Perguntas frequentes
Estou a organizar um evento no âmbito das minhas atividades empresariais, posso fazer fotografias e vídeos do evento e das pessoas que participam?
Sim, mas para tal, terá de determinar, em primeiro lugar, a base legal para o tratamento deste tipo de dados pessoais. Por exemplo, o tratamento pode ser considerado um interesse legítimo para a sua organização. Ao tratar dados pessoais com base no interesse legítimo, é sempre necessário realizar um teste de ponderação para determinar se os seus interesses legítimos prevalecem sobre os direitos das pessoas, especialmente se as crianças estiverem envolvidas.
Outra possível base legal para esse tratamento poderia ser o consentimento. De qualquer forma, as pessoas devem ser sempre informadas com antecedência de que o evento está a ser fotografado ou filmado.
Mais informações:
O Encarregado de Proteção de Dados (EPD) é responsável pelo cumprimento do RGPD?
O EPD não pode ser responsabilizado pelo incumprimento do RGPD. A conformidade com o RGPD é da responsabilidade da organização que nomeou o EPD.
Mais informações:
O que deve ser incluído num contrato entre responsável pelo tratamento/subcontratante?
O contrato entre o responsável pelo tratamento e o subcontratante deve estipular que o subcontratante:
- trata os dados pessoais apenas com base nas instruções do responsável pelo tratamento, nomeadamente no que diz respeito às transferências de dados pessoais para um país fora do EEE;
- assegura que as pessoas autorizadas a tratar os dados se comprometeram a respeitar a confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade adequada;
- garante a segurança do tratamento;
- não pode contratar outro subcontratante sem autorização prévia, específica ou geral, por escrito do responsável pelo tratamento de dados;
- presta assistência ao responsável pelo tratamento no cumprimento das suas obrigações de resposta aos pedidos individuais de exercício dos seus direitos;
- presta assistência ao responsável pelo tratamento dos dados na proteção do tratamento, na notificação das violações de dados e na realização de AIPD;
- à escolha do responsável pelo tratamento, apaga ou devolve todos os dados pessoais ao responsável pelo tratamento após o termo da prestação dos serviços;
- disponibiliza ao responsável pelo tratamento de dados todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no RGPD;
- permite e contribui para auditorias, incluindo inspeções realizadas pelo responsável pelo tratamento de dados ou por outro auditor mandatado pelo responsável pelo tratamento de dados.
Além disso, o subcontratante deve informar imediatamente o responsável pelo tratamento se, na sua opinião, as instruções infringirem o RGPD ou outras disposições da UE ou nacionais em matéria de proteção de dados.
Mais informações:
O que posso fazer no caso de o subcontratante não pretender assinar um contrato de responsável pelo tratamento/subcontratante?
Um contrato válido entre o responsável pelo tratamento e o subcontratante é obrigatório ao abrigo do RGPD. Uma infração pode ser objeto de uma coima até 10 milhões de euros ou até 2 % do volume de negócios anual total de uma empresa, consoante o que for mais elevado.
Para ajudar a orientá-lo na criação de um acordo entre o responsável pelo tratamento e o subcontratante, as autoridades dinamarquesas e eslovenas de proteção de dados, bem como a Comissão Europeia, desenvolveram modelos de acordos.
Mais informações:
O que são cookies?
Os cookies são pequenos ficheiros armazenados num dispositivo, como um computador, um dispositivo móvel ou qualquer outro dispositivo que possa armazenar informações. Os cookies servem uma série de funções importantes, incluindo recordar os utilizadores e as suas interações anteriores com um website. Podem ser utilizados para acompanhar os artigos de um carrinho de compras em linha ou para acompanhar as informações quando os detalhes são inseridos num formulário de candidatura em linha.
Os cookies de autenticação também são importantes para identificar os utilizadores quando iniciam sessão em serviços bancários e noutros serviços online. As informações armazenadas nos cookies podem incluir dados pessoais, como um endereço IP, um nome de utilizador, um identificador único ou um endereço de correio eletrónico.
O que significa o tratamento de dados pessoais?
O tratamento de dados pessoais refere-se a qualquer tipo de atividade (operação de tratamento) realizada sobre ou com dados pessoais das pessoas singulares. Tal inclui a recolha, o registo, a organização, a estruturação, o armazenamento, a adaptação ou alteração, a recuperação, a consulta, o inquérito, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, o alinhamento ou a combinação, a limitação, o apagamento ou a destruição de dados pessoais.
O RGPD também se aplica aos registos em papel?
Sim, o RGPD aplica-se aos dados pessoais se estes estiverem contidos ou se destinarem a integrar um ficheiro. Isto significa que o RGPD também se aplica aos registos em papel e não apenas ao tratamento automatizado de dados pessoais.
Mais informações:
Os subcontratantes também têm de respeitar o RGPD?
Sim, os subcontratantes (ou seja, indivíduos ou organismos que tratam dados em nome de um responsável pelo tratamento de dados) têm obrigações ao abrigo do RGPD. Existem, no entanto, algumas diferenças entre as responsabilidades dos responsáveis pelo tratamento de dados e dos subcontratantes.
Os subcontratantes têm de cumprir as responsabilidades estabelecidas no contrato entre o responsável pelo tratamento e o subcontratante, que especifica as operações de tratamento e os meios de tratamento de dados pessoais. Por exemplo, o subcontratante terá de efetuar as operações de tratamento com as medidas técnicas e organizativas adequadas, de acordo com as instruções do responsável pelo tratamento. Ao fazê-lo, o subcontratante auxilia o responsável pelo tratamento no cumprimento do RGPD.
Mais informações:
Posso transferir dados pessoais para fora do Espaço Económico Europeu (EEE)?
Nos termos do RGPD, existem, em princípio, duas formas principais de transferir dados pessoais para um país não pertencente ao EEE ou para uma organização internacional. As transferências podem ser efetuadas com base numa decisão de adequação ou, na falta de tal decisão, com base em garantias adequadas, incluindo direitos oponíveis e vias de recurso para as pessoas singulares.
Mais informações:
Preciso de ser certificado para me tornar um Encarregado de Proteção de Dados (EPD)?
Não, não é necessário ser certificado para se tornar um EPD.
Os EPD devem, no entanto, ser capazes de demonstrar que possuem as qualificações necessárias exigidas pelo RGPD, tais como conhecimentos especializados em matéria de legislação e práticas em matéria de proteção de dados.
Mais informações: