Perguntas frequentes
O que deve ser incluído num contrato entre responsável pelo tratamento/subcontratante?
O contrato entre o responsável pelo tratamento e o subcontratante deve estipular que o subcontratante:
- trata os dados pessoais apenas com base nas instruções do responsável pelo tratamento, nomeadamente no que diz respeito às transferências de dados pessoais para um país fora do EEE;
- assegura que as pessoas autorizadas a tratar os dados se comprometeram a respeitar a confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade adequada;
- garante a segurança do tratamento;
- não pode contratar outro subcontratante sem autorização prévia, específica ou geral, por escrito do responsável pelo tratamento de dados;
- presta assistência ao responsável pelo tratamento no cumprimento das suas obrigações de resposta aos pedidos individuais de exercício dos seus direitos;
- presta assistência ao responsável pelo tratamento dos dados na proteção do tratamento, na notificação das violações de dados e na realização de AIPD;
- à escolha do responsável pelo tratamento, apaga ou devolve todos os dados pessoais ao responsável pelo tratamento após o termo da prestação dos serviços;
- disponibiliza ao responsável pelo tratamento de dados todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no RGPD;
- permite e contribui para auditorias, incluindo inspeções realizadas pelo responsável pelo tratamento de dados ou por outro auditor mandatado pelo responsável pelo tratamento de dados.
Além disso, o subcontratante deve informar imediatamente o responsável pelo tratamento se, na sua opinião, as instruções infringirem o RGPD ou outras disposições da UE ou nacionais em matéria de proteção de dados.
Mais informações:
O que é uma avaliação de impacto sobre a proteção de dados e quando é que tal é obrigatório?
Uma avaliação de impacto sobre a proteção de dados ou AIPD é uma avaliação escrita que a sua organização deve fazer para avaliar o impacto de uma operação de tratamento planeada. Ajuda-o a identificar as medidas adequadas para lidar com os riscos e a demonstrar conformidade.
Embora seja sempre preferível antecipar o impacto das operações de tratamento planeadas da sua organização através da realização de AIPD, é obrigatório realizar uma AIPD quando o tratamento for suscetível de resultar num elevado risco para os direitos e liberdades das pessoas.
Especificamente, é o que acontece quando o tratamento previsto envolve:
- o tratamento — em grande escala — de dados pessoais sensíveis ou de dados relacionados com condenações penais;
- uma avaliação sistemática e exaustiva dos aspetos pessoais de uma pessoa, com base no tratamento automatizado, incluindo a definição de perfis, e nos quais se baseiam as decisões que produzem efeitos jurídicos sobre a pessoa em questão ou afetam significativamente as pessoas de forma similar;
- monitorização sistemática de uma zona acessível ao público em grande escala.
O CEPD elaborou orientações que enumeram os critérios que deve ter em conta ao avaliar se uma AIPD é ou não obrigatória. As autoridades de proteção de dados (APD) publicaram igualmente listas de operações de tratamento que estão sujeitas a uma AIPD. Além disso, várias APD desenvolveram guias, software ou ferramentas de autoavaliação para o ajudar na sua avaliação.
Mais informações:
Preciso de consentimento para utilizar cookies no site da minha organização?
O RGPD aplica-se à utilização de cookies quando estes são utilizados para o tratamento de dados pessoais, mas também existem regras mais específicas para os cookies, incluindo a Diretiva da Privacidade nas comunicações eletrónicas.
O armazenamento de um cookie, ou a obtenção de acesso a um cookie já armazenado, no equipamento terminal de um utilizador só é permitido se o assinante ou utilizador em causa tiver sido devidamente informado (em especial sobre as finalidades do tratamento) e tiver dado o seu consentimento.
A única exceção são os cookies tecnicamente necessários. As organizações não precisam de pedir consentimento quando utilizam cookies tecnicamente necessários nos seus sítios Web.
Mais informações:
Quais são as sanções se a minha organização não cumprir o RGPD ou se o meu tratamento violar o RGPD?
A conformidade com o RGPD é controlada pelas autoridades nacionais de proteção de dados (APD). As APD podem realizar investigações e impor sanções sempre que necessário. As APD dispõem de uma série de instrumentos, incluindo a aplicação de coimas até 20 milhões de euros ou 4 % do volume de negócios anual a nível mundial, consoante o que for mais elevado, repreensões e proibições temporárias ou permanentes de tratamento.
Os dados de contacto de todas as APD do EEE podem ser consultados no sítio Web do CEPD: Membros
Mais informações:
Posso instalar um sistema de CCTV fechado nas instalações da minha empresa para proteger a minha propriedade?
O primeiro passo para instalar CCTV é identificar a finalidade ou finalidades para fazê-lo. As finalidades da instalação de CCTV podem ser variadas, como garantir a segurança das instalações, auxiliar na prevenção e deteção de roubos e outros crimes, ou proteger a vida e a saúde dos funcionários, devido à natureza do trabalho.
Tal como acontece com qualquer tratamento de dados pessoais, a gravação de imagem de indivíduos deve ter uma base legal ao abrigo do RGPD. O consentimento pode constituir uma base jurídica para esse tratamento de dados. No entanto, é pouco provável que tal se aplique à utilização de CCTV na maioria dos casos, uma vez que será difícil obter o consentimento livre de todas as pessoas suscetíveis de serem gravadas. O fundamento de legitimidade mais comum para este tipo de tratamento de dados pessoais é o interesse legítimo. Quando o tratamento se baseia num interesse legítimo, terá de realizar um teste de ponderação para determinar se os seus interesses legítimos prevalecem sobre os direitos do indivíduo.
Terá de informar as pessoas que estão a ser gravadas. Isto pode ser feito através da colocação de sinais fáceis de ler em locais de destaque. Além disso, deve ser colocado em todas as entradas um sinal que indique a finalidade do sistema CCTV e a identidade e os dados de contacto do responsável pelo tratamento de dados.
As pessoas cujas imagens estejam a ser gravadas por um sistema de CCTV devem receber as seguintes informações:
- a identidade e os dados de contacto do responsável pelo tratamento;
- as finalidades do tratamento;
- a base legal do tratamento (se for o interesse legítimo, informações específicas sobre os interesses legítimos relacionados com o tratamento específico e sobre a entidade que prossegue cada interesse legítimo);
- os dados de contacto do encarregado da proteção de dados (caso exista um encarregado da proteção de dados);
- os destinatários ou categorias de destinatários dos dados;
- as disposições de segurança aplicáveis às imagens de CCTV;
- o período de conservação das imagens de CCTV;
- a existência de direitos individuais ao abrigo do RGPD e o direito de apresentar uma reclamação à autoridade nacional de proteção de dados.
Mais informações:
Posso transferir dados pessoais para fora do Espaço Económico Europeu (EEE)?
Nos termos do RGPD, existem, em princípio, duas formas principais de transferir dados pessoais para um país não pertencente ao EEE ou para uma organização internacional. As transferências podem ser efetuadas com base numa decisão de adequação ou, na falta de tal decisão, com base em garantias adequadas, incluindo direitos oponíveis e vias de recurso para as pessoas singulares.
Mais informações:
A minha organização tem de cumprir o RGPD?
Todas as organizações, independentemente da sua dimensão ou setor, estabelecidas no Espaço Económico Europeu (EEE) ou que ofereçam produtos ou serviços a pessoas no EEE, tratando dados pessoais, quer por meios automatizados ou não, têm de cumprir o RGPD. Mesmo que o RGPD esteja principalmente relacionado com o tratamento automatizado de dados pessoais, as operações de tratamento realizadas manualmente também estarão sujeitas ao RGPD a partir do momento em que os ficheiros em papel são organizados de forma sistemática, por exemplo, ordenados por ordem alfabética num arquivo.
Exemplos de operações de tratamento incluem a recolha, o registo, a organização, a utilização, a modificação, o armazenamento, a divulgação, a alteração e o apagamento dos dados pessoais das pessoas.
No entanto, a aplicação do RGPD é modulada em função da natureza, do contexto, das finalidades e dos riscos das operações de tratamento efetuadas. Para as PME cuja atividade principal não é o tratamento de dados pessoais, as obrigações podem ser menos rigorosas do que para uma grande empresa.
Mais informações:
Como posso saber quais as medidas de segurança que preciso tomar?
As medidas de segurança necessárias podem diferir com base na natureza dos dados pessoais que trata e nos riscos associados para as pessoas. Em qualquer caso, existem algumas medidas mínimas a aplicar:
- acesso seguro às instalações;
- utilizar software antivírus regularmente atualizado;
- escolha cuidadosamente as suas palavras-passe;
- fazer com que os utilizadores se autentiquem antes de utilizarem as instalações informáticas;
- tenha uma política de salvaguarda e recuperação de dados em vigor em caso de incidente.
Além disso, algumas medidas básicas, como bloquear o ecrã enquanto está longe e bloquear o escritório no final do dia, nunca estão fora do lugar…
Mais informações:
Enquanto responsável pelo tratamento de dados, recolhi dados pessoais numa terceira entidade, o que tenho de fazer para estar em conformidade?
- Certifique-se de que os dados que recebeu foram recolhidos de forma legítima e que as pessoas em causa foram informadas sobre o tratamento dos seus dados pessoais.
- Caso a entidade esteja a tratar dados pessoais em seu nome, certifique-se de que tem um contrato entre responsável pelo tratamento e subcontratante, que detalhe as operações de tratamento e os meios para tratar os dados pessoais.
E, claro, cumpra todas as obrigações dos responsáveis pelo tratamento.
Mais informações:
Posso publicar os nomes dos vencedores de um concurso no sítio Web da minha organização?
A publicação dos nomes dos vencedores de um concurso no seu sítio Web pode ser considerada um interesse legítimo, se puder provar isso através da realização de um teste de ponderação para determinar se os seus interesses legítimos prevalecem sobre os direitos dos indivíduos.
Uma boa prática seria estabelecer um procedimento interno em que sejam explicadas as regras relativas à publicação dos dados pessoais dos vencedores.
Além disso, o tratamento de dados pessoais para estes fins deve fazer parte da política de privacidade do concurso, de modo a que os participantes sejam previamente informados sobre a forma como os seus dados serão tratados.
Mais informações: