a lei local aplicável, a conformidade com este Procedimento de Proteção de Dados é supervisionada pela Autoridade de Proteção de Dados norueguesa, nomeada Autoridade Líder no processo de aprovação das Regras Corporativas Consolidadas da Hydro de acordo com Lei de Proteção de Dados aplicável da UE. A Autoridade de Proteção de Dados norueguesa está autorizada a orientar a Norsk Hydro ASA sobre a aplicação do presente Procedimento de Proteção de Dados a qualquer momento, e terá faculdades para realizar investigações de acordo com a lei de proteção de dados da Noruega. Na extensão em que a Autoridade de Proteção de Dados norueguesa tem faculdades específicas relativas à aplicação da lei de proteção de dados norueguesa, ela deverá ter faculdades específicas similares para a aplicação do presente Procedimento de Proteção de Dados.

Todas as reclamações ou reivindicações de um Titular de Dados relativas a qualquer direito complementar aos direitos sob a Lei de Proteção de Dados aplicável da UE, e que o Titular dos Dados possa ter mediante o presente Procedimento de Proteção de Dados, devem ser encaminhadas à Norsk Hydro ASA. As reclamações ou reivindicações podem ser levadas, a critério do Titular dos Dados, perante a autoridade competente de proteção de dados no local de residência habitual do Titular dos Dados, seu local de trabalho ou aquele da infração alegada, ou perante os tribunais competentes na jurisdição em que a Controladora ou a Processadora tiverem um estabelecimento, ou no local habitual de residência do Titular dos Dados. Os Titulares dos Dados são incentivados a observar o procedimento de reclamações definido na seção 5.7 do presente Procedimento de Proteção de Dados antes de apresentar reclamações ou reivindicações relativas a tais direitos complementares perante as autoridades de proteção de dados ou aos tribunais.

5.11 Atualização deste Procedimento de Proteção de Dados

A Hydro pode emendar o presente Procedimento de Proteção de Dados, por exemplo, devido a alterações na legislação relevante ou na estrutura jurídica da Hydro. A Norsk Hydro ASA informará anualmente a Autoridade de Proteção de Dados norueguesa em caso de alterações deste Procedimento de Proteção de Dados ou da lista de membros do Grupo Hydro. Caso qualquer emenda possa afetar o nível de proteção ou atingir de modo significante este Procedimento de Proteção de Dados, a Norsk Hydro ASA deverá notificar prontamente a Autoridade de Proteção de Dados norueguesa.

A Hydro comunicará aos Titulares dos Dados quaisquer emendas substanciais a este Procedimento de Proteção de Dados realizando as alterações necessárias nos documentos relevantes, inclusive no Código de Conduta, nas Declarações de Privacidade e neste Procedimento de Proteção de Dados. A versão atual do presente Procedimento de Proteção de Dados deverá estar sempre disponível para todas as Entidades Jurídicas, os empregados da Hydro e terceiros beneficiários.

6 Princípios gerais de privacidade de dados para o processamento de dados pessoais

Os princípios gerais de privacidade de dados a seguir serão aplicados na Hydro de acordo com a Lei de Proteção de Dados aplicável da UE.

Ao implementar o presente Procedimento de Proteção de Dados, incluindo as Regras Corporativas Consolidadas para a transferência de dados pessoais, a Hydro está comprometida a estabelecer rotinas internas de controle e relevantes quando do processamento e transferência de dados pessoais, para garantir a conformidade com estes princípios.

6.1 Processamento justo, legal e transparente

Os dados devem ser processados de modo justo, legal e transparente, e de acordo com os princípios estipulados no presente Procedimento de Proteção de Dados. Isto significa que os dados pessoais deverão ser processados de acordo com a lei e levando em consideração os interesses legítimos do Titular dos Dados ao processar os dados pessoais.

6.2 Especificação e limitação da finalidade

Os dados pessoais deverão ser coletados apenas para as finalidades especificadas, explícitas e legítimas, e não serão processados de modo incompatível com essas finalidades, de acordo com a seção 3.

6.3 Qualidade e proporcionalidade dos dados

Os dados pessoais deverão ser:

  1. adequados, relevantes e limitados aquilo que é necessário em relação às finalidades para as quais foram coletados e/ou processados ("minimização de dados");
  2. acurados e, quando necessário, mantidos atualizados; devem ser realizados todos os passos cabíveis para garantir que os dados inexatos sejam apagados ou retificados sem demora (“precisão”), levando em consideração as finalidades para as quais foram coletados ou continuarão sendo processados;
  3. mantidos em uma forma tal que permita identificar os Titulares dos Dados não por mais tempo que o necessário para as finalidades para as quais os dados pessoais foram coletados, ou para as quais continuarão sendo processados ("limitação do armazenamento").

6.4 Critérios para o processamento legal dos dados pessoais

Os dados pessoais poderão ser processados legalmente apenas se pelo menos uma das bases jurídicas a seguir for aplicável:

  1. Os Titulares dos Dados deram seu consentimento para uma ou mais finalidades. A fim de basear-se no consentimento, é necessário cumprir com a seção 6.12;
  2. O processamento é necessário para a realização de um contrato do qual o Titular dos Dados faz parte ou para tomar medidas a pedido do Titular dos Dados antes de celebrar um contrato;
  3. O processamento é necessário para cumprir com uma obrigação legal à qual a Controladora esteja sujeita;
  4. O processamento é necessário a fim de proteger os interesses vitais do Titular dos Dados ou de outra pessoa física;
  5. O processamento é necessário para executar uma tarefa realizada em interesse público ou no exercício da autoridade oficial da qual a Controladora é revestida; ou
  6. O processamento é necessário para as finalidades dos interesses legítimos buscados pela Controladora ou pelo Terceiro, exceto se esses interesses forem substituídos pelos interesses ou direitos fundamentais e liberdades do Titular dos Dados que exigem a proteção dos dados pessoais de acordo com a Lei de Proteção de Dados aplicável da UE.

6.5 Critérios para a legitimação do processamento de dados pessoais sigilosos

Exceto pelas circunstâncias indicadas abaixo, é proibido processar dados pessoais que revelem a origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas ou associação sindical, e o processamento de dados genéticos, dados biométricos para a identificação única de uma pessoa física, de dados relativos à saúde ou de dados referentes à vida sexual ou orientação sexual de uma pessoa física (Dados Pessoais Sigilosos).

Os Dados Pessoais Sigilosos poderão ser processados legalmente se pelo menos uma das bases jurídicas a seguir for aplicável:

  1. O Titular dos Dados concedeu seu consentimento explícito para o processamento daqueles Dados Pessoais Sigilosos, exceto quando a lei aplicável determinar que a proibição acima não possa ser elevada pelo consentimento dado pelo Titular dos Dados. A fim de basear-se no consentimento, é necessário cumprir com a seção 6.12;
  2. O processamento é necessário para poder executar as obrigações e exercer direitos específicos da Controladora ou do Titular dos Dados no campo de emprego e da lei de seguridade social, desde que seja autorizado pelas leis aplicáveis ou por um acordo coletivo relativo à lei aplicável que determina as salvaguardas adequadas para os direitos e interesses fundamentais do Titular dos Dados;
  3. O processamento é necessário para proteger os interesses vitais do Titular dos Dados ou de outra pessoa física quando o Titular dos Dados for fisicamente ou legalmente incapaz de dar seu consentimento;
  4. O processamento é relativo a dados que foram divulgados publicamente pelo Titular dos Dados ou que sejam necessários para estabelecer, exercer ou defender reivindicações legais; ou
  5. O processamento é permitido de acordo com regras diferentes dos pontos a) - d) acima, que foram definidos de acordo com a Lei de Proteção de Dados aplicável da UE.
  6. O processamento de dados relativos a delitos, condenações penais ou medidas de segurança somente pode ser realizado sob o controle da autoridade oficial, ou se salvaguardas específicas para os direitos e liberdades do Titular dos Dados forem proporcionadas por lei, sujeito a derrogações que possam ser concedidas pela lei aplicável.

6.6 Tomada de decisão automatizada

O Titular dos Dados tem o direito de não ser submetido a decisão baseada unicamente em um processamento automatizado, incluindo a criação de perfil que produza efeitos jurídicos relativos a ele ou a ela ou afete, do mesmo modo, a ele ou a ela, exceto se a decisão:

a) for necessária para estabelecer ou executar um contrato entre o indivíduo e uma entidade jurídica;

b) for autorizada pela lei local aplicável à qual a entidade jurídica está subordinada, e que também estabelece medidas adequadas para proteger os direitos, liberdades e interesses legítimos do Titular dos Dados; ou

c) estiver baseado no consentimento explícito do Titular dos Dados.

Naqueles casos mencionados em a) e c) acima, a entidade jurídica deverá implementar as medidas adequadas para proteger os direitos, liberdades e interesses legítimos do Titular dos Dados, e pelo menos o direito de obter intervenção humana de parte da entidade jurídica para expressar seu ponto de vista e contestar as decisões.

As decisões automatizadas mencionadas nesta seção não devem ser baseadas em Dados Pessoais Sigilosos exceto se a seção 6.5 for aplicável e houver medidas de proteção dos direitos, liberdades e interesses legítimos do Titular dos Dados à disposição.

6.7 Obrigação de informação

Em caso de coleta de Dados Pessoais de um Titular dos Dados, se o Titular dos Dados ainda não tiver as informações, as seguintes informações deverão ser fornecidas:

  1. a identidade e os dados de contato da Controladora e do seu representante, se for o caso;
  2. os dados de contato do chefe de proteção de dados, quando aplicável;
  3. as finalidades do processamento e a base jurídica para tal processamento;
  4. quais finalidades legítimas são perseguidas, quando o processamento estiver baseado na seção 6) f;
  5. os destinatários das categorias de destinatários dos dados pessoais, se for o caso;
  6. quando pertinente, o fato de a Controladora pretender transferir os dados pessoais para um Terceiro País e as bases jurídicas para que essa transferência seja lícita.

Adicionalmente, quando exigido pela Lei de Proteção de Dados aplicável da UE, e se necessário para garantir um processamento justo e transparente, o Titular dos Dados deve receber as seguintes informações adicionais:

  1. o período durante o qual os dados pessoais serão armazenados ou os critérios usados para determinar esse período;
  2. a existência do direito de solicitar acesso, correção, exclusão ou restrição do processamento ou para objetar o processamento, bem como o direito de portabilidade;
  3. quando o processamento basear-se no consentimento do Titular dos Dados, a existência do direito de retirar o consentimento a qualquer momento, sem afetar a legalidade do processamento baseado no consentimento antes da sua remoção;
  4. o direito de apresentar uma reclamação perante a autoridade de proteção de dados;
  5. se o fornecimento dos Dados Pessoais for um requisito estatutário ou contratual, ou se for necessário um requisito para celebrar um contrato, e se o Titular dos Dados for obrigado a fornecer os Dados Pessoais, e as possíveis consequências de não fornecer tais dados;
  6. a existência de tomadas de decisões automatizadas, inclusive a criação de perfis, mencionada na seção 6.6 e, pelo menos nesses casos, informações significantes sobre a lógica envolvida, bem como a significância e as consequências previstas de tal processamento para o Titular dos Dados.

Quando os dados pessoais não tiverem sido coletados do Titular dos Dados, este deverá receber as seguintes informações:

  1. a identidade e os dados de contato da Controladora e do seu representante, se for o caso;
  2. os dados de contato do chefe de proteção de dados, quando aplicável;
  3. as finalidades do processamento e a base jurídica para tal processamento;
  4. as categorias dos dados pessoais em questão;
  5. os destinatários ou categorias de destinatários dos dados pessoais, se for o caso;
  6. quando pertinente, o fato de a Controladora pretender transferir os dados pessoais para um Terceiro País e as bases jurídicas para que essa transferência seja lícita.

Adicionalmente, quando exigido pela Lei de Proteção de Dados aplicável da UE, e se necessário para garantir um processamento justo e transparente, o Titular dos Dados deve receber as seguintes informações adicionais:

  1. o período durante o qual os dados pessoais serão armazenados ou, se não for possível, os critérios usados para determinar esse período;
  2. quais finalidades legítimas são perseguidas quando o processamento estiver baseado na seção 6.4 f);
  3. a existência do direito de solicitar acesso, correção, exclusão ou restrição do processamento relativo ao Titular dos Dados ou para objetar o processamento, bem como o direito de portabilidade;
  4. quando o processamento basear-se no consentimento do Titular dos Dados, a existência do direito de retirar o consentimento a qualquer momento, sem afetar a legalidade do processamento baseado no consentimento antes da sua remoção;
  5. o direito de apresentar uma reclamação perante a autoridade de proteção de dados;
  6. a fonte de onde os dados pessoais são originados e, se aplicável, se são provenientes de fontes públicas;
  7. a existência de tomadas de decisões automatizadas, inclusive a criação de perfis mencionada na seção 6.6 e, pelo menos nesses casos, informações significantes sobre a lógica envolvida, bem como a significância e as consequências previstas de tal processamento para a pessoa.

As informações mencionadas nos parágrafos 3 e 4 acima devem ser fornecidas dentro de um prazo razoável, mas não além de um mês após a obtenção dos dados pessoais ou, se relevante, o mais tardar no momento da primeira comunicação com o Titular dos Dados usando os dados em questão ou no momento da primeira divulgação dos dados. Se o Titular dos Dados já tiver as informações relevantes, podem ser aplicáveis derrogações ou, se não for possível fornecer tais informações ou se isto exigir esforços desproporcionados, ou se houver a probabilidade de impedir seriamente o alcance dos objetivos ou de acordo com a lei aplicável.

6.8 Direitos do Titular dos Dados

6.8.1 Direito de acesso do Titular dos Dados

Todos os Titulares de Dados terão o direito de obter da Controladora:

a) confirmação de se dados relativos a eles estão sendo processados ou não e, se for o caso, o acesso aos dados pessoais processados pela Controladora;

b) informações sobre as finalidades do processamento, as categorias dos dados pessoais em questão, e os destinatários ou categorias de destinatários aos quais os dados são divulgados, principalmente destinatários situados em um Terceiro País. Se a Comissão Europeia não reconhecer esse Terceiro País como com garantia do nível adequado de proteção, o Titular dos Dados terá o direito de ser informado sobre as salvaguardas apropriadas mencionadas na seção 6.10;

c) quando possível, as informações sobre o período previsto durante o qual os dados pessoais serão armazenados ou, se não for possível, os critérios usados para determinar esse período;

d) informações sobre a existência do direito de solicitar da Controladora a retificação ou exclusão dos dados pessoais ou a restrição dos dados pessoais relativos ao Titular dos Dados ou ao objeto de tal processamento;

e) informações sobre o direito de apresentar uma reclamação à Autoridade de Proteção de Dados;

f) se os dados pessoais não tiverem sido coletados do Titular dos Dados, qualquer informação disponível como sua origem; e

g) a existência de tomadas de decisões automatizadas, inclusive a criação de perfis, mencionada na seção 6.6 e, pelo menos nesses casos, informações significantes sobre a lógica envolvida em qualquer processamento automático, bem como a significância e as consequências previstas de tal processamento para o Titular dos Dados.

6.8.2 Direito de retificação acesso do Titular dos Dados

O Titular dos Dados terá o direito de obter da Controladora, sem demora indevida, a retificação de dados pessoais inexatos relativos à sua pessoa. Levando em consideração as finalidades do processamento, o Titular dos Dados terá ainda o direito de ter dados pessoais incompletos completados, inclusive por meio de uma declaração complementar.

6.8.3 Direito de exclusão do Titular dos Dados

Quando exigido pela lei aplicável, o Titular dos Dados terá o direito de obter da Controladora a exclusão dos dados pessoais relativos à sua pessoa sem demora indevida. A Controladora terá a obrigação de atender a tal solicitação excluindo os dados pessoais sem demora indevida quando um dos motivos a seguir for aplicável:

a) os dados pessoais não são mais necessários em relação às finalidades para as quais foram coletados ou processamentos de outra maneira;

b) o Titular dos Dados retira seu consentimento para o processamento e quando não existir outra base jurídica para o processamento;

c) o Titular dos Dados objeta o processamento em relação à seção 6.8.7 (a), e não existem motivos de legítimos que o suplantem para o processamento, ou se o Titular dos Dados objetar o processamento em relação à seção 6.8.7 (b);

d) os dados pessoais foram processados ilicitamente;

e) os dados pessoais têm de ser excluídos para fins de conformidade com uma obrigação legal em uma lei aplicável da UE/EEE à qual a Controladora está sujeita.

O direito de exclusão do Titular dos Dados não é aplicável na medida em que o processamento seja necessário para:

a) exercer o direito de liberdade de expressão e de informação;

b) conformidade com uma obrigação legal que exige o processamento pela lei aplicável da UE/EEE à qual a Controladora está sujeita, ou para executar uma tarefa em interesse público ou no exercício da autoridade oficial investida na Controladora;

c) o estabelecimento, exercício ou defesa de reivindicações legais.

6.8.4 Direito do Titular dos Dados de restrição do processamento

Quando exigido pela lei aplicável, o Titular dos Dados terá o direito de obter da Controladora a restrição do processamento caso uma das seguintes possibilidades seja aplicável:

a) a acurácia dos dados pessoais é contestada pelo Titular dos Dados por um período que permita à Controladora verificar a precisão dos dados pessoais;

b) o processamento for ilegal e o Titular dos Dados se opuser à exclusão dos dados pessoais, e solicitar, em vez disso, a restrição da sua utilização;

c) a Controladora não necessitar mais dos dados pessoais para os fins de processamento, mas eles forem necessários para que o Titular dos Dados estabeleça, exercite ou defenda reivindicações legais;

d) o Titular dos Dados objetou o processamento de acordo com a seção 6.8.7, pendente da verificação de se os motivos legítimos da Controladora anulam aqueles do Titular dos Dados.

Quando o processamento tiver sido restringido de acordo com o parágrafo 1, tais dados pessoais, exceto no caso de armazenamento, serão processados apenas mediante o consentimento do Titular dos Dados ou para estabelecer, exercer ou defender reivindicações legais, ou para a proteção dos direitos ou outra pessoa física ou jurídica, ou por motivos de interesse público relevante da UE/EEE de um país da UE/EEE em que a Controladora esteja sediada. A Controladora deve informar o Titular dos Dados que obteve a restrição do processamento antes de elevar a restrição.

6.8.5 Obrigação de notificação relativa à retificação ou exclusão de dados pessoais ou restrição de processamento

Quando exigido pela lei aplicável, a Controladora deverá comunicar qualquer retificação ou exclusão de dados pessoais, ou a restrição de processamento realizado de acordo com as seções 6.8.2 a 6.8.4 acima a cada destinatário cujos dados pessoais tiverem sido divulgados, exceto se provar que é impossível ou envolve esforços desproporcionais.

Quando exigido pela lei aplicável, a Controladora deve informar o Titular dos Dados sobre aqueles destinatários, caso seja solicitado pelo Titular dos Dados.

6.8.6 Direito de portabilidade do Titular dos Dados

Quando exigido pela lei aplicável, o Titular dos Dados terá o direito de portabilidade dos dados, sendo este o direito de receber os dados pessoais relativos à sua pessoa que ele ou ela tiver fornecido à Controladora em uma forma estruturada, usada habitualmente e legível por máquina, e o direito de transmitir esses dados para outra Controladora sem empecilhos.

6.8.7 O direito do Titular dos Dados de objetar o processamento

O Titular dos Dados tem o direito de objetar a qualquer momento, por motivos relativos à sua própria situação em particular, o processamento de dados relativos à sua pessoa nos casos mencionados na seção 6.4 e) e f), exceto se estabelecido o contrário pela lei aplicável. Isto inclui a criação de perfis com base nessas disposições.

Se um Titular dos Dados objetar o processamento, a Controladora não deverá mais processar os dados pessoais, exceto se:

a) a Controladora demonstrar motivos legítimos convenientes para o processamento que anulem os interesses, direitos e liberdades do Titular dos Dados; ou

b) o processamento for necessário para estabelecer, exercer ou defender uma reivindicação legal.

Em caso de processamento de dados pessoais para fins de marketing direto, o Titular dos Dados terá o direito de objetar a qualquer momento o processamento de dados pessoais relativos à sua pessoa para tal ação de marketing. Isto inclui a criação de perfis à medida que esteja relacionada a tal marketing direto. Quando o Titular dos Dados objetar o processamento para finalidades de marketing direto, os dados pessoais não deverão mais ser processados para tais finalidades.

O direito de objeção deverá ser levado explicitamente ao conhecimento do Titular dos Dados de modo claro e separadamente de outras informações no mínimo quando da primeira comunicação com o Titular dos Dados.

6.9 Segurança e confidencialidade

Medidas técnicas e organizacionais adequadas, incluindo aquelas por elaboração e padrão, deverão ser implementadas para proteger os dados pessoais contra destruição acidental ou ilícita, ou perda acidental, alteração, divulgação ou acesso não autorizados, principalmente quando o processamento envolver a transmissão dos dados por uma rede, e contra todas as demais formas ilícitas de processamento. Considerando o tipo específico e custo da sua implementação, essas medidas devem garantir um nível de segurança apropriado para os riscos representados pelo processamento e a natureza dos dados a serem protegidos.

6.10 Transferência de dados pessoais para terceiros

A transferência de dados pessoais para terceiros inclui situações nas quais a Hydro divulga os dados pessoais para uma pessoa física ou jurídica, ou outro órgão ou instituição que não seja membro do Grupo Hydro, incluindo a transferência de dados pessoais para tais terceiros.

Existem duas categorias de terceiros:

a) Controladores terceiros que processam e determinam os meios de processamento dos dados pessoais (por exemplo, autoridades governamentais, tais como agências tributárias ou prestadores de serviços que prestam serviços diretamente ao Titular dos Dados).

b) Processadores terceiros que processam os dados pessoais exclusivamente em nome da Hydro e sob sua direção (por exemplo, um prestador de serviço que processa folhas de pagamento em nome da Hydro).

Abaixo está uma visão geral dos requisitos de transferência de dados pessoais protegidos pela Lei de Proteção de Dados aplicável da UE.

Transferência para um Controlador Terceiro sediado no EEE

  • A transferência para um Controlador Terceiro sediado no EEE pode ocorrer, desde que:
  • não seja incompatível com a finalidade legítima para a qual os dados foram coletados;
  • esteja de acordo com o princípio de qualidade e proporcionalidade de dados;
  • os critérios de tornar o processamento de dados legítimo sejam preenchidos;
  • as informações relevantes sejam fornecidas ao Titular dos Dados (se aplicável); e

medidas de segurança apropriadas sejam implementadas para proteger os dados pessoais durante a transferência e em relação ao processamento posterior pela parte destinatária.

A lei aplicável pode ter requisitos adicionais e devem ser considerada sempre antes de realizar tal transferência.

Transferência para um Controlador Terceiro sediado fora do EEE

A transferência para um Controlador Terceiro sediado fora do EEE é proibida exceto quando um dos seguintes requisitos for preenchido:

  • o Controlador destinatário está sediado em um país que a Comissão Europeia considerou que tem um nível adequado de proteção, conforme as decisões da Comissão sobre adequação da proteção de dados pessoais em países terceiros, fornecida em: http://ec.europa.eu/justice/policies/privacy/thridcountries/index_en.htm; ou
  • o Controlador destinatário foi certificado de acordo com um programa reconhecido pela Lei de Proteção de Dados aplicável da UE por fornecer um nível “adequado” proteção de dados; ou
  • uma das derrogações para situações específicas de acordo com a Lei de Proteção de Dados aplicável da UE (por exemplo, os Titulares dos Dados concederam seu consentimento explícito com a transferência, ou a transferência é necessária para concluir ou executar um contrato); ou
  • a transferência é regulamentada pelas Cláusulas Contratuais Padrão para Transferência de Dados Pessoais de Controlador para Controlador.

Transferência para um Processador Terceiro sediado no EEE

A transferência para um Processador sediado no EEE pode acontecer, desde que:

  • o Processador proporcione garantias suficientes em relação às medidas de segurança técnicas e às medidas organizacionais que governam o processamento a ser executado; e
  • a execução do processamento por meio de um Processador é regida por um contrato ou ato legal (Acordo de Processamento de Dados) de acordo com os requisitos definidos no terceiro parágrafo da seção 4.1.

Transferência para um Processador Terceiro sediado fora do EEE

A transferência para um Processador sediado fora do EEE é proibida, exceto de acordo com a Lei de Proteção de Dados aplicável da UE:

  • o Processador destinatário está sediado em um país que a Comissão Europeia considerou ter um nível adequado de proteção (com base em uma “decisão de adequação”), ou
  • o Processador destinatário foi certificado de acordo com um programa reconhecido pela Lei de Proteção de Dados aplicável da UE por fornecer um nível “adequado” proteção de dados; ou
  • uma ou mais das derrogações para situações específicas definidas na Lei de Proteção de Dados aplicável da UE (tais como os Titulares dos Dados concederam seu consentimento explícito com a transferência, ou a transferência é necessária para concluir ou executar um contrato, etc.); ou
  • a transferência é regulamentada pelas Cláusulas Contratuais Padrão para Transferência de Dados Pessoais de Controlador para Processador;
  • e as seguintes condições são cumpridas;
  • o Processador proporciona garantias suficientes em relação às medidas de segurança técnicas e as medidas organizacionais que governam o processamento a serem executados;
  • a execução do processamento por meio de um Processador é regida por um contrato ou ato legal (Acordo de processamento de dados) de acordo com o Artigo 28 (3) de Regulamentação Geral de Proteção de Dados.

6.11 Demonstração de conformidade

Cada entidade jurídica que atua como Controladora deverá ser responsável e capaz de demonstrar conformidade com o Procedimento de Proteção de Dados.

Se houver a probabilidade de um tipo de processamento resulte em alto risco para os direitos e liberdades de pessoas físicas, o Controlador deverá executar uma avaliação do impacto das operações de processamento previstas quanto à proteção de dados pessoais antes do processamento (avaliação do impacto sobre a proteção de dados). Se a avaliação de impacto da proteção de dados indicar que o processamento resultaria em alto risco na ausência de medidas tomadas pelo controlar para mitigar o risco, o Controlador deverá consultar a autoridade supervisória competente antes do processamento.

6.12 Condições para o consentimento

Se o consentimento for requerido ou apropriado como base legal mediante a lei aplicável para o processamento de dados pessoais ou processamento de dados sigilosos, são aplicáveis as seguintes condições:

a) O Controlador deve ser capaz de demonstrar que o Titular dos Dados consentiu com o processamento dos seus dados pessoais. Quando o processamento é realizado a pedido do Titular dos Dados, é considerado que ele ou ela concedeu seu consentimento para o processamento;

b) O Controlador deve informar o Titular dos Dados de acordo com as provisões estabelecidas na seção 6.7 supracitada;

c) Se o consentimento do Titular dos Dados for concedido no contexto de uma declaração por escrito que também diga respeito a outros assuntos, a solicitação do consentimento deve ser apresentada, se a lei aplicável assim o exigir, de forma que seja claramente diferenciável de outros assuntos de modo inteligível e facilmente acessível utilizando uma linguagem clara e simples; e

d) O consentimento deve ser usado apenas quando houver a probabilidade de ser válido como uma base legal para o processamento. Por isto, com respeito às relações empregatícias, o consentimento não deve ser usado como base legal, exceto se estiver claro que é dado livremente. Normalmente, isto acontece quando o Titular dos Dados participa voluntariamente de uma pesquisa ou de eventos organizados pela Hydro ou se inscreve em boletins informativos da Hydro.

e) O Titular dos Dados pode retirar seu consentimento a qualquer momento, e deverá, quando a lei aplicável assim o exigir, ser informado sobre seu direito de retirar o consentimento. A retirada do consentimento não deve afetar a legalidade do processamento com base nesse consentimento antes da sua revogação. Deve ser tão fácil retirar como conceder o consentimento.

7 Definições

Exceto se indicado especificamente, quando relevante, as seguintes definições deverão ser interpretadas em consistência com as definições estabelecidas na Lei de Proteção de Dados aplicável da EU, e ter o mesmo significado que essas:

Lei de Proteção de Dados aplicável da UE

A Lei de Proteção de Dados aplicável da UE refere-se à Diretriz da UE 95/46/CE e ao Regulamento da UE 2016/679 (Regulamento Geral de Proteção de Dados), que anula a Diretriz 95/46/CE.

Regras Corporativas Consolidadas (BCR)

Regras Corporativas Consolidadas refere-se ao conjunto de regras de proteção de dados aprovadas pelas autoridades de proteção de dados da UE que são legalmente vinculativas para todos os membros de um grupo de empresas, e reforçadas por estes, inclusive seus empregados, e que, sob a Lei de Proteção de Dados aplicável da UE, fornece o nível adequado de proteção para a transferência de dados pessoais dentro daquele grupo de empresas. O presente Procedimento de Proteção de Dados constitui o BCR da Hydro.

Área de Negócios

Área de Negócios é uma divisão de operações da Hydro com atividades empresariais principais em comum, conforme descrito no site da Hydro. As Áreas de Negócios estão divididas em unidades de negócios quando aplicável, e podem representar uma ou mais Entidades Jurídicas sediadas em um ou mais países.

Consentimento

Consentimento pode significar uma indicação livremente dada, específica, informada e inequívoca do desejo do Titular dos Dados, por meio do qual ele ou ela indica sua concordância com o processamento de dados pessoais relativos à sua pessoa por meio de uma declaração ou de uma ação afirmativa.

Controlador

Controlador é uma entidade jurídica que determina as finalidades e os meios de processamento de dados pessoais do Titular dos Dados independentemente de se o processamento é realizado por e em uma entidade jurídica ou por um Processador externo.

Chefe de Privacidade de Dados

O Chefe de Privacidade de Dados é a pessoa que deve supervisionar a implementação do Procedimento de Proteção de Dados, e que é responsável pelo monitoramento geral da conformidade da privacidade de dados no Grupo Hydro.

Coordenador de Privacidade de Dados

O Coordenador de Privacidade de Dados significa a equipe específica que recebeu a responsabilidade de monitorar e coordenar a conformidade da privacidade de dados em certa função empresarial ou Área de Negócios da Hydro.

Acordo de Processamento de Dados

O Acordo de Processamento de Dados é um contrato que regulamenta como o Processador pode processar dados pessoais em nome do Controlador.

Titular dos Dados

Titular dos Dados é a pessoa física identificada ou identificável a quem os dados pessoais que estão sendo processados se referem. O Titular dos Dados pode ser, por exemplo, um empregado da Hydro, um consultor externo que trabalha para a Hydro ou uma pessoa que se candidata a um emprego na Hydro.

Espaço Econômico Europeu (EEE)

EEE significa Espaço Econômico Europeu, ou seja os Estados membros da UE juntamente com os estados da EFTA countries (Liechtenstein, Islândia e Noruega).

Hydro (Grupo Hydro)

Para os fins do presente Procedimento de Proteção de Dados, Hydro ou Grupo Hydro (ou Grupo de empresas Hydro) referem-se à Norsk Hydro ASA e a todas as Entidades Jurídicas. O termo Hydro refere-se ao todo o Grupo Hydro de empresas ou a cada membro do Grupo Hydro, conforme for o caso.

Entidade Jurídica

Para os fins do presente Procedimento de Proteção de Dados, Entidade Jurídica é uma filial de plena propriedade da Norsk Hydro ASA, bem como outras entidades jurídicas controladas direta ou indiretamente pela Hydro com mais de 50% dos direitos de voto, e que adere ao Código de Conduta da Hydro e aos Documentos de Direção da Hydro.

Campeão de Privacidade de Dados

Campeão de Privacidade de Dados refere-se à equipe designado no nível relevante na Hydro com tarefas para garantir a implementação e o gerenciamento do Procedimento de Proteção de Dados e a conformidade com este em uma determinada área, unidade ou função.

Dados Pessoais

Dados Pessoais refere-se a qualquer informação relacionada com uma pessoa física identificada ou identificável direta ou indiretamente, principalmente fazendo referência a um identificador, como um nome, número de identificação, dados de localização, identificador online ou a um ou mais fatores específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa física.

Processamento de Dados Pessoais

Processamento significa qualquer operação realizada com ou usando Dados Pessoais por meios automáticos ou não, tais como a coleta, registro, alinhamento, armazenamento e divulgação, ou uma combinação de tais usos. A definição é tecnologicamente neutra e inclui o processamento total ou parcial de dados pessoais com a ajuda de computadores ou equipamentos similares que sejam capazes de processar dados pessoais automaticamente. A definição inclui também o registro manual ou sistemas de arquivamento, caso estejam incluídos dados pessoais.

Processador

Processador é qualquer pessoa física ou jurídica, autoridade pública, agência ou outro órgão que processa dados pessoais em nome de um Controlador. Entre os exemplos de Processadores estão prestadores de serviços de TI ou parceiros de outsourcing da Hydro. Uma entidade jurídica da Hydro (como a Norsk Hydro ASA) pode agir como Processadora interna, que processa os dados pessoais em nome de outra entidade jurídica que atua como Controladora.

Dados Pessoais Sigilosos

Dados Pessoas Sigilosos são todos os dados pessoais que revelam a origem técnica ou racial, opiniões políticas, religiosas ou crenças filosóficas, associação sindical, dados genéticos, dados biométricos (para a identificação exclusiva de uma pessoa física), de saúde, vida sexual ou orientação sexual ou delitos e condenação criminosa.

Cláusulas Contratuais Padrão (SCC)

As Cláusulas Contratuais Padrão ou SCC (na sigla em inglês) são contratos de proteção de dados adotados pela Comissão Europeia para serem executados entre um Controlador sediado em um país membro do EEE e um Controlador ou Processador em um Terceiro País, a fim de fornecer a base jurídica para a transferência de dados pessoais de um país membro do EEE para um Terceiro País.

Terceiro País

Terceiro País refere-se a um país fora do EEE, ou seja, todos os países exceto os Estados membros da UE e os países da EFTA (Liechtenstein, Islândia e Noruega).

Terceiro

Para as finalidades do presente Procedimento de Proteção de Dados, Terceiro refere-se a qualquer pessoa, organização privada ou órgão governamental fora da Hydro.

Transferência

A Transferência inclui qualquer divulgação, cópia ou movimentação de dados pessoais que estão em processamento ou destinam-se a processamento após a divulgação, cópia ou movimentação de uma Entidade Jurídica para outra Entidade Jurídica ou para um Terceiro, independentemente do tipo de meio ou medidas técnicas usadas para acessar os dados pessoais.

8 Contato

Chefe de Privacidade de Dados pode ser contato por:

E-mail: Line.Schartum-Hansen@hydro.com

Endereço postal: Norsk Hydro ASA, Drammensveien 264, Oslo, Noruega

9 Data de entrada em vigor e última atualização

Data de entrada em vigor: 24 de maio de 2018

Última atualização: 24 de maio de 2018