O que é um responsável pelo tratamento?
O responsável pelo tratamento determina as finalidades e os meios de tratamento dos dados pessoais. Por outras palavras, o responsável pelo tratamento de dados decide como e porquê se realiza uma operação de tratamento de dados. Um responsável pelo tratamento de dados pode ser uma pessoa coletiva, como por exemplo, uma empresa ou uma PME, uma autoridade pública, uma agência ou outro organismo.
Em certos casos, as finalidades e os meios de tratamento de dados pessoais, bem como o responsável pelo tratamento, podem ser determinados pela legislação da UE ou dos Estados-Membros.
O que é um responsável conjunto?
Quando dois ou mais responsáveis pelo tratamento de dados determinam conjuntamente a finalidade e os meios de tratamento, são considerados responsáveis conjuntos pelo tratamento. Decidem em conjunto tratar dados pessoais para uma finalidade conjunta. A corresponsabilidade pelo tratamento pode assumir muitas formas e a participação dos diferentes responsáveis pelo tratamento pode ser desigual. Os responsáveis conjuntos pelo tratamento devem, por conseguinte, determinar as respetivas responsabilidades pelo cumprimento do RGPD.
Quais são as responsabilidades de um responsável pelo tratamento ou de um responsável conjunto pelo tratamento?
Ao decidir as finalidades e os meios de tratamento dos dados pessoais, o responsável pelo tratamento ou os responsáveis conjuntos pelo tratamento devem assegurar a proteção dos dados pessoais das pessoas singulares.
Para o efeito, o responsável pelo tratamento, ou os responsáveis conjuntos pelo tratamento, tem de adotar medidas para proteger os dados pessoais e permitir que as pessoas exerçam os seus direitos.
Para obter mais informações, consulte a «lista de verificação das responsabilidades do Responsável/Responsável Conjunto».
O que é um subcontratate?
Um subcontratante atua apenas sob as instruções do responsável pelo tratamento, procedendo ao tratamento de dados pessoais por conta do responsável pelo tratamento.
À semelhança de um responsável pelo tratamento de dados ou de um responsável conjunto pelo tratamento, um subcontratante pode ser uma pessoa coletiva, por exemplo, uma empresa, uma PME, ou uma autoridade pública, uma agência ou outros organismos.
O que é um subcontratante ulterior?
Um subcontratante ulterior atua de acordo com as instruções do subcontratante, o que significa que pode tratar os dados pessoais das pessoas em nome do subcontratante. Um subcontratante ulterior pode ser uma pessoa coletiva, por exemplo, uma empresa, uma PME, ou uma autoridade pública, uma agência ou outro organismo.
Note-se que um subcontratante ulterior só pode ser nomeado se o responsável pelo tratamento, ou o responsável conjunto pelo tratamento, der a sua autorização por escrito. Se for esse o caso, o subcontratante deve elaborar um contrato vinculativo com o subcontratante ulterior, especificando as responsabilidades do subcontratante ulterior. Este contrato subcontratante-subcontratante ulterior deve prever a mesma proteção dos dados pessoais das pessoas singulares que o contrato inicial responsável-subcontratante.
Quais são as responsabilidades de um subcontratante?
Embora a responsabilidade global recaia geralmente sobre o responsável pelo tratamento, os subcontratantes também têm determinadas responsabilidades ao abrigo do RGPD. Os subcontratantes devem efetuar as operações de tratamento com as medidas técnicas e organizativas adequadas mediante instruções do responsável pelo tratamento ou pelo responsável conjunto pelo tratamento. Ao fazê-lo, o subcontratante apoia o responsável pelo tratamento no cumprimento do Regulamento Geral de Proteção de Dados.
A relação responsável pelo tratamento/subcontratante, incluindo as responsabilidades do subcontratante, deve ser regida por um contrato em que as operações de tratamento e os meios de tratamento dos dados pessoais sejam documentados.
O que incluir num contrato entre responsável-subcontratante?
O contrato entre o responsável pelo tratamento ou o responsável conjunto pelo tratamento e o subcontratante deve estipular que o subcontratante:
- trata os dados pessoais apenas com base nas instruções do responsável pelo tratamento, nomeadamente no que diz respeito às transferências de dados pessoais para um país fora do EEE;
- assegura que as pessoas autorizadas a tratar os dados se comprometeram a respeitar a confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade adequada;
- garante a segurança do tratamento;
- não pode contratar outro subcontratante sem autorização prévia, específica ou geral, por escrito do responsável pelo tratamento de dados, que tem uma possibilidade efetiva de a tal se opor;
- presta assistência ao responsável pelo tratamento no cumprimento das suas obrigações de resposta aos pedidos dos indivíduos no exercício dos seus direitos;
- presta assistência ao responsável na segurança do tratamento, na notificação das violações de dados e na realização de AIPD;
- à escolha do responsável pelo tratamento, apaga ou devolve ao responsável, conforme a escolha deste último, todos os dados pessoais após o termo da prestação dos serviços;
- disponibiliza ao responsável pelo tratamento todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no RGPD;
- permite e contribui para auditorias, incluindo inspeções realizadas pelo responsável pelo tratamento ou por outro auditor mandatado pelo responsável pelo tratamento de dados.
O que incluir num contrato entre subcontratante e — subcontratante ulterior?
O contrato entre o subcontratante e o subcontratante ulterior deve incluir cláusulas específicas que garantam que os dados pessoais a tratar serão protegidos da mesma forma que o previsto no contrato com o responsável pelo tratamento.
Quem é responsável perante quem?
Um responsável pelo tratamento, ou responsável conjunto pelo tratamento, é responsável tanto pela sua própria conformidade com o RGPD como pela conformidade do subcontratante escolhido. Em termos concretos, se o subcontratante violar as suas obrigações nos termos do RGPD, o responsável pelo tratamento, ou responsável conjunto pelo tratamento, poderá ser responsabilizado e sujeito a coimas e outras consequências, se aplicável.
Um subcontratante é responsável pela sua própria conformidade com o RGPD e pode ser responsável perante o responsável pelo tratamento pela violação do contrato responsável-subcontratante. Um subcontratante também pode ser responsável perante o responsável pelo tratamento pelas violações causadas pelo subcontratante ulterior.
Lista de verificação das responsabilidades
Lista de verificação das responsabilidades do responsável pelo tratamento ou do responsável conjunto
- Cumprimento dos princípios de proteção de dados nos termos do artigo 5.º do RGPD
- Defesa dos direitos das pessoas em matéria de proteção de dados
- Conservação de registos das atividades de tratamento
- Garantir a segurança do tratamento
- Escolher um subcontratante adequado
- Descrever com pormenor num contrato vinculativo a relação responsável pelo tratamento/subcontratante
- Notificar as violações de dados pessoais à autoridade competente para a proteção de dados do EEE e às pessoas singulares, se for caso disso
- Responsabilizar-se pelas operações de tratamento, aplicar a proteção de dados desde a conceção e por defeito, realizar avaliações de impacto sobre a proteção de dados quando necessário
- Nomear um encarregado de proteção de dados, quando necessário
- Cumprir as obrigações em matéria de proteção de dados quanto a transferências internacionais de dados pessoais
- Cooperar com as autoridades de proteção de dados
Lista de verificação das responsabilidades do subcontratante
- Seguir as instruções do responsável
- Manter os registos de atividades de tratamento
- Garantir a segurança do tratamento
- Respeitar e cumprir o contrato vinculativo entre o responsável pelo tratamento e o subcontratante
- Obter a autorização do responsável pelo tratamento antes de contratar um novo subcontratante ulterior (e dar ao responsável pelo tratamento a possibilidade de se opor). Se for caso disso, ter um contrato entre subcontratante e subcontratantes ulteriores, equiparado ao contrato inicial responsável-subcontratante.
- Notificar as violações de dados pessoais ao responsável pelo tratamento de dados
- Notificar as violações do RGPD ao responsável pelo tratamento
- Responsabilizar-se pelas operações de tratamento: por exemplo, aplicando a proteção de dados desde a conceção e por defeito
- Nomear um encarregado de proteção de dados, quando necessário
- Assegurar que as transferências internacionais são autorizadas pelo responsável pelo tratamento e cumprem o RGPD
- Cooperar com as autoridades de proteção de dados