Perguntas frequentes
O Encarregado de Proteção de Dados (EPD) é responsável pelo cumprimento do RGPD?
O EPD não pode ser responsabilizado pelo incumprimento do RGPD. A conformidade com o RGPD é da responsabilidade da organização que nomeou o EPD.
Mais informações:
O que constitui um conflito de interesses para um encarregado da proteção de dados (EPD)?
Os EPD podem desempenhar outras tarefas dentro da organização, mas isso não pode resultar num conflito de interesses. Tal implica que o encarregado de proteção de dados não pode ter uma posição na qual determine as finalidades e os meios das atividades de tratamento. As funções conflituantes incluem principalmente cargos de gestão (chefe de administração, diretor operacional, diretor financeiro, chefe de recursos humanos, chefe de TI, diretor executivo), mas podem também envolver outras funções se conduzirem à determinação das finalidades e dos meios de tratamento.
O encarregado de proteção de dados deve poder desempenhar as suas funções e tarefas de forma independente. Isto significa que a sua organização:
- não pode dar instruções ao encarregado de proteção de dados sobre o desempenho das suas funções;
- não pode penalizar ou demitir o encarregado de proteção de dados pelo desempenho das suas funções.
Mais informações:
O que posso fazer no caso de o subcontratante não pretender assinar um contrato de responsável pelo tratamento/subcontratante?
Um contrato válido entre o responsável pelo tratamento e o subcontratante é obrigatório ao abrigo do RGPD. Uma infração pode ser objeto de uma coima até 10 milhões de euros ou até 2 % do volume de negócios anual total de uma empresa, consoante o que for mais elevado.
Para ajudar a orientá-lo na criação de um acordo entre o responsável pelo tratamento e o subcontratante, as autoridades dinamarquesas e eslovenas de proteção de dados, bem como a Comissão Europeia, desenvolveram modelos de acordos.
Mais informações:
O que são cookies?
Os cookies são pequenos ficheiros armazenados num dispositivo, como um computador, um dispositivo móvel ou qualquer outro dispositivo que possa armazenar informações. Os cookies servem uma série de funções importantes, incluindo recordar os utilizadores e as suas interações anteriores com um website. Podem ser utilizados para acompanhar os artigos de um carrinho de compras em linha ou para acompanhar as informações quando os detalhes são inseridos num formulário de candidatura em linha.
Os cookies de autenticação também são importantes para identificar os utilizadores quando iniciam sessão em serviços bancários e noutros serviços online. As informações armazenadas nos cookies podem incluir dados pessoais, como um endereço IP, um nome de utilizador, um identificador único ou um endereço de correio eletrónico.
Quanto tempo tenho para responder a um pedido de acesso?
Deve responder sem demora injustificada e, o mais tardar, no prazo de um mês a contar da receção do pedido. Este prazo pode ser prorrogado por mais dois meses se o pedido for demasiado complexo e for necessário mais tempo para responder, desde que a pessoa seja informada desse facto no prazo de um mês a contar da receção do pedido.
Deve fazê-lo gratuitamente.
Mais informações:
Que informações devo comunicar/partilhar com indivíduos?
O RGPD confere às pessoas o controlo sobre o tratamento dos seus dados pessoais. Para isso, a transparência é fundamental. Isto significa que tem de informar as pessoas cujos dados trata sobre as suas operações de tratamento e as finalidades. Por outras palavras, é preciso explicar quem trata os seus dados, mas também como e porquê. Apenas se a utilização de dados pessoais for «transparente» para as pessoas envolvidas, é que é possível avaliar possíveis riscos e tomar decisões sobre os seus dados pessoais.
Nos termos do RGPD, é obrigado a partilhar as seguintes informações com os indivíduos:
- a identidade e os dados de contacto do responsável pelo tratamento;
- as finalidades do tratamento;
- a base legal do tratamento (se houver interesse legítimo, informações específicas sobre os interesses legítimos relacionados com o tratamento específico e sobre a entidade que prossegue cada interesse legítimo).
- os dados de contacto do responsável pelo tratamento;
- os dados de contacto do EPD (caso exista um EPD);
- os destinatários ou categorias de destinatários dos dados;
- Informações sobre se os dados serão transferidos para fora do Espaço Económico Europeu (EEE) (se aplicável: existência ou não de uma decisão de adequação ou referência às garantias adequadas e à forma como essas informações podem ser disponibilizadas aos titulares dos dados);
- as categorias de dados pessoais tratados, quando os dados não são obtidos do indivíduo.
Além disso, o RGPD exige que a sua organização forneça as seguintes informações para garantir um tratamento leal e transparente:
- o período de conservação ou, se tal não for possível, os critérios utilizados para determinar esse período;
- o direito de solicitar o acesso, o apagamento, a retificação, a limitação, a oposição e a portabilidade dos dados pessoais;
- o direito de apresentar uma reclamação a uma autoridade de proteção de dados;
- se a base legal do tratamento for o consentimento: o direito de retirar o consentimento a qualquer momento;
- no caso de tomada de decisões automatizadas, informações pertinentes sobre a lógica subjacente e as consequências previstas do tratamento para o titular dos dados;
- a origem dos dados pessoais (se não os tiver recebido diretamente da pessoa em causa;
- se o indivíduo é obrigado a fornecer os dados pessoais (por lei ou por contrato ou para celebrar um contrato) e quais são as consequências da recusa de fornecer os dados.
Mais informações:
Quem pode desempenhar o papel de encarregado da proteção de dados (EPD)?
O EPD pode ser um trabalhador existente com conhecimento suficiente do RGPD (se as tarefas profissionais do trabalhador forem compatíveis com as do EPD e tal não conduzir a conflitos de interesses) ou uma pessoa externa. O encarregado de proteção de dados deve poder desempenhar as suas funções de forma independente e comunicar diretamente ao mais alto nível da direção.
Mais informações:
Se quiser conservar os CV dos candidatos para futuros procedimentos de recrutamento, tenho de pedir o consentimento dos candidatos?
Com efeito, o consentimento pode constituir uma base jurídica válida para o armazenamento dos CV dos candidatos a emprego. Outra possível base legal poderia ser o interesse legítimo. Nesse caso, terá de realizar um teste de ponderação para provar que os interesses legítimos da sua organização são superiores aos direitos dos candidatos.
De qualquer forma, terá de informar os candidatos de que tenciona armazenar os seus dados e para que finalidades.
Mais informações:
Só posso tratar dados pessoais se tiver o consentimento do indivíduo?
O tratamento de dados pessoais é permitido se existir uma base legal para o efeito. Além do consentimento livre, específico, informado e inequívoco, podem ser utilizadas outras bases legais para o tratamento.
Por outras palavras, o consentimento é necessário quando nenhuma dos outros fundamentos de legitimidade se aplica.
Mais informações:
What should I do when someone asks how I process their data?
As pessoas singulares podem perguntar-lhe se está a tratar os seus dados e, se for caso disso, tem o direito de aceder a esses dados. Assim, quando tal acontecer e se processar os seus dados, deverá, por exemplo, fornecer gratuitamente uma cópia dos seus dados pessoais, juntamente com quaisquer informações adicionais necessárias. Se um pedido for apresentado por via eletrónica, a sua organização deve fornecer as informações necessárias num formato eletrónico comummente utilizado, salvo pedido em contrário.
Mais informações: