O RGPD impõe obrigações a todas as organizações que tratam dados pessoais, independentemente de serem responsáveis pelo tratamento de dados ou subcontratantes.

Em especial, deve:

• Perguntar-se se a finalidade para a qual os dados pessoais podem ser recolhidos se justifica e recolher apenas dados pessoais necessários para a(s) finalidade(s) específica(s) prevista(s);
• Manter os dados pessoais exatos e atualizados e apagar os dados quando já não forem necessário;
• Respeitar os direitos das pessoas, informando-as sobre como e por que razão os seus dados são tratados e permitindo-lhes exercer os seus direitos;
• Verificar se dispõe de uma base legal adequada para o tratamento de dados pessoais. Caso pretenda basear-se no consentimento dos indivíduos, solicitar o seu consentimento antes de tratar os seus dados pessoais;
• Certificar-se de que os dados pessoais das pessoas são tratados de forma segura;
• Manter um registo das atividades de tratamento.

Os subcontratantes terão de cumprir as responsabilidades estabelecidas no contrato entre o responsável pelo tratamento e o subcontratante e não devem tratar os dados de outro modo que não seja segundo as instruções do responsável pelo tratamento.

Mais informações:

• Estar em conformidade
• Responsável pelo tratamento de dados ou subcontratante
• Elementos básicos em matéria de proteção de dados