Auditoria Regulamento Geral de proteção de dados

I. ESTRUTURA E RESPONSABILIDADE NA ORGANIZAÇÃO

1. Existe consciencialização e sensibilização da organização para o facto da Proteção de dados (PD) ser
C NC N.A.
da responsabilidade da administração pela:
Existência da política e procedimentos relativos à PD

Descrição dos objetivos da política de PD

Definição de responsabilidades

Consciencialização e conhecimento dos riscos associados à PD

Transparência do conflito de objetivos

Observações:

2. A organização tem nomeado um Encarregado de Proteção de Dados (EPD) (interno ou externo) C NC N.A.
Se sim, está definido formalmente em que situações deve ser envolvido? (i.e. existe uma definição da
posição, função e responsabilidades do(a) EPD de acordo com o RGPD)
Se sim, a Organização já publicou ou definiu a publicação dos contactos do EPD e comunicou-os à
autoridade de controlo?
Se não, porquê?

Observações:

II. Visão geral das atividades de registo e tratamento de dados

3. a organização mantém o registo de atividades de tratamento conforme art. 30? C NC N.A.
Se sim, existe documentação e evidências de atualização de registo?
Como é assegurado que os aspetos de proteção de dados são ponderados na organização na conceção
ou na modificação de cada atividade de processamento
Se não, porquê?

Observações:

III. Envolvimento a terceiros

4. existe envolvimento de terceiros (Subcontratadas) na execução das atividades de registo ou
C NC N.A.
tratamento de dados?
Se sim, existe registo e controlo de subcontratantes?

Se sim, está realizada ou planeada a revisão dos contratos para inclusão dos conteúdos conforma art.
28(3) com todos os subcontratantes?
 Auditoria Regulamento Geral de proteção de dados

III. Envolvimento a terceiros

Observações:

IV. TRANSPARENCIA COMUNICAÇÃO E REGRAS PARA O EXERCICIO DOS DIREITOS DOS TITULARES DEA DADOS
5. Esta realizada a revisão da informação relativa à proteção de dados nas atividades de recolha e
C NC N.A.
registo de dados pessoais conforme art. 13 e 14?
Sim?

Se não porquê?

Observações:

6. Está realizada e revista a inclusão da informação obrigatório na comunicação com os titulares de

C NC N.A.
dados nomeadamente:
A identidade e os contactos do responsável pelo tratamento (Organização)

Os contactos do encarregado da proteção de dados, se for caso disso

As finalidades do tratamento a que os dados pessoais se destinam bem como o fundamento jurídico para
o tratamento
Se o tratamento for necessário para o efeito dos interesses legítimos prosseguidos pela Organização,
identificação dos interesses legítimos do responsável pelo tratamento ou de um terceiro
Se existe transferências de dados, os destinatários ou categorias de destinatários dos dados pessoais

Se existir transferência de dados pessoais para um país terceiro ou uma organização internacional,
indicação da existência ou não de uma decisão adequada adotada pela, comissão europeia.
SE existe transferências sujeitas a garantias adequadas (art.46) ou entre grupo de empresas (art.47),a
referencia às garantias apropriadas ou adequadas e aos meios de obter copias das mesmas
Prazo de conservação dos dados pessoais ou, se não for possível, os critérios usados para definir esse
prazo.
A existência dos direitos do titular dos dados a solicitar junto da organização acesso aos seus dados
pessoa, a sua retificação , o seu apagamento, a limitação do tratamento n, do direito de se opor ao
tratamento, bem como do direito à portabilidade de dados.
Se o tratamento de dados se basear no consentimento, a existência do direito de se retirar
consentimento em qualquer altura
O direito de apresentar reclamação a uma autoridade de controlo

Se a comunicação de dados constitui uma obrigação legal ou contratual, ou um requisito necessário para
celebrar num contrato bem como se o titular está obrigado a fornecer dados pessoais a e eventuais
consequências de não fornecer esses dados
 Auditoria Regulamento Geral de proteção de dados

IV. TRANSPARENCIA COMUNICAÇÃO E REGRAS PARA O EXERCICIO DOS DIREITOS DOS TITULARES DEA DADOS
Se relevante, a existência de decisões automatizadas, incluindo a definição de perfis, referida no art. 22
(1) e (4), e, pelo menos nesses casos, informações úteis relativas à lógica subjacente, bem como a
importância e as consequências previstas de tal tratamento para o titular de dados.

Se os dados não são recolhidos junto do titular, a origem dos da pessoais e, eventualmente, se provem
de fontes acessíveis ao público,

Observações:

7. Está realizada e revista o processo de obtenção de consentimento junto de clientes e prospetos ou

outros conforme os requisitos do art. 7 (Condições aplicáveis ao consentimento) e art.13 C NC N.A.
(Informações a facultar quando os dados pessoais são recolhidos junto de um titular)
Sim?

Se não porquê?

Observações:

8. Existe um procedimento para gerir e responder, cumprindo os requisitos do regulamento no art. 12

ao pedido de acesso a os dados pessoais pelo titular dos dados conforme art. 15 (Direito de acesso ao C NC N.A.
titular dos dados)
Sim?

Se não porquê?

Observações:

V. Responsabilidade (Accountability) e Gestão de riscos

11. Existe registo de informação relativo a cada atividade de processamento que suporte a
legitimidade do tratamento; finalidades; categorias de dados, transferências para terceiros e períodos C NC N.A.
de retenção, conforme art 5 (2)?
Sim?
 Auditoria Regulamento Geral de proteção de dados

V. Responsabilidade (Accountability) e Gestão de riscos

Se não porquê?

Observações:
‍
12. Esta avaliada a necessidade de realizar a Avaliação de impacto paara proteção de dados (DPIA),
C NC N.A.
confor e art. 35
Esta estabelecida a metodologia e processo de organização para determinar se e quando deve ser
realizada a Avaliação de impacto?
Está estabelecida a metodologia de risco adequada na Organização para a realização da Avaliação de
impacto sobre a proteção de dados
Está estabelecido o processo para a Avaliação de impacto da proteção de dados ? Foi testado?

Observações:

VI. Violação de dados pessoais

16. Está assegurado o procedimento para a notificação de uma violação de dados pessoaos à
C NC N.A.
autoridade de controlo bo prazo de 72h, conforme art 33?
Sim?

Se não, porquê?

Observações:
17. Está assegurado que eventos de violação de dados pessoais podem ser identificados? C NC N.A.
Sim?

Se não, porquê?

Observações:

18. Estão estabelecidos os procedimentos para a gestão interna de potenciais violações de dados?.
Está estavelecido responsabilidades; quem, quando e como sºao notificados as violações à C NC N.A.
autoridade de Supervisão.
Sim?

Se não, porquê?

Observações: