Gostaria de tirar suas dúvidas e fazer solicitações relativas aos seus dados pessoais, relacionados as atividades da Leaseplan? Clique aqui para entrar em contato com nosso time.

Ultima atualização 17-5-2021

A LeasePlan está empenhada em proteger as informações pessoais processadas. Práticas compatíveis de privacidade e segurança da informação são, portanto, componentes integrais dos serviços da LeasePlan, governança corporativa, gestão de risco e responsabilidade geral. Nós apenas processamos as informações pessoais necessárias para nossas atividades comerciais e para a prestação dos serviços da LeasePlan.

Consulte nossa Declaração de Privacidade Global Clicando aqui!

Abaixo confira a nossa politica de privacidade local.

Política de Privacidade para Dados de Clientes, Fornecedores e Parceiros de Negócios. A LeasePlan está comprometida em proteger os dados pessoais de seus clientes, fornecedores, e de qualquer outra pessoas para a qual tenha acesso ou manipule suas informações. A Política de Privacidade dá diretrizes de como implantar a proteção de informações referentes de dados pessoais de clientes e de outras pessoas que são tratados pela LeasePlan no contexto das suas atividades comerciais tais como leasing de veículos e fornecimento de serviços de gestão de frotas, incluindo a venda de veículos usados e demais serviços referentes a mobilidade de condutores, em conformidade com a Lei Geral de Proteção de Dados, Lei nº 13.709/18.

Como parte de suas atividades de negócio as entidades da LeasePlan em todo o mundo fornecem serviços financeiros, incluindo leasing, serviços bancários e seguros. Estes serviços são regulados por normas de serviços financeiros e supervisionados por autoridades fiscais e financeiras. Em alinhamento com a regulamentação aplicável a serviços financeiros, aplicam-se requisitos que exigem a confidencialidade e a segurança do processamento dos dados de clientes e demais envolvidos com nossas atividades. A Política de Privacidade da LeasePlan aplica-se na medida em que fornece proteção suplementar aos dados pessoais dos clientes e de outras pessoas que são tratadas pela LeasePlan no contexto das suas atividades empresariais.

• 1.
  1.
  Âmbito, Aplicabilidade e Implementação
• 2.
  2.
  Objetivos para o Tratamento de Dados Pessoais
• 3.
  3.
  Utilização com Outros Objetivos
• 4.
  4.
  Objetivos para o Tratamento de Dados Sensíveis
• 5.
  5.
  Quantidade e Qualidade de Dados
• 6.
  6.
  Requisitos de Informação Individual
• 7.
  7.
  Direitos Individuais de Acesso e Retificação
• 8.
  8.
  Requisitos de Segurança e Confidencialidade
• 9.
  9.
  Direto de Marketing
• 10.
  10.
  Tomada de decisão Automatizada
• 11.
  11.
  Transferência de Dados Pessoais a Terceiros
• 12.
  12.
  Interesses Superiores
• 13.
  13.
  Supervisão e Conformidade
• 14.
  14.
  Políticas e Procedimentos
• 15.
  15.
  Formação
• 16.
  16.
  Cumprimento de Monitorização e Auditoria
• 17.
  17.
  Procedimento de Queixas
• 18.
  18.
  Questões
• 19.
  19.
  Sanções para Não-cumprimento
• 20.
  20.
  Conflitos entre a Política e Lei Local Aplicável
• 21.
  21.
  Alterações à Política
• 22.
  22.
  Períodos de Transição Definições.

Âmbito 1.1 Esta Política dirige-se ao Tratamento de Dados Pessoais de Clientes, Fornecedores, Parceiros de negócio e demais pessoas pela LeasePlan ou por um Terceiros em nome da LeasePlan, inclusive aos dados relativos a geolocalização. Esta Política não se dirige ao Tratamento de Dados Pessoais dos Funcionários no contexto do seu relacionamento de trabalho com um LeasePlan, exceto e quando tal funcionário para um Cliente da LeasePlan, ou um condutor de um veículo alugado pela LeasePlan.

Processamento eletrônico e em papel 1.2 Esta Política aplica-se ao Tratamento de Dados Pessoais por meios eletrônicos e por documentos físicos.

Aplicabilidade da lei local e da Política 1.3 Os clientes, fornecedores e parceiros mantêm todos os direitos e recursos que podem ser cobertos pela Lei Geral de Proteção de Dados nº 13.709 / 18. Esta Política é aplicável apenas onde fornecer proteção suplementar para os Dados Pessoais.Em situações em que a lei local aplicável forneça mais proteção do que esta Política, a lei local aplicável será aplicada. Em situações em que esta Política fornecer mais proteção do que uma lei local aplicável ou fornecer salvaguardas, direitos ou recursos adicionais aos Indivíduos, esta Política será aplicada.

Subpolíticas e avisos 1.4 O LeasePlan pode complementar esta política através de subpolíticas, orientações ou avisos que em alinhamento com esta política.

Responsabilidade 1.5 A Administração Local e todos os funcionários são encarregados pelo cumprimento desta Política.

Data Efetiva 1.6 Esta Política foi adotada pela Direção da LeasePlan Corporation NV e entrará em vigor a partir de 01/01/2016 e será publicada no SharePoint local da LeasePlan.

Esta política substitui 1.7 políticas anteriores Esta Política substitui todos os avisos e políticas de privacidade da LeasePlan que existe na data efetiva necessária em contradição com a mesma.

Implementação 1.8 Esta Política será implementada na organização LeasePlan.

Objetivos de Negócio Legítimo 2.1 Os Dados serão reunidos, utilizados ou então Tratados pela LeasePlan no contexto das suas atividades de negócio tais como o leasing de veículos e o fornecimento de serviços de gestão de frota, o remarketing de veículos, serviços de mobilidade, serviços financeiros, bem como serviços bancários e de seguros, para um (ou mais) dos seguintes fins (Objetivos de Negócio): (i) Avaliação e aceitação de um Cliente, conclusão e execução de acordos com um Cliente e o ajuste de transações de pagamento. Este objetivo inclui o Tratamento de Dados que sejam necessários em relação à avaliação e aceitação de Clientes incluindo a confirmação e verificação da identidade de pessoas relevantes (isto pode envolver o uso de entidades de proteção ao crédito ou outras empresas terceirizadas) e a condução dos devidos procedimentos de due diligence e pesquisas em listas de restritivos e antecedentes em ógãos governamentais e/ou de forças de segurança disponíveis ao público. Esta atividade também inclui o Tratamento de Dados em conexão com a execução de acordos, incluindo a entrega de Serviços de Clientes, e o ajuste de transações de pagamentos no contexto dos quais a LeasePlan pode providenciar Dados Pessoais à outra parte ou outras partes se necessário, por exemplo, para fins de verificação ou reconstrução; (ii) Desenvolvimento e melhoria de produtos e/ou serviços. Este objetivo inclui o Tratamento de Dados que forem necessários para o desenvolvimento e melhoria de produtos e/ou serviços, pesquisa e desenvolvimento por parte da LeasePlan; (iii) Conclusão e execução de acordos com Fornecedores e Parceiros de Negócio. Este objetivo está relacionado com o Tratamento de Dados necessários para concluir e executar acordos com Fornecedores e Parceiros de Negócio, incluindo as atividades de triagem necessárias (por exemplo, para acesso às instalações ou sistemas da LeasePlan), e para registar e ajustar financeiramente serviços, produtos e materiais entregues à e pela LeasePlan; (iv)Gestão de relações e marketing. Este objetivo inclui a manutenção e promoção do contato com Clientes, Fornecedores e Parceiros de Negócios, gestão de contas, serviço ao cliente, recalls e o desenvolvimento, execução e análise de estudos de mercado e estratégias de marketing; (v)Execução de processos de negócios, gestão interna e relatórios de gestão. Este objetivo inclui a gestão de ativos da empresa, avaliação de crédito (incluindo o estabelecimento de limites de crédito) e a gestão de risco, realização de auditorias e investigações, finanças e contabilidade, implementação de controles de negócio, provisão de instalações de processamento centrais com objetivos de eficiência, gestão de fusões, aquisições e alienações, e Processamento de Dados Pessoais para fins de relatórios de análises de gestão, arquivo e seguros, consultadoria legal ou de negócios, e prevenção, preparação ou envolvimento na resolução de litígios; (vi)Saúde, proteção e segurança. Este objetivo relaciona-se com atividades que envolvam a proteção, saúde, proteção de ativos da LeasePlan e de seus Funcionários, segurança e integridade, incluindo a salvaguarda da segurança e integridade da área financeira. Este objetivo inclui a proteção dos interesses da LeasePlan, dos seus Funcionários e Clientes, incluindo a salvaguarda da segurança e integridade da área financeira, em particular a detecção, prevenção, investigação e combate a (tentativas de) conduta criminal ou censurável dirigida contra a LeasePlan ou aos seus Funcionários e Clientes. Esta atividade também inclui a autenticação dos status do Clientes, Fornecedores ou Parceiros de Negócios e direitos de acesso. (vii)Cumprimento da lei. Este objetivo relaciona-se com o Tratamento de Dados Pessoais necessários para o cumprimento de uma obrigação legal ou recomendação setorial à qual a LeasePlan esteja sujeita, incluindo as relacionadas à prevenção de lavagem de dinheiro, financiamento ao terrorismo e outros crimes, due diligences aos clientes e o monitoramento de Clientes (por exemplo, monitoramento de crédito) e a divulgação de Dados Pessoais a instituições governamentais, autoridades de supervisão, autoridades fiscais ou demais órgãos. (viii)Proteção dos interesses vitais dos Clientes, forncedores e Parceiros de Negócio. Aqui é onde o Tratamento é necessário para proteger os interesses vitais de nossos Clientes, Fornecedores e Parceiros de Negócio. Tal tratamento deverá ocorrer apenas após a aprovação do LPO.

Consentimento 2.2 Para o tratamento de dados, conforme disposto em Lei, a LeasePlan obterá o consentimento do Cliente, Fornecedor ou Parceiro de Negócio. Quando for solicitar o seu consentimento, a LeasePlan deve informar o Cliente, Fornecedor ou Parceiro de Negócio:

(i) Dos objetivos do tratamento para o qual está sendo requerido o consentimento; e (ii) De quaisquer outras informações relevantes (por exemplo, a natureza e categorias dos dados, as categorias dos terceiros a quem os dados serão divulgados (se for o caso) e como o Cliente, Fornecedor ou Parceiro de Negócio podem exercer os seus direitos).

**Negação ou revogação de consentimento ** 2.3 O Cliente, Fornecedor ou Parceiro de Negócio poderá negar consentimento, assim como, revogar o consentimento a qualquer momento. A revogação de consentimento não afetará a legalidade do Tratamento baseado em tal consentimento antes da sua revogação.

Uso de Dados com 3.1 De forma geral, os Dados coletados apenas serão usados Objetivos para a finalidade para que foram inicialmente reunidos Secundários (Objetivo Original). Porém, se necessário podem ser Tratados para um Objetivo de Negócio legítimo da LeasePlan diferente do Objetivo Original (Objetivo Secundário) se o Objetivo Original e o Secundário estiverem diretamente relacionados. Dependendo da sensibilidade dos Dados e se a utilização dos Dados para o Objetivo Secundário tem consequências potencialmente negativas para o Cliente, Fornecedor ou Parceiro de Negócio, a utilização secundária pode requerer medidas adicionais tais como: (i)Limitar o acesso aos Dados; (ii)Impor requisitos adicionais de confidencialidade; (iii)Tomar medidas adicionais de segurança; (iv)Informar ao Cliente, Fornecedor ou Parceiro de

Negócio quanto ao Objetivo Secundário;

É geralmente permitido tratar dados pessoais para transferi-los para arquivo, auditorias internas ou investigações, implementação de controles de negócios e eficiência operacional, tratamento relacionado a sistemas de TI e infraestrutura, como manutenção, suporte, gerenciamento do ciclo de vida e segurança, pesquisa estatística, história ou científica, resolução de disputas, consultoria jurídica ou comercial ou para fins de seguro (mesmo que não listados como um objetivo comercial), desde que medidas adicionais sejam tomadas de acordo com o artigo 3.1.

Objetivos Específicos para o Tratamento de Dados Sensíveis 4.1 Este artigo determina as regras específicas para o Tratamento de Dados Sensíveis. A LeasePlan Tratará os Dados Sensíveis apenas na medida do necessário para servir o Objetivo de Negócio aplicável.

As seguintes categorias de Dados Sensíveis podem ser reunidas, utilizadas ou de outra forma Processadas apenas para um (ou mais) dos objetivos abaixo especificados:
(i) Dados raciais ou étnicos: A LeasePlan pode processar fotografias (por exemplo, a cópia de um passaporte contendo uma fotografia) e imagens de vídeo para a proteção dos ativos da LeasePlan e do Funcionário que podem ser consideradas como classificadoras de dados raciais ou étnicos, para autorizações de acesso a locais e por razões de segurança, avaliação e aceitação de Clientes incluindo a identificação e autenticação de clientes (incluindo a confirmação e verificação da identidade de Indivíduos relevantes), estatuto e direitos de acesso de Fornecedor ou Parceiro de Negócios e para verificar e confirmar informações fornecidas pela LeasePlan a Indivíduos (por exemplo, quando os Indivíduos participam numa videoconferência que é gravada). (ii) Dados criminais: (incluindo dados relacionados com comportamentos criminosos, registos criminais ou procedimentos relacionados com comportamento criminal ou ilegal): Sempre que necessário para a avaliação e aceitação de Clientes, identificação e autenticação (incluindo a confirmação e verificação da identidade de Indivíduos relevantes) a execução de um acordo com Clientes (por exemplo, crimes cometidos por Indivíduos enquanto conduziam veículos alugados, etc.) e ainda para proteger os interesses da LeasePlan, os seus Funcionários e Clientes, incluindo a salvaguarda da segurança e integridade da área financeira no que diz respeito a ofensas criminais que foram ou, dadas as circunstâncias relevantes, sejam suspeitas de ser ou ter sido, cometidas contra a LeasePlan ou os seus Funcionários ou Clientes. (iii) Dados relacionados com a saúde física e mental: Sempre que necessário para a avaliação e aceitação de um Cliente, a execução de um acordo com um Cliente, e para cumprimento do dever de cuidado da LeasePlan em relação aos Clientes. (iv) Religião ou crenças: Para adequar produtos ou serviços específicos para um Cliente, atender requisitos de dieta ou férias religiosas.

Objetivos Gerais para o Tradutor de Dados Sensíveis 4.2 Adicionalmente aos objetivos específicos listados no Artigo 4.1, todas as categorias de Dados Sensíveis podem ser Tratadas sob (uma ou mais) as seguintes circunstâncias: (i) Sempre que exigido ou permitido para o desempenho de uma tarefa com objetivo de cumprir uma obrigação legal ou recomendação setorial à qual a LeasePlan esteja sujeita; (ii) Para o estabelecimento, exercício ou defesa de uma questão jurídica; (iii) Para proteger um interesse vital de um Cliente, Fornecedor ou Parceiro de Negócio; (iv) Na medida do necessário para cumprir uma obrigação da lei pública internacional (por exemplo, tratados); ou,

(v) Se os Dados Sensíveis foram manifestamente tornados públicos pelo Cliente, Fornecedor ou Parceiro de Negócio.

Consentimento, e a negação ou revogação de tal 4.3 Para além dos objetivos específicos listados no Artigo 4.1. e os objetivos genéricos listados no Artigo 4.2, todas as categorias de Dados Sensíveis podem ser Tratadas se o Indivíduo deu o seu explícito consentimento a este Tratamento e se forem vitais para o negócio. Os requisitos de informação explicitados nos Artigos 2.2 e 2.3 aplicam-se à concessão, negação ou revogação de consentimento.

Autorização Prévia do Agente de Privacidade 4.4 Quando os Dados Sensíveis forem Tratados com base num requisito legal fora da lei local aplicável ao Tratamento, será requerida autorização prévia do Agente de Privacidade apropriado.

Utilização de Dados Sensíveis para Objetivos Secundários 4.5 Os Dados Sensíveis dos Indivíduos podem ser Tratados para Objetivos Secundários de acordo com o Artigo 3, desde que necessários e com autorização prévia.

Sem Dados em Excesso 5.1 A LeasePlan limitará o Tratamento de Dados Pessoais aos Dados que sejam razoavelmente adequados e relevantes para o Objetivo de Negócio aplicável. A LeasePlan não coletará Dados Pessoais que não sejam necessários para a realização de suas atividades de negócio .

Período de armazenamento 5.2 A LeasePlan guardará os Dados Pessoais apenas durante o período necessário para servir o Objetivo de Negócio aplicável, na medida razoavelmente necessária para cumprir um requisito legal aplicável ou tida como aconselhável à luz de um estatuto de limitações aplicável. Imediatamente após o final do período de armazenamento estabelecido, ou por solicitação do Cliente, Terceiro ou Fornecedor, o Privacy Officer ordenará que os Dados sejam: (i) Apagados ou destruídos com segurança; (ii) Despojados de identificação; (iii) Transferidos para um Arquivo (exceto se tal for proibido por lei ou um calendário de retenção de registos aplicável).

Qualidade dos Dados 5.3 Os Dados Pessoais deverão ser exatos, completos e mantidos atualizados na medida razoavelmente necessária para o Objetivo de Negócio aplicável. Dados exatos, completos e atualizados

Dados precisos, completos e atualizados 5.4 É responsabilidade dos Cliente, Fornecedor ou Parceiro de Negócio manterem os seus Dados Pessoais corretos, completos e atualizados. Os mesmos deverão avisar a LeasePlan de quaisquer mudanças ou atualizações.

5.5 É responsabilidade dos indivíduos manter seus dados pessoais precisos, completos e atualizados. Os indivíduos devem informar a LeasePlan sobre quaisquer alterações.

Requisitos de Informação 6.1 A LeasePlan informará os Cliente, Fornecedor ou Parceiro de Negócio através da Política de Proteção de Dados Externa, sobre: (i) Os Fins de Negócio para os quais os seus Dados são Processados; (ii) Que Empresa do Grupo é responsável pelo Processamento; (iii) As empresas terceirizadas aos quais os Dados são revelados (se algum); se a empresa terceirizada estiver situada num País Não-Adequado a LGPD, o Cliente, Fornecedor ou Parceiro de Negócio será também disso informado; e (iv) Outras informações relevantes (por exemplo, a natureza e categorias dos Dados Tratados, o período do tratamento e como o Cliente, Fornecedor ou Parceiro de Negócio podem exercer os seus direitos).

Dados Pessoais não obtidos pelo Cliente, Fornecedor ou Parceiro de Negócio 6.2 Quando os Dados Pessoais não tiverem sido obtidos diretamente do Cliente, Fornecedor ou Parceiro de Negócio, a LeasePlan fornecerá ao mesmo a informação tal como estabelecido no artigo 6.1: (i) No momento em que os Dados Pessoais sejam registados numa base de dados da LeasePlan; ou (ii) No momento em que os Dados Pessoais sejam usados para correspondência, desde que esta correspondência seja feita no prazo de seis meses depois dos Dados Pessoais estarem registados numa base de dados da LeasePlan.

Se estiver prevista uma divulgação para outro destinatário, o mais tardar quando os Dados pessoais forem divulgados pela primeira vez. (iii)

Exceções 6.3 Os requisitos do Artigo 6.2 podem ser ignorados se:

(i) A obtenção dos dados é prevista em Lei. Esta exceção aos requisitos acima indicados são consideradas Interesses Superiores.

**Direitos dos

Cliente,

Fornecedor ou

Parceiro de

Negócio** 7.1 Todos os Clientes, Fornecedores ou Parceiros de Negócios têm o direito de solicitar uma relação de quais são os seus Dados Pessoais tratados pela/ou em nome da LeasePlan. Quando for razoavelmente possível, essa relação incluirá informação sobre a fonte, tipo, objetivo e categorias dos receptores dos Dados relevantes. Se os Dados Pessoais estiverem incorretos, incompletos ou não forem tratados de acordo com a legislação aplicável ou com (i) Ao Tratamento dos seus Dados tendo como a sua situação particular; e (ii) À receção de comunicações de marketing com base no Artigo 9.5.

Direito de Retificar, deletar e restringir Restrição aos direitos individuais 7.2 Se os Dados Pessoais estiverem incorretos, incompletos ou não forem Tratados em conformidade com a Lei Geral de Proteção de Dados ou com esta Política, o Indivíduo tem o direito de retificar, excluir seus Dados ou restringir o Tratamento (conforme apropriado). Caso os Dados coletados tenham sido tornados públicos pela LeasePlan, a LeasePlan adotará medidas comercialmente razoáveis para informar Terceiros que estão Tratando os Dados Pessoais relevantes que o indivíduo solicitou a exclusão dos dados pessoais por esses terceiros.

7.3 Os direitos dos indivíduos estabelecidos nos artigos 7.1- acima não se aplicam em uma ou mais das seguintes circunstâncias: (i) o tratamento é necessário ou permitido para a execução de uma tarefa executada para cumprir uma obrigação legal da LeasePlan; (ii)o tratamento é exigido ou permitido por uma tarefa executada no interesse público, inclusive na área da

esta Política, o Cliente, Fornecedor ou Parceiro de Negócio tem o direito de solicitar a retificação, eliminação ou bloqueio dos seus Dados (de acordo com o que for mais apropriado). Além disso, o Cliente, Fornecedor ou Parceiro de Negócio tem o direito de colocar objeções:   saúde pública e para arquivamento, pesquisa científica ou histórica ou fins estatísticos; (iii)o Tratamento é necessário para o exercício do direito à liberdade de expressão e informação; (iv)para fins de resolução de disputas; (v)o exercício dos direitos pelo indivíduo afeta adversamente os direitos e liberdades do LeasePlan ou de outros; ou (vi)caso uma restrição específica dos direitos dos indivíduos se aplique de acordo com a Lei Geral de Proteção de Dados.

Procedimento 7.4 O Cliente, Fornecedor ou Parceiro de Negócio deverá enviar o seu pedido à pessoa de contato ou ponto dentro da LeasePlan. Se não houver indicação de tal pessoa ou ponto de contato, o mesmo poderá enviar o seu pedido através da página de contato do Grupo de Privacidade da LeasePlan (privacy@leaseplan.com.br). Antes de cumprir o pedido, a LeasePlan poderá solicitar que: (i) Especifique a categoria dos Dados Pessoais que quer acessar; (ii) Especifique, quando possível, o sistema de dados em que provavelmente os Dados estejam armazenados; (iii) Especifique as circunstâncias através das quais a LeasePlan obteve os Dados Pessoais; (iv) Faça prova da sua identidade; (v) No caso de um pedido para retificação, eliminação, ou bloqueio, especifique as razões pelas quais os Dados Pessoais estão incorretos, incompletos ou não Tratados de acordo com a lei aplicável ou com a Política.

Período de resposta 7.5 No prazo de quatro semanas após a recepção do pedido pela LeasePlan, a pessoa de contato ou o Local Privacy Officer informará o indivíduo por escrito sobre ou (i) a posição que a LeasePlan adotará em relação ao pedido e sobre qualquer ação que a LeasePlan tenha tido ou terá em resposta ou (ii) a data final na qual ele será informado da posição da LeasePlan, a qual não será superior a quatro semanas.

Queixa 7.6 Um Cliente, Fornecedor ou Parceiro de Negócio pode apresentar uma queixa de acordo com o Artigo 17.3 se: (i) A resposta ao pedido for insatisfatória para o mesmo (por exemplo, se o pedido for negado); (ii) O mesmo não recebeu uma resposta tal como imposto pelo Artigo 7.3; ou (iii) O período de tempo dado ao Cliente, Fornecedor ou Parceiro de Negócio de acordo com o Artigo 7.3 é, à luz de circunstâncias relevantes, injustificadamente longo e o mesmo colocou objeções mas não lhe foi dado um período de tempo mais curto e mais razoável para receber uma resposta. Negação de pedidos 7.7 A LeasePlan pode negar o pedido de um Cliente, Fornecedor ou Parceiro de Negócio se: (i) O pedido não cumpre os requisitos dos Artigos 7.1 e 7.2; (ii) O pedido não é suficientemente específico; (iii) A identidade do Indivíduo relevante não pode ser estabelecida por meios razoáveis; ou

Tratamento não obrigatório. (iv)

7.8 O pedido é feito dentro de um intervalo de tempo pouco razoável em relação a um pedido anterior ou constitui um abuso de direitos. Considerar-se-á de forma geral pouco razoável um intervalo de tempo de seis ou menos meses entre dois pedidos.

A LeasePlan não é obrigada a Tratar informações adicionais para poder identificar o Indivíduo com o único objetivo de facilitar os direitos do Indivíduo nos termos deste Artigo

**Segurança dos

Dados** 8.1 A LeasePlan tomará medidas técnicas, físicas e organizacionais comercialmente apropriadas de modo a proteger os Dados Pessoais de uso incorreto ou de destruição, perda, alteração, revelação, aquisição ou acesso acidental, ilegal ou não-autorizada. Para tal, a LeasePlan desenvolveu e implementou a Política de Segurança de Informação LeasePlan, outras subpolíticas e orientações.

Acesso por parte da equipe 8.2 Os membros da equipe serão autorizados a acessar aos Dados Pessoais apenas quando necessário para servir o Objetivo de Negócio aplicável e efetuar o seu trabalho.

**Obrigações de confidencialida de **8.3 Os membros da equipe que acessarem aos Dados Pessoais deverão cumprir as suas obrigações de confidencialidade. Necessidade de notificação de 8.4 A LeasePlan notificará o Cliente, Fornecedor ou Parceiro de Negócio em caso de uma Falha de Segurança de Dados dentro uma Quebra de Segurança dos dados de um período de tempo razoável após a descoberta da falha, exceto se uma autoridade policial, financeira ou de supervisão determinar que tal notificação poderá impedir uma investigação criminal ou causar dano à segurança nacional ou colocar em perigo a confiança na estabilidade do mercado financeiro. Neste caso, a notificação será adiada segundo as instruções dadas por essa autoridade. A LeasePlan responderá prontamente a questões dos Cliente, Fornecedor ou Parceiro de Negócio relacionadas com a respectiva Falha de Segurança dos Dados.

Marketing Direto 9.1 Este Artigo estabelece requisitos relacionados com o Tratamento de Dados com objetivos de marketing direto (por exemplo, contactar o Individuo por e-mail, fax, telefone, SMS ou outros, com vista a convites com objetivos comerciais ou de caridade).

Consentimento para marketing direto (opt-in - opção de inclusão) 9.2 A LeasePlan apenas enviará aos Clientes, Fornecedores ou Parceiros de Negócio comunicações comerciais nãosolicitadas por fax, email, SMS e MMS com o consentimento prévio do mesmo (“opt-in”). Podendo a qualquer momento, ser solicitada a exclusão dos dados das listas de comunicação.

Exceção (optout - opção de exclusão) 9.3 O consentimento prévio do Cliente, Fornecedor ou Parceiro de Negócio em relação ao envio de comunicações comerciais não-solicitadas por fax, email, SMS e MMS não é necessário se: (i) Desde que tenha sido dada ao Individuo de forma clara e manifesta a oportunidade de colocar objeções, de forma gratuita e fácil, em relação à utilização dos seus dados de contacto eletrônicos quando são reunidos pela Empresa do Grupo.

**Informação a ser fornecida em cada comunicação ** 9.4 Em todas as comunicações de marketing direto que sejam feitas ao Cliente, Fornecedor ou Parceiro de Negócio, será oferecida a oportunidade de exclusão de comunicações de marketing direto posteriores.

Objeção ao marketing direto 9.5 Se um Cliente, Fornecedor ou Parceiro de Negócio colocar objeções à recepção de comunicações de marketing da LeasePlan, ou retirar o seu consentimento quanto à recepção de tais materiais, a LeasePlan tomará medidas para evitar a emissão de mais materiais de marketing tal como solicitado especificamente pelo mesmo. A LeasePlan o fará dentro do período de tempo exigido pela lei aplicável.

**Terceiras Partes e marketing

Direto** 9.6 Nenhum Dado será fornecido ou usado em benefício de terceiros para objetivos de marketing direto sem o consentimento prévio do Indivíduo.

Dados Pessoais de Crianças 9.7 A LeasePlan não utilizará quaisquer Dados Pessoais de Crianças para marketing direto, sem o consentimento prévio do progenitor ou tutor, nos termos do artigo 14,§ 1º da LGPD.

Registos de marketing direto 9.8 A LeasePlan registará o Cliente, Fornecedor ou Parceiro de Negócio que utilizarão o seu direito de opção de inclusão ou exclusão e verificará regularmente os registos públicos de opção de exclusão.

Decisões 10.1 Podem ser utilizadas ferramentas automatizadas para tomar automatizadas decisões sobre Cliente, Fornecedor ou Parceiro de Negócio mas as decisões que tenham um resultado negativo para os Indivíduos não podem ser baseadas apenas nos resultados fornecidos pela ferramenta automatizada. Esta restrição não se aplica se: (i)A utilização de ferramentas automatizadas for necessária para a execução de uma tarefa efetuada com objetivo de cumprir uma obrigação legal ou recomendação setorial à qual a LeasePlan esteja sujeita, incluindo a prevenção a lavagem de dinheiro, financiamento ao terrorismo e outros crimes, due diligence a clientes e o dever de cuidado em relação a Clientes (por exemplo, a monitoração de crédito); (ii)A decisão é tomada pela LeasePlan com objetivo de (a) celebrar ou executar um contrato ou (b) gerir o contrato desde que o pedido subjacente à decisão da LeasePlan seja feito pelo Indivíduo (por exemplo, quando ferramentas automatizadas são usadas para filtrar submissão de jogos promocionais); ou (iii)Forem tomadas medidas adequadas para salvaguardar os legítimos interesses do Cliente, Fornecedor ou Parceiro de Negócio, por exemplo, ter sido dada ao mesmo uma oportunidade de expressar o seu ponto de vista.

Transferência para Terceiros 11.1 Este artigo estabelece requisitos relacionados com a transferência de Dados pela LeasePlan para um terceiro. Uma transferência de Dados inclui situações nas quais a LeasePlan revela Dados a Terceiros (por exemplo, due diligences) ou em situações onde a LeasePlan fornece acesso remoto a Dados a um terceiro.

Operadores e Encarregados 11.2 Há duas categorias de Terceiros: (i) Operadores: são Terceiros que Tratam Dados conforme determinado pela Controladora (LeasePlan) (por exemplo, Parceiros de Negócio da LeasePlan que fornecem os seus próprios bens ou serviços diretamente aos Clientes); (ii) Encarregados: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Transferência apenas para Objetivo de Negócio aplicável 11.3 A LeasePlan transferirá Dados a um terceiro na medida do necessário com o objetivo de atender o Objetivo de Negócio aplicável (incluindo Objetivos Secundários de acordo com o Artigo 3 ou objetivos aos quais o Cliente, Fornecedor ou Parceiro de Negócio tenha dado o seu consentimento de acordo com o Artigo 2).

Salvaguardas de Operadores 11.4 Os Operadores (exceto agências governamentais) poderão Tratar Dados Pessoais apenas se tiverem um contrato escrito com a LeasePlan. No contrato, a LeasePlan procurará salvaguardar contratualmente os interesses de proteção de dados dos seus Clientes, Fornecedores ou Parceiros de Negócio quando os Dados forem transferidos para os Operadores. Todos estes contratos serão redigidos consultando o Agente de Privacidade apropriado. Dados de Contato de Negócio Individuais poderão ser transferidos para um Operador se for razoavelmente necessário que tais dados sejam utilizados para contatar o Indivíduo com objetivos de negócio legítimos relacionados com as responsabilidades dele.

Contratos de Operadores 11.5 Operadores apenas poderão Tratar Dados Pessoais se tiverem um contrato escrito com a LeasePlan. O contrato com um Operador tem de incluir as seguintes cláusulas: (i) O Operador apenas Tratará Dados Pessoais de acordo com as instruções da LeasePlan e com os objetivos autorizados pela LeasePlan; (ii) O Operador manterá os Dados Pessoais confidenciais; (iii) O Operador tomará medidas técnicas, físicas e organizacionais de segurança apropriadas de modo a proteger os Dados Pessoais; (iv) O Operador não permitirá que subcontratados Tratem Dados Pessoais ligados às suas obrigações em relação à LeasePlan sem o consentimento prévio por escrito da LeasePlan; (v)A LeasePlan tem o direito de rever as medidas de segurança tomadas pelo Operador e este submeterá as suas instalações de processamento de dados relevantes a auditorias e inspeções pela LeasePlan, por um Terceiro em nome da LeasePlan ou por qualquer autoridade governamental relevante; (vi)O Operador informará prontamente a LeasePlan sobre qualquer quebra de segurança real ou suspeita que envolva os Dados Pessoais; e (vii)O Operador tomará medidas reparadoras adequadas tão cedo quanto possível e fornecerá prontamente à LeasePlan toda a informação relevante e assistência conforme solicitado pela LeasePlan no que concerne à quebra de segurança.

Transferência 11.6 Este artigo estabelece regras adicionais para a transferência Internacional internacional de Dados Pessoais. Os Dados Pessoais poderão de Dados ser transferidos para um operador localizado em outro país apenas se: (i) Eles tiverem organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei; (ii) A transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional; (iii)Quando a autoridade Nacional organizar a transferência;

(iv)A transferência for necessária para proteger um interesse vital do Cliente, Fornecedor ou Parceiro de Negócio; (v)A Transferência for necessária para o estabelecimento, exercício ou defesa de uma demanda legal; (vi)A transferência for necessária para satisfazer necessidades urgentes de se proteger os interesses públicos de uma sociedade democrática; ou (vii)A transferência for necessária para a execução de uma tarefa realizada com o objetivo de cumprir uma obrigação legal ou recomendação setorial à qual a Empresa do Grupo esteja sujeita. Em todos os itens, faz-se necessária a aprovação do LCO.

Consentimento 11.7 Para os casos em que tal transferência seja necessária, a para LeasePlan obterá previamente o consentimento do Titular Transferência dos Dados – exceto para os casos em que a Lei ou autoridade judicial dispuser em contrário. Antes de solicitar esse consentimento, o mesmo será informado do seguinte: (i)O objetivo da transferência; (ii)A identidade da Empresa do Grupo que faz a transferência; (iii)A identidade ou categorias dos terceiros para os quais os Dados serão transferidos; (iv)As categorias de Dados que serão transferidas; (v)O país para o qual os Dados serão transferidos; O Artigo 2.3 aplica-se à negação ou retirada de consentimento.

Interesses Superiores 12.1 Aas obrigações da LeasePlan ou dos direitos dos Indivíduos especificadas nos artigos 12.2 e 12.3 poderão ser ignorados se, sob as circunstâncias específicas em questão, se existir uma necessidade urgente que supera o interesse do Indivíduo (Interesse Superior). Existe um Interesse Superior se houver a necessidade de: (i) Proteger os interesses legítimos de negócio da LeasePlan incluindo a saúde, segurança ou proteção dos Funcionários ou Indivíduos; Os direitos de propriedade intelectual, segredos comerciais ou reputação da LeasePlan; A continuidade das operações de negócio da LeasePlan; A preservação da confidencialidade numa proposta de venda, fusão ou aquisição de um negócio; ou o envolvimento de conselheiros ou consultores de confiança para assuntos comerciais, legais, fiscais ou de seguros; (ii) Evitar ou investigar (incluindo a cooperação com agentes de aplicação da lei) suspeitas de ou reais violações da lei; ou (iii) De outra forma proteger e defender os direitos ou liberdades da LeasePlan, os seus Funcionários ou outras pessoas.

Exceções em caso de 12.2 Se existir um Interesse Superior, uma ou mais das obrigações da LeasePlan ou direitos dos Indivíduos poderão ser retirados: Interesses superiores (i)Artigo 3.1 (o pedido para Tratar Dados para fins fortemente relacionados); (ii) Artigos 6.1 e 6.2 (informação fornecida aos Cliente, Fornecedor ou Parceiro de Negócio, Dados Pessoais não obtidos através dos mesmos); (iii) Artigo 7 (direitos dos Indivíduos); (iv) Artigos 8.2 e 8.3 (limitações ao acesso da Equipe e requisitos de confidencialidade); e (v) Artigos 11.4, 11.5 e 11.6 (ii) (contratos com Terceiras Partes).

Dados Sensíveis 12.3 Os requisitos dos Artigos 4.1 e 4.2 (Dados Sensíveis) poderão ser retirados apenas pelos Interesses Superiores listados no Artigo 12.1 (i) (a), (b), (c) e (e), (ii) e (iii).

Consulta com o agente de privacidade do grupo 12.4 A retirada de obrigações da LeasePlan ou de direitos dos Indivíduos baseada em Interesses Superiores exige a consulta prévia do Local Privacy Officer que documentará e obterá as aprovações necessárias dentro da LeasePlan.

Informação ao Cliente, Fornecedor ou Parceiro de Negócio 12.5 A pedido do Cliente, Fornecedor ou Parceiro de Negócio, a LeasePlan informará ao Indivíduo do Interesse Superior que conduziu à retirada de obrigações da LeasePlan ou de direitos do Indivíduo, exceto se o Interesse Individual específico retira as exigências dos Artigos 6.1 ou 7.1, em cujo caso o pedido será negado.

Local Privacy 13.1 A Supervisão da Aplicação desta Política será realizada pelo Officer Local Privacy Officer. Que será responsável por: (i)Estabelecer um Comitê de Privacidade tal como descrito no Artigo 13.2; (ii)Supervisionar o cumprimento desta Política; (iii)Coordenar, comunicar e consultar os Agentes de Privacidade (nomeados de acordo com o Artigo 13.3) sobre questões de proteção de dados centrais. (iv)Fornecer o relatório anual de privacidade sobre riscos de proteção de dados e questões de conformidade conforme descrito no Artigo 16.2; (v)Coordenar, investigações ou inquéritos oficiais quanto ao Tratamento de Dados Pessoais por uma autoridade governamental; (vi)Lidar com conflitos entre esta Política e a lei aplicável tal como descrito no Artigo 20.2; (vii)Aprovar transferências tal como descrito nos Artigos 20.1 e 11.6; (viii)Efetuar uma avaliação de impacto de privacidade (PIA) antes da implementação de um novo sistema ou processo comercial envolvendo o Tratamento de Dados Pessoais. (ix)Tomar decisões sobre queixas conforme descrito no Artigo 17; e (x)Idealizar os processos, sistemas e ferramentas de gestão de dados para implementar o enquadramento para a gestão de proteção de dados conforme estabelecido pelo Conselho de Privacidade, incluindo: Manutenção, atualização e publicação desta Política e subpolíticas relacionadas; Ferramentas para recolher, manter e atualizar informações relacionadas com a estrutura e funcionamento de todos os sistemas que processam dados pessoais; Formação e sensibilização relacionadas com Dados para que os funcionários cumpram as suas responsabilidades sob esta Política; Sistemas de auditoria interna apropriados para monitorizar, auditar e relatar a conformidade em relação a esta Política e assegurar que o departamento de auditoria do grupo LeasePlan pode verificar e certificar essa conformidade em linha com o processo periódico de auditoria interna; Procedimentos relacionados com questões, preocupações e queixas sobre proteção de dados; e Determinação e atualização de sanções apropriadas para violações desta Política (por exemplo, padrões disciplinares). Comitê de 13.2 O Local Privacy Officer estabelecerá um Comitê de Privacidade Privacidade. O Comitê de Privacidade criará e manterá um enquadramento para: (i)O desenvolvimento, implementação e atualização de declarações, políticas e procedimentos locais de proteção de dados Individuais; (ii)A manutenção, atualização e publicação desta Política e subpolíticas relacionadas; (iii)A criação, manutenção e atualização de informação relacionada com a estrutura e funcionamento de todos os sistemas que processam dados pessoais (conforme disposto no Artigo 14); (iv)O desenvolvimento, implementação e atualização de programas relevantes de proteção de dados e sensibilização; (v)O monitoramento, auditoria e relatório em cumprimento desta Política reportados ao conselho de administração; (vi)A recolha, investigação e resolução de inquéritos de privacidade, preocupações e queixas; e (vii)A determinação e atualização de sanções apropriadas para violações desta política (por exemplo, padrões disciplinares). 13.3 O Local Privacy Officer e sua equipe designada, executarão as seguintes tarefas: (i)Implementação dos processos, sistemas e ferramentas de gestão de dados, idealizados pelo Local Privacy Officer para implementar o enquadramento para a gestão da proteção de dados estabelecida pelo Comitê de Privacidade na sua Empresa do Grupo ou Unidade Organizacional respetiva; (ii)Apoiar e avaliar o cumprimento geral da gestão de proteção de dados dentro da sua Empresa do Grupo ou Unidade Organizacional; (iii)Aconselhar regularmente o Executivo Responsável sobre riscos de privacidade e questões de compliance; Manter (ou assegurar acesso a) um inventário de informações sobre a estrutura e funcionamento de todos os sistemas que processam os dados pessoais (tal como exigido pelo Artigo 14.2); (iv)Estar disponível para pedidos, para aprovações de privacidade ou conselhos conforme descrito no Artigo 7; (v)Fornecer informações relevantes ao relatório de privacidade anual (conforme exigido pelo Artigo 16); (vi)Ajudar no caso de investigações ou inquirições oficiais por parte de autoridades governamentais; (vii)Possuir e autorizar todas as subpolíticas de privacidade apropriadas nas suas organizações; (viii)Ordenar a eliminação ou destruição, retirada de identificação ou transferência de dados armazenados de acordo com o Artigo 5.2; (ix)Tomar decisões e notificar sobre queixas de acordo com o Artigo 17; e (x)Cooperar com outros Agentes de Privacidade e os agentes de conformidade de princípios comerciais gerais para: Assegurar que as instruções, ferramentas e formação estão preparados para permitir que a Empresa do Grupo ou Unidade Organizacional possam cumprir esta Política; Partilhar e dar orientações sobre boas práticas para a gestão de proteção de dados dentro da Empresa do Grupo ou Unidade Organizacional; Assegurar que os requisitos de proteção de dados são levados em consideração quando da implementação de novas tecnologias na sua Empresa do Grupo ou Unidade Organizacional; Notificar o Executivo Responsável do envolvimento de fornecedores de serviço externos com tarefas de tratamento de dados para a sua Empresa do Grupo ou Unidade Organizacional.

Dos 13.4 Os Departamento de Compliance, de Privacidade e o de Departamentos Riscos, com auxilio dos demais departamentos estão Responsáveis encarregados da implementação da gestão eficaz de proteção de dados na LeasePlan Brasil, da sua integração em práticas comerciais, e da disponibilidade de recursos e orçamento adequados. Os Departamentos são responsáveis por: (i)Assegurar o cumprimento geral da gestão de proteção de dados dentro da sua Empresa do Grupo ou Unidade Organizacional, também durante e após restruturações organizacionais, outsourcings, fusões e aquisições e alienações; (ii)Implementar os processos, sistemas e ferramentas de gestão de dados para implementar o enquadramento para a gestão de proteção de dados; (iii)Assegurar que os processos e sistemas de gestão de proteção de dados são mantidos atualizados em relação a circunstâncias e requisitos legais e reguladores alteráveis; (iv)Assegurar e monitorar o contínuo cumprimento por parte de terceiros dos requisitos desta Política no caso da transferência de dados pessoais da LeasePlan para um terceiro (incluindo a celebração de um contrato escrito com esse terceiro e a obtenção de um cancelamento de tal contrato por parte do departamento jurídico); (v)Assegurar que indivíduos relevantes da sua Empresa do Grupo ou Unidade Organizacional seguem os cursos de formação de proteção de dados indicados; e (vi) Ordenar a eliminação ou destruição, retirada de identificação ou transferência de dados armazenados de acordo com o Artigo 5.2; Os Departamentos são responsáveis ainda, por : (i) Consultar o Local Privacy Officer sempre que houver um conflito entre a lei local aplicável e esta Política, como descrito no Artigo 20.2; e (ii) Informar o Local Privacy Officer sobre qualquer novo requisito legal que possa interferir com a capacidade da LeasePlan em cumprir esta Política como exigido pelo Artigo 20.3. Agente de Privacidade por Defeito 13.5 Se a qualquer momento não houver um Local Privacy Officer designado para uma função ou negócio, o agente de compliance designado para a função ou negócio relevantes é responsável por supervisionar o cumprimento desta Política. Agente de Privacidade com uma posição 13.6 Quando um Agente de Privacidade tiver esta posição por força legal, ele levará a cabo as suas responsabilidades profissionais desde que não entrem em conflito com a sua posição estatutária. estatutária

Políticas e 14.1 A LeasePlan desenvolverá e implementará subpolíticas e Procedimentos procedimentos para cumprir esta Política.

Informação de 14.2 A LeasePlan manterá a informação prontamente disponível sistema relacionada com a estrutura e funcionamento de todos os sistemas e processos que Tratam Dados Pessoais (por exemplo, inventário de sistemas e processos, avaliações de impacto de privacidade).

Formação do 15.1 A LeasePlan fornecerá formação sobre esta Política e Pessoal obrigações de confidencialidade relacionada a membros da Equipe que têm acesso a Dados Pessoais.

Auditorias 16.1 A Auditoria do Grupo LeasePlan fará auditorias a processos e procedimentos comerciais que envolvam o tratamento de Dados Pessoais em relação com esta Política. As auditorias serão levadas a cabo no decurso das atividades regulares da Auditoria do Grupo LeasePlan ou a pedido do Local Privacy Officer, que pode solicitar uma auditoria tal como especificado neste artigo 16.1 conduzida por um auditor externo. Serão observados padrões profissionais aplicáveis de independência, integridade e confidencialidade aquando da condução de uma auditoria. Violações das Políticas de Privacidade que sejam relatadas serão também ao Executivo Responsável. Será fornecida uma cópia dos resultados da auditoria à Autoridade de Proteção de Dados mediante solicitação. Relatório Anual de Privacidade 16.2 Os departamentos de Risco, Privacidade e Compliance produzirão um relatório anual de privacidade de Dados Pessoais sobre o cumprimento desta Política, os riscos de proteção de dados e outros assuntos relevantes, que por sua vez reportará ao managing board da LeasePlan Corporation N.V.

Mitigação 16.3 Se assim for indicado, a LeasePlan assegurará que serão dados os passos necessários para lidar com as quebras indentificadas desta Política durante o monitoramento ou auditoria de cumprimento por força do Artigo 16.

Queixa 17.1 O Cliente, Fornecedor ou Parceiro de Negócio pode apresentar uma queixa relativa ao cumprimento desta Política ou a violações dos seus direitos com base na lei local aplicável e de acordo com o procedimento de queixas estabelecido no contrato ou política de privacidade. A queixa será encaminhada para o Local Privacy Officer. O Local Privacy Officer irá: Iniciar uma investigação; e, quando necessário, aconselhar a empresa sobre as medidas apropriadas para o cumprimento e monitorar, até ao final, os passos destinados a conseguir a conformidade. O Privacy Officer poderá consultar qualquer autoridade governamental que tenha jurisdição sobre um assunto particular acerca das medidas a tomar. Resposta ao Indivíduo 17.2 No prazo de quatro semanas após a LeasePlan ter recebido uma queixa, o Privacy Officer deve informar ao Cliente, Fornecedor ou Parceiro de Negócio por escrito sobre ou (i) a posição da LeasePlan em relação à queixa e sobre qualquer ação que a LeasePlan tomou ou tomará em resposta à mesma ou (ii) quando ele será informado sobre a posição da LeasePlan, e que não será numa data posterior a quatro semanas. Queixa ao Local 17.3 Um Cliente, Fornecedor ou Parceiro de Negócio pode apresentar uma queixa junto ao Local Privacy Officer, se:

Compliance Officer (i) A resolução da queixa pelo Agente de Privacidade apropriado for insatisfatória para o mesmo (por exemplo, se a queixa for rejeitada); (ii) O mesmo não tiver recebido uma resposta de acordo com o Artigo 17.2; (iii) O período de tempo dado ao mesmo ao abrigo do Artigo 17.2 for, à luz das circunstâncias relevantes, demasiado longo e o foram colocadas objeções mas não lhe foi concedido um período de tempo mais curto e mais razoável para a recepção de uma resposta; ou (iv) For um dos casos listados no Artigo 7.4. O procedimento descrito nos Artigos 17.1 até 17.2 aplicar-se-á a queixas feitas junto ao Departamento de Compliance.

Lei local e 18.1 Qualquer Tratamento de Dados Pessoais por parte da jurisdição LeasePlan será em alinhamento com as leis locais aplicáveis. Os Indivíduos mantêm os seus próprios direitos e recursos tais como disposto nas jurisdições locais. As Autoridades de Proteção aos Dados e outras autoridades governamentais que tenham jurisdição sobre os assuntos relevantes devem manter a sua autoridade. Todos são encorajados a seguir inicialmente os procedimentos de queixas estabelecidos no artigo 17 desta política antes de formalizar qualquer reclamação junto as autoridades ou órgãos locais. Caso a Autoridade Nacional de Proteção de Dados avalie e transferência de dados por um Empresa do Grupo estabelecida no país, este procedimento também deverá ser efetuado seguindo esta política.

Lei aplicável à Política; a Política tem um carácter suplementar 18.2 Esta Política será pautada e interpretada de acordo com a Lei Geral de Proteção de Dados Brasileira, Lei nº 13709/08. Esta política apenas se aplicará quando fornecer proteção suplementar para Dados Pessoais. Quando a lei local aplicável fornecer mais proteção do que esta Política, se aplicará a lei local. Quando esta Política fornecer mais proteção do que a lei local aplicável ou fornecer salvaguardas, direitos e recursos adicionais aos Indivíduos, se aplicará esta Política. Jurisdição Adicional exclusiva sob a Política 18.3 Sem prejudicar a legislação das Autoridades de Proteção de Dados mencionado no artigo 18.1 e independentemente de em qual unidade do grupo Leaseplan a violação foi cometida, quaisquer queixas ou reivindicações de um Cliente, Fornecedor ou Parceiro de Negócio relativas a quaisquer direitos suplementares que o Indivíduo possa ter ao abrigo desta política serão dirigidos à LeasePlan Corporation N.V. e serão apresentadas à Autoridade para a Proteção de Dados Holandesa ou ao tribunal competente em Amsterdã, na Holanda. Em todos os casos os Clientes, Fornecedores ou Parceiros de Negócio são encorajados a primerio seguir os procedimentos de queixas estabelecido no Artigo 17 desta Política antes de registrar qualquer tipo de queixa junto às autoridades locais. A Política é vinculativa apenas em relação à LeasePlan. 18.4 Sem prejudicar a legislação das Autoridades de Proteção de Dados mencionado no artigo 18.1, quaisquer salvaguardas, direitos ou recursos adicionais conferidos aos Clientes, Fornecedores ou Parceiros de Negócio ao abrigo desta Política são assegurados e executados no Brasil apenas em detrimento da LeasePlan Brasil Ltda. e LeasePlan Arrendamento Mercantil S.A. Medidas de correção e limitação de danos 18.6 A LeasePlan apenas será responsável por danos diretos sofridos pelos mesmos resultantes de uma violação desta Política. Desde que o mesmo consiga demonstrar que sofreu danos e estabelecer fatos que mostrem que é plausível que o dano tenha ocorrido devido à violação da Política, caberá à LeasePlan provar que os danos sofridos pelo mesmo devido a uma violação da Política não são atribuíveis à Empresa do Grupo relevante. Assistência mútua e recurso 18.7 Todas as Empresas do Grupo cooperarão e se ajudarão na medida do razoavelmente possível para lidar com: (i) Um pedido, queixa ou reivindicação feito por um Indivíduo; ou (ii) Uma investigação ou inquérito legal feito por uma autoridade governamental competente. A Empresa do Grupo que receber o pedido, queixa ou reivindicação de um Cliente, Fornecedor ou Parceiro de Negócio é responsável pela condução de qualquer comunicação com o mesmo no que diz respeito ao seu pedido, queixa ou reivindicação exceto quando as circunstâncias ditarem o contrário. A Empresa do Grupo que é responsável pelo Processamento a que se refere a queixa, pedido ou reivindicação, suportará todos os custos envolvidos.

Não- 19.1 O Não-cumprimento desta política por parte dos Funcionários cumprimento poderá resultar em medidas apropriadas de acordo com a lei local aplicável que vão até a demissão, inclusive.

Conflito legal aquando da transferência de Dados 20.1 Quando um requisito legal para transferir Dados Pessoais entrar em conflito com as leis do país que receberá os Dados, a transferência exigirá a aprovação prévia do Local Privacy Officer. O LCO poderá, ainda, obter aprovação junto a

Conflito entre 20.2 a Política e a lei Diretoria da LeasePlan ou procurar o conselho da Autoridade Nacional para a Proteção de Dados ou qualquer outra autoridade governamental competente. Em qualquer outro caso, quando existir um conflito entre a lei local aplicável e a Política, o Local Compliance Officer deverá ser solicitado para determinar como cumprir esta Política e resolver o conflito na medida do razoavelmente praticável dados os requisitos legais aplicáveis à Empresa do Grupo em questão.

Novos requisitos legais conflituosos

Pedidos de divulgação de dados pessoais 20.3

20.4 O Local Privacy Officer, os departamentos de Risco e de Compliance deverão ser informados de qualquer novo requerimento legal que possa interferir com a capacidade de cumprir esta Política por parte da LeasePlan.

Se a LeasePlan receber uma solicitação de divulgação de dados dos seus funcionários de uma autoridade policial ou de um órgão de segurança estatal, primeiramente avaliará o caso e se a solicitação é legalmente válida e vinculada à LeasePlan. Qualquer informação que não seja legalmente válida e obrigatória para a LeasePlan será contestada de acordo com a lei aplicável. A LeasePlan deverá informar imediatemente o Departamento de Compliance e o de Riscos sobre quaisquer pedidos de divulgação legalmente válidos e vinculativos e solicitará à Autoridade que suspenda esses pedidos de divulgação por um prazo razoável, até que o seja emitido um parecer sobre a validade e relevância da divulgação. Se a suspensão de uma solicitação de Divulgação for proibida, como no caso de uma proibição sob a lei criminal para preservar a confidencialidade de uma investigação policial, a LeasePlan solicitará à Autoridade que renuncie a essa proibição e documentará que a fez. De qualquer forma, a LeasePlan fornecerá anualmente à LeasePlan Corporation informações gerais sobre o número e o tipo de Solicitações de Divulgação recebidas no período de 12 meses anteriores, na extensão máxima permitida pela lei aplicável.

Alterações a 21.1 Quaisquer alterações a esta Política exigem a aprovação Política prévia do Local Privacy Officer. 21.2 Esta Política pode ser alterada pela LeasePlan sem o consentimento do Cliente, Fornecedor ou Parceiro de Negócio mesmo que uma emenda se possa relacionar com um benefício conferido aos mesmos. 21.3 Qualquer alteração entrará em vigor com efeitos imediatos depois de ter sido aprovada de acordo com o Artigo 21.1 e ter sido publicada no website da LeasePlan. 21.4 Qualquer pedido, queixa ou reivindicação por parte de um Cliente, Fornecedor ou Parceiro de Negócio envolvendo esta Política será julgada em relação à versão da Política que esteja em vigor à data em que for feito o pedido, queixa ou reivindicação.

Período de transição geral 22.1 Exceto indicação em contrário, em até 30 (trinta) dias após a Data Efetiva, todo Tratamento de Dados Pessoais deverá ser efetuado de acordo com esta Política. Durante o período de transição, qualquer transferêcia de Dados Pessoais para outra empresa do grupo, de acordo com esta política, como mecanismo de transfência de dados poderá apenas ser realizada a medida que a empresa do grupo que for receber os dados esteja de (i) acordo com esta política, ou os dados a serem transferido atendam aos requisitos para transferência de dados listados nos artigos 11.6 a 11.8. Período de transição para novas Empresas do Grupo 22.2 Qualquer entidade que se torne uma Empresa do Grupo após a Data Efetiva cumprirá a Política imediatamente após tornar-se uma Empresa do Grupo. Período de transição para Entidades alienadas 22.3 Uma Entidade Alienada pode permanecer coberta por esta Política após a sua alienação pelo período que for solicitado pela LeasePlan para libertar o Tratamento de Dados Pessoais relacionados com essa Empresa Alienada. Período de transição para Sistemas Informáticos 22.4 Quando a implementação desta Política exigir atualizações ou mudanças nos sistemas de tecnologias de informação e comunicação (incluindo a substituição de sistemas), o período de transição será de até um ano da Data Efetiva ou a partir da data em que uma entidade se torna uma Empresa do Grupo, ou qualquer período mais longo tanto quanto razoavelmente necessário para completar o processo de atualização, alteração ou substituição. Período de transição para acordos existentes 22.5 Quando existirem acordos com terceiros que são afetados por esta Política, as provisões dos acordos prevalecerão até que os acordos sejam renovados no decurso natural da atividade empresarial. Período transicional para sistemas local-a-local 22.6 O Tratamento de Dados Pessoais que tenham sido recolhidos no âmbito de atividades de uma Empresa do Grupo localizada em outro País será levado à conformidade com esta Política no em prazo razoável (até um ano) da Data Efetiva desta Política. Detalhes de Local Privacy Officer e Encarregado de Dados (DPO) Ana Carolina Tucci Rizzo - Contato: privacy@leaseplan.com.br

Arquivo Uma coleção de Dados Pessoais que já não são necessários para atingir os objetivos para os quais os Dados foram originalmente recolhidos ou que já não são utilizados para atividades empresariais gerais, mas que são utilizados apenas para fins históricos, científicos ou estatísticos, para resolução de disputas. Investigações ou fins de arquivo geral. Um arquivo inclui qualquer conjunto de dados a que nenhum Funcionário, exceto o administrador de sistema, pode aceder. Artigo Um artigo nesta Política. Regras Empresariais Vinculativas Uma política de privacidade de um grupo de empreendimentos que ao abrigo da lei local aplicável (tal como o Artigo 25 da Diretiva para a Proteção de Dados da União Europeia) se considera fornecer um nível de proteção adequado para a transferência de Dados Pessoais dentro desse grupo de empreendimentos. Dados de Contato de Negócios Quaisquer dados tipicamente encontrados num cartão de visita e utilizados pelo Indivíduo no seu contato com a LeasePlan.

Parceiro de Negócios Qualquer Terceira Parte, que não seja Cliente ou Fornecedor, que tenha ou tenha tido uma relação comercial ou aliança estratégica com a LeasePlan (por exemplo, sócio de marketing, empreendimento ou desenvolvimento em conjunto). Objetivo de Negócio Objetivo para o Tratamento de Dados Pessoais tal como especificado nos Artigos 2 ou 3 ou para o Tratamento de Dados Sensíveis tal como especificado nos Artigos 3 ou 4. Crianças Indivíduos com idade inferior a treze (13) anos. Cliente Qualquer pessoa, organização privada ou organismo governamental que adquira, possa adquirir ou tenha adquirido um produto ou serviço da LeasePlan. Serviços ao Cliente Serviços fornecidos pela LeasePlan ao Cliente para apoiar os produtos e serviços da LeasePlan que foram oferecidos ou estejam a ser utilizados pelo dito Cliente, os seus funcionários ou outras pessoas que trabalhem para o dito Cliente (por exemplo, de veículos alugados). Estes serviços podem incluir a manutenção, inspeção e outras atividades de apoio. Autoridade de Proteção de Dados AUTORIDADE DE PROTEÇÃO AOS DADOS é a autoridade de proteção a dados de um país que uma empresa do Grupo está estabelecida. Quebra de Segurança de Dados Aquisição, acesso, utilização ou revelação não-autorizada de Dados Pessoais não-encriptados que comprometa a segurança ou a privacidade de tais dados na medida em que o comprometimento constitui um significativo risco financeiro, de reputação, ou outro dano para o Indivíduo. Não é considerada uma Quebra de Segurança de Dados quando tiver havido uma aquisição, acesso ou utilização não-intencional de Dados Pessoais não-encriptados por parte de um Funcionário da LeasePlan ou por parte de um Operador ou de um indivíduo que aja sob a sua respetiva autoridade, se a aquisição, acesso ou utilização dos Dados Pessoais foi feita de boa-fé e no decurso e âmbito da relação de emprego ou profissional de tal funcionário ou outro indivíduo; e os Dados Pessoais não continuam a ser adquiridos, acedidos, utilizados ou revelados por qualquer pessoa.

Entidade Alienada Alienação por parte da LeasePlan ou de uma Empresa do Grupo ou negócio através de: uma venda de ações resultando numa alienação da Empresa do Grupo que já não será considerada Empresa do Grupo e/ou uma cisão, venda de ativos, ou qualquer outra maneira ou forma. Data Efetiva Data em que esta Política se torna efetiva ao abrigo do Artigo 1.6. Funcionário As seguintes pessoas: Um funcionário, candidato a um emprego ou antigo funcionário da LeasePlan incluindo trabalhadores temporários que trabalhem sob a supervisão direta da LeasePlan (por exemplo, adjudicários e estagiários). Este termo não inclui pessoas que trabalhem na LeasePlan como consultores ou funcionários de Terceiras Partes que forneçam serviços à LeasePlan; Um (antigo) diretor executivo ou não-executivo da LeasePlan ou um (antigo) membro do conselho de supervisão ou um conselho semelhante na LeasePlan. Dados de Funcionário Qualquer informação relacionada a um Funcionário identificado ou identificável no contexto da sua relação de trabalho com a LeasePlan. Esta definição não cobre o tratamento de Dados de Funcionários na capacidade do Funcionário enquanto cliente da LeasePlan ou condutor de um veículo alugado da LeasePlan que não seja devido ao seu contrato de trabalho com a LeasePlan. Diretiva de Proteção de Dados da UE A Diretiva 95/46/EC do Parlamento Europeu e do Conselho sobre a proteção dos indivíduos em relação ao processamento e livre circulação de tais dados ou qualquer futuro sucessor ou substituto. Empresa do Grupo A LeasePlan Corporation N.V. e qualquer empresa ou entidade legal da qual a LeasePlan Corporation N.V. detenha direta ou indiretamente mais do que 50% do capital emitido, tenha 50% ou mais do poder de voto em assembleias gerais de acionistas, tenha o poder de nomear uma maioria dos diretores, ou de outra forma dirija as atividades de tal outra entidade legal; no entanto, qualquer destas empresas ou entidades legais apenas serão consideradas Empresas do Grupo (i) enquanto existir uma ligação e/ou relação, e (ii) enquanto estiver coberta pelo Código de Conduta da LeasePlan.

Local Privacy Officer /LPO O responsável pela conformidade da coleta e tratamento dos dados, referido no Artigo 13.1. Indivíduo Qualquer indivíduo (funcionário de ou qualquer pessoa que trabalhe para um Cliente, Fornecedor ou Parceiro de Negócios e qualquer outro indivíduo cujos Dados Pessoais sejam processados pelas LeasePlan no contexto das suas atividades comerciais tais como o leasing de veículos e fornecimento de serviços de gestão de frota, incluindo o remarketing de carros e serviços de mobilidade de condutor e o provimento de serviços financeiros tais como comércio bancário e seguros. LeasePlan Lease Plan Brasil Ltda, LeasePlan Arrendamento Mercantil S.A. e as Empresas do seu Grupo. Unidade Organizacional Cada unidade de negócio e função de equipe da LeasePlan. Objetivo Original Objetivo para o qual os Dados Pessoais foram originalmente recolhidos. Interesse Superior Interesses prementes referidos no Artigo 12.1 que constituirão a base para que as obrigações da LeasePlan ou os direitos dos Indivíduos referidos nos Artigos 12.2 e 12.3 possam, ao abrigo de circunstâncias específicas, ser transpostos se este interesse premente for mais necessário que os interesses do Indivíduo. Dados Pessoais ou Dados Qualquer informação relacionada com um Indivíduo identificado ou identificável. Política Esta Política da LeasePlan para Dados de Clientes, Fornecedores e Parceiros de Negócios. Conselho de Privacidade O conselho referido no Artigo 13.2. Tratamento Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração Executivo Responsável O Diretor Executivo de uma Empresa do Grupo ou chefe de uma Unidade Organizacional. Objetivo Secundário Qualquer objetivo que não o Objetivo Original para o qual os Dados Pessoais serão ainda Processados. Dados Sensíveis Dados Pessoais do Indivíduo que revelam a origem racial ou étnica, opiniões políticas ou filiação em partidos políticos ou organizações semelhantes, crenças religiosas ou filosóficas, filiação numa organização ou sindicato profissional, saúde física ou metal ou opiniões com isso relacionadas, deficiências, código genético, dependências, vida sexual, ofensas criminais, registos criminais, procedimentos relacionados com comportamento criminoso ou ilegal, ou números de segurança social emitidos pelo Governo. Equipe Todos os Funcionários e outras pessoas que Tratem dados Pessoais como parte dos seus respetivos deveres e responsabilidades utilizando os sistemas de tecnologia de informação da LeasePlan ou trabalhando primariamente nas instalações da LeasePlan. Fornecedor Qualquer Terceira Parte que forneça bens ou serviços à LeasePlan (por exemplo, um agente, consultor ou vendedor). Terceira Parte Qualquer pessoa, organização privada ou organismo governamental exterior à LeasePlan. Operador Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Encarregado Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

Interpretações INTERPRETAÇÃO DESTA POLÍTICA: (i)A não ser que o contexto exija o contrário, quaisquer referências a um Artigo ou anexo em particular são referências a esse Artigo ou Anexo neste ou para este documento, uma vez que podem ser ocasionalmente emendados; (ii)Os cabeçalhos estão incluídos apenas por conveniência e não devem ser usados na interpretação de qualquer provisão a esta Política; (iii)Se uma palavra ou expressão está definida, as suas outras formas gramaticais têm um significado correspondente; (iv)A forma masculina incluirá a forma feminina; (v)As palavras "inclui", "incluem" e "incluindo" e quaisquer outras palavras que as sigam serão interpretadas sem limitação à generalidade de quaisquer palavras ou conceitos precedentes e vice-versa; (vi)Uma referência a um documento (incluindo, sem limitação, uma referência a esta Política) é uma referência ao documento com emendas, variações, suplementos ou substituições, exceto na medida em que isso seja proibido por esta Política ou esse outro documento; e (vii)uma referência à lei inclui qualquer requisito regulatório, recomendação e melhor-prática emitida por autoridades de supervisão nacionais e internacionais relevantes ou outros organismos.