top of page



Policy Regarding the Protection of Processing of Personal Information 

Reference Number:

Personal Information Policy (POP 001)

Date of Revision:

July 2021



  • Honesty and integrity

  • Client focus

  • Accountability

  • Quality and excellence

  • Pride and respect

  • Safety and social responsibility


The Company recognises the constitutional rights of a person/s to privacy and acknowledges that it is of the utmost importance, as required by law, to protect the personal information pertaining to the relevant parties concerned.   

The danger of invading a person’s privacy and the abuse of personal information has been considered and acknowledged internationally and precautionary measures to protect this confidential information has been documented to be of assistance in the regulation hereof.  For this specific reason, Parliament established legislation to address this matter. The Company undertakes to respect and protect the privacy of all persons who are associated with this company whether they are employees of this company or persons who are business partners or other entities, who for various reason of interest, are related to the Company.


The contents of this policy is applicable to all employees of the Company, and has been introduced in order to encourage the protection and confidentiality of all personal information that has been made available to the Company by employees or any consumer/client or any party who has disclosed any information of a private or business nature, for the sole intention of employment, business transactions, contracts or communication and will be deemed to be necessary for the records pertaining to the Company.

The information officer is the custodian of this policy, as it is the responsibility of the information officer to ensure that this policy is incorporated and implemented in the various divisions of the Company, and that workshops and training is provided to all parties concerned regarding the contents of the Protection of Personal Information Act (PoPIA).

This policy applies to all permanent and temporary positions held by persons within the Group and is applicable to all temporary and permanent employees. The Company will make employees aware of this procedure by discussing it during induction sessions, and by distributing it to the workforce by making it available on the Company’s electronic equipment and stored under the Q-drive.

However, it remains the duty and responsibility of all employees to make themselves aware of, and to familiarise themselves with, the content and application of this document.


3.1 The purpose of this policy is to incorporate the requirements of the Protection of Personal Information Act (4/2013) (hereafter referred to as ‘PoPIA’) into the daily operations of the Company and to ensure that these requirements are documented and implemented in the business processes.

3.2 The objective of this policy is to ensure the constitutional right to privacy, with regards to:

  1. the safeguarding of personal information;

  2. the regulation and processing of personal information;

  3. the execution of the prescribed requirements for the legal processing of personal information; and

  4. the protection of free flow of personal information.

3.3 The Company and its employees shall adhere to this policy concerning the management of all personal information received from, but not limited to natural persons, employees, clients, suppliers, agents, representatives and partners of the Company, to ensure compliance is applied to this Act and the applicable regulations and rules relating to the protection of personal information is adhered to.





Protection of Personal Information Act (4/2013)


Any equipment capable of operating automatically/independently in response to instructions being executed, for the purposes of processing information


Kawena Distributors (Pty) Limited

Data subject

The person to whom the personal information is relative to

Direct marketing

To approach/contact a data subject, either in person or by mail or electronic communication, for the direct or indirect purpose of – promoting or offering to supply, in the ordinary course of business, any goods or service to the data subject; or requesting a donation of any sort and for any reason from the data subject

Information officer 

The head of a private body as contemplated in Section 1, contained in the Promotion of Access to Information Act (PAIA)

Personal information

Information relating to an identifiable, living, natural person, and where it is applicable, an identifiable, existing juristic person, including, but not limited to – information relating to the race, gender, sex, pregnancy, marital status, national, ethnic or social origin, colour, sexual orientation, age, physical or mental health, wellbeing, disability, religion, conscience, belief, culture, language and birth of the person; information relating to the education or the medical, financial, criminal or employment history of the person; any identifying number, symbol, e-mail address, telephone number, location information, online identifier or other particular assignment to the person; the biometric information of the person; the personal opinions, views or preferences of the person; correspondence sent by the person that would reveal the contents of the original correspondence; the views or opinions of another individual regarding the person; and the name of the person if it appears with other personal information relating to the person or if the disclosure of the name itself would reveal information about the person


Any recorded information in whatever form in possession or under the control of the responsible party


the information regulator established in terms of the Act

Responsible party

A public or private body or any other person which, independently or in conjunction with others, determines the purpose of and means for processing personal information (typically, but not always, the collector of information)


Promotion of Access to Information Act (2/2000)


Protection of Personal Information Act (4/2013)


5.1 The Company acknowledges that it is mandatory to comply with the provisions of the Protection of Personal Information Act; (PAIA)

5.2 There are eight (8) conditions that shall apply, and which are relevant for the lawful processing of personal information:

  1. Accountability;

  2. Processing limitation;

  3. Purpose specification;

  4. Further processing limitation;

  5. Information quality;

  6. Transparency (honesty and integrity);

  7. Security safeguards; and

  8. Data subject participation.


6.1 Processing of Personal Information:

6.1.1 The procedure of processing the personal information, refers to the collection, recording, organisation, storage, updating or modification, retrieval, consultation, use, dissemination by means of transmission, distribution or making available in any other form, merging, linking, including inaccessibility, erasure or destruction of personal information.

6.1.2 Personal information collected by the Company and/or any of its representatives or subsidiaries, will not be collected directly from the data subject, unless:

  1. The information is contained or derived from a public record or has deliberately been made public by the data subject.

  2. The data subject or a competent person where the data subject is a minor, has consented, to the collection of the information from another source.

  3. Collection of the information from another source would not prejudice a legitimate interest of the data subject.

  4. Collection of the information from another source is necessary to avoid prejudice to the maintenance of the law by any public body, including the prevention, detection, investigation, prosecution and punishment of offences;  to comply with an obligation imposed by law or to enforce legislation concerning the collection of revenue;  for the conduct of proceedings in any court or tribunal that have commenced or are reasonably contemplated; in the interest of national security; or to maintain the legitimate interests of the Company or of a third party to whom the information is supplied.

  5. Compliance would prejudice a lawful purpose of the collection.

  6. Compliance is not reasonably practicable in the circumstances of that instance.

6.1.3 Personal information must only be collected for a specific, explicitly, defined and lawful purpose, related to the function or activity of the Company.

6.1.4 Ensure that the data subject is aware of what information is collected prior to the collection thereof.

6.1.5 Ensure the data subject, or should the individual be a minor, a competent person in this instance then consents to the collection of personal information.

6.1.6 Inform the data subject what the purpose is for the collection of this information and inform the data subject regarding:

  1. whether the information to be collected is a voluntary or mandatory function to be performed;

  2. the consequences of the matter for the data subject should they fail to provide the information;

  3. whether it is ascertained that a legal authority requires the collection of the information for their records;

  4. whether this information needs to be transferred to another source;

  5. whether the Company intends to transfer the information to any other country outside the borders of the Republic of South Africa or international organisation and disclose the level of protection regarding the personal information which can be expected from this country or international organisation.

6.1.7 Ensure that the personal information is complete, accurate, not misleading and is updated from time to time;

6.1.8 Ensure that the information which is collected is not excessive. To collect solely the information, which is necessary for the company, which it requires to execute its functions or in the interests of a third party, where the information will be provided to them;

6.1.9 To undertake to regard personal information as strictly private and confidential and not to disclose it to any other party, unless required by law to take this course of action, or the consideration of the correct performance of the company’s duties and tasks;

6.1.10 The Company, will take responsibility to keep on record all the appropriate documentation of all processing operations.


7.1 The Company undertakes to ensure that any additional processing of personal information will be in accordance with the purpose for which it was collected;

7.2 To assess whether any additional processing is in accordance with the purpose of collection, the following detail should be considered:


    1. The relationship between the purpose of the intended additional processing and the purpose or intention for which the information was collected;

    2. The nature of the information concerned;

    3. The consequences of this action for the data subject regarding the intention of processing additional information;

    4. The manner/method in which this information was collected; and

  • Any contractual rights and obligations between the parties.


8.1 Records of personal information should not be retained for longer periods than is necessary for achieving the purpose for which the information was collected, unless:

  1. the retention of a record is required or authorised by law;

  2. the Company, reasonably requires a record for legal purposes related to its functions or activities;

  3. retention of a record is required by a contract between the parties thereto; or

  4. the data subject or a competent person where the data subject is a minor and has consented to the retention of a record.

8.2 The Company will destroy or delete a record of personal information as soon as it is reasonably practical once it has no further authority to retain a record for a further period;

8.3 The deletion of a record of personal information should be processed in a manner that prevents its reconstruction in an intelligible/understandable form;

8.4 In the event where the Company uses a record of personal information from a data subject to arrive at a conclusion regarding various aspect pertinent to the data subject, the following will be necessary:

  1. Retain the record for such period as may be required or prescribed by law or a code of conduct; or

  2. If there is no law or code of conduct prescribing a retention period, retain the record for a period that will afford the data subject a reasonable opportunity in which to request access to the record, taking all considerations relating to the use of the personal information into account.

8.5 The Company will restrict the processing of personal information if:

  1. its accuracy is contested by the data subject, for a period enabling the Company to verify the accuracy of the information;

  2. the Company no longer requires the personal information for achieving the purpose for which it was collected or subsequently processed, but is required to maintain/retain it for purposes of proof or record keeping purposes;

  3. the processing is unlawful, and the data subject opposes its destruction or deletion and alternatively requests the restriction of its use; or

  4. the data subject requests that the personal data be transmitted or transferred to another automated processing system.

8.6 Personal information that has been restricted may only be processed for purposes of proof, or processed with the data subject’s consent, or with the consent of a competent person where the data subject is a minor, or for the protection of the rights of any other natural or legal person, or if such processing is in the public interest.

8.7 Where personal information is restricted, the Company will inform the data subject prior to the termination of the restriction.


9.1 The Company will secure the integrity and confidentiality of personal information in its possession or under its control by taking appropriate, reasonable, technical and organisational measures to prevent loss of, damage to, or unauthorised destruction of personal information; and unlawful access to or processing of personal information;

9.2 The Company will take responsible measures to:

  1. identify all reasonable predictable internal and external risks to personal information in its possession or under its management;

  2. establish and maintain appropriate safeguards against the risks identified;

  3. regularly verify that the safeguards are effectively implemented; and

  4. ensure that the safeguards are continually updated in response to new risks or deficiencies in previously implemented safeguarding methods.

9.3 The Company will have due regard to generally accepted information security practices and procedures which may apply to it generally or be required in terms of specific industry or professional rules and regulations.


10.1 Where there are reasonable grounds to believe that the personal information of a data subject has been accessed or acquired by any unauthorised person, the information officer should be contacted immediately.

10.2 The information officer is required to notify the information regulator and the data subject.

10.3 The notification of a breach of confidentiality should be declared as soon as is reasonably possible upon the discovery of the compromise.

10.4 The information officer needs to provide sufficient information to the data subject which will enable the data subject to take protective measures against the potential consequences of the compromise.


11.1 The data subject, or competent person where the data subject is a minor, may withdraw his, her or its consent to procure and process his/her or its personal information, at any time, providing that the processing of the personal information was performed legally, prior to the request for the withdrawal.

11.2 A data subject, having provided adequate proof of identity, has the right to:


    1. request the Company to confirm, free of charge, whether it holds personal information regarding the data subject; and

  • request from the Company a record or a description of the personal information relevant to the data subject held by the Company, including information regarding the identity of all third parties, or categories of third parties, who have, or have had, access to the information.

11.3 This must be processed within a reasonable period, at a fee prescribed as determined by the Information Officer, in a reasonable manner and format and in a form that is generally understandable.

11.4 A data subject may request the Company, to correct or delete personal information in its possession or under its management which is inaccurate, irrelevant, excessive, out of date, incomplete, misleading or has been obtained illegally.

11.5 A data subject may request the Company to destroy or delete their record of personal information. This must be processed only if it is permissible and has been approved by the Information Officer.


12.1 All employees will be responsible for administering and overseeing the implementation of this policy including the supporting of guidelines, standard operating procedure, notices, consents and appropriate related documents and processes. 

12.2 Employees who violate the guidelines and standard operating procedures of this policy may be subjected to disciplinary action, being taken against him/her.

12.3 The point of contact for requests, disclosures, questions, complaints and any other inquiries relating to the processing, collection, or re-identifying of personal information shall be directed to the information officer or deputy information officer(s).


13.1 The Company must ensure that the disciplinary code (reference code LRP 001) is amended accordingly to include any violation of this policy.

13.2 The Company must appoint an information officer and a deputy officer/s who will be responsible for the management of this division.

13.3 The Company will ensure that the information officer and the deputy information officer/s receive the appropriate training with regard to the execution of their duties and responsibilities, in terms of the provisions of PoPIA and PAIA.



Política relativa à Proteção do Tratamento de Informações Pessoais

Número de referência:

Política de Informações Pessoais (POP 001)

Data de revisão:

Julho de 2021



  • Honestidade e integridade

  • Orientação para o cliente

  • Responsabilidade

  • Qualidade e excelência

  • Orgulho e respeito

  • Segurança e Responsabilidade social



A Empresa reconhece o direito constitucional à privacidade das pessoas e reconhece que a proteção das informações pessoais das partes interessadas é da maior importância, tal como exigido por lei.  

O perigo de invasão da privacidade de uma pessoa e o abuso de informações pessoais foram considerados e reconhecidos internacionalmente e as medidas de prevenção para proteger estas informações confidenciais foram documentadas como sendo uma forma de ajudar na regulação do presente documento.  Por esta razão específica, o Parlamento estabeleceu legislação para abordar esta questão. A Empresa compromete-se a respeitar e a proteger a privacidade de todas as pessoas que estão associadas a esta empresa, quer sejam funcionários desta empresa ou pessoas que sejam parceiros comerciais ou outras entidades que, por vários motivos de interesse, estejam relacionadas com a Empresa.



O conteúdo desta política aplica-se a todos os funcionários da Empresa, e foi introduzido para incentivar a proteção e a confidencialidade de todas as informações pessoais que tenham sido disponibilizadas à Empresa pelos funcionários, qualquer cidadão/cliente ou qualquer parte que tenha revelado qualquer informação de natureza privada ou comercial, com a única intenção de emprego, transações comerciais, contratos ou comunicações e será considerada necessária para os registos relativos à Empresa.

O responsável pela informação é o guardião desta política. É da responsabilidade do responsável garantir que esta política é incorporada e implementada nas várias divisões da Empresa, e que são realizados seminários e formação a todas as partes interessadas relativamente ao conteúdo da Lei de Proteção de Dados Pessoais (POPIA).

Esta política aplica-se a todos os cargos permanentes e temporários ocupados por pessoas do Grupo e a todos os trabalhadores temporários e permanentes. A Empresa informará os empregados sobre este procedimento, discutindo-o durante as sessões de formação, distribuindo-o aos trabalhadores e disponibilizando-o no equipamento eletrónico da Empresa e guardando-o na Q-drive.

No entanto, continua a ser dever e responsabilidade de todos os funcionários tomar conhecimento e familiarizar-se com o conteúdo e a aplicação deste documento.




3.1 O objetivo da presente política é integrar os requisitos da Lei de Proteção dos Dados Pessoais (4/2013) (a seguir designada por "POPIA") nas operações diárias da empresa e garantir que esses requisitos são documentados e implementados nos processos empresariais.

3.2 O objetivo da presente política é garantir o direito constitucional à privacidade no que respeita:-

  1. à salvaguarda das informações pessoais.

  2. à regulamentação e ao processamento de informações pessoais.

  3. à execução dos requisitos prescritos para o tratamento legal de informações pessoais, e

  4. à proteção do livre intercâmbio de informações pessoais.

3.3 A Empresa e os seus funcionários devem aderir a esta política relativa à utilização de todas as informações pessoais recebidas de, mas não se limitando a, pessoas singulares, funcionários, clientes, fornecedores, agentes, representantes e parceiros da Empresa, para garantir a conformidade com esta Lei e o cumprimento dos regulamentos e regras aplicáveis relativos à proteção de informações pessoais.






Lei da Proteção de Dados Pessoais (4/2013)


Qualquer equipamento capaz de funcionar de forma automática/independente em resposta à execução de instruções, para efeitos de tratamento de informação


Kawena Distributors (Pty) Limited

Titular dos dados

A entidade a quem as informações pessoais dizem respeito a

Publicidade direta

Abordar/contactar uma pessoa em causa, quer pessoalmente quer por correio ou comunicação eletrónica, com o objetivo direto ou indireto de - promover ou oferecer o fornecimento, no decurso normal da atividade comercial, de quaisquer bens ou serviços à pessoa em causa; ou solicitar um donativo de qualquer tipo e por qualquer motivo à pessoa em causa.

Responsável pela informação

O diretor de um organismo privado, tal como previsto na Secção 1 da Lei de Promoção do Acesso à Informação (PAIA)

Informações pessoais

Informações relativas a uma pessoa singular viva identificável e, se for caso disso, a uma pessoa colectiva existente identificável, incluindo, entre outras: - informações relativas à raça, sexo, gravidez, estado civil, origem nacional, étnica ou social, cor, orientação sexual, idade, saúde física ou mental, bem-estar, deficiência, religião, consciência, crença, cultura, língua e nascimento da pessoa; informações relativas à educação ou ao historial médico, financeiro, criminal ou laboral da pessoa; qualquer número de identificação, símbolo, endereço de correio eletrónico, número de telefone, informação de localização, identificador em rede ou outra atribuição específica à pessoa; os dados biométricos da pessoa; as opiniões, pontos de vista ou preferências pessoais da pessoa; correspondência enviada pela pessoa que revele o conteúdo da correspondência original; os pontos de vista ou opiniões de outra pessoa relativamente à pessoa; e o nome da pessoa, se aparecer juntamente com outras informações pessoais relativas à pessoa ou se a divulgação do nome em si revelar informações sobre a pessoa.


Qualquer informação registada, independentemente da sua forma, na posse ou sob o controlo da parte responsável.


A entidade reguladora da informação criada nos termos da lei.

Parte responsável

Um organismo público ou privado ou qualquer outra pessoa que, independentemente ou em conjunto com outros, determine a finalidade e os meios de tratamento de informações pessoais (normalmente, mas nem sempre, o coletor de informações).


Lei de Promoção do Acesso à Informação (2/2000).


Lei da Proteção de Dados Pessoais (4/2013).



5.1 A Empresa reconhece que é obrigatório cumprir as disposições da Lei de Proteção de Dados Pessoais (PAIA).

5.2 São aplicáveis oito (8) condições, que são relevantes para o tratamento legal de informações pessoais:

  1. Responsabilidade;

  2. Limitação do processo de tratamento;

  3. Especificação da utilização;

  4. Limitação do processamento adicional;

  5. Qualidade da informação;

  6. Transparência (honestidade e integridade);

  7. Salvaguardas de proteção; e

  8. Participação dos titulares dos dados.



6.1 Tratamento de Informaçõe Pessoais :

6.1.1 O procedimento de tratamento de informações pessoais, refere-se à recolha, registo, organização, conservação, atualização ou modificação, recuperação, consultação, utilização, divulgação utilizando a transmissão, distribuição ou disponibilização sob qualquer outra forma, combinação, ligação, incluindo a inacessibilidade, o cancelamento ou a destruição de informações pessoais.

6.1.2 As informações pessoais recolhidas pela Empresa ou por qualquer dos seus representantes ou filiais não serão recolhidas diretamente junto da pessoa em causa, a menos que:-

  1. A informação é fornecida ou derivada de um registo público ou tenha sido deliberadamente tornada pública pelo titular dos dados.

  2. O titular dos dados, ou uma pessoa competente, quando o titular dos dados for um menor, tenha consentido na recolha das informações a partir de outra origem.

  3. A recolha da informação a partir de outra origem não prejudica um interesse legítimo da pessoa em causa.

  4. A recolha de informações a partir de outra origem é necessária para evitar prejuízos à aplicação da lei por qualquer organismo público, incluindo a prevenção, deteção, investigação, repressão e punição de infracções; para cumprir uma obrigação imposta por lei ou para aplicar a legislação relativa à cobrança de receitas; para a condução de processos em qualquer tribunal que tenham sido iniciados ou estejam razoavelmente previstos; no interesse da segurança nacional; ou para manter os interesses legítimos da Empresa ou de um terceiro a quem as informações sejam fornecidas.

  5. O cumprimento prejudicaria um objetivo legal da recolha.

  6. O cumprimento não é razoavelmente praticável nas circunstâncias do caso em apreço.

6.1.3 As informações pessoais só devem ser recolhidas para uma finalidade específica, explicitamente definida e legal, relacionada com a função ou atividade da Empresa.

6.1.4 Assegurar que o titular dos dados tem conhecimento das informações recolhidas antes da recolha das mesmas.

6.1.5 Assegurar que a pessoa em causa ou, se for menor de idade, a pessoa competente, neste caso, consente na recolha de informações pessoais.


6.1.6 Informar a pessoa em causa sobre a finalidade da recolha destas informações e informá-la sobre:

  1. se a informação a ser recolhida é uma função voluntária ou obrigatória a ser desempenhada;

  2. as consequências para a pessoa em causa caso não forneça as informações;

  3. se se verifica que uma autoridade legal exige a recolha da informação para os seus registos;

  4. se essas informações precisam de ser transferidas para outra entidade;

  5. se a Empresa pretende transferir as informações para qualquer outro país fora das fronteiras da República da África do Sul ou para uma organização internacional e divulgar o nível de proteção das informações pessoais que se pode esperar desse país ou organização internacional.

6.1.7 Garantir que as informações pessoais são verdadeiras, correctas, não enganosas e actualizadas periodicamente;

6.1.8 Assegurar que as informações recolhidas não são excessivas. Recolher apenas as informações necessárias à empresa, de que esta necessita para o exercício das suas funções ou no interesse de terceiros, quando as informações lhes forem fornecidas;

6.1.9 Comprometer-se a considerar as informações pessoais como estritamente privadas e confidenciais e a não as divulgar a terceiros, a menos que tal seja exigido por lei ou para o bom desempenho das funções e tarefas da empresa;

6.1.10 A Empresa assumirá a responsabilidade de registar toda a documentação adequada de todas as operações de processamento.




7.1 A Empresa compromete-se a garantir que qualquer processamento adicional de informações pessoais será efectuado com a finalidade para a qual foram recolhidas;

7.2 Para avaliar se qualquer processamento adicional é para recolha, os seguintes detalhes devem ser considerados:

  1. A relação entre a finalidade do tratamento adicional previsto e a finalidade ou intenção para a qual as informações foram recolhidas;

  2. A natureza das informações em causa;

  3. As consequências desta ação para a pessoa em causa no que se refere à intenção de tratar informações adicionais;

  4. A forma/método de recolha dessas informações; e

  • Quaisquer direitos e obrigações contratuais entre as partes.




8.1 Os registos de informações pessoais não devem ser retidos por períodos mais longos do que o necessário para atingir o objetivo para o qual os dados foram recolhidos, a menos que

  1. a retenção de um registo seja exigida ou autorizada por lei;

  2. a Empresa necessite razoavelmente de um registo para fins legais relacionados com as suas funções ou actividades;

  3. a retenção de um registo seja exigida por um contrato entre as partes; ou

  4. o titular dos dados ou uma pessoa competente, caso o titular dos dados seja menor de idade e tenha consentido na retenção de um registo.

8.2 A Empresa destruirá ou eliminará um registo de informações pessoais logo que seja razoavelmente possível, uma vez que não tenha mais autoridade para reter um registo por um período adicional;

8.3 A eliminação de um registo de informações pessoais deve ser processada de forma a impedir a sua reconstrução numa forma inteligível/compreensível;

8.4 Se a Empresa utilizar um registo de informações pessoais de um titular de dados para concluir vários aspectos pertinentes ao titular de dados, será necessário o seguinte:

  1. Conservar o registo durante o período que possa ser exigido ou prescrito por lei ou por um código de conduta; ou

  2. Se nenhuma lei ou código de conduta prescrever um período de conservação, conservar o registo durante um período que dê à pessoa em causa uma oportunidade razoável de solicitar o acesso ao registo, tendo em conta todas as considerações relacionadas com a utilização das informações pessoais.

8.5 A Empresa impedirá o processamento de informações pessoais se:

  1. a sua precisão for contestada pelo titular dos dados, durante um período que permita à Empresa verificar a exatidão das informações;

  2. a Empresa já não necessita das informações pessoais para atingir a finalidade para a qual foram recolhidas ou posteriormente tratadas, mas é necessário mantê-las/ conservá-las para efeitos de prova ou de manutenção de registos;

  3. o tratamento é ilegal e a pessoa em causa opõe-se à sua destruição ou apagamento e, em alternativa, solicita a restrição da sua utilização; ou

  4. a pessoa em causa solicitar que os dados pessoais sejam transmitidos ou transferidos para outro sistema de tratamento automatizado.

8.6 As informações pessoais que foram restringidas só podem ser processadas para fins de prova, ou processadas com o consentimento do titular dos dados, ou com a autorização de uma pessoa competente quando o titular dos dados é menor, ou para a proteção dos direitos de qualquer outra pessoa singular ou colectiva, ou se esse processamento for do interesse público.

8.7 Quando as informações pessoais forem restringidas, a Empresa informará o titular dos dados antes do termo da restrição.




9.1 A Empresa protegerá a integridade e a confidencialidade das informações pessoais na sua posse ou sob o seu controlo, tomando medidas técnicas e organizacionais adequadas e razoáveis para evitar perdas, danos ou destruição não autorizada de informações pessoais e acesso ilegal ou processamento de dados pessoais;

9.2 A Empresa tomará medidas adequadas para:

  1. identificar todos os riscos internos e externos razoáveis e previsíveis para as informações pessoais em sua posse ou sob sua gestão;

  2. estabelecer e manter mecanismos de proteção adequados contra os riscos identificados;

  3. verificar regularmente se os mecanismos de proteção são efetivamente aplicados; e

  4. assegurar que os mecanismos de proteção são continuamente actualizados em resposta a novos riscos ou a deficiências nos métodos de salvaguarda anteriormente implementados.

9.3 A Empresa terá em conta as práticas e procedimentos de segurança da informação geralmente aceites que lhe possam ser aplicáveis ou que sejam exigidos em termos de regras e regulamentos específicos do sector ou profissionais.



10.1 Se houver motivos razoáveis para crer que as informações pessoais de uma pessoa em causa foram acedidas ou adquiridas por uma pessoa não autorizada, o responsável pela informação deve ser imediatamente contactado.

10.2 O responsável pela informação deve notificar a entidade reguladora da informação e a pessoa em causa.

10.3 A notificação de uma quebra de confidencialidade deve ser declarada o mais rapidamente possível após a descoberta do comprometimento.

10.4 O responsável pela informação deve fornecer informações suficientes à pessoa em causa, permitindo-lhe tomar medidas de proteção contra as potenciais consequências da violação.



11.1 A pessoa em causa, ou uma pessoa competente se a pessoa em causa for menor de idade, pode retirar o seu consentimento para obter e tratar as suas informações pessoais em qualquer altura, desde que o tratamento das informações pessoais tenha sido efectuado legalmente antes do pedido de retirada.

11.2 A pessoa em causa, tendo fornecido uma prova de identidade adequada, tem o direito de:


  1. solicitar à Empresa que confirme, gratuitamente, se detém informações pessoais relativas ao titular dos dados; e

  • Solicitar à Empresa um registo ou uma descrição das informações pessoais relevantes para a pessoa em causa na posse da Empresa, incluindo informações sobre a identidade de todos os terceiros ou categorias de terceiros que têm, ou tiveram, acesso às informações.

11.3 O tratamento deve ser efectuado num prazo razoável, mediante o pagamento de uma taxa determinada pelo responsável pela informação, de uma forma e num formato razoáveis e geralmente compreensíveis.

11.4 O titular dos dados pode solicitar à Empresa que corrija ou elimine informações pessoais na sua posse ou sob a sua gestão que sejam incorrectas, irrelevantes, excessivas, desactualizadas, incompletas, enganadoras ou obtidas ilegalmente.

11.5 Um titular de dados pode solicitar à Empresa que destrua ou elimine o seu registo de informações pessoais. Este pedido só deve ser efectuado se for admissível e aprovado pelo responsável pela informação.



12.1 Todos os funcionários serão responsáveis por administrar e supervisionar a implementação desta política, incluindo o seu apoio com directrizes, procedimentos operacionais normalizados, avisos, consentimentos e documentos e processos relacionados adequados.

12.2 Os funcionários que violarem as directrizes e os procedimentos operacionais normalizados da presente política podem ser sujeitos a acções disciplinares.

12.3 O ponto de contacto para pedidos, divulgações, perguntas, queixas e quaisquer outras questões relacionadas com o processamento, recolha ou reidentificação de informações pessoais deve ser dirigido ao responsável pela informação ou ao(s) responsável(eis) adjunto(s) pela informação.



13.1 A Empresa deve certificar-se de que o código disciplinar (código de referência LRP 001) é alterado em conformidade para incluir qualquer violação desta política.

13.2 A Empresa deve nomear um responsável de informação e um ou mais adjuntos responsáveis pela gestão desta divisão.

13.3 A Empresa assegurará que o responsável pela informação e o responsável adjunto pela informação recebam a formação adequada no que respeita à execução dos seus deveres e responsabilidades em termos das disposições da POPIA e da PAIA.

bottom of page