Version 20220117
Esta declaração de isenção e privacidade de dados diz respeito:
O sistema AskREACH inclui a lógica, as Apps, a base de dados europeia e o supplier frontend. Foram desenvolvidos no âmbito do projeto Europeu LIFE AskREACH da UE (LIFE16 GIE/DE/000738). A base de dados e o supplier frontend destinam-se aos fornecedores de artigos de consumo, conforme a definição REACH do artigo. A Agência Alemã de Ambiente (UBA) (Umweltbundesamt, Wörlitzer Platz 1, D-06844 Dessau-Rosslau, Germany) é a provedora da base de dados e do respetivo frontend para fornecedores. UBA é a administradora global das ferramnetas de IT do AskREACH, o Luxembourg Institute of Science and Technology (LIST) é o administrador técnico. Os parceiros do projeto AskREACH e os replicadores nos diferentes países onde as Apps desenvolvidas pelo AskREACH estão disponíveis, são os administradores regionais. Os replicadores são organizações que não são parceiros diretos do projeto LIFE AskREACH, mas que promovem a app nos seus países.
Para além disso, a aplicação para telemóvel “ToxFox” do parceiro do projeto LIFE AskREACH Friends of the Earth Alemanha (Bund für Umwelt und Naturschutz e.V., BUND) está conectada à business logic do AskREACH. A ToxFox usa o sistema AskREACH para aceder a informação sobre SVHC que esteja na base de dados, enviando pedidos de informação do consumidor a empresas e recolhendo informação sobre o estatuto dos pedidos de informação dos consumidores.
A UBA não aceita qualquer responsabilidade na exatidão, integridade, qualidade ou atualidade do conteúdo das ferramentas AskREACH. Qualquer responsabilização da UBA por danos materiais ou imateriais que resultem da utilização ou não utilização das informações disponíveis através de ferramentas de TI ou o uso de informações erradas ou incompletas disponíveis através de ferramentas de TI será excluída desde que nenhum ato culpável de negligência grave tenha sido cometido pela UBA. Os serviços da UBA são vinculativos e sujeito a confirmação. A UBA tem o direito de modificar qualquer aspecto das ferramentas de TI e/ou o seu conteúdo como lhe aprouver, no todo ou em parte, sem notificação prévia.
A UBA e os parceiros da AskREACH só serão responsáveis peloslinks usados em ferramentas AskREACH - que estão fora do controle da UBA – se, tendo conhecimento do seu conteúdo, eventualmente ilícito, teria sido razoável e tecnicamente possível prevenir a sua utilização. A UBA e os parceiros de AskREACH afirmam, assim, expressamente que, no momento que tal link terá sido criado, não tinha conhecimento de que lhe estaria associado qualquer conteúdo web ilícito. Na medida em que não temos controle sobre o projeto, atual ou futuro, conteúdo ou direitos autorais de qualquer página web acedida, a UBA e o AskREACH repudiam expressamente qualquer conteúdo de qualquer página acedida que tenha sido alterado depois de o link em questão ter sido criado. Tal aplica-se a todos os links e referências utilizados nas ferramentas informáticas, bem como a qualquer participação de terceiros. No caso de conteúdo ilícito, errado ou incompleto, em particular em relação a danos resultantes da utilização ou não utilização de tais informações, será o proprietário da página web para o qual o link em questão apontou a assumir a responsabilidade e não o proprietário da ferramenta que disponibiliza os links para tal conteúdo. Quaisquer páginas web de terceiros que possam ser acedidos através de links externos podem não estar acessíveis sem barreiras. Note-se também que qualquer acesso às ferramentas de TI do projeto AskREACH não constitui motivo de reciprocidade mútua.
Em todas as ferramentas TI, a AskREACH, a UBA e o consórcio AskREACH fizeram todos os esforços para (a) respeitar restrições de direitos de autor em todos os gráficos, áudios, vídeos e textos; (b) utilizar áudios, vídeos e textos criado pelas próprias UBA ou AskREACH; ou (c) usar gráficos, áudio, vídeo e texto de licença livre. Todas as marcas protegidas e marcas comerciais utilizadas são protegidas pelas leis de direitos de autor em conformidade com os direitos de propriedade intelectual dos seus proprietários devidamente registados. O facto de se mencionarem marcas registradas não deve ser interpretado como significando que tais marcas não são protegidas por direitos de terceiros.
Os direitos de autor para objetos publicados, criados pela UBA ou AskREACH pertencem unicamente à UBA ou à AskREACH e ao pessoal que utiliza as ferramentas de TI. Salvo indicação em contrário, objetos, gráficos, documentos de som, sequências de vídeo e textos criados pela UBA ou AskREACH estão sob uma licença internacional Creative Commons 4.0 (uso não comercial, sem edição https://creativecommons.org/licenses/by-nc-nd/4.0/).
O aviso legal constante deste documento constitui um elemento das ferramentas TI AskREACH. Se qualquer disposição do presente aviso for ou se vier a tornar legalmente inválida ou inexequível, as demais disposições permanecerão plenamente exequíveis.
5.1. Nome e endereço da entidade responsável
A Agência Alemã do Ambiente, representada pelo seu Presidente, é a entidade responsável pelas ferramentas de IT do AskREACH, conforme ao Regulamento Geral de Proteção de Dados da UE (RGPD), o Acto Federal de Proteção de Dados (BDSG) e outros regulamentos de proteção de dados:
German Environment Agency
Präsidialbereich / Presse- und Öffentlichkeitsarbeit, Internet
Wörlitzer Platz 1
06844 Dessau-Roßlau
Phone: +49-340-2103-2416
Email: buergerservice@uba.de
5.2. Nome e endereço do oficial da privacidade de dados
O oficial de privacidade de dados da Agência Alemã do Ambiente está disponível para responder a quaisquer perguntas e fornecer informações sobre o assunto da proteção de dados. Ele é também a pessoa de contacto para o exercício dos direitos do utilizador como uma parte interessada. No entanto, os pedidos feitos em outras línguas que não alemão ou inglês têm que ser direcionado para os administradores regionais da aplicação para tradução (ver https://www.askreach.eu/app-database/ ). Após a tradução, os pedidos serão encaminhados pelos administradores regionais da aplicação para o oficial de privacidade de dados e para o administrador geral (UBA):
Mr. Udo Langhoff
German Environment Agency
Wörlitzer Platz 1
06844 Dessau-Roßlau
Phone: +49-30-8903-5141
email: udo.langhoff@uba.de
5.3. Informações gerais sobre o processamento de dados
As explicações seguintes referem-se ao banco de dados europeu AskREACH, incluindo o frontend do fornecedor, ambos desenvolvidos no âmbito do projeto LIFE AskREACH. O banco de dados está ligado à aplicação europeia Scan4Chem para smartphone e à correspondente aplicação web, bem como da app ToxFox da BUND.
A UBA é o controlador da lógica AskREACH, incluindo a base de dados e o supplier frontend, bem como as Apps para smartphone e para a internet desenvolvida no projeto AskREACH.
Os Administradores regionais da aplicação nos diferentes países são autoridades ou organizações dos países parceiros do projeto AskREACH e promovem as Apps e daão apoio aos utiliadores destas e da base de dados. O parceiro do projecto AskREACH, Instituto de Ciência e Tecnologia do Luxemburgo (LIST) é responsável pela operação técnica do sistema AskREACH (base de dados e todos os frontends). O LIST usa a nuvem IBM para alojamento (IBM of Belgium sprl / bvba, https://www.ibm.com/contact/be/en/?lnk=flg-cont-be-en). A IBM está em conformidade com o catálogo alemão de controles de conformidade de computação em nuvem padrão (Germanstandard cloud computing compliance controls catalogue)(C5, ver https://www.bsi.bund.de/EN/Topics/CloudComputing/Compliance_Controls_Catalogue/Compliance_Controls_Catalogue_node.html).
BUND é parceiro to projeto AskREACH que controla e providencia a app ToxFox que inclui algumas das funções da app europeia desenvolvida pelo AskREACH. A declaração de privacidade de dados da ToxFox pode ser encontrada em: www.bund.net/toxfox-privacy-policy (in English) ou https://www.bund.net/datenschutz/ (em alemão).
Âmbito do tratamento de dados pessoais
Os dados pessoais dos utilizadores das ferramentas TI da AskREACH só serão processados se tal for necessário para fornecer ferramentas funcionais, bem como os conteúdos e serviços AskREACH (tais como a disponibilização de informações de SVHC vindas dos fornecedores de artigos de consumo). O tratamento dos dados pessoais dos utilizadores ocorre regularmente apenas com seu consentimento. Uma exceção é aplicável nos casos onde o consentimento prévio não possa ser obtido por razões concretas e o processamento dos dados seja permitido por lei. No último caso, os titulares dos dados são informados nos termos do Art. 14 do RGPD.
Salvo disposto em contrário nesta declaração de proteção de dados em casos individuais, os dados do utilizador não serão passados a terceiros. Também não são processados ou utilizados para fins de consultoria, publicidade ou pesquisa de mercado. Os dados armazenados podem ser vistos pelos administradores da Agência Alemã do Ambiente e Instituto de Ciência e Tecnologia do Luxemburgo. Dados guardados no sistema da ToxFox (email da companhia para onde são enviados os pedidos sobre SVHC, pedidos de informação sobre SVHC enviados) podem ser acedidos pela BUND.
Detalhes de contacto da empresa, do GCP’s/código de barras e informações sobre os hábitos de resposta serão disponibilizados aos administradores regionais através do sistema AskREACH, para que possam abordar as empresas que não respondem a fim de descobrir as razões para tal acontecer. Os administradores regionais poderão publicar estatísticas anónimas da base de dados. Outros dados específicos da empresa, que não os acima referidos, só podem ser visualizados pelos administradores regionais no âmbito das suas atividades de apoio técnico e com o acordo da empresa. Foram celebrados acordos de proteção e confidencialidade de dados entre a UBA e o LIST, UBA e os administradores regionais (incluindo a BUND) e entre o LIST e o host externo. Em complemento, BUND tem um acordo de proteção de dados com o seu host externo.
Todas as informações que a empresa enviar ao usar as ferramentas IT AskREACH serão transmitidas de forma encriptada através de uma ligação "Secure Socket Layer" (SSL). Os dados da empresa não podem ser lidos por pessoas não autorizadas durante a transmissão pela Internet.
Base jurídica para o tratamento de dados pessoais
A base jurídica para o tratamento de dados pessoais é, geralmente, o consentimento da pessoa em causa, nos termos do Art. 6, par. 1, letra a do Regulamento Geral de Proteção de Dados da UE (RGPD).
Se o tratamento for necessário para proteger um interesse legítimo da nossa autoridade ou de terceiros, e se os interesses, direitos e liberdades fundamentais da pessoa em causa não superarem o interesse mencionado em primeiro lugar, o Art. 6, par. 1, letra f, do RGPD servirá como base jurídica para processamento.
Tempo de armazenamento e eliminação de dados
Os dados pessoais serão eliminados ou bloqueados logo que o propósito de armazenamento deixe de existir.
Além disso, os dados podem ser armazenados se tal estiver previsto pelo legislador europeu ou nacional em regulamentos da UE, leis ou outras disposições a que a pessoa responsável está sujeita. Os dados serão também bloqueados ou eliminados se expirar um período de armazenagem prescrito pelas normas acima mencionadas.
5.4. Disposição do sistema AskREACH e criação de arquivos de log
Sempre que alguém acede ao sistema AskREACH usando a aplicação, o sistema recolhe automaticamente dados e informações a partir do sistema. Estas informações (arquivos de log do servidor) compreendem, por exemplo, informações sobre o navegador, sistema operacional do utilizador, o domínio de seu provedor de serviços de internet etc. Além disso, o endereço IP ou potencialmente o ID do dispositivo do seu smartphoneé transmitido e utilizado a fim de viabilizar o serviço desejado. Esta informação é tecnicamente necessária para a correta entrega do conteúdo solicitado por si das nossas ferramentas de TI e é obrigatória quando se utiliza a Internet.
Esses dados não são armazenados juntamente com outros dados pessoais do utilizador.
De acordo com o nosso conceito de privacidade de dados, os dados do arquivo de log recebidos são armazenados durante um período de duas semanas a fim de reconhecer e analisar um eventual ataque contra o nosso sistema. A base jurídica para processamento de dados é o Art. 6, par. 1 S, 1 f), do RGPD. Se um endereço IP específico ou um número de identificação de dispositivo tiver de ser bloqueado, é permanentemente armazenado
5.5. Representantes de empresas que recebem solicitações SVHC através do sistema (por email) ou respondem por email, sem se registarem na base de dados
Descrição e âmbito do tratamento dos dados
Se um representante de uma empresa receber um pedido de informação sobre substâncias que suscitam elevada preocupação (SVHC) através das ferramentas IT AskREACH (aplicações para smartphone, web, ou a ToxFox, pedidos de retalhistas via o sistema AskREACH), o pedido pode ser recebido através do endereço de email (potencialmente personalizado) da empresa. Este endereço de email (potencialmente personalizado) pode ter as seguintes origens:
É mantida no sistema uma lista interna de nomes de empresas com endereços de email associados. Esses endereços foram pesquisados na Internet pelos administradores regionais da aplicação nos diversos países ou identificados por solicitantes e verificados pelos administradores regionais da aplicação. A lista só pode conter endereços de email personalizados se as empresas solicitarem explicitamente a inclusão desses endereços ou se as empresas só no seu website os indicam.
Se a app não puder oferecer um endereço de email através do GEPIR ou da lista de endereços internos, o solicitante (utilizador da aplicação ou comerciante) pode também encontrar um endereço de email por si próprio e inseri-lo como destinatário do seu pedido SVHC. Recomendamos que o utilizador da aplicação não use, se possível, endereços de email personalizados, mas não podemos descartar a possibilidade de que estes possam ainda vir a ser usadas em casos individuais.
Os endereços de email são necessários ao envio dos pedidos para as empresas responsáveis pela informação SVHC. Os endereços de email podem ser vistos pelos requerentes. Quando um utilizador decide enviar o seu pedido com cópia para um retalhista, este conhecerá o endereço de email do requerente. As empresas que desejam que os pedidos de informação sejam dirigidos para um email específico, devem registar-se no sistema AskREACH e disponibilizar o email correto ou contactar o administrador regional (ver https://www.askreach.eu/app-database/).
Quando uma empresa responde a um pedido SVHC por email, serão transmitidos os dados indicados na resposta. O servidor AskREACH encaminha o email para o requerente, armazenando-o sob forma encriptada no sistema, apenas para fins técnicos. Se responder a um pedido de informação através da ToxFox, o servidor AskREACH fará forward da sua mensagem de email diretamente para o requerente e o sistema ToxFox é informado que o pedido de informação foi respondido.
Cópias de backup do servidor AskREACH são divididas em diferentes categorias para melhor monitorização e controlo, por exemplo, consumidores, fornecedores, informações do artigo, pedidos, etc. Se os backupscontiverem dados pessoais, eles são documentados. Se os backups precisarem de ser restaurados, por exemplo, após uma falha de sistema, cada utilizador do sistema é informado deste facto e a data do backup. Os backups são armazenados criptografados.
O sistema ToxFox recebe os endereços de email do sistema AskREACH. Os endereços de email são atualizados uma vez por semana num centro de dados certificado. Por razões de segurança, um update em espelho é também guardado uma vez por semana num outro local do centro de dados. Os pedidos de informação pessoal são mantidos numa caixa de entrada especial, no caso de um backup ter de ser restaurado e BUND apaga de forma manual os dados pessoais do backup importado. Os pedidos apagados na inbox são automaticamente apagados uma vez por semana.
Base jurídica do processamento de dados
A base jurídica para o armazenamento temporário de dados e arquivos é o Ar.tº 6, par. 1, letra f do RGPD .
Finalidade do processamento de dados
Por razões de proteção de dados, um fornecedor poderá receber pedidos de informação de consumidores sem que o endereço de email do requerente esteja indicado. Entretanto, o armazenamento do endereço de email do fornecedor no sistema AskREACH e ToxFox é necessário para que o sistema lhe possa endereçar o pedido sobre SVHC e encaminhar a respetiva resposta para o requerente. Se desejar enviar você mesmo a sua resposta ao requerente, responda ao e-mail de pedido e instrua o consumidor a contactá-lo diretamente por e-mail.
Se não responder a um pedido SVHC, o sistema AskREACH enviar-lhe-á um lembrete no prazo de 30 dias. Após 45 dias, e se o requerente assim o desejar, um novo pedido será enviado. Se o pedido original foi enviado pela ToxFox, o sistema ToxFox é informado sobre o estatuto do pedido (relembrado; expirado; respondido) e transfer esta informação para o requerente.
Todos os dados pessoais armazenados no servidor AskREACH são visíveis para os administradores do AskREACH a pedido do consumidor ou provedor para que possam realizar suas atividades de assistência técnica.
Os dados pessoais armazenados no servidor da ToxFox (email da empresa para o qual foi enviado o pedido de informação) são visíveis para a BUND.
Duração do armazenamento
Os dados serão eliminados quando não forem já necessários para atingir o objetivo para o qual foram recolhidos.
Se os dados pessoais forem armazenados em arquivos de log, serão eliminados após até duas semanas. Caso haja um armazenamento posterior, os endereços IP dos utilizadores (tanto quanto possível para o efeito) são eliminados ou anonimizados, para impossibilitar a associação a um cliente.
Os endereços de e-mail da lista interna são armazenados de forma permanente para que os utilizadores da app possam enviar pedidos de informação sobre SVHC a partir destes endereços. Também são guardados no sistema ToxFox.
O email com a sua resposta a um pedido de informação sobre SVHC por email, é encaminhado para o requerente e armazenado para fins técnicos em cache no sistema em formato criptografado.
Possibilidade de objeção e eliminação, revogação de autorização
A recolha de dados para o fornecimento das ferramentas de TI e o armazenamento de dados em arquivos de log é absolutamente necessária para o funcionamento daquelas ferramentas
O endereço de e-mail do utilizador, armazenado na lista de endereços interna do sistema, pode ser eliminado, removido ou alterado a seu pedido. Uma empresa, registada no banco de dados AskREACH, pode inserir um endereço de e-mail para o qual devem ser reencaminhados os pedidos SVHC. O consentimento para o tratamento dos dados da empresa pode, a qualquer momento, ser revogado, enviando um e-mail para o administrador regional (ver https://www.askreach.eu/app-database/). A legalidade de um tratamento processual com base no consentimento permanece até à data da respetiva revogação.
5.6. Registo de representantes de empresas no banco de dados
Descrição, âmbito e finalidade do tratamento dos dados
O registo no banco de dados AskREACH é possível através do supplier frontend.
Ao aceder ao servidor AskREACH, o sistema automaticamente colige dados e informações.
São recolhidos os seguintes dados:
Os dados são armazenados nos arquivos do sistema AskREACH. Os endereços IP e ID’s de dispositivos são identificáveis nos registos para fins de prevenção de ataque e para tratamento estatístico/geográfico de acessos. Endereços IP/ID’s de dispositivo são também usados para limitar as taxas de acesso à aplicação/banco de dados conforme necessário e evitar ataques de Recusa de Serviço (Denial of Service, DOS) e outras ameaças.
Quando um representante da empresa se regista no banco de dados AskREACH, indicará o nome e o endereço de email pessoal. Com esses dados pessoais, juntamente com o nome da empresa e endereço postal, o nome será armazenado pelo sistema como pessoa de contacto da empresa para o sistema AskREACH e pode ser contactado para esclarecimentos. Este pode ser o caso, por exemplo, se os consumidores fazem perguntas, se existem problemas técnicos, etc. É altamente recomendável fornecer também um endereço de email para pedidos SVHC. Se possível, deve ser indicado um endereço de emailgeral, em vez de pessoal, devendo a respetiva caixa de email ser consultada com regularidade. Esta é a única forma de garantir que as obrigações ao abrigo do REACH Art. 33 (2) são cumpridas e que é possível reagir em tempo útil em caso de problemas técnicos. Os endereços de email para enviar pediso sobre SVHC é visível para o público nas Apps para smartphone e internet desenvolvidas pelo AskREACH. Este endereço de email e o nome da empresa também são transferidos para o sistema da ToxFox e, portanto, são visíveis para os utilizadores da app ToxFox.
É implementada uma auditoria de acompanhamento (quem mudou o quê e quando) no suplier frontend do AskREACH. Dados pessoais, como nomes e endereços de email, são armazenados no relatório de auditoria sob a forma de pseudónimos.
As cópias de backup do servidor do AskREACH são divididas em diferentes categorias para melhor monitorização e controlo, por exemplo, consumidores, fornecedores, informações do artigo, pedidos, etc. Se os backups contiverem dados pessoais, são documentados. Se os backups precisarem de ser restaurados, por exemplo, após uma falha de sistema, cada utilizador do sistema é informado deste facto e a data do backup. Os backups são armazenados criptografados. O sistema ToxFox guarda em cache os endereços de email para os pedidos de informação sobre SVHC que recebe do sistema AskREACH. Os endereços de email são atualizados uma vez por semana in centro de dados certificado. Por razões de segurança, uma atualização em espelho é também guardada semanalmente numa localização de alojamento separada no centro de dados.
Base jurídica para o tratamento de dados pessoais
A base jurídica para o armazenamento temporário de dados e arquivos de log é o Art.º 6, par. 1, letras a e f, do RGPD.
O processamento de dados pessoais que você insere no supplier frontend está vinculado ao seu consentimento dado durante o registo. Independentemente do seu consentimento, o seu endereço IP é armazenado num arquivo de log antes de você se registar. O endereço IP é armazenado por 14 dias.
Finalidade de processamento de dados
Os dados são armazenados no banco de dados para garantir a funcionalidade do sistema. Além disso, servem para otimizar as ferramentas IT AskREACH (incluindo a ToxFox) e para garantir a segurança dos nossos sistemas de tecnologia de informação. Os dados são estatisticamente avaliados sob anonimato para documentar o sucesso das ferramentas IT AskREACH (incluindo a ToxFox). O armazenamento temporário do endereço IP pelo sistema do AskREACH é necessário para permitir que as informações do servidor sejam entregues ao computador ou outro dispositivo do utilizador. Para tal, o endereço IP do utilizador deve permanecer armazenados durante a sessão. Os dados não são avaliados para fins comerciais.
O legítimo interesse da AskREACH no processamento de dados, nos termos do Art.º 6, par. 1, letra f do RGPD assenta também nos mesmos propósitos.
Os dados do arquivo de log não são combinados com quaisquer outros dados armazenados. Uma referência direta do número IP do arquivo de log para um utilizador não é possível e está excluída. O endereço IP é avaliado apenas em caso de ataque contra a infraestrutura IT AskREACH, delitos contra a moralidade e outras atividades ilegais relativas ao uso das ferramentas IT do AskREACH. Uma relação entre um número IP e uma pessoa só é possível através do provedor do seu sistema telefónico e por de investigação do Ministério Público.
O armazenamento do nome e endereço de email pessoal do utilizador pelo sistema é necessário para que o sistema possa comunicar com ele. Fica assim registado como pessoa de contacto da empresa para AskREACH.
Todos os dados pessoais armazenados no servidor AskREACH são visíveis para os administradores do AskREACH a pedido do consumidor ou provedor para que possam realizar suas atividades de assistência técnica:
Duração do armazenamento
O nome e endereço de email da empresa serão guardados até que esses dados ou a conta associada sejam eliminados pela própria empresa, ou por um administrador.
Um email de resposta a uma solicitação SVHC será reencaminhado guardado no sistema AskREACH em forma criptografada para fins técnicos.
Se os dados pessoais (identificadores on-line como endereços IP e ID’s de dispositivo único) forem armazenados em arquivos de log, serão excluídos após duas semanas no máximo. Um armazenamento adicional é possível. Neste caso, os endereços IP dos utilizadores (tanto quanto possível para o efeito) são excluídos ou anonimizados, para que a aceitação de uma nova chamada desse cliente não volte a ser possível. O sistema ToxFox guarda em cache os endereços de email para os pedidos de informação sobre SVHC que recebe do sistema AskREACH. Os endereços de email são atualizados uma vez por semana in centro de dados certificado. Por razões de segurança, uma atualização em espelho é também guardada semanalmente numa localização de alojamento separada no centro de dados. No caso do sistema AskREACH ser desligado, os dados fornecidos ao sistema ToxFoxs erão apagados em 90 dias.
Possibilidade de objeção e eliminação, revogação ou consentimento
A recolha de dados para o fornecimento das ferramentas de TI e o armazenamento de dados em arquivos de log é absolutamente necessária para o funcionamento daquelas ferramentas.
O representante de uma empresa pode mudar o seu nome e endereço de email através da sua conta ou eliminar a própria conta. Pode também revogar a sua autorização para o tratamento dos seus dados pessoais a qualquer momento, enviando um email para o administrador regional (ver https://www.askreach.eu/app-database/). A legalidade do tratamento realizado com base no consentimento, até à revogação deste, continua a ser válida.
A AskREACH tem um administrador regional sérvio para a aplicação no exterior da UE. Na Sérvia, a lei nacional implementa disposições equivalentes ao RGPD. A App Sérvia também está disponível em Montenegro e na Bosnia Hercegovina.
No que diz respeito a estes países, nenhuma decisão de adequação da Comissão da UE de acordo com o art. 45 GDPR está disponível. A transferência de dados (por exemplo, o seu nome ou endereço de e-mail personalizado) para esses países para os quais não há uma decisão de adequação nem garantias apropriadas envolve riscos.
Além disso, podem ser enviados pedidos para qualquer empresa fora na UE.
As empresas registadas no sistema podem ser convidadas a participar em inquéritos para fornecer dados ao projeto AskREACH sobre os impactos alcançados e a satisfação do utilizador. Os respetivos convites aparecerão na "página inicial" do frontend do fornecedor, ou seja, a primeira página que o utilizador vê, logo após fazer logon no sistema, ou enviado via email. O projeto pode contactar fornecedores individuais com base nas suas atividades, conforme documentado na base de dados (por exemplo, larga partilha de artigos que contêm SVHC). O projeto também pode lançar inquéritos endereçados a todos os fornecedores registados. Também neste caso, as empresas terão um convite na página inicial do frontend do fornecedor para participar (pesquisa ou entrevista) ou será enviado via email. Até aqui, não estão envolvidos dados pessoais.
As empresas que concordarem em participar na pesquisa serão encaminhadas para um questionário criado na ferramenta web Lime Survey, que está hospedada num site externo pelo parceiro Sofia no projecto AskREACH (por exemplo, sofia-research.com/consumer-surveys). Aplicam-se as condições de privacidade de dados de LimeSurvey. As condições de privacidade dos dados do LimeSurvey podem ser encontradas aqui: (https://www.limesurvey.org/privacy-policy).
As empresas que concordam em participar podem ser convidadas a fornecer dados de contacto que podem ser usados para entrevistas individuais. Todas as pesquisas são avaliadas anonimamente.
Descrição do âmbito dos dados processados e armazenamento de dados
Pode enviar perguntas sobre o supplier front end ou a base de dados por e-mail para UBA (em alemão ou inglês) ou para o seu administrador regional. Neste caso, os seus dados pessoais transmitidos com o e-mail serão armazenados por nós ou pelo administrador regional.
Estes dados não serão transmitidos a uma terceira parte (excluindo os administradores global, técnico e regional), sem o seu consentimento expresso.
Nós e os administradores técnicos e regionais usaremos os dados para processar a conversa e armazená-los enquanto for necessário para referência futura no contexto do uso de nossas ferramentas de TI. Os administradores que armazenam correspondência por um período mais longo devido à sua legislação administrativa nacional, tornam-se controladores desses dados.
Os seguintes emails são guardados de forma permanente:
Base legal para o processamento de dados pessoais
A base legal para o processamento de dados transmitidos no âmbito de um envio de email é o Art. 6 (1) (f) GDPR.
Propósito do processamento dos dados
O processamento dos dados pessoais serve para responder à sua consulta.
Possibilidade de objeção e eliminação
Você tem a possibilidade de se opor ao tratamento dos seus dados pessoais enviados por e-mail a qualquer momento. Para tal, contacte o nosso responsável pela proteção de dados (em alemão, inglês) ou o administrador regional. Nesse caso, a troca não pode continuar. Todos os dados pessoais armazenados durante o contacto connosco ou com o administrador regional serão apagados.
As empresas são afetadas pelo processamento dos seus dados, conforme reconhecido no Regulamento Geral de Proteção de Pados (RGPD), assumindo, face a quem for responsável pelo processamento, os direitos que a seguir se descrevem. Contactar o administrador regional (ver https://www.askreach.eu/app-database/) ou, em inglês ou alemão, o Responsável pela Proteção de Dados da Agência do Ambiente Alemã (ver ponto anterior).
Direito à informação
A empresa pode pedir ao responsável da AskREACH para confirmar se os seus dados pessoais serão processados.
Se tal processamento teve lugar, o utilizador pode pedir ao responsável as seguintes informações:
A empresa tem o direito de pedir informações sobre se os seus dados pessoais são transferidos para um país terceiro ou alguma organização internacional. Neste contexto, pode pedir para ser informada sobre as garantias adequadas, nos termos do Art.º 46 do RGPD 46 relativamente à transmissão.
Este direito à informação pode ser limitado na medida em que pode acontecer que torne impossível ou prejudique seriamente a realização de trabalhos de investigação ou estatísticos e que a limitação seja necessária para o seu cumprimento
Direito à retificação
O responsável da empresa tem direito a exigir do controlador de dados a retificação e/ou conclusão do processamento, se os dados pessoais tratados, no que se refere à empresa, estiverem incorretos ou incompletos. O controlador deverá fazer imediatamente a correção.
O direito à correção pode ser limitado na medida em que pode acontecer que torne impossível ou prejudique seriamente a realização de trabalhos de investigação ou estatísticos e que a limitação seja necessária para o seu cumprimento.
Direito à limitação de processamento
A empresa pode exigir que seja restringido o tratamento dos seus dados pessoais nas condições seguintes:
Se o tratamento de dados pessoais da empresa tiver sido restringido, tais dados só podem ser tratados - além de armazenados - com o consentimento da empresa ou com a finalidade de afirmar, exercer ou defender direitos ou proteger os direitos de outra pessoa singular ou coletiva, ou ainda por razões de interesse público importante da União ou de um Estado Membro.
Se a restrição de processamento tiver sido limitada de acordo com alguma das condições acima descritas, o utilizador será informado pelo responsável antes do levantamento da restrição.
O direito à restrição do processamento pode ser limitado na medida em que pode que torne impossível ou prejudique seriamente a realização de trabalhos de investigação ou estatísticos e que a limitação seja necessária para o seu cumprimento.
Direito ao cancelamento
A empresa pode requerer ao controlador de dados a eliminação imediata dos seus dados, sendo o controlador obrigado a fazê-lo imediatamente se uma das seguintes razões for aplicável:
Se o controlador de dados tiver divulgado publicamente dados sobre a empresa e é obrigado a eliminá-los nos termos do Art.º 17, par. 1 do RGPD, tomará as medidas adequadas, incluindo medidas técnicas, tendo em conta a tecnologia disponível e os custos de implementação, a informar os processadores de dados que tratam os dados pessoais de que a empresa, como titular dos dados, requereu a eliminação de todos os links para esses dados pessoais ou de cópias ou replicações desses dados..
O direito de cancelamento não existe desde que o tratamento seja necessário:
Direito à informação
Se a empresa tiver exercido o direito de exigir ao controlador de dados a correção, a eliminação ou a limitação do processamento dos seus dados, o controlador é obrigado a informar todos os destinatários a quem aqueles dados tenham sido comunicados sobre as ditas correção, eliminação ou limitação, a menos que tal se revele impossível ou implique um esforço desproporcionado.
O responsável da empresa tem o direito de ser informado de tais destinatários.
Direito à possibilidade de transferência de dados
A empresa tem o direito de recuperar os dados que tenham transmitido ao responsável em formato estruturado, normalizado e legível por computador. Tem, além disso, o direito de transferir esses dados para um outro responsável, sem obstrução do anterior a quem os dados tinham antes sido fornecidos, desde que
No exercício deste direito, a empresa tem também o direito de exigir que os seus dados sejam transferidos diretamente de um controlador de dados para outro, na medida em que tal seja tecnicamente possível. As liberdades e os direitos de outros não devem ser afetados por isto.
O direito de transferência não se aplicará ao tratamento de dados pessoais necessários para a execução de uma tarefa de interesse público ou no exercício da autoridade pública conferida ao controlador.
Direito de oposição
A empresa tem o direito de se opor a qualquer momento e por razões decorrentes da sua situação particular, ao tratamento dos seus dados, em conformidade com o Art.º 6 par. 1 letra f do RGPD
O controlador de dados deixou de processar os dados pessoais sobre a empresa, a menos que possa alegar motivos imperiosos para a proteção do processamento que superem os interesses, direitos e liberdades da empresa, ou o que o processamento esteja a ser utilizado para afirmar, exercer ou defender exigências legais
A empresa tem a possibilidade de exercer o seu direito de oposição relativamente ao uso dos serviços da sociedade da informação por meio de procedimentos automatizados usando as especificações técnicas, sem prejuízo da Diretiva 2002/58/CE
A empresa tem também o direito de se opor ao tratamento dos seus dados para efeitos de investigação científica ou histórica, ou para fins estatísticos, nos termos do Art.º 89 par. 1 do RGPD por razões decorrentes da sua situação particular
O direito de objeção da empresa pode ser limitado na medida em que possa tornar impossível ou prejudicar gravemente a realização de objetivos de investigação ou estatísticos e essa limitação seja necessária para a consecução desses objetivos.
Direito de revogar a declaração consentimento para proteção de dados
A empresa tem o direito de revogar a declaração consentimento para proteção de dados a qualquer momento. A revogação do consentimento não afetará a legalidade do tratamento realizado com base no consentimento até à revogação
Direito de apelo para uma autoridade de supervisão
Sem prejuízo de quaisquer recursos administrativos ou judiciais, a empresa tem o direito de apelar para uma autoridade de controlo, em particular no Estado Membro onde tem a sua sede, onde labora ou onde é suspeita de infração, se acreditar que o tratamento dos seus dados pessoais é contrário ao RGPD.
A autoridade de supervisão a que a denúncia foi apresentada informará o autor da denúncia sobre o estado e os resultados da reclamação, incluindo a possibilidade de um procedimento judicial nos termos do Art.º 78 do RGPD
No caso da Agência do Ambiente Alemão, a autoridade supervisora responsável é o Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Comissário Federal para a Proteção de Dados e Liberdade de Informação)
Não é permitido o uso indevido de dados impressos ou informações semelhantes de dados de contato publicados pela AskREACH, tais como endereços postais, números de telefone e fax e endereços de email. A AskREACH reserva-se expressamente o direito de tomar medidas legais contra os remetentes dos chamados spam mails de em caso de violação desta proibição