隐私政策
前言
DIASE CONSTRUÇÕES LTDA(DIASE建筑有限公司)在建筑行业开展业务,严格遵守巴西《通用数据保护法》第13.709/2018号法案(Lei Geral de Proteção de Dados - “LGPD”)规定的隐私与数据保护最佳实践。因此,隐私管理系统(SGP)团队与个人数据保护负责人(DPO)共同制定了本政策,旨在服务于我们的外部公众。
隐私与个人数据保护是DIASE企业文化中重要的价值观之一。公司设有隐私管理系统(SGP)部门,负责执行个人数据隐私与保护治理计划。
本隐私政策体现了DIASE在数据处理过程中秉持的道德、诚信、责任与透明原则,始终依据《通用数据保护法》及相关法规执行。
目的
在本政策中,DIASE将:
• 说明其如何收集、使用、共享、存储以及进行其他法律规定的数据处理活动;
• 建立面向网站用户、自然人客户与合作伙伴、在职与离职员工及其他数据主体的个人数据处理准则;
• 告知数据主体其在个人数据方面的权利,以及如何向DIASE行使这些权利;
• 提供与隐私管理系统(SGP)团队及数据保护负责人(DPO)的沟通渠道;
• 承诺依据LGPD与相关法规,保障个人数据的隐私与安全。
需特别说明,DIASE还制定有一份《内部隐私政策》,更广泛、具体地规范了对公司内部员工(覆盖组织结构各级)、第三方与服务供应商个人数据的处理。
基本概念
为帮助您理解本政策中涉及的术语,DIASE提供以下定义:
通用数据保护法(LGPD): 规范个人数据保护活动,旨在保障数据主体的自由、隐私与个人发展的基本权利,包括在数字环境中。
隐私: 个体保留其个人信息与生活私密的权利。
保护: 确保隐私权利被尊重的相关数据保护流程与手段。
处理方: 包括数据控制者与数据操作方。控制者是对数据处理活动做出决策的自然人或法人,操作方是在控制者指令下进行数据处理的自然人或法人。
数据主体: 即“您”,数据与信息所指向或归属的自然人,可能是网站用户、自然人客户或合作伙伴、在职/离职员工等。
个人数据: 可以识别或可被识别的自然人的信息。
敏感个人数据: 可能导致歧视的个人数据,如种族或族裔、宗教信仰、政治观点、健康状况、生物特征等信息。
个人数据处理: 对个人数据进行的任何操作,如收集、生成、接收、分类、使用、访问、复制、传输、分发、处理、归档、存储、删除、评估、控制、修改、通信、转移、传播或提取等。
目的: 出于合法、具体、明确且事先通知的数据处理目的,禁止后续处理与原目的不符。
同意: 数据主体对特定目的下数据处理活动的自由、知情和明确授权。
严格必要性: 数据处理仅限于实现预期目的所需的最小范围,确保数据的相关性、适度性且不过度。
隐私与数据保护文化: 反映各方对个人数据处理的尊重与责任的一系列价值观、行为、态度与行动。
个人数据保护负责人(DPO): 由DIASE指派的自然人或法人,作为数据主体、机构与国家数据保护局(ANPD)之间的沟通桥梁。
国家数据保护局(ANPD): 负责监督、执行和推动LGPD落地的国家公共管理机关。
法律依据: LGPD中授权进行个人数据处理的合法情形,是所有数据处理操作的法律基础。
隐私管理系统(SGP): DIASE设立的部门,负责执行公司个人数据隐私与保护治理计划。
合规部门(Compliance): DIASE设立的部门,负责公司《合规手册》与《行为守则》的执行。
一般规定
I - 通过网站
为了更准确地使用本网站(https://www.diase.com.br),建议您仔细阅读本《隐私政策》,以了解 DIASE 如何处理个人数据。
本网站仅为机构展示用途,其主要目的并非收集用户的个人数据,也不会用于分析用户偏好或建立用户画像。
您继续访问本网站,即表示您已同意本网站的使用条款与数据处理操作。如不同意相关条款,请立即停止使用该平台。
II - 内部
DIASE 员工在阅读本《隐私政策》时,应同时参阅公司内部网络上发布的《隐私与个人数据保护政策》。
关于“数据主体”的分类,在 https://www.diase.com.br 网站中仅为简化性与示例性的说明,因此并不涵盖与个人数据处理相关的全部信息。
无论是网站访问者还是 DIASE 内部处理情形,本机构始终秉持对数据主体的尊重,保障数据处理的透明性,坚决反对任何形式的歧视行为。
最后,DIASE 不使用任何自动化决策程序或机制。
隐私与个人数据保护文化
DIASE 所践行的隐私与个人数据保护文化,体现于公司内外所有相关数据处理活动与实践中。
我们将其视为企业与社会责任的重要组成部分,不仅有助于 DIASE 在行业中树立差异化竞争优势,也鼓励所有合作方在日常行为中自发地、无繁文缛节地,养成对个人数据负责的处理习惯。
培训
为了不断提升数据保护文化的有效性与覆盖范围,DIASE 向公司所有层级员工,包括新入职员工,提供由隐私管理系统(SGP)负责的系统性培训。
这些培训通过能力建设会议、研讨会、入职培训等形式进行,并全程记录。培训内容将根据需要进行更新,以确保信息的时效性与准确性。
通过培训,DIASE 旨在传达以下目标:介绍 SGP 与 LGPD 的要点、提升员工能力、加强意识、简化理解、提供操作指导等。
收集准则
为维护隐私和个人数据保护的高标准,DIASE 所有的数据收集活动均严格遵守《通用数据保护法》(LGPD)及相关法规,确保尊重数据主体的隐私权并保障信息安全。
在 DIASE,个人数据的收集主要通过以下方式进行:
I - 通过网站
• 联系方式表单: 通过“联系我们”页面,您可以填写个人信息(如姓名、电子邮箱、电话、城市、州)以便与 DIASE 联系。如不愿填写,可选择直接拨打电话:(11) 4195-4898。
• 加入我们(招聘):该页面依照 LGPD 标准处理个人数据,但其操作与数据处理由 Quickin 公司负责,通过链接 https://jobs.quickin.io/diase/apply 进行。
Quickin 有其独立的隐私政策,详见:https://www.quickin.io/politica-de-privacidade。
您应自行阅读并决定是否同意 Quickin 的数据处理条款,DIASE 并不强制您填写求职申请。
• 合规透明沟通渠道: 举报行为无需强制实名。
如您选择实名,系统将记录姓名与联系方式(电话或电子邮箱)。建议阅读举报系统说明: https://www.helloethics.com/diase/pt/upload/tupv.pdf
网站上所有表单的填写均为您自愿行为,并非浏览平台的强制条件或先决要求。
II - 内部
在 DIASE 内部物理与管理环境中,数据收集形式多样,例如:
• 合同签署、服务执行、招聘与选拔(合同前阶段): 针对每项涉及个人数据处理的活动,DIASE 均设有明确的操作规范,确保符合法律规定和隐私保护标准。
根据服务性质和目的的不同,DIASE 会处理其他类型的个人数据和不同类别的主体数据,但出于保密与企业机密考量,未在本政策中逐一列明。
为了确保数据处理行为合法、必要且不过度,DIASE 遵循“最低必要性”原则,仅在实现特定目的所必需的范围内收集数据,避免不必要的处理。
必要且不可或缺的个人数据
必要且不可或缺的个人数据,是指依照 LGPD 要求,出于特定目的而进行的、适度且非过度的个人信息处理行为。
以下为部分示例:
| 目的 | 必要且不可或缺的个人数据 |
| 联系潜在用户 | 姓名、电子邮箱、电话、城市、州 |
| 简历评估 | 姓名、电子邮箱、电话、城市、州、教育与职业信息等 |
| 提交合规部门举报 | 姓名与联系方式(电子邮箱或电话) |
| 起草劳动合同 | 姓名、身份证、税号(CPF)、驾照(CNH)、工作证(CTPS)、公积金(FGTS)、社会保险号码(PIS)、居住证明、国籍、婚姻状况、入职体检结果、银行账号等 |
| 劳动合同正式备案 | 姓名、身份证、税号、驾照、工作证、公积金、社会保险号码、地址、国籍、婚姻状况、职位、部门、工作时间等 |
| 记录电子打卡与控制门禁 | 指纹识别等生物信息 |
| 视频监控 | 图像、视频、音频 |
儿童与青少年的个人数据
I - 通过网站收集
网站所提供的服务并不面向0至未满18岁的个人数据主体,因此我们郑重声明:DIASE无意处理此类群体的数据。
一旦确认存在该类用户,其个人数据将立即删除,无需监护人或法定代表人的授权或同意,因为DIASE并无保留该信息的任何意图。
我们强调,在用户主动联系前,DIASE无法辨别其年龄。
为遵守《巴西通用数据保护法》(LGPD) 中关于“联系目的”的法律原则,我们不收集申请人的出生日期或年份,因该类数据在此目的下被视为不适当和过度的。因此,DIASE不进行此类数据处理。
II - 公司 内部
DIASE公司雇佣体系中包含青少年学徒制度,因此可能会依法处理部分青少年的个人数据。对此,公司承诺对其个人数据采取必要的保护措施,确保这些数据主体的隐私权利和合同执行的合法性。
无论是在网站平台上,还是公司内部,如涉及儿童或青少年数据处理,DIASE始终坚持以保护其最大利益为原则,严格依照现行法律执行,特别是《LGPD》第14条以及《儿童与青少年法》(ECA) 的相关规定。
法律依据(合法性基础)
法律依据是指《LGPD》所规定的,合法处理个人数据的情形或前提条件。
以下为常见的数据处理目的及其对应法律依据示例:
| 目的 | 法律依据 |
| 签订合同、提供服务、招聘甄选(合同前阶段)、市场营销、商业谈判等。 | 合同履行和/或合同前必要措施。 |
| 联系感兴趣方、合规举报、代表子女(12岁以下)行为,或法律要求同意的情形。 | 同意。 |
| 司法、行政或仲裁上的抗辩。 | 履行法律或监管义务。 |
| 入职、离职、休假、请假、解雇、健康证明、纳税、家属信息、考勤、发放福利等。 | 履行法律或监管义务。 |
| 视频监控用于保护数据主体及其人身安全。 | 保护生命和人身安全。 |
| 当符合相应情形时。 | 合理合法利益(正当利益)。 |
向第三方共享
通过DIASE网站提供的个人数据并非主要用于对外共享,
但在以下情况中可能会发生第三方共享:
• 若涉及服务供应商, 例如用户通过Quickin系统填写个人信息申请职位,或通过Hello Ethics系统实名举报合规事项。
• 针对DIASE公司内部业务, 如合同签订、服务提供等,个人数据可能与第三方共享,例如政府机构(e-Social、劳工部、社会保障局、税务局、银行等)及私营机构(客户、合作伙伴、供应商等),并始终遵循相关法律规定。更多细节请参阅DIASE公司内网的《隐私与个人数据保护政策》。
• 在法律义务或有权机关命令下,亦可能例外进行数据共享。
国际传输
的部分系统可能托管于境外服务器,构成国际数据传输。
对于此类情况或其他跨境处理行为,DIASE强调其承诺:优先选择符合巴西法律安全标准的服务供应商和合作方,尤其依照ANPD的监管,并优先与数据保护法规完善的国家合作。
在缺乏具体规范的情况下,DIASE仅依据《LGPD》第33条第九项进行国际数据传输,确保对方机构遵循国际数据保护法,如:欧盟《通用数据保护条例》(GDPR),美国《加州消费者隐私法》(CCPA) 和《弗吉尼亚消费者数据保护法》(CDPA),澳大利亚《隐私法案》(The Privacy Act)。
数据保留期限与处理终止
会根据所需实现目的的合理期限使用并保留个人数据,遵循其完整的数据生命周期。
为设定合理的保留期,公司参照以下标准:
| 保留目的 | 处理终止说明 |
| 分析DIASE网站中填写的联系表单,回复意向方。自填写之日起30个工作日内有效,逾期即视为数据处理终止,并永久删除数据。 | 如因正当目的需延长数据保留期限,DIASE将告知数据主体新的目的,并在需要时重新征求其同意,严格遵循LGPD条款。 |
在无需同意作为法律依据的情况下,公司将继续尊重数据主体的隐私权,但无须另行通知数据主体有关延长期限的原因。为保护数据隐私,DIASE承诺:采用标准化、安全的数据存储方式;避免数据冗余;
当法律依据不依赖于数据主体的同意时,DIASE仍将恪守其对个人数据隐私与保护的承诺,但无需在数据保留期限延长前后通知数据主体其继续存储数据的理由。
秉持对隐私和数据保护的高度重视,DIASE确保以规范化和有条理的方式保存个人数据,避免重复存储,并采用业内认可的高品质、安全设备与系统来保障数据安全。
技术与行政保障措施
DIASE为保障数据安全,采取了一系列技术性与管理性防护措施,包括:
为达成上述目标,DIASE采取了灵活且先进的管理方法,不断提升员工与合作伙伴在隐私文化方面的意识,同时持续投资于市场上以质量与安全性著称的设备与系统。
此外,DIASE在日常运营中实施了防止未经授权访问的安全措施,以确保信息的绝对保密性,确保只有授权人员才能处理个人数据。
任何人员若不当使用信息或违反信息安全政策及其他相关内部政策,将依法受到相应的行政纪律处分或法律制裁。
值得强调的是,DIASE在信息处理方面遵循良好实践原则,拥有一套已登记、实施并持续被审查与更新的政策、条款、流程与操作程序。
所有使用的技术与设备均符合现行法律法规,并遵循本政策及其他内部规范文件的要求。
以下是DIASE为保障信息与个人数据操作安全而采取的部分技术性与组织性安全措施示例:
• 使用强密码与定期更新机制,并控制公司设备的访问权限;
• 安装并维护防火墙与防病毒软件;
• 防止未授权访问,并通过访问权限矩阵进行控制;
• 所有员工、供应商、客户与合作方的合约中均含有LGPD合规要求的相关条款;
• 所有相关政策与流程文件对内部员工及利益相关方公开可查。
违规行为、事故与数据泄露
DIASE在处理所有个人数据时均遵循良好的安全实践。
公司采取必要的预防性程序,遵守法律、技术规范、内部规章及适用法规中已设定的安全标准。
为提升数据保护水平,DIASE在其已发布的程序中设立了以下相关表单:
• 《隐私与个人数据保护风险评估表》及《隐私与数据保护合规性核查记录》,以实现“从设计之初即考虑隐私”;
• 涵盖如何向SGP部门报告疑似或已确认的个人数据泄露事故的培训;
• 《隐私事故记录与通报表》等。
数据主体权利
数据主体可依照《通用数据保护法》(LGPD)免费行使其权利,包括:
• 获取其个人数据是否被处理的确认;
• 获取所收集数据的相关信息,并可要求更正不完整、不准确或过时的数据;
• 在删除其个人数据之前,随时撤回已给予的同意;
• 获悉拒绝提供同意的可能性及其后果;
• 要求匿名化、屏蔽或删除不必要、过度或处理不符合法律规定的数据等。
需强调的是,在部分特殊情况下,如法律或司法机构明确授权,个人数据将不会被删除。
出于法律或形式上的原因,数据主体的请求有可能被拒绝,
例如:
• 形式原因:数据主体无法证明自身身份;
• 法律原因:根据法律依据DIASE有权拒绝数据删除请求以行使其合法权利。
法律原因的示例包括:
• 请求可能侵犯DIASE或其关联方的知识产权或商业机密;
• 请求可能侵犯第三方隐私;
• 涉及数据聚合或交叉使用限制;
• 为遵守法律、法规义务,或确保DIASE及其关联方在司法、行政或仲裁程序中能正常行使权利,而需保留相关数据。
若在履行数据主体请求时已竭尽全力但仍无法满足要求,DIASE将提供合理解释,并将该解释记录在案,遵守与新请求相符的个人数据保留期限。
数据主体权利请求表单
如欲行使上述权利,数据主体应访问以下链接填写申请表: https://forms.microsoft.com/r/AHdnPHBB5c
在DIASE的SGP部门确认收到申请后,将于15个自然日内给予答复。
数据主体有权免费提出请求,但需证明其身份,以防止事件或数据泄露。
如由法定代表人或监护人提出申请,需提供其身份证明及授权书或其他有效证明文件。
通信渠道
DIASE设有专门渠道供数据主体、供应商、合作伙伴、客户及其他相关方,就个人数据隐私与保护事宜向SGP部门及DIASE的数据保护负责人(DPO)提出请求或咨询。
数据保护负责人(DPO)
数据保护负责人是DIASE指派的代表,负责与数据主体、巴西国家数据保护局(ANPD)及公司内部进行沟通协调,其职责在处理涉及个人数据的事务中具有重要意义。
姓名: Alexandre Mello
职务:隐私管理与信息技术系统负责人
联系邮箱: dpo@diase.com.br
适用法律法规
本文件依据以下巴西法律法规编制,并确保合规性: 巴西联邦法第13.709/2018号(《通用数据保护法》LGPD); 巴西联邦法第12.965/2014号(《互联网民事框架》); 巴西联邦法第8.078/1990号(《消费者保护法》); 1988年《巴西联邦共和国宪法》。此外,还将视情遵守未列于本段中的其他相关法规。
隐私政策信息
| 修订版本 | 生效日期 | 说明 |
| 00 | 01/10/2020 | 隐私政策初次发布 |
| 01 | 15/03/2024 | 政策全面更新 |
| 02 | 31/03/2025 | 政策全面修订 |
下一次预定修订时间为:2026年3月31日。
如有需要,本政策可在上述日期前提前更新,以保障个人数据的安全或因数据处理目的发生变化。此类更新将通过数据主体提供的联系方式通知其本人,前提是其个人数据仍保存在DIASE数据库中。
| 编制人: Jéssica Laine Antunes | 批准人: Alexandre Melo |