A tarefa do encarregado da proteção de dados inclui, entre outras:

• informar e aconselhar a organização e os seus colaboradores sobre o cumprimento da proteção de dados;
• controlar a conformidade da proteção de dados;
• prestar aconselhamento sobre pedidos relativos à avaliação de impacto sobre a proteção de dados (AIPD);
• atuar como ponto de contacto para a autoridade de proteção de dados (APD) e cooperar com essa autoridade de proteção de dados;
• atuar como ponto de contacto para os indivíduos.

Além disso, a presença do encarregado da proteção de dados é geralmente recomendada quando são tomadas decisões com implicações para a proteção de dados. O encarregado de proteção de dados deve também ser imediatamente consultado logo que tenha ocorrido uma violação de dados ou outro incidente.

Mais informações:

• Encarregado de proteção de dados

More information:

• Data Protection Officer

Todas as organizações, independentemente da sua dimensão ou setor, estabelecidas no Espaço Económico Europeu (EEE) ou que ofereçam produtos ou serviços a pessoas no EEE, tratando dados pessoais, quer por meios automatizados ou não, têm de cumprir o RGPD. Mesmo que o RGPD esteja principalmente relacionado com o tratamento automatizado de dados pessoais, as operações de tratamento realizadas manualmente também estarão sujeitas ao RGPD a partir do momento em que os ficheiros em papel são organizados de forma sistemática, por exemplo, ordenados por ordem alfabética num arquivo.

Exemplos de operações de tratamento incluem a recolha, o registo, a organização, a utilização, a modificação, o armazenamento, a divulgação, a alteração e o apagamento dos dados pessoais das pessoas.

No entanto, a aplicação do RGPD é modulada em função da natureza, do contexto, das finalidades e dos riscos das operações de tratamento efetuadas. Para as PME cuja atividade principal não é o tratamento de dados pessoais, as obrigações podem ser menos rigorosas do que para uma grande empresa.

Mais informações:

• Elementos básicos em matéria de proteção de dados

Não, não é necessário tornar público o seu registo de atividades de tratamento. No entanto, deve poder disponibilizar o registo à autoridade de proteção de dados, mediante pedido.

Mais informações:

• Estar em conformidade

Sim, pode, mas o RGPD impõe certas obrigações às empresas que partilham dados pessoais. A sua organização deve informar as pessoas de que irá partilhar os seus dados com terceiros. Deve também informá-los sobre as suas finalidades, segurança, acesso e as medidas de conservação que se aplicarão.

O RGPD aplica-se à utilização de cookies quando estes são utilizados para o tratamento de dados pessoais, mas também existem regras mais específicas para os cookies, incluindo a Diretiva da Privacidade nas comunicações eletrónicas.

O armazenamento de um cookie, ou a obtenção de acesso a um cookie já armazenado, no equipamento terminal de um utilizador só é permitido se o assinante ou utilizador em causa tiver sido devidamente informado (em especial sobre as finalidades do tratamento) e tiver dado o seu consentimento.

A única exceção são os cookies tecnicamente necessários. As organizações não precisam de pedir consentimento quando utilizam cookies tecnicamente necessários nos seus sítios Web.

Mais informações:

• Tratar legalmente os dados pessoais

O contrato entre o responsável pelo tratamento e o subcontratante deve estipular que o subcontratante:

• trata os dados pessoais apenas com base nas instruções do responsável pelo tratamento, nomeadamente no que diz respeito às transferências de dados pessoais para um país fora do EEE;
• assegura que as pessoas autorizadas a tratar os dados se comprometeram a respeitar a confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade adequada;
• garante a segurança do tratamento;
• não pode contratar outro subcontratante sem autorização prévia, específica ou geral, por escrito do responsável pelo tratamento de dados;
• presta assistência ao responsável pelo tratamento no cumprimento das suas obrigações de resposta aos pedidos individuais de exercício dos seus direitos;
• presta assistência ao responsável pelo tratamento dos dados na proteção do tratamento, na notificação das violações de dados e na realização de AIPD;
• à escolha do responsável pelo tratamento, apaga ou devolve todos os dados pessoais ao responsável pelo tratamento após o termo da prestação dos serviços;
• disponibiliza ao responsável pelo tratamento de dados todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no RGPD;
• permite e contribui para auditorias, incluindo inspeções realizadas pelo responsável pelo tratamento de dados ou por outro auditor mandatado pelo responsável pelo tratamento de dados.

Além disso, o subcontratante deve informar imediatamente o responsável pelo tratamento se, na sua opinião, as instruções infringirem o RGPD ou outras disposições da UE ou nacionais em matéria de proteção de dados.

Mais informações:

• Responsável pelo tratamento de dados ou subcontratante

O EPD não pode ser responsabilizado pelo incumprimento do RGPD. A conformidade com o RGPD é da responsabilidade da organização que nomeou o EPD.

Mais informações:

• Encarregado de proteção de dados

O primeiro passo para instalar CCTV é identificar a finalidade ou finalidades para fazê-lo. As finalidades da instalação de CCTV podem ser variadas, como garantir a segurança das instalações, auxiliar na prevenção e deteção de roubos e outros crimes, ou proteger a vida e a saúde dos funcionários, devido à natureza do trabalho.

Tal como acontece com qualquer tratamento de dados pessoais, a gravação de imagem de indivíduos deve ter uma base legal ao abrigo do RGPD. O consentimento pode constituir uma base jurídica para esse tratamento de dados. No entanto, é pouco provável que tal se aplique à utilização de CCTV na maioria dos casos, uma vez que será difícil obter o consentimento livre de todas as pessoas suscetíveis de serem gravadas. O fundamento de legitimidade mais comum para este tipo de tratamento de dados pessoais é o interesse legítimo. Quando o tratamento se baseia num interesse legítimo, terá de realizar um teste de ponderação para determinar se os seus interesses legítimos prevalecem sobre os direitos do indivíduo.

Terá de informar as pessoas que estão a ser gravadas. Isto pode ser feito através da colocação de sinais fáceis de ler em locais de destaque. Além disso, deve ser colocado em todas as entradas um sinal que indique a finalidade do sistema CCTV e a identidade e os dados de contacto do responsável pelo tratamento de dados.

As pessoas cujas imagens estejam a ser gravadas por um sistema de CCTV devem receber as seguintes informações:

• a identidade e os dados de contacto do responsável pelo tratamento;
• as finalidades do tratamento;
• a base legal do tratamento (se for o interesse legítimo, informações específicas sobre os interesses legítimos relacionados com o tratamento específico e sobre a entidade que prossegue cada interesse legítimo);
• os dados de contacto do encarregado da proteção de dados (caso exista um encarregado da proteção de dados);
• os destinatários ou categorias de destinatários dos dados;
• as disposições de segurança aplicáveis às imagens de CCTV;
• o período de conservação das imagens de CCTV;
• a existência de direitos individuais ao abrigo do RGPD e o direito de apresentar uma reclamação à autoridade nacional de proteção de dados.

Mais informações:

• Tratar legalmente os dados pessoais
• Respeitar os direitos dos indivíduos

O RGPD confere às pessoas o controlo sobre o tratamento dos seus dados pessoais. Para isso, a transparência é fundamental. Isto significa que tem de informar as pessoas cujos dados trata sobre as suas operações de tratamento e as finalidades. Por outras palavras, é preciso explicar quem trata os seus dados, mas também como e porquê. Apenas se a utilização de dados pessoais for «transparente» para as pessoas envolvidas, é que é possível avaliar possíveis riscos e tomar decisões sobre os seus dados pessoais.

Nos termos do RGPD, é obrigado a partilhar as seguintes informações com os indivíduos:

• a identidade e os dados de contacto do responsável pelo tratamento;
• as finalidades do tratamento;
• a base legal do tratamento (se houver interesse legítimo, informações específicas sobre os interesses legítimos relacionados com o tratamento específico e sobre a entidade que prossegue cada interesse legítimo).
• os dados de contacto do responsável pelo tratamento;
• os dados de contacto do EPD (caso exista um EPD);
• os destinatários ou categorias de destinatários dos dados;
• Informações sobre se os dados serão transferidos para fora do Espaço Económico Europeu (EEE) (se aplicável: existência ou não de uma decisão de adequação ou referência às garantias adequadas e à forma como essas informações podem ser disponibilizadas aos titulares dos dados);
• as categorias de dados pessoais tratados, quando os dados não são obtidos do indivíduo.

Além disso, o RGPD exige que a sua organização forneça as seguintes informações para garantir um tratamento leal e transparente:

• o período de conservação ou, se tal não for possível, os critérios utilizados para determinar esse período;
• o direito de solicitar o acesso, o apagamento, a retificação, a limitação, a oposição e a portabilidade dos dados pessoais;
• o direito de apresentar uma reclamação a uma autoridade de proteção de dados;
• se a base legal do tratamento for o consentimento: o direito de retirar o consentimento a qualquer momento;
• no caso de tomada de decisões automatizadas, informações pertinentes sobre a lógica subjacente e as consequências previstas do tratamento para o titular dos dados;
• a origem dos dados pessoais (se não os tiver recebido diretamente da pessoa em causa;
• se o indivíduo é obrigado a fornecer os dados pessoais (por lei ou por contrato ou para celebrar um contrato) e quais são as consequências da recusa de fornecer os dados.

Mais informações:

• Respeitar os direitos dos indivíduos

Os cookies são pequenos ficheiros armazenados num dispositivo, como um computador, um dispositivo móvel ou qualquer outro dispositivo que possa armazenar informações. Os cookies servem uma série de funções importantes, incluindo recordar os utilizadores e as suas interações anteriores com um website. Podem ser utilizados para acompanhar os artigos de um carrinho de compras em linha ou para acompanhar as informações quando os detalhes são inseridos num formulário de candidatura em linha.

Os cookies de autenticação também são importantes para identificar os utilizadores quando iniciam sessão em serviços bancários e noutros serviços online. As informações armazenadas nos cookies podem incluir dados pessoais, como um endereço IP, um nome de utilizador, um identificador único ou um endereço de correio eletrónico.