Política de Proteção de Dados...Política de Proteção de Dados Versão 1.0 Wirecard Para uso interno e compartilhamento com a Empresa Parceiros sob a Condição de Confidencialidade

Política de Proteção de Dados

Política da Wirecard Aprovado para compartilhamento.

Versão 1.0

Política de Proteção de Dados Versão 1.0

Wirecard Para uso interno e compartilhamento com a Empresa

Parceiros sob a Condição de Confidencialidade

Página 2 de 20

Este documento foi criado pela Wirecard. Seu conteúdo pode ser alterado sem aviso prévio. Links da web externos são fornecidos apenas para informação. A Wirecard não se responsabiliza pelo acesso e correção do conteúdo referenciado. DIREITOS AUTORAIS

As informações contidas neste documento destinam-se apenas à pessoa ou entidade a quem são endereçadas e contêm material confidencial e/ou privilegiado. É proibida qualquer revisão, retransmissão, disseminação ou outro uso, ou qualquer ação tomada com base na confiança desta informação por pessoas ou entidades que não o destinatário pretendido. Se você recebeu esse documento por engano, entre em contato com a Wirecard e exclua o material de qualquer computador.

Copyright © 2020 Wirecard AG - Todos os direitos reservados




Página 3 de 20

FUNDAMENTOS

Esta Política de Proteção de Dados ("Política") estabelece a abordagem da Wirecard Brazil S.A. ("Wirecard", "nós" e "nosso") para o cumprimento das Leis de Privacidade Aplicáveis ao processar dados pessoais para seus próprios fins. Esta Política se aplica independentemente de a Wirecard AG e suas subsidiárias processarem dados pessoais por meios manuais ou automatizados. O processamento de dados pessoais é uma das principais atividades de negócios da Wirecard. Processamos os dados pessoais de funcionários permanentes e temporários, funcionários de agências, estagiários, clientes, usuários finais, parceiros e fornecedores e precisamos garantir que usamos esses dados pessoais de acordo com as leis aplicáveis. Os dados pessoais são coletados e processados em diferentes partes da organização, como processamento de pagamentos, serviços de gerenciamento de riscos e serviços bancários. Portanto, o cumprimento dos padrões legais deve ser o centro de nossas preocupações. Para alcançar essa conscientização e construir um relacionamento de confiança de longo prazo com nossos clientes, os princípios de privacidade e proteção de dados estabelecidos nesta Política devem ser considerados os princípios básicos. Desenvolvemos esta política para definir os padrões aos quais devemos aderir ao lidar com dados pessoais. Como tal, esta Política se aplica a todas as Empresas da Wirecard (a menos que seja especificado de outra forma), independentemente da origem dos dados pessoais que processamos, do país em que processamos dados pessoais ou do país em que um Membro do Grupo está estabelecido. Esta política não substitui nenhum requisito específico de proteção de dados que possa ser aplicado a uma função corporativa ou unidade de negócios. INFORMAÇÕES DE CONTATO

Se você tiver alguma dúvida sobre esta Política ou qualquer outro problema de proteção de dados, entre em contato com o Encarregado usando os detalhes de contato especificados abaixo na Tabela 1. O Encarregado lidará com o assunto diretamente ou o encaminhará à pessoa ou departamento apropriado.




Página 4 de 20

DETALHES DO DOCUMENTO

Título do Documento Política de Proteção de Dados

Tipo de Documento Política

Versão 1.0

Válido a partir de 11 de setembro de 2020

Escopo Funcional Wirecard

Idiomas Português

Documento superior n/a

Autor / Proprietário da Política Departamento de Compliance

Status de Confidencialidade Aprovado para compartilhar com parceiros de negócios sob a condição de confidencialidade

Histórico do Documento

Versão Data Resumo das Mudanças

1.0 Setembro de 2020 Política criada pelo Departamento de Compliance.




Página 5 de 20

ÍNDICE

Detalhes do Documento ............................................................................................................. 4

Índice ......................................................................................................................................... 5

Tabela de Figuras ....................................................................................................................... 6

1 Introdução ........................................................................................................................ 7 1.1 Público ....................................................................................................................... 7 1.2 Definições e explicações ............................................................................................... 7

2 Fundamentos .................................................................................................................... 9 2.1 O que é essa política? .................................................................................................. 9 2.2 O que é proteção de dados? ......................................................................................... 9 2.3 Como a lei de proteção de dados afeta a Wirecard? ......................................................... 9 2.4 O que estamos fazendo sobre isso? ............................................................................. 10 2.5 Quais são as consequências se errarmos? .................................................................... 10 2.6 Por que essa Política é importante para a Wirecard? ...................................................... 10 2.7 Deseja obter mais informações? .................................................................................. 10

3 A Política de Proteção de Dados ..................................................................................... 11 3.1 Detalhamento das obrigações ..................................................................................... 11

3.1.1 Transparência ........................................................................................................... 11 3.1.2 Registro de atividades de processamento ..................................................................... 11 3.1.3 Limitação de finalidade ............................................................................................... 12 3.1.4 Minimização dos dados ............................................................................................... 12 3.1.5 Exatidão ................................................................................................................... 12 3.1.6 Limitação de Armazenamento ..................................................................................... 12 3.1.7 Honrando os direitos dos indivíduos ............................................................................. 13 3.1.8 Medidas de segurança ................................................................................................ 14 3.1.9 Subcontratados ......................................................................................................... 14 3.1.10 Proteção adequada para transferências para o exterior .............................................. 14 3.1.11 Dados pessoais sensíveis: Salvaguardar o uso de dados pessoais sensíveis................... 15 3.1.12 Relatório de Incidentes de Segurança ...................................................................... 15 3.1.13 Proteção de dados por design e por padrão .............................................................. 16 3.1.14 Marketing direto .................................................................................................... 16 3.2 Cumprimento das obrigações ...................................................................................... 17 3.3 Treinamento sobre as obrigações ................................................................................ 17 3.4 Responsabilidades ..................................................................................................... 17 3.5 Perguntas e comentários ............................................................................................ 19

4 Apêndice.......................................................................................................................... 20




Página 6 de 20

TABELA DE FIGURAS

Tabela 1 Informações para contato do Encarregado ......................................................................... 20




Página 7 de 20

1 INTRODUÇÃO

1.1 Público

Este documento fornece os fundamentos sobre por que precisamos nos preocupar com os dados pessoais (seção 2.). Ele contém uma política sobre como lidar com os dados pessoais (seção 3.). Esta Política abrange todos os indivíduos que trabalham para a Wirecard em todos os níveis e classes, incluindo diretores, funcionários, estagiários, trabalhadores secundários, trabalhadores em regime doméstico, empregados de meio período e por tempo determinado, funcionários de agência e consultores (coletivamente conhecidos como "Funcionários" nesta Política).

Esta versão deste documento foi aprovada para divulgação a terceiros que são parceiros comerciais da Wirecard, para demonstrar o cumprimento da Wirecard com os requisitos de privacidade e segurança de dados. Pede-se aos parceiros de negócios que manuseiem este documento e seu conteúdo como comercial com confiança e não o divulguem a terceiros.

1.2 Definições e explicações

Definições:

“Lei(s) de Privacidade Aplicável(eis)” significa a(s) lei(s) de proteção de dados e privacidade relevante(s) a que a Wirecard está sujeita.

“Consumidores” são pessoas a quem a Wirecard fornece diretamente um produto ou serviço.

“Clientes” são clientes atuais e potenciais da Wirecard que exigem que a Wirecard processe dados pessoais de Usuários Finais em seu nome e sujeitos às suas instruções ou que forneçam dados pessoais dos Usuários Finais à Wirecard para os próprios fins da Wirecard, dependendo do tipo de pagamento utilizado. Os Clientes são controladores ou processadores de dados em relação a esses dados pessoais.

“Usuários Finais” são indivíduos que são clientes dos Clientes e cujos dados pessoais são processados pela Wirecard, para seus próprios fins ou em nome do Cliente, dependendo do tipo de pagamento utilizado.

“Indivíduos ou Titulares de Dados” refere-se a qualquer pessoa física cujos dados pessoais são coletados, mantidos ou processados pela Wirecard, incluindo solicitantes, Equipe, Consumidores, Usuários Finais e Representantes de Clientes ou Terceiros.

“ Encarregado” significa o indivíduo encarregado de monitorar o compliance com a proteção de dados em cada país designado para gerenciar e implementar internamente o programa global de privacidade de dados da Wirecard e implementar controles efetivos de privacidade de dados para a Wirecard e qualquer prestador de serviços terceirizado. Em alguns países, é obrigatório ou recomendado por lei um representante nomeado localmente. As informações de contato e referências específicas à função em cada país em que a Wirecard opera estão contidos na Tabela 1.

“Terceiro” é uma entidade (ou outra pessoa) excluindo a Equipe Wirecard e os Membros do Grupo Wirecard. Exemplos de terceiros incluem clientes, vendedores, distribuidores, fornecedores e agências governamentais ou reguladoras, ou órgãos policiais.

Explicações:

Os termos subsequentes não podem ser capitalizados para o restante deste documento.




Página 8 de 20

“Controlador” significa a entidade (ou outra pessoa) que, sozinha ou em conjunto com outras pessoas, determina os propósitos e os meios do processamento de dados pessoais.

“Processamento (de Dados)” significa qualquer operação ou conjunto de operações executadas em dados pessoais, seja por computador ou não, como coleta, gravação, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização, alinhamento ou combinação, restrição, apagamento ou destruição.

“Dados Pessoais” significa qualquer informação relacionada a um indivíduo identificado ou identificável. Para esses fins, observe que em muitos países (i) um indivíduo pode ser identificado por diferentes identificadores, incluindo endereços IP e outros identificadores on-line (e baseados em aplicativos); e (ii) um indivíduo pode ser identificado indiretamente (por exemplo, por descrição, função, status e assim por diante).

“Processador” significa uma entidade (ou outra pessoa) que processa dados pessoais em nome de um controlador. Para os fins desta Política de Proteção de Dados, um processador pode ser um prestador de serviços terceirizado ou outro Membro do Grupo.




Página 9 de 20

2 FUNDAMENTOS

2.1 O que é essa política?

Esta política define como a Wirecard processa dados pessoais sobre indivíduos e como a Wirecard espera que a Equipe lide com os dados pessoais.

A Wirecard precisa coletar e usar certos tipos de informações sobre pessoas e organizações com as quais negocia para operar com eficiência. Isso inclui funcionários atuais, passados e potenciais da Wirecard, fornecedores, consumidores, usuários finais e Clientes e outros com quem se comunica. Algumas dessas informações são processadas em nome da Wirecard, enquanto outras (dados pessoais sobre Usuários Finais) são processadas para seus Clientes. Além disso, pode ser um requisito legal coletar e usar certos tipos de informações, por exemplo, para atender aos requisitos de órgãos governamentais e reguladores, para fornecer dados comerciais. Esses dados pessoais devem ser tratados adequadamente, no entanto, são coletados, registrados e usados - seja em papel, em um computador ou em outro material - e existem salvaguardas para garantir que esses dados pessoais sejam processados de acordo com as Leis de Privacidade Aplicáveis.

Esta Política estabelece obrigações e salvaguardas relevantes para todo o pessoal. Todos na Wirecard são responsáveis por cumprir os requisitos desta Política.

Todo o pessoal deverá ler e cumprir esta política e participar de uma sessão de treinamento de privacidade de dados.

Esta Política deverá ser lida em conjunto com as políticas de TI e de Segurança da Informação e com os procedimentos internos relacionados.

Precisamos cumprir as obrigações estabelecidas nesta Política sobre como usamos dados pessoais. Ninguém está isento do cumprimento dessas obrigações.

Além disso, deve-se observar que certas entidades da Wirecard estão autorizadas e são regulamentadas pelas autoridades de supervisão financeira. A Wirecard reconhece que é obrigada a cumprir várias obrigações fundamentais sob o sistema regulatório, que abrangem questões de privacidade e segurança de dados, além de todas as outras preocupações comerciais usuais. Portanto, deve-se tomar o cuidado razoável de organizar e controlar seus negócios de maneira responsável e eficaz, com sistemas adequados de gerenciamento de riscos. A Wirecard procurou tomar todas as medidas razoáveis para garantir que seus sistemas e controles sigam os princípios aplicáveis em relação aos acordos de privacidade e segurança de dados.

2.2 O que é proteção de dados?

A lei de proteção de dados concede aos indivíduos o direito de controlar como seus dados pessoais são usados. As leis de privacidade aplicáveis se referem à estrutura legal de proteção de dados relevante para as jurisdições em que a Wirecard opera.

2.3 Como a lei de proteção de dados afeta a Wirecard?

O uso de dados pessoais é fundamental para a Wirecard, para:

– prestar serviços aos Consumidores e aos Usuários Finais;

– prestar serviços aos Clientes;

– promover seus bens e serviços;




Página 10 de 20

– manter suas contas e registros; e

– realizar atividades de gestão de pessoal.

Essas atividades, do início ao fim, envolvem o uso de dados pessoais que serão cobertos pela Lei de Privacidade Aplicável.

Para poder fornecer seus serviços aos Consumidores, a Wirecard processa dados pessoais de natureza financeira, sendo tais dados muito sensíveis a esses Consumidores. Da mesma forma, quando a Wirecard presta serviços aos Clientes, os dados pessoais do Usuário Final são de natureza financeira e são muito sensíveis a esses Clientes e Usuários Finais.

É fundamental que os Consumidores e os Clientes tenham confiança nos dados pessoais que processamos como seguros e que a Wirecard os utilizará de acordo com a Lei de Privacidade Aplicável.

De maneira mais geral, também precisamos garantir que qualquer informação que mantemos sobre qualquer Pessoa seja usada de acordo com a Lei de Privacidade Aplicável.

2.4 O que estamos fazendo sobre isso?

A Wirecard trata seriamente o cumprimento de suas obrigações. Desenvolvemos esta Política para garantir que os dados pessoais que coletamos e utilizamos, incluindo aqueles que processamos em nome de nossos clientes, sejam tratados de acordo com as leis de privacidade aplicáveis e que todos os funcionários da Wirecard estejam cientes de sua contribuição essencial para esse cumprimento.

2.5 Quais são as consequências se errarmos?

A Wirecard está totalmente comprometida em garantir que todos os membros do grupo e sua equipe cumpram esta política o tempo todo.

O não cumprimento pode fazer com que a Wirecard esteja sujeita às sanções impostas pelas autoridades e tribunais competentes em proteção de dados, pode causar uma violação do contrato com Clientes ou outros parceiros ou Consumidores e pode causar danos ou angústia a indivíduos cujos dados pessoais não foi protegido de acordo com os padrões descritos nesta Política. Também pode levar a uma publicidade ruim da Wirecard e indenização por dano indireto.

Em reconhecimento à gravidade desses riscos, a Equipe da Wirecard que não cumprir esta Política poderá: (i) (no caso de funcionários e trabalhadores) estar sujeita a ações disciplinares, incluindo demissões (incluindo, por exemplo, no caso de descumprimento deliberado); e (ii) (no caso de funcionários e consultores da agência) tenham seus contratos de trabalho/contratações rescindidos.

2.6 Por que essa Política é importante para a Wirecard?

É vital que a equipe da Wirecard observe a política, pois a coleta e o uso de dados pessoais fazem parte do nosso dia a dia de prestação de serviços aos nossos Clientes, Consumidores e Usuários Finais. Da mesma forma, devemos garantir que usamos as informações que mantemos em nossa Equipe da Wirecard de acordo com a Lei de Privacidade Aplicável. Esta Política estabelece os padrões aos quais todos os que trabalham na Wirecard devem aderir.

2.7 Deseja obter mais informações?

Se você deseja obter mais informações sobre a proteção de dados e como as obrigações das Leis de Privacidade Aplicáveis afetam a Wirecard, entre em contato com o Encarregado, usando as informações disponíveis na Tabela 1.




Página 11 de 20

3 A POLÍTICA DE PROTEÇÃO DE DADOS

Consideramos o processamento legal e correto dos dados pessoais relevantes pela Wirecard muito importante para operações bem-sucedidas e para manter a confiança entre aqueles com quem negociamos e nós mesmos. Garantimos que nossa organização trate os dados pessoais de maneira correta e legal, de acordo com a Lei de Privacidade Aplicável. Para esse fim, e entre outros, todos os funcionários e membros do grupo devem cumprir as seguintes obrigações:

3.1 Detalhamento das obrigações 3.1.1 Transparência

Entendendo a obrigação

Ser aberto e transparente na maneira como as organizações usam e compartilham dados pessoais é uma etapa importante para demonstrar boas práticas de proteção de dados. A Wirecard está sujeita a esse requisito na maneira como usamos dados pessoais de Clientes, Consumidores, Usuários Finais, funcionários da Wirecard, fornecedores, prestadores de serviços, assessores, consultores, outros especialistas profissionais e solicitantes. Como tal, esses indivíduos devem ser devidamente informados sobre o uso de seus dados pessoais.

Etapas práticas

Se a Wirecard agir como um controlador de dados, avisos de informações de processamento justos (incluindo avisos de privacidade, contrato e termos e condições) devem ser fornecidos aos Consumidores e outras pessoas (incluindo representantes de Clientes e Terceiros), se possível no momento da coleta dessas informações ou assim que possível depois disso.

3.1.2 Registro de atividades de processamento


Precisamos manter registros das atividades de processamento sob nossa responsabilidade. Todas as atividades de processamento que armazenam e processam dados pessoais devem ser registradas em um inventário fornecido ao Encarregado.

Etapas práticas

Para que os registros das atividades de processamento sejam mantidos atualizados, toda a Equipe é obrigada a reportar qualquer nova atividade de processamento ou qualquer alteração significativa em uma atividade de processamento existente ao Encarregado. A equipe do departamento relevante que faz uso da respectiva atividade de processamento é responsável por manter os registros das atividades de processamento e garantir que elas estejam atualizadas, completas e corretas. O Encarregado fornecerá orientação para a Equipe, se solicitado.

Devemos informar às pessoas como e por que seus dados pessoais serão processados.

Devemos manter um registro das atividades de processamento.




Página 12 de 20

3.1.3 Limitação de finalidade


Essa obrigação significa que devemos identificar e divulgar os propósitos para os quais os dados pessoais serão processados nos documentos voltados para o cliente e nos contratos de trabalho e das contratadas.

Os dados pessoais não devem ser utilizados de maneira incompatível com a finalidade para a qual foram obtidos,.

Etapas práticas

Ao coletar dados pessoais de Indivíduos, devemos garantir que o aviso justo de informações de processamento disponibilizado para esses Indivíduos (por exemplo, por meio dos termos e condições) contenha a informação sobre as finalidadespara as quais os dados pessoais podem ser utilizados.

Além disso, ao coletar informações, devemos coletar apenas os detalhes necessários para os fins para os quais essas informações são obtidas.

3.1.4 Minimização dos dados


Devemos processar apenas dados pessoais adequados, relevantes e limitados ao necessário em relação aos propósitos para os quais são processados.

Etapas práticas

Ao coletar dados pessoais de Indivíduos, devemos processar apenas dados pessoais adequados, relevantes e limitados para cumprir adequadamente os propósitos de processamento desejados. Não devemos processar dados pessoais desnecessários para atingir esses objetivos.

3.1.5 Exatidão


O processamento de informações imprecisas pode ser prejudicial para os Indivíduos e para a Wirecard. Devemos incentivar ativamente os Indivíduos a informarem o membro do grupo da Wirecard com quem se envolvem quando seus dados pessoais são alterados.

Etapas práticas

Os Indivíduos e Clientes serão informados que devem comunicar a atualização de seus dados de contado, sempre que necessário, por meio de especificações no contrato e nos Termos e Condições de Uso

3.1.6 Limitação de Armazenamento

Só devemos obter e usar dados pessoais para fins especificados, explícitos e legítimos.

Só devemos obter e usar dados pessoais na medida do necessário em relação aos propósitos.

Devemos manter os dados pessoais precisos e atualizados.

Devemos manter os dados pessoais apenas pelo tempo que for realmente necessário e sujeitos aos períodos de retenção aplicáveis.




Página 13 de 20


Quaisquer dados pessoais relacionados a Indivíduos devem ser mantidos apenas quando houver necessidade comercial ou legal de fazê-lo.

Etapas práticas

Os estatutos ou regulamentos podem exigir que certos dados pessoais sejam retidos por um período de tempo especificado, e também pode ser prudente manter certos dados pessoais por um período específico, para que possamos defender adequadamente quaisquer reivindicações legais ou gerenciar uma relação comercial contínua.

Os documentos (incluindo versões em papel e eletrónicas, e e-mail) contendo dados pessoais não devem ser mantidos indefinidamente e sempre devem ser excluídos e destruídos quando ficarem obsoletos ou quando esses dados pessoais não forem mais necessários. Os dados pessoais não devem ser retidos simplesmente com base em que podem ser úteis um dia sem uma visão clara de quando ou por quê.

3.1.7 Honrando os direitos dos indivíduos


Responderemos às perguntas e reclamações relacionadas ao processamento de dados pessoais pela Wirecard de acordo com as Leis de Privacidade Aplicáveis, em tempo razoável e na medida do possível.

Várias leis de proteção de dados em todo o mundo, incluindo a região da América Latina, fornecem aos indivíduos certos direitos de proteção de dados. Estas podem incluir:

– O direito de acesso: é um direito do Indivíduo obter confirmação se processamos dados pessoais sobre ele e, em caso afirmativo, receber detalhes desses dados pessoais e acesso a eles;

– O direito de retificação: é um direito do Indivíduo obter retificação sem demora indevida de dados pessoais imprecisos que podemos processar sobre ele.

– O direito de apagar: é um direito do Indivíduo exigir que apaguemos dados pessoais sobre ele por certos motivos - por exemplo, onde os dados pessoais não são mais necessários para cumprir os propósitos para os quais foram coletados.

– O direito de restrição: é um direito do Indivíduo exigir que restrinjam o processamento de dados pessoais sobre ele por determinados motivos.

– O direito à portabilidade de dados: é um direito do Indivíduo receber dados pessoais a seu respeito em um formato estruturado, comumente usado e legível por máquina e transmitir essas informações para outro controlador, caso sejam aplicados certos motivos.

– No Brasil, existem direitos adicionais de sujeitos, como o direito a (i) anonimização (pseudonimização); (ii) bloqueio ou eliminação de dados desnecessários; (iii) o direito de ser informado da possibilidade de não dar consentimento e dos efeitos de tal negação; e (iv) direito de ser informado das entidades legais públicas e privadas com as quais o controlador compartilhou os dados.

Sempre devemos ser receptivos a quaisquer perguntas, solicitações ou reclamações feitas por Indivíduos em conexão com seus dados pessoais e aderir ao nosso Procedimento de Direitos de Proteção de Dados da Wirecard.




Página 14 de 20

Quando um indivíduo desejar exercer algum de seus direitos de proteção de dados, devemos respeitar esses direitos de acordo com a lei aplicável, seguindo o Procedimento de Direitos de Proteção de Dados.

Podem ser solicitados prazos específicos para atender às solicitações de direitos dos titulares de dados e, portanto, você sempre deverá agir prontamente ao receber solicitações e consultar o Encarregado.

Etapas práticas

Quando recebemos uma solicitação de um Indivíduo que exerce algum de seus direitos, devemos seguir as etapas estabelecidas no Procedimento de Direitos de Proteção de Dados.

Quando recebermos uma solicitação de um indivíduo afirmando qualquer outro direito, reclamação ou solicitação, devemos notificar imediatamente o Encarregado.

3.1.8 Medidas de segurança


Os dados pessoais devem ser mantidos em segurança. São necessárias medidas de segurança técnica e organizacional para impedir o processamento ou divulgação não autorizada ou ilegal de dados pessoais e a perda acidental, destruição ou dano aos dados pessoais.

Etapas práticas

Devemos monitorar o nível de segurança aplicado a um conjunto de informações, considerando os padrões e práticas atuais.

Em particular, devemos observar os requisitos de segurança das informações estabelecidos nas políticas de TI e de Segurança da Informação.

3.1.9 Subcontratados


Quando um prestador de um serviço da Wirecard tiver acesso a dados pessoais da Equipe, Consumidores, Usuários Finais ou outros Indivíduos da Wirecard, devemos impor obrigações contratuais relacionadas à segurança desses dados.

Etapas práticas

Sempre devemos celebrar um contrato por escrito com qualquer prestador de serviços que processe dados pessoais em nosso nome. Todas as contratas com prestadores de serviços deverão incluir as disposições contratuais padrão de proteção de dados disponibilizadas pelo Encarregadoou pelo Departamento Jurídico / de Compliance.

3.1.10 Proteção adequada para transferências para o exterior

Sempre devemos aderir às medidas de segurança técnicas e organizacionais apropriadas para proteger os dados pessoais.

Devemos garantir que os prestadores de serviços para nós, também adotem medidas de segurança apropriadas.

A transferência internacional de dados pessoais exige a garantia de que o destinatário ofereça o nível certo de proteção.




Página 15 de 20


Várias leis de proteção de dados em todo o mundo proíbem transferências internacionais de dados pessoais para terceiros, a menos que sejam tomadas as medidas apropriadas para garantir que os dados transferidos continuem protegidos ao padrão exigido no país ou região a partir do qual são transferidos.

Etapas práticas

Onde esses requisitos existem, devemos cumprí-los. Antes de transferir dados pessoais internacionalmente, o Encarregado deve ser consultado para garantir medidas adequadas.

3.1.11 Dados pessoais sensíveis: Salvaguardar o uso de dados pessoais sensíveis

Entendendo a Obrigação

Dados pessoais sensíveis são informações relacionadas à origem racial ou étnica do indivíduo, opiniões políticas, crenças religiosas ou outras, associação sindical, saúde, dados genéticos, dados biométricos quando usados para fins de identificação, vida sexual, orientação sexual e condenações criminais. Essas informações recebem proteção mais rigorosa por lei do que outros dados pessoais, portanto, nossos padrões de atendimento devem ser adequados à natureza sensível desse tipo de informação.

Etapas práticas

Frequentemente, precisamos obter o consentimento explícito do indivíduo para coletar e processar seus dados pessoais sensíveis. Uma exceção a esse requisito é onde somos obrigados a fazê-lo pela lei aplicável ou temos outra base legítima para fazê-lo de acordo com a lei aplicável do país em que os dados pessoais foram coletados.

Ao obter o consentimento de um indivíduo, esse consentimento deve ser concedido livremente e deve ser específico, informado e inequívoco. Quando pretender coletar dados médicos e de saúde sobre a nova equipe ou verificar registros criminais, você sempre deve consultar e obter a aprovação do Encarregado.

É provável que requisitos locais específicos sejam aplicados ao processar informações de antecedentes criminais. É provável que também sejam necessários padrões mais altos para cumprir as leis de proteção de dados ao processar dados pessoais de crianças.

3.1.12 Relatório de Incidentes de Segurança


Uma violação de dados pessoais poderá, se não tratada de maneira apropriada, oportuna e tempestiva, resultar em danos físicos, materiais ou imateriais aos indivíduos, como perda de controle sobre seus dados pessoais, discriminação, roubo ou fraude de identidade, perda financeira, etc. Portanto, estamos sujeitos à obrigações legais de notificar violações às autoridades de supervisão competentes. Devemos cumprir todos os requisitos de relatório de incidentes de segurança de dados existentes de acordo com a lei aplicável.

Só devemos usar dados pessoais sensíveis se tivermos obtido o consentimento explícito do indivíduo, a menos que haja uma base legítima alternativa para processamento consistente com a lei aplicável.

Devemos cumprir os requisitos de relatórios de incidentes de segurança de dados existentes.




Página 16 de 20

Etapas práticas

Quando tomamos conhecimento de um incidente de segurança de dados que apresenta um risco para os dados pessoais que processamos, devemos informar imediatamente o pessoal local de Segurança da Informação e seguir a Política de Gerenciamento de Incidentes da Wirecard. Da mesma forma, quando tomarmos conhecimento de um incidente de privacidade, devemos informar imediatamente o Encarregado e seguir o Procedimento de Tratamento de Incidentes de Privacidade da Wirecard.

Revisaremos a natureza e a gravidade do incidente de segurança de dados e determinaremos se é necessário, de acordo com as Leis de Privacidade Aplicáveis, notificar as autoridades competentes de proteção de dados e/ou os indivíduos afetados pelo incidente. Seremos responsáveis por garantir que tais notificações, quando necessárias, sejam feitas de acordo com a Lei de Privacidade Aplicável.

3.1.13 Proteção de dados por design e por padrão


Devemos aplicar a proteção de dados por design e por padrão ao projetar e implementar novos produtos e sistemas.

Etapas práticas

Ao projetar e implementar novos produtos e sistemas que processam dados pessoais, devemos aplicar a proteção de dados por design e por padrão. Isso significa que devemos implementar medidas técnicas e organizacionais apropriadas que:

– são concebidas para implementar os princípios de proteção de dados de maneira eficaz e integrar as salvaguardas necessárias para proteger os direitos dos indivíduos e atender aos requisitos das leis de privacidade aplicáveis; e

– garantir que, por padrão, apenas os dados pessoais necessários para cada finalidade específica de processamento sejam coletados, armazenados, processados e acessíveis, em particular, que, por padrão, os dados pessoais não são acessíveis a um número indefinido de funcionários sem interesse comercial legítimo ou consentimento dos indivíduos.

3.1.14 Marketing direto


Outro direito importante de proteção de dados que os indivíduos têm é o direito de se opor ao uso de seus dados pessoais para fins de marketing direto, e devemos cumpri todas essas solicitações de desativação quando for realizado qualquer marketing direto. Isso se aplica mesmo quando os indivíduos optaram anteriormente por receber marketing direto de nós.

Etapas práticas

Devemos fazer constar aviso, caso haja coleta de dados pessoais para o uso em campanhas de marketing, que informe que os indivíduos podem optar por não receber comunicações de marketing e que indique aos indivíduos como eles podem alterar suas preferências de marketing.

Devemos aplicar a proteção de dados por design e por padrão.

Sempre devemos permitir que os Indivíduos optem por não receber informações de marketing.




Página 17 de 20

O uso de dados pessoais por meios eletrônicos para marketing direto é fortemente regulamentado em muitos países. Se houver necessidade de enviar qualquer material de publicidade ou marketing para indivíduos especificados, ou se você precisar de mais informações, entre em contato com o Encarregado usando as informações de contato especificadas na Tabela 1.

3.2 Cumprimento das obrigações

Por que é importante que todos na Wirecard cumpram as obrigações?

É importante que todos na Wirecard cumpram as obrigações, porque somos todos responsáveis pelo cumprimento da proteção de dados. O não cumprimento das obrigações pode expor a Wirecard a ações regulatórias e/ou legais que podem significar o pagamento de indenizações e/ou multas. Isso também pode resultar em danos significativos à reputação e na marca da Wirecard.

O que acontece se nossa Equipe violar uma obrigação?

Se nossa Equipe violar uma obrigação ou tomar conhecimento de alguém que o tenha feito, deverá informar imediatamente seu supervisor. Nossa equipe é incentivada a sempre nos informar voluntariamente sobre qualquer violação grave, porque consideraremos qualquer encobrimento deliberado ou tentativa de nos enganar sobre uma violação disciplinar séria.

Embora sempre procuremos solucionar qualquer incidente de violação com nossos funcionários para que eles entendam as ramificações de suas ações ou omissões e continuem a trabalhar na mesma base, lamentavelmente, em algumas circunstâncias, podemos ter que: (i) (no caso de funcionários e trabalhadores) iniciar ações disciplinares contra um membro da equipe, em última análise, talvez tenhamos que rescindir o contrato (por exemplo, se a violação for de natureza particularmente prejudicial); e (ii) (no caso de funcionários e consultores da agência) rescindir seu contrato / contratação.

Além disso, nossa equipe é avisada de que a obtenção ou a divulgação consciente ou imprudente de dados pessoais pode ser uma ofensa criminal.

3.3 Treinamento sobre as obrigações

Como nossa equipe pode receber treinamento sobre as obrigações?

Todos os novos associados receberão treinamento sobre as obrigações. Os funcionários e prestadores de serviços existentes da Wirecard receberão treinamento.

Posso receber treinamento de atualização sobre as obrigações?

Se nossos funcionários exigirem um treinamento extra ou uma atualização sobre pontos específicos, eles poderão entrar em contato com o Encarregado. Conduziremos regularmente treinamentos de atualização durante o ano, além de treinamentos em andamento.

Auditoria do cumprimento das obrigações

Auditaremos o cumprimento das obrigações e procuraremos entender por que, se houver, os departamentos ou equipes não cumprem as obrigações. Após a auditoria dos requisitos, prepararemos um plano de correção para garantir que seja minimizada a probabilidade de ocorrência de qualquer violação. Se o plano de correção exigir que você tome alguma ação, esperamos que você coopere totalmente.

3.4 Responsabilidades

O papel do Departamento de Compliance




Página 18 de 20

Essa função compreende as seguintes responsabilidades:

– Preparação e revisão anual desta Política.

– Revisão e aprovação das políticas e procedimentos de privacidade padrão.

– Garantir total cooperação com as autoridades de proteção de dados e outros reguladores competentes.

– Tratar imediatamente as solicitações do Encarregado.

A função do Encarregado

Essa função compreende as seguintes responsabilidades:

– Garantir e assessorar no cumprimento da Lei de Privacidade Aplicável pela Wirecard.

– Aconselhar a Wirecard em sistemas e controles para garantir o cumprimento contínuo e evidenciar esse cumprimento.

– Monitorar alterações nas atividades e sistemas comerciais da Wirecard, para garantir que quaisquer implicações no cumprimento da proteção de dados sejam identificadas e abordadas.

– Monitorar os sites e publicações dos reguladores relevantes para identificar e tomar as ações apropriadas para cumprir quaisquer alterações que possam afetar os acordos de cumprimento da Wirecard.

– Rever, entre outras coisas, toda a documentação voltada para o Cliente; materiais de marketing; Contratos de trabalho; termos e condições; e contratos de terceiros para garantir o cumprimento da Lei de Privacidade Aplicável.

– Analisar os padrões necessários de conscientização da equipe sobre suas responsabilidades da Wirecard, nos termos da Lei de Privacidade Aplicável.

– Monitorar a eficácia do treinamento da equipe e o nível de conscientização da equipe sobre suas responsabilidades.

– Preparar e executar o programa de monitoramento de cumprimento da Lei de Privacidade Aplicável, inclusive conduzindo auditorias em toda a Wirecard.

– Atuar junto às equipes da Wirecard para acompanhar o desenvolvimento e implementação dos planos de ação derivados do programa de monitoramento de cumprimento da Lei de Privacidade Aplicável.

– Tratar imediatamente as solicitações de indivíduos.

– Responsável pelo relacionamento com autoridades sobre proteção de dados.

– Representar a Wirecard perante a Agência Nacional de Dados e demais stakeholders envolvidos no sistema de proteção de dados.

– Garantir total cooperação com as autoridades locais de proteção de dados e outros reguladores competentes.

O Encarregado informará questões relacionadas a esta Política ao Departamento de Compliance.




Página 19 de 20

3.5 Perguntas e comentários

Você poderá enviar quaisquer perguntas ou comentários relacionados a esta Política e nossas práticas de privacidade para as informações de contato abaixo.

Você tem o direito de apresentar queixas a uma autoridade de proteção de dados.

Envie quaisquer perguntas ou solicitações relacionadas a esta Política ao Encarregado usando as informações de contato contidas na Tabela 1.




Página 20 de 20

4 APÊNDICE

Tabela 1 Informações para Contato do Encarregado

Nome e Informações de Contato do Contato Principal

Nome e Informações de Contato do Suplente

Encarregado

Nome: David Portella E-mail: [email protected]

Departamento de Compliance Email: [email protected]

Documents

Política de Proteção de Dados...Política de Proteção de Dados Versão 1.0 Wirecard Para uso interno e compartilhamento com a Empresa Parceiros sob a Condição de Confidencialidade