1) OBJETIVO

Estipular as diretrizes pelas quais a Associação da Igreja Metodista da 6ª Região procura garantir a segurança e o sigilo das informações, em especial as de caráter pessoal, para o desenvolvimento de suas atividades, tendo como alvo a maturidade do Programa de Governança da Privacidade e Proteção de Dados instituído, a fim de estar sempre adequada ao que exigido pelo novo cenário mundial no que tange ao processamento, guarda e coleta de dados pessoais.

2) ABRANGÊNCIA

Esta Política se aplica a todos(as) os(as) colaboradores(as), pastores(as), voluntários(as) e membros associados, terceiros, pessoas naturais e/ou jurídicas (e os empregados destes destacados para prestar serviços à Associação), fornecedores e agentes públicos, especialmente os que utilizam informações pessoais.

3) DOCUMENTOS E LEGISLAÇÃO DE REFERÊNCIA

• Política de Acesso a Arquivos e Equipamentos de Informática.
• Manual de Integração do Colaborador
• Plano de Reação a Incidentes (Data Breach Incident Plans – DBIP).
• Constituição da República Federativa do Brasil de 1988, art. 5º, inc. X, XII e XIV.
• Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE – General Data Protection Regulation (GDPR).
• Lei Federal n. 13.709/2018 – Lei Geral de Proteção de Dados (LGPD).
• Lei Federal n. 12.965/2014 – Marco Civil da Internet.
• Decreto Lei n. 5.452, de 1º de maio de 1943 – Consolidação das Leis do Trabalho (CLT).
• Decreto n. 8.373, de 11 de dezembro de 2014 – Institui o Sistema de escrituração Digital das Obrigações Fiscais, Previdenciárias e Trabalhistas (e-Social) e dá outras providências.
• Lei Federal n. 13.874, de 20 de setembro de 2019 – Institui a Declaração de Direitos de Liberdade Econômica; estabelece garantias de livre mercado; altera as Leis nos 10.406, de 10 de janeiro de 2002 (Código Civil), 6.404, de 15 de dezembro de 1976, 11.598, de 3 de dezembro de 2007, 12.682, de 9 de julho de 2012, 6.015, de 31 de dezembro de 1973, 10.522, de 19 de julho de 2002, 8.934, de 18 de novembro 1994, o Decreto-Lei nº 9.760, de 5 de setembro de 1946 e a Consolidação das Leis do Trabalho, aprovada pelo Decreto-Lei nº 5.452, de 1º de maio de 1943; revoga a Lei Delegada nº 4, de 26 de setembro de 1962, a Lei nº 11.887, de 24 de dezembro de 2008, e dispositivos do Decreto-Lei nº 73, de 21 de novembro de 1966; e dá outras providências.
• Lei Federal n. 5.172/66, de 25 de outubro de 1966 – Código Tributário Nacional.
• Contratos Individuais de Trabalho.
• Contratos de prestação de serviços terceirizados.
• Cânones da Igreja Metodista 2017 – Colégio Episcopal da Igreja Metodista

4) DEFINIÇÕES

Para fins de interpretação e aplicação das disposições constantes nesta Política e nos
documentos de referência, devem ser entendidos os termos conforme abaixo: Dado pessoal: toda informação relacionada a pessoa natural identificada ou identificável. Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico.
• Decreto Lei n. 5.452, de 1º de maio de 1943 – Consolidação das Leis do Trabalho (CLT).
• Decreto n. 8.373, de 11 de dezembro de 2014 – Institui o Sistema de escrituração Digital das Obrigações Fiscais, Previdenciárias e Trabalhistas (e-Social) e dá outras providências.
• Lei Federal n. 13.874, de 20 de setembro de
2019 – Institui a Declaração de Direitos de Liberdade Econômica; estabelece garantias de livre mercado; altera as Leis nos 10.406, de 10 de janeiro de 2002 (Código Civil), 6.404, de 15 de dezembro de 1976, 11.598, de 3 de dezembro de 2007, 12.682, de 9 de julho de 2012, 6.015, de 31 de dezembro de 1973, 10.522, de 19 de julho de 2002, 8.934, de 18 de novembro 1994, o Decreto-Lei nº 9.760, de 5 de setembro de 1946 e a Consolidação das Leis do Trabalho, aprovada pelo Decreto-Lei nº 5.452, de 1º de maio de 1943; revoga a Lei Delegada nº 4, de 26 de setembro de 1962, a Lei nº 11.887, de 24 de dezembro de 2008, e dispositivos do Decreto-Lei nº 73, de 21 de novembro de 1966; e dá outras providências.
• Lei Federal n. 5.172/66, de 25 de outubro de 1966 – Código Tributário Nacional.
• Contratos Individuais de Trabalho.
• Contratos de prestação de serviços terceirizados.
• Cânones da Igreja Metodista 2017 – Colégio Episcopal da Igreja Metodista

4) DEFINIÇÕES

Para fins de interpretação e aplicação das disposições constantes nesta Política e nos documentos de referência, devem ser entendidos os termos conforme abaixo: Dado pessoal: toda informação relacionada a pessoa natural identificada ou identificável. Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.
Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
Controlador de dados: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Operador de dados: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Data Protection Officer (DPO) ou Encarregado: pessoa indicada pelo controlador e/ou operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados.
Tratamento de dados: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Anonimização de dados: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Base legal para processamento: correspondência ao dispositivo legal previsto no ordenamento jurídico (leis, decretos, resoluções de órgãos públicos ou privados, dentre outros) que fundamenta a coleta, uso, compartilhamento ou outro processamento de dados pessoais.
Bloqueio de dados: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.
Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.
Autoridade Nacional de Proteção de Dados (ANPD): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
Plano de Reação a Incidentes ou Data Breach Incident Plans (DBIP): plano de prevenção e contingenciamento de vazamento ou violação de dados da Associação da Igreja Metodista da 6ª Região.
Comitê de Privacidade ou Privacy Team: núcleo de Coordenadores(as), colaboradores(as) e prestadores de serviço terceirizados responsável pelo desenvolvimento, implementação e monitoramento do Programa de Governança da Privacidade e Proteção de Dados da Associação.
Privacy Assessment (PA): relatório produto de avaliação de nível de segurança informacional baseada na estrutura física e administrativa existente referente à proteção da privacidade e dados pessoais.
Data Privacy Impact Assessment (DPIA): relatório de possíveis impactos inerentes à realização de alguma operação com o banco de dados ou mesmo do lançamento de um novo produto ou serviço. Deve ser realizado sempre que se verifique algum risco de vazamento de dados decorrente da alteração de um comportamento da empresa ou mesmo de um novo uso de dados.
Cultura de Privacidade: comportamento ético e moral relativo à busca de proteção dos dados pessoais utilizados no desenvolvimento das atividades laborais e comerciais.
Notice: material didático e elucidativo fornecido aos titulares de dados pessoais processados pela Associação, contendo todas as informações exigidas pela legislação, bem assim direitos e deveres relativos à coleta, guarda, compartilhamento, correção e exclusão dos dados.
Segurança da Informação: mecanismos de tecnologia utilizados na estruturação de uma proteção da infraestrutura de rede e servidores físicos, visando a não ocorrência de invasões ou acesso a dados e informações por pessoa não autorizada.
Armazenamento em Cloud: realização de backup em servidor não fisicamente encontrado nas dependências da Instituição, mediante a contratação de terceiro que promove a guarda descompartimentada de arquivos e mídias.
PDF: Portable Document File: formato de arquivo eletrônico utilizado para leitura da documentos virtuais.
GILEADE: Software de gestão utilizado pela Associação para armazenamento de informações de todos(as) os(as) colaboradores(as), pastores(as), voluntários(as) e membros associados, terceiros, pessoas naturais e/ou jurídicas (e os empregados destes destacados para prestar serviços à Associação).

5) PRINCÍPIOS APLICÁVEIS

A Associação da Igreja Metodista da 6ª Região, como controladora de dados pessoais de colaboradores(as), pastores(as), voluntários(as) e membros associados, processará as informações obedecendo aos seguintes princípios:
• Legalidade, justiça e transparência
• Uso limitado ao propósito da coleta
• Minimização do que é coletado e proporcionalidade
• Coesão dos dados
• Limitação ao armazenamento
• Integridade e confidencialidade
• Accountability (Compliance)
A fim de dar efetivo cumprimento aos princípios acima mencionados, a Associação possui um Programa de Governança da Privacidade e Proteção de Dados pelo qual estão estruturadas regras internas de boas práticas e de Compliance inerentes ao processamento seguro e garantia dos direitos e liberdades individuais dos titulares dos dados.
Treinamentos e monitoramento de atividades de colaboradores(as) e terceiros são ferramentas aplicadas na criação e consolidação de uma cultura de privacidade que busca atender ao que exigido pela legislação nacional e internacional, sendo o escopo principal a nova Lei Geral de Proteção de Dados (LGPD).
Por meio desta Política e do Data Breach Incident Plans (DBIP) instituídos, ações práticas são previstas com o objetivo de garantir a consagração dos princípios delineadores do Programa, conforme será visto adiante, comprometendo-se, todos, Coordenadores(as), colaboradores (as), terceiros e partes relacionadas, com a prática e fiscalização das medidas previstas e, consequentemente, respeito aos princípios referidos acima.

6) DO PROCESSAMENTO DE DADOS PESSOAIS

Durante a realização de suas atividades, a Associação trata dados pessoais dos membros e visitantes, bem como de seus colaboradores(as), pastores(as), voluntários(as) e familiares, mantendo para tanto estrutura administrativa condizente com a necessidade para gerenciamento do território ao qual está adstrita, sendo compreendida a 6ª Região pelos estados do Paraná e Santa Catarina.
As regras e compromissos hora assumidos são aplicáveis somente à Associação, muito embora orientações de boas práticas e cumprimento de obrigação legal sejam também repassadas às Igrejas circunscritas, sendo, todavia, estas responsáveis individualmente por incidente de dados ocorrido em seu âmbito de atuação e sistemas.
Dados pessoais de membros e dependentes, bem como de visitantes são recebidos das Igrejas circunscritas, e armazenados em nuvem por meio do cadastro no sistema denominado Gileade.
A todos os titulares cadastrados é disponibilizado um Notice, pelo qual são fornecidas informações e orientações importantes com relação aos dados pessoais processados. Este material é disponibilizado eletronicamente no site da Associação (https://www.metodista.com/) e também é encaminhado via e-mail.
O processamento de dados pessoais dos membros e seus familiares é realizado pela Associação com fundamento no disposto no inc. II do art. 7º da Lei 13.709/2018, dispensando o consentimento do titular, nada obstante reservados todos os seus direitos nos termos da própria LGPD. Posteriormente ao desligamento do membro, os dados ainda permanecem armazenados pelo prazo de 5 (cinco) anos, tendo em vista o disposto no §1 do art. 9 da Lei n. 5.172/66 (CTN). Findo este prazo, os dados são excluídos do sistema Gileade, conforme manual de eliminação de dados.
Os dados pessoais de membros e seus familiares tratados pela Associação são: nome completo; data de nascimento; sexo; religião; igreja pertencente; endereço; CPF; RG; cargo ocupado (se aplicável); estado civil; profissão; escolaridade; e-mail; telefones comercial, residencial e celular; mesmos dados de familiares (inclusive filhos menores de 12 anos).
As informações e dados pessoais acima descritos são necessários e utilizados estritamente na operacionalização de ações administrativas inerentes à gestão da instituição religiosa, sendo indispensável a prestação de informações tributárias ao fisco. Para informações não relativas ao contribuinte em si, a Associação possui consentimento específico para o tratamento de informações, conforme será visto adiante.
O acesso a tais informações é restrito a pastores(as), colaboradores(as) e voluntários(as) que necessitem das mesmas para realização de seu procedimento específico dentro da cadeia administrativa da Associação. São implementadas ferramentas de Segurança da Informação que operacionalizam a consulta limitada dos dados pessoais dos titulares e colaboradores (controles de acesso), a fim de minimizar o número de pessoas que acessam as informações pessoais e, assim, adimplir com os princípios do uso limitado ao propósito da coleta e da minimização do que é coletado e proporcionalidade.
Com relação ao compartilhamento com terceiros, para gestão da área técnica os dados pessoais são compartilhados apenas para fins de registro e backup com: GILEADE SISTEMAS LTDA, inscrita no CNPJ sob n. 08.995.461/0001-53, localizada na Av. Horácio Raccanello Filho, n. 5410, Zona 7, cidade de Maringá/PR, Brasil, CEP: 87.020-035, a qual pode ser contatada pelo n. (44) 3262-6587 ou e-mail comercial@gileadesistemas.com.br proprietária do software denominado “Gileade”, o qual é utilizado pela Associação no desenvolvimento de suas atividades. O backup é realizado na modalidade Cloud, sendo que, segundo informações da prestadora de serviço, os servidores de armazenamento destas informações são fornecidos por Oracle e Amazon, os quais estão localizados na cidade de São Paulo/SP.
Contratualmente este prestador de serviços assume integral e irrestrita responsabilidade pela segurança e sigilo de todas as informações armazenadas consigo.
Há contratação de consultoria específica para utilização do Sistema Gileade, sendo tal prestada por R4 ASSESSORIA (RENATA MARTINS DE CAMPOS), inscrita no CNPJ sob n. 35.815.762/0001-20, localizada na Av. Itororó, n. 609, apto. 13, Zona 02, cidade de Maringá/PR, Brasil, CEP: 87.010-460, a qual pode ser contatada pelo n. (44) 98462-2074 ou email rodrigomcampos2000@hotmail.com, a qual tem acesso às informações já inseridas no sistema, não fazendo armazenamento em separado.
Além disso, a Associação faz a guarda eletrônica de contratos de prestação de serviços assinados e contrato social dos fornecedores, documentos nos quais constam as informações dos sócios. Em seus servidores, utiliza-se de ferramentas de Segurança da Informação consistentes em aplicações de Firewall e Antivírus. O acesso às pastas deste servidor é restrito de acordo com a função exercida por cada colaborador e/ou prestador de serviço.
Mediante requisição formalizada perante os canais de atendimento aos membros da Associação da Igreja Metodista da 6ª Região, é assegurado o fornecimento de quais dados estão sendo processados, bem assim eventuais correções, nos termos do art. 18 da Lei 13.709/2018. O fornecimento das informações e dados, todavia, pressupõe a comprovação de titularidade do solicitante, o que obedece a etapas de confirmação previstas em procedimento interno (POP) próprio, haja vista a natureza personalíssima dos dados processados.
Em havendo estrita e comprovada necessidade, terceiros e familiares poderão acessar informações mediante autorização específica e expressa ou comprovada condição que impossibilite a apresentação de autorização, o que deverá ser feito mediante preenchimento de Termo de Responsabilidade específico disponibilizado pela Associação.
Durante o prazo de membresia e também do prazo geral de prescrição anteriormente mencionados, não são realizadas operações de anonimização ou exclusão de dados mediante requerimento dos membros, haja vista a obrigação legal de guarda das informações pelo período mínimo de 5 (cinco) anos, sendo inaplicável nesta parte o disposto no art. 18 da Lei 13.709/2018.
Com relação aos dados pessoais de visitantes e seus familiares, estes são processados com fundamento no disposto no inc. I do art. 7º da Lei 13.709/2018.
O consentimento específico é tomado quando do preenchimento de formulário disponibilizado no momento da visita à uma Igreja circunscrita. O fornecimento das informações é totalmente facultativo ao visitante.
Os dados pessoais de visitantes tratados pela Associação podem ser: nome completo;  data de nascimento; sexo; religião; igreja pertencente; endereço; CPF; RG; cargo ocupado (se aplicável); estado civil; profissão; escolaridade; e-mail; telefones comercial, residencial e celular; dados de familiares (inclusive filhos menores de 12 anos).
Além da prestação de informações via canal de atendimento específico, é garantido também aos visitantes a exclusão imediata de dados fornecidos. É indispensável que o solicitante guarde a condição de visitante, vez que, se cadastrado como membro, passa a ter o procedimento específico, no qual há a exigência de cumprimento de obrigação legal por parte da Associação e, portanto, inviável a exclusão imediata.
Com relação ao compartilhamento com terceiros, para gestão da área técnica os dados pessoais são compartilhados apenas para fins de registro e backup com: GILEADE SISTEMAS LTDA, inscrita no CNPJ sob n. 08.995.461/0001-53, localizada na Av. Horácio Raccanello Filho, n. 5410, Zona 7, cidade de Maringá/PR, Brasil, CEP: 87.020-035, a qual pode ser contatada pelo n. (44) 3262-6587 ou e-mail comercial@gileadesistemas.com.br proprietária do software denominado “Gileade”, o qual é utilizado pela Associação no desenvolvimento de suas atividades. O backup é realizado na modalidade Cloud, sendo que, segundo informações da prestadora de serviço, os servidores de armazenamento destas informações são fornecidos pela Amazon e armazenados em São Paulo/SP/Brasil.
O banco de dados é da Oracle e está no RDS da Amazon. Contratualmente este prestador de serviços assume integral e irrestrita responsabilidade pela segurança e sigilo de todas as informações armazenadas consigo.
Quando da solicitação de exclusão de dados, além de realizar a eliminação dos dados em sua base (software e servidor), a Associação comunica todos os terceiros para que adotem procedimento idêntico, a fim de que se efetive o direito do titular. Por razões óbvias, o monitoramento da efetiva exclusão por parte de terceiros se limita à requisição da adoção de mesmo procedimento (exclusão), sendo a responsabilidade pela manutenção de dados de
titulares exclusiva do terceiro que assim não proceder.
Com relação aos dados pessoais de colaboradores(as) e pastores(as), estes são processados com fundamento no disposto no inc. II do art. 7º da Lei 13.709/2018.
Os dados pessoais de colaboradores e pastores(as) processados pela Associação são:
nome; Registro Civil Geral (RG); Cadastro de Pessoas Físicas (CPF); data de nascimento; sexo; estado civil; escolaridade; religião; igreja pertencente; número da Carteira de Trabalho e Previdência Social (CTPS); número do Programa de Integração Social (PIS); endereço residencial; e-mail; telefone residencial e celular; número de correspondência bancária, exames periódicos inerentes aos Atestados de Saúde Ocupacional (ASO).
Os dados pessoais dos colaboradores são compartilhados com o prestador de serviços de contabilidade MILENAR CONTABILIDADE S/S LTDA-ME, pessoa jurídica de direito privado, inscrita no CNPJ/MF sob n. 07.740.507/0001-20, sediada na Rua Athaide Cardon, 198, casa 02, Novo Mundo, Curitiba/PR, CEP 81.020-150, endereço de e-mail: ivete.milenar@terra.com.br e telefone n. (41) 3248-1005, que por sua vez faz o compartilhamento destas informações com a Receita Federal e o Ministério do Trabalho por meio da plataforma e-Social, para fins de cumprimento às obrigações trabalhistas, tributárias e previdenciárias.
Alguns dados de colaboradores são compartilhados com PROAGIR CLUBE DE BENEFICIOS SOCIAIS, pessoa jurídica de direito privado, inscrita no CNPJ/MF sob n. 34.002.229/0001-87, sediada na Rua Ministro Oliveira Salazar, 595, sala 01, Santa Mônica, Belo Horizonte/MG, CEP 31.525-000, endereço de e-mail: atendimento@centraldosbeneficios.com.br e telefone n. (31) 3297-5353, haja vista que é fornecido o serviço de seguro de vida aos colaboradores, sendo necessário o envio de tais informações por exigência e necessidade do fornecedor.
Alguns dados de pastores(as) são compartilhados com ICATU SEGUROS S/A, pessoa jurídica de direito privado, inscrita no CNPJ/MF sob n. 42.283.770/0001-39, sediada na Praça Vinte e Um de Abril, 36, Centro, Rio de Janeiro/RJ, CEP 20.021-370, endereço de e-mail:
heilers@icatuseguros.com.br e telefone n. (41) 3221-1050, haja vista que é fornecido o serviço de seguro de vida aos(às) pastores(as), sendo necessário o envio de tais informações por exigência e necessidade do fornecedor.
Alguns dados de pastores(as) são compartilhados com SUL AMERICA SEGUROS DE PESSOAS E PREVIDENCIA S.A., pessoa jurídica de direito privado, inscrita no CNPJ/MF sob n. 01.704.513/0001-46, sediada na Rua Beatriz Larragoiti Luca, 121, ala Sul, 3ª andar, Cidade Nova, Rio de Janeiro/RJ, CEP 20.211-903, endereço de e-mail: mplriocorretora@gmail.com e telefone n. (21) 2696-2340, haja vista que é fornecido o serviço de previdência aos(às) pastores(as), sendo necessário o envio de tais informações por exigência e necessidade do fornecedor.
Os dados pessoais dos colaboradores e pastores(as) são arquivados em pasta digital no servidor da Associação, bem assim feito seu backup automático em nuvem, juntamente com as demais informações da instituição. O backup é realizado na modalidade Cloud por meio dos servidores de armazenamento destas informações são fornecidos pela Microsoft (Azure) e estão localizados na Região Central dos Estados Unidos da América, sendo por esta última garantida a inviolabilidade e sigilo no armazenamento. Contratualmente este prestador de serviços assume integral e irrestrita responsabilidade pela segurança e sigilo
de todas as informações armazenadas.
As informações são compartilhadas com prestador de serviços de TI terceirizado, sendo MENGARDA SERVICOS E INFORMATICA EIRELE-ME, pessoa jurídica de direito privado, inscrita no CNPJ/MF sob n. 35.815.762/0001-20, sediada na Rua Itaciano Marcondes, 177, Santa Cândida, Curitiba/PR, CEP 82.720-070, endereço de e-mail: wagnermengarda@gmail.com e telefone n. (41) 99973-2211, a qual eventualmente tem acesso a dados e informações mantidas pela Associação, dentro do escopo e limites do escopo do serviço prestado.
A Associação da Igreja Metodista da 6ª Região não compartilha quaisquer dados dos colaboradores com o sindicato da categoria. As informações podem ser, todavia, prestadas pelos colaboradores de forma direta, não havendo qualquer responsabilidade da Instituição
neste caso.
Fisicamente, os dados pessoais dos colaboradores são armazenados em um livro registro de funcionários (art. 41 da CLT) e em arquivo físico cujo acesso é restrito à gerencia financeira, à gerencia administrativa e aos Coordenadores, apenas, tendo em vista a necessidade de cumprimento das obrigações contratual e do fisco.
Os dados pessoais dos colaboradores são coletados, armazenados e compartilhados dispensando-se o consentimento, tendo em vista o disposto nos arts. 11, 14, 16, 29, 41, 157 inc. IV, 168, 477, 627-A, 818 inc. II, todos da CLT, sem prejuízo de outro não mencionado;
art. 2 do Decreto n. 8.373, de 11 de dezembro de 2014; art. 16 Lei n. 13.874, de 20 de setembro de 2019; e no Contrato de Trabalho Individual havido entre as partes.
Em sua rotina de atividades, por vezes a Associação, por meio de suas Igrejas circunscritas, promove viagens (para acampamentos, visitas, passeios e demais eventos). Quando da realização destas viagens, são coletados dados de todos os participantes. Estes podem ser pastores(as), colaboradores(as), membros, familiares ou visitantes. Nestes casos, são coletados dados pessoais como nome, filiação, CPF, RG, endereço, data de nascimento, igreja pertencente, sendo os mesmos compartilhados com TOKIO MARINE SEGURADORA S.A, pessoa jurídica de direito privado, inscrita no CNPJ/MF sob n. 33.164.021/0001-00, sediada na Rua Sampaio Viana, 44, 10º andar, Paraíso, São Paulo/SP, CEP 04.004-dereço de e-mail: privacidade@tokiomarine.com.br e telefone n. (43) 3327-3000, para fins de seguro de viagem.
As informações e dados pessoais dos colaboradores são armazenadas por 5 (cinco) anos após o fim do contrato de trabalho, haja vista as obrigações previdenciárias e tributárias assumidas pela Associação perante as autoridades públicas e o tempo de prescrição para questionamento tanto do colaborador quanto das autoridades. Durante a execução do contrato de trabalho as informações permanecem armazenadas e são compartilhadas com o
Contador, que por sua vez compartilha as informações com o Ministério do Trabalho e com o fisco federal, estadual e municipal, a fim de dar cumprimento às obrigações trabalhistas, previdenciárias e tributárias do empregador.
Em sua rotina de atividades, por vezes, a Associação, por meio de suas Igrejas circunscritas, promove viagens (para acampamentos, visitas, passeios e demais eventos).
Quando da realização destas viagens, são coletados dados de todos os participantes. Estes podem ser pastores(as), colaboradores(as), membros, familiares ou visitantes.
Nestes casos, são coletados dados pessoais como nome, filiação, CPF, RG, endereço, data de nascimento, igreja pertencente, sendo os mesmos compartilhados com TOKIO MARINE SEGURADORA S.A, pessoa jurídica de direito privado, inscrita no CNPJ/MF sob n. 33.164.021/0001-00, sediada na Rua Sampaio Viana, 44, 10º andar, Paraíso, São Paulo/SP, CEP 04.004-000, endereço de e-mail: privacidade@tokiomarine.com.br e telefone n. (43)
3327-3000, para fins de seguro de viagem.
O armazenamento destas informações é feito por 5 (cinco) anos, em razão de obrigação contratual havida com o prestador de serviço. O prazo de guarda pode ser distinto em razão de ressalvas inerentes a obrigações legais que podem variar de acordo com o tipo de vínculo do viajante com a Associação (se membro, se funcionário(a), se visitante, etc).

7) DO DATA PROTECTION OFFICE

Nos termos do art. 41 da Lei 13.709/2018, a função de Data Protection Officer (DPO) é desenvolvida internamente pelo Conselheiro Eni Domingues, brasileiro, casado, advogado, inscrito no CPF/MF sob n. 547.316.159-68, com endereço profissional na Av. Paraná, n. 242, sala 1201, CEP: 87.013-070, na cidade de Maringá, Estado do Paraná, responsável pelo atendimento de reclamações e esclarecimentos aos titulares, processamento de solicitações da Agência Nacional de Proteção de Dados, orientação a funcionários quanto às medidas de proteção de dados e demais atribuições previstas no Data Breach Incident Plans da Associação.
Informações de contato do DPO da Associação Tecnologias:
Eni Domingues
Telefone: (44) 44 99905-3898
E-mail: adm6re@metodista.com

8) RESPONSABILIDADES

Em torno do objetivo a ser alcançado pela presente Política estão as atribuições individuais de cada componente da estrutura da Associação da Igreja Metodista da 6ª Região, sendo que acerca de cada responsabilidade distribuída há prévio treinamento e posterior atualização das medidas inerentes à garantia da proteção e inviolabilidade dos dados pessoais processados pela empresa e suas informações sigilosas.
As responsabilidades são assim distribuídas, sem perder de vista que TODAS as partes relacionadas assumem o compromisso de guarda e preservação de TODAS as informações, pessoais ou não:

8.1 COREAM

•Aprovar a presente Política e suas atualizações.
•Fornecer, dentro da capacidade financeira e da razoabilidade, ferramentas e orientação contínua a todas as partes envolvidas no tratamento de dados pessoais e informações sigilosas da Associação, a fim de que seja assegurada a proteção a tais informações e, em caso de vazamento de dados, as medidas corretivas previstas no DBIP sejam adotadas e eficazes.

8.2 Secretaria Executiva de Administração

•Corroborar no desenvolvimento e aplicação de todas as medidas de proteção adotadas pela Associação na gestão e processamento de dados pessoais e sigilosos.
•Fiscalizar e monitorar a ocorrência de não conformidades assim delineadas de acordo com o Mapeamento de Riscos LGPD.
•Notificar, sempre que necessário, o Data Protection Officer e expor todas as circunstâncias de eventual incidente de dados.
•Orientar os demais colaboradores quanto às medidas de proteção de dados inerentes a esta Política e demais instruções e processos internos da Associação.
•Manter contato e comunicar-se com todos os terceiros envolvidos no processamento de dados descrito no item 6) da presente Política, a fim de que as responsabilidades sejam assumidas e resguardado o regular processamento dos dados e informações durante a execução das atividades da empresa, bem assim denunciar irregularidades e, caso necessário, informar ao DPO para adoção de medidas corretivas.
•Atualizar, sempre que necessário, esta Política e os manuais de procedimento (POP) relativos à proteção de informações (pessoais ou de sigilo industrial), mediante aprovação da Conselho.
•Acompanhar, dentro de sua capacidade e alcance, as alterações legais, assim entendidas como leis, resoluções, exigências de acreditação e etc.

8.3 Financeiro

• Adotar e fiscalizar as medidas implementadas de proteção à privacidade e proteção de dados pela Associação, de modo a garantir, em especial, o sigilo de dados bancários e financeiros dos colaboradores e Coordenadores.
• Manter controle de registros e cadernos.
• Garantir a incolumidade das informações registradas, de modo que o acesso e a alteração de informações somente sejam realizados por quem autorizado e sob sua responsabilidade pessoal.
• Zelar pela boa condução dos processos administrativos instaurados, bem assim na denunciação de irregularidades por meio dos canais oficiais da Associação.
• Proteger informações financeiras, bancárias e de pagamento de qualquer natureza, em especial a de colaboradores e prestadores de serviço do Associação.

8.4 Gestão

• Aplicar e fiscalizar as ações de proteção da informação implementadas, a fim de garantir o sigilo dos dados dos prepostos das empresas clientes e dos clientes destes clientes quando da operação excepcional destes.
• De igual forma, corroborar ativamente na aplicação das novas medidas de proteção digital nos demais procedimentos administrativos internos inerentes ao desenvolvimento da atividade técnica da Associação.

8.5 Obrigações comuns aos Colaboradores e Terceirizados

• Respeitar e atuar ativamente na fiscalização da aplicação da presente Política.
• Cumprir rigorosamente com o que disposto na Política de Acesso a Arquivos e Equipamentos de Informática.
• Estudar e entender a dinâmica do DBIP instituído pela Associação, em especial sua função dentro da organização durante o monitoramento das práticas de proteção e, em especial, sua atuação durante apuração e correção de um incidente.
• Levar ao conhecimento da pessoa competente, de acordo com a distribuição de papéis institucionais constituída, toda e qualquer ameaça de violação à privacidade e à proteção de dados decorrente da atividade da empresa.
• Ser agente de transformação e multiplicador da nova cultura referente à proteção e uso de dados pessoais.
• Auxiliar no desenvolvimento de novas ações e procedimentos, bem assim melhoria dos procedimentos já existentes, a fim de que melhores práticas de proteção aos dados sejam adotadas pela instituição.

8.6 Consultoria

• Identificar os riscos legais inerentes ao processamento de dados pessoais pela Associação nos termos da Lei Federal 13.709/2018, idealizando e aplicando ações de mitigação dentro do que possível à instituição (conforme art. 50 da LGPD).
• Elaborar o Data Breach Incident Plans (DBIP), bem assim treinar todos os funcionários na sua sistemática e de acordo com a atribuição de cada um dentro do plano de contingenciamento.

8.7 Data Protection Officer DPO

• Nos termos do art. 41, §2º da Lei Federal 13.709/2018 (LGPD), são atribuições exclusivas do DPO:
– Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
– Receber comunicações da autoridade nacional e adotar providências;
– Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
– Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
• Nada obstante, o DPO acompanhará, sempre que convocado pela Conselho, toda tomada de decisão inerente ao processamento de dados pessoais e sigilosos pela empresa, por meio da elaboração de relatório de impacto, assim designado DPIA
(Data Privacy Impact Assessment).
• Acompanhar as atualizações, na condição de orientador, de todos os protocolos instituídos visando à proteção de dados e da privacidade, em especial o DBIP, os Notices e a presente Política de Privacidade e Proteção de Dados.
• Em nenhuma hipótese o DPO estará obrigado a agir e dar parecer de acordo com a vontade pessoal de qualquer das partes, sendo sua atribuição a de consultoria e nunca de decisão final, a qual cabe e está sob a responsabilidade exclusiva da Conselho

9) REGRAS

 

9.1 Declaração da Política

A presente Política visa obter de todos os colaboradores(as) contemplados(as) em sua estrutura organizacional e terceiros um compromisso com as regras e padrões de comportamento de respeito aos princípios inerentes à Privacidade e Proteção de Dados que passam a ser exigidos de cada um por esta abrangido.
Todos os colaboradores, Coordenadores e terceirizados deverão cumprir esta Política, evitando qualquer ação que possa ser interpretada de maneira indevida e/ou não condizente com os preceitos aqui delineados.
Para os casos em que haja indício ou evidência de violação à esta Política, bem como quaisquer outros aspectos do presente documento, qualquer pessoa abrangida deverá comunicar o fato através dos canais de comunicação.

9.2 Posicionamento no caso de violação da Política

A Associação tomará as medidas cabíveis em relação às violações das regras previstas nesta Política, bem assim quaisquer outros procedimentos ou normas internas e à legislação aplicável. Deste modo, adotar-se-ão as medidas cabíveis para cumprimento da presente política, sendo exemplos, mas não se limitando a: (i) advertência verbal (para violações leves de conduta), (ii) advertência escrita, (iii) suspensão, (iv) demissão (com ou sem justa causa) ou rescisão contratual; e/ou (v) demissão ou rescisão contratual acompanhada de representação criminal.
Caberá ao Conselho, conforme suas respectivas competências, avaliar a infração cometida e recomendar a sanção disciplinar a ser aplicada em cada caso, podendo requerer análise prévia e relatório do Privacy Team e do DPO (se for o caso).

9.3 Responsabilidade de atualização desta Política

Além das responsabilidades legais atreladas às práticas objeto desta Política é responsabilidade da Secretaria Executiva de Administração a atualização periódica desta Política, com posterior aprovação da Conselho.
Sempre que necessário, o DPO poderá ser consultado acerca da necessidade de atualização e aplicação de práticas mitigatórias dos riscos.

9.4 Conhecimento prévio

Em nenhum momento será admitido, a qualquer pessoa abrangida, invocar o desconhecimento desta Política para justificar violações ou a falta de seu cumprimento, especialmente dos(as) colaboradores(as).

9.5 Conclusões

Exceções ou casos que não tenham sido tratados especificamente pela presente Política serão tratados individualmente pelo Time de Privacidade, tomando por base as premissas aqui previstas, mediante elaboração de relatório a ser encaminhado para decisão da Conselho.
De igual forma, o DPO poderá ser consultado sempre que identificada a necessidade de seu parecer.

MANIFESTO DE
ASSINATURAS

Código de validação: 8XTZG-ZHSDE-KFT39-RVYZW

Esse documento foi assinado pelos seguintes signatários nas datas indicadas (Fuso horário de Brasília):

Eni Domingues (CPF 547.316.159-68) em 22/09/2021 16:23

FELIPE RANGEL DA SILVA (CPF 072.806.689-09) em 22/09/2021 17:14

João Carlos Lopes (CPF 006.176.548-16) em 23/09/2021 17:50

Haid Ferreira Lima Meier (CPF 147.542.378-03) em 24/09/2021 10:28

Rosângela Teresinha Cantarelli Rocha (CPF 587.556.409-15) em 24/09/2021
14:00

Para verificar as assinaturas, acesse o link direto de validação deste documento:

https://asp.assinaturasempapel.com.br/validate/8XTZG-ZHSDE-KFT39-RVYZW

Ou acesse a consulta de documentos assinados disponível no link abaixo e informe

o código de validação:

https://asp.assinaturasempapel.com.br/validate