Escolar Documentos
Profissional Documentos
Cultura Documentos
Índice
a alocação do processador e
funções de controlador não foram
Não
2
Não
3
Você é um processador
Você é um
Você e B estão juntos Você é conjunto B é o controlador para
controladores. controlador, B é o seu
controlador com B para seus próprios meios e
processador.
o conjunto propósitos, mas
determinadas partes do processador para o seu.
A
+ processamento
B Operação. A
AB A B
Nota: O objetivo deste fluxograma é esclarecer a qualificação inicial como responsável pelo tratamento ou subcontratante, em vez de definir o que acontece quando um
subcontratante excede o seu mandato/função ao envolver-se na determinação dos meios essenciais de tratamento.
3
Machine Translated by Google
Lista de verificação 1:
•a operação de tratamento deve ser lícita, leal e •os dados pessoais devem ser precisos
transparente (licitude, equidade, transparência); (precisão);
Ver o guia da AEPD, Responsabilidade no terreno, parte II, páginas 11-15, para questões orientadoras sobre estes princípios de
protecção de dados.
O responsável pelo tratamento é responsável pelo •tomar medidas de segurança adequadas para
cumprimento destes princípios e deverá ser capaz de proteger os dados pessoais;
•
demonstrar esse cumprimento (princípio da em caso de violação de dados pessoais, notificar
responsabilização). Para conseguir isto, na prática, os a AEPD, bem como, em determinadas
responsáveis pelo tratamento necessitam, em especial: circunstâncias, os titulares dos dados envolvidos;
•celebrar acordos/contratos com processadores
•documentar suas operações de processamento com (apenas aqueles que forneçam garantias suficientes);
registros; (Nota: a AEPD recomenda vivamente
que estes registos sejam mantidos num registo •celebrar acordos com outros controladores nos casos
central e acessível ao público); de controladoria conjunta;
•realizar uma avaliação de impacto na proteção de •transferir dados pessoais dentro da instituição, agência
dados (AIPD), antes de operações que representem ou organismo europeu (IUE), para outros IUE, para
um alto risco para os direitos e liberdades dos países fora da UE ou organizações internacionais
titulares dos dados; apenas quando as condições do Regulamento (UE)
•sob certas circunstâncias, consulte o 2018/1725 forem cumpridas;
AEPD antes de tais operações de tratamento de
alto risco; •cooperar com a AEPD.
•ao projetar operações de processamento, tenha em
mente os princípios de privacidade desde a Veja a responsabilidade da AEPD no terreno para
concepção e privacidade por padrão; orientação sobre registros, DPIAs, consulta prévia e muito
mais.
Por último, o responsável pelo tratamento deve fornecer informações claras e acessíveis aos titulares dos dados sobre o
tratamento, respeitar os direitos dos titulares dos dados e garantir a sua disponibilidade na prática.
4
Machine Translated by Google
O artigo 4.º do EUDPR enumera os princípios de proteção de dados. Os artigos adicionais deste regulamento
explicam-nos mais detalhadamente:
Justiça Artigo 4.º, n.º 1, artigos 17.º a 25.º 20, 26, 34, 35, 37-41
Transparência Artigos 4.º, n.º 1, alínea a), 14.º a 16.º, 25.º 20, 35, 36
Limitação de finalidade Artigos 4.º, n.º 1, alínea b), 6.º, 13.º e 38.º 25
Minimização de dados Artigos 4.º, n.º 1, alínea c), 12.º, 13.º, 37.º, 38.º 20
Segurança Artigos 4.º, n.º 1, alínea f), 33.º, 36.º, 37.º, 39.º 53, 54, 58
Crie uma descrição sistemática do processamento. Comece pelas informações que você já possui em sua
notificação ou registro e acrescente os seguintes pontos:
•descrição de suas interações com outros processos - esse processo depende de dados pessoais
alimentados por outros sistemas? Os dados pessoais deste processo são reutilizados noutros processos?
Utilize a documentação existente do processo ou de seu desenvolvimento para gerar esta documentação. Releia
esta documentação existente sob a perspectiva de “como isso afetará as pessoas cujos dados processamos?”
e adaptar e expandir quando necessário.
Analise o seu diagrama de fluxo de dados e, para cada etapa, pergunte-se como isso poderia afetar as pessoas
envolvidas no contexto dos princípios de proteção de dados.
A tabela abaixo mapeia as metas para algumas etapas genéricas de processamento, indicando as metas mais
relevantes para cada uma. Estes são os aspectos mínimos a verificar.
5
Machine Translated by Google
Coleção X X X X X X
Organização/estruturas Ó Ó X X X X
Recuperação/consulta/
usar X X X Ó X X
Edição/alteração E X Ó X Ó X
Divulgação/Transferência X X X X Ó X
Restrição R R X X X X
Armazenar X X X Ó X X
Apagamento/destruição X Ó X X
Ver as orientações sobre a responsabilização no terreno da AEPD , parte II, páginas 7, 9-11, para mapear os princípios
de proteção de dados em etapas genéricas de processamento.
6
Machine Translated by Google
Lista de verificação 2:
•processar dados pessoais apenas de acordo com as instruções documentadas do controlador, a menos que
obrigado a fazê-lo pela legislação da UE ou dos Estados-Membros;
•tratar dados pessoais conforme regido por contrato ou ato jurídico que vincule o processador e que
estabeleça os pré-requisitos necessários para a atividade de processamento;
• ajudar o responsável pelo tratamento na obrigação de garantir os direitos dos titulares dos dados e de
cumprir as obrigações do responsável pelo tratamento nos termos dos artigos 33 a 41 do EUDPR
(notificação de segurança e violação de dados, avaliação de impacto na proteção de dados e consulta
prévia, confidencialidade das comunicações eletrónicas, informação e consulta da AEPD);
7
Machine Translated by Google
Lista de verificação 3:
O que é necessário em um
acordo de processamento?
Os controladores podem fazer com que outra entidade processe dados pessoais em seu nome. O tratamento
subcontratado diz respeito, portanto, aos dados pessoais produzidos e tratados pelo contrato e não aos dados do
contratante ou do seu pessoal.
O processamento por um processador requer um contrato ou outro ato jurídico ao abrigo da legislação da UE ou
do Estado-Membro, que é vinculativo para o processador e estabelece:
•período de retenção;
•localização e acesso aos dados (com base na avaliação preliminar de risco pode ser limitado
ou não para o EEE);
•destinatários de dados e transferências de dados (dentro do EUI, para outros EUIs, para países terceiros ou
organizações internacionais);
•quaisquer leis adicionais de proteção de dados (por exemplo, Diretiva de Privacidade Eletrônica, Diretiva NIS) – se aplicável;
•o processador só pode agir de acordo com instruções documentadas do controlador, a menos que seja obrigado a
fazê-lo pela legislação da UE ou do Estado-Membro (instruções também sobre transferências de dados
pessoais e assistência ao controlador);
•subcontratação somente com autorização prévia por escrito do controlador, informações oportunas antes de
quaisquer alterações;
•medidas de confidencialidade, acesso apenas com base na necessidade de conhecimento a pessoas autorizadas;
8
Machine Translated by Google
•cooperação, mediante pedido, com a AEPD no desempenho das suas tarefas (incluindo
auditoria/investigação da AEPD aos subcontratantes e subcontratantes);
•divisão de tarefas entre controladores conjuntos – se aplicável – para que o processador saiba como ajudar qual
controlador conjunto;
•assistência nas obrigações do responsável pelo tratamento (notificação de segurança e violação de dados, avaliação
de impacto na proteção de dados e consulta prévia, confidencialidade das comunicações eletrónicas, informação e
consulta da AEPD) e registo do tratamento em nome do responsável pelo tratamento;
• escolha pelo controlador para que o processador retorne ou exclua os dados no final do
em processamento;
•obrigação de informar o responsável pelo tratamento se as suas instruções violarem o Regulamento (UE) 2018/1725
ou outras disposições de proteção de dados da UE ou dos Estados-Membros;
•outras disposições aplicáveis que afetam a proteção de dados, por exemplo, escolha da lei e jurisdição aplicáveis
(Estado-Membro da sede do IUE), alterações (apenas bilaterais), etc.
O contrato ou outro ato jurídico pode basear-se, no todo ou em parte, em cláusulas contratuais-tipo para transformadores
adotadas pela AEPD ou pela CE.
9
Machine Translated by Google
•Pense no que você precisa fazer para atender às •O que exatamente queremos fazer e por quê?
necessidades do seu negócio e limite-se a isso.
•Por que temos permissão para fazer isso?
10
Machine Translated by Google
(Precisão)
norteadoras
Por que informar as pessoas sobre o
•Como você contará às pessoas sobre seu processamento?
processamento de dados?
11
Machine Translated by Google
•Os dados têm qualidade suficiente para o efeito? afetadas se agirem com base em informações
imprecisas neste processo?
•Os dados que você coleta medem o que você pretende •Como você garante que os dados que você
•Existem itens de dados que você poderia remover sem •Como você garante que os dados obtidos de terceiros
12
Machine Translated by Google
Sim
!
2
Observe que um art. 47 A decisão de
Para essas transferências, você verificou adequação do DPR da UE antes
qual das transferências de dados disponíveis Não do Brexit é improvável.
mecanismos que melhor se adaptam à sua situação?
Códigos de conduta Ou
Não é viável antes e mecanismos de
para o Brexit. certificação
Ou
Se nenhuma das opções acima: Art. 50 O DPR da UE permite derrogações para situações específicas, mas apenas para transferências ocasionais e apenas
por motivos exaustivos. Este artigo deve ser usado de forma restritiva.
3
4 5
Atualizar a documentação
Sua instituição é
Implementar o mecanismo de Atualizar o aviso de
transferência de dados interna proteção de dados adequadamente preparado.
* Regras corporativas vinculativas e cláusulas contratuais padrão (adotadas pela CE) sob a antiga Diretiva 95/46 ainda são válidas, mas precisarão ser atualizadas ao longo do
tempo, de acordo com o GDPR. Em qualquer caso, antes de utilizar antigas cláusulas contratuais padrão da CE, certifique-se de adaptá-las ao Regulamento (UE) 2018/1725 [EUDPR].
13
Machine Translated by Google
• ordenar ao controlador e ao processador que forneçam todas as informações necessárias para o desempenho
de suas tarefas;
• notificar o responsável pelo tratamento ou o subcontratante de uma alegada violação do presente Regulamento;
• obter acesso a quaisquer instalações do responsável pelo tratamento e do subcontratante, incluindo quaisquer
equipamentos e meios de processamento de dados, em conformidade com o direito da União.
• ordenar ao responsável pelo tratamento que comunique uma violação de dados pessoais ao titular dos dados;
• ordenar a retificação ou eliminação de dados pessoais ou restrição de processamento nos termos dos artigos
18, 19 e 20 e a notificação de tais ações aos destinatários
a quem os dados pessoais foram divulgados nos termos do artigo 19.º, n.º 2, e do artigo 21.º;
14
Machine Translated by Google
• impor uma multa administrativa nos termos do artigo 66.º em caso de incumprimento por um IUE de
uma das medidas referidas nas alíneas (d) a (h) e (j) deste número, dependendo das circunstâncias de
cada caso individual;
• ordenar a suspensão dos fluxos de dados para um destinatário num Estado-Membro, num país fora da
UE ou para uma organização internacional.
• emitir, por iniciativa própria ou a pedido, pareceres aos IUE e ao público sobre qualquer questão
relacionada com a proteção de dados pessoais;
• adotar cláusulas-tipo de proteção de dados referidas no artigo 29.º, n.º 8, e no artigo 48.º, n.º 2, alínea
c);
• autorizar operações de processamento nos termos de atos de execução adotados nos termos
Artigo 40.º, n.º 4.
4. A Autoridade Europeia para a Protecção de Dados tem competência para submeter a questão ao
Tribunal de Justiça nas condições previstas nos Tratados e para
intervir nos recursos interpostos no Tribunal de Justiça.
5. O exercício dos poderes conferidos à Autoridade Europeia para a Proteção de Dados nos termos
do presente artigo está sujeito a garantias adequadas, incluindo
recursos judiciais eficazes e um processo equitativo, previstos no direito da UE.
15
Machine Translated by Google
16
Machine Translated by Google
EUDPR - Infrações
está explicitamente prevista no art. 66(2) do EUDPR Art. 8 - Condições aplicáveis explicitamente prevista no art. 66(3) do EUDPR
ao consentimento da criança
em relação aos serviços da sociedade da informação Art. 12 - Tratamento que não Arte. 4 - Princípios relativos ao tratamento de dados pessoais
exige identificação
Arte. 27 - Proteção de dados desde a conceção e por defeito Arte. 7 – Condições para consentimento
Arte. 29 – Processador Arte. 14 - Informação, comunicação e modalidades transparentes para o exercício dos
direitos do titular dos dados Art. 15 - Informações a serem
Arte. 30 - Tratamento sob autoridade do controlador ou processador Art. 31 - fornecidas quando forem coletados dados pessoais do titular dos dados Art. 16 - Informações
Registros de a serem fornecidas quando
atividades de processamento os dados pessoais não tiverem sido obtidos do titular dos dados Art. 17 – Direito de acesso do
titular dos dados
Arte. 34 - Notificação de violação de dados pessoais à Autoridade Europeia para a Arte. 19 - Direito ao apagamento ('direito ao esquecimento')
Proteção de Dados Art. 35 -
Comunicação de violação de dados pessoais ao titular dos dados Arte. 20 - Direito à restrição do tratamento
Arte. 39 - Avaliação de impacto na proteção de dados Arte. 21 - Obrigação de notificação sobre retificação ou apagamento de dados pessoais
ou restrição de tratamento Art. 22 -
Direito à
Arte. 40 - Consulta prévia portabilidade dos dados
Arte. 44 - Cargo do responsável pela proteção de dados Arte. 24 - Tomada de decisão individual automatizada, incluindo criação de perfis
Arte. 45 - Tarefas do responsável pela proteção de dados Arte. 46 - Princípio geral para transferências
As infrações para as quais a multa não esteja explicitamente prevista no art. As infrações para as quais a multa não esteja explicitamente prevista no art. 66(2)
66(2) ou (3), mas pode ser sancionado de acordo com o Art. 66 (1) como ou (3), mas pode ser sancionado de acordo com o Art. 66 (1) como descumprimento
descumprimento da ordem do art. 58(2)(e) do EUDPR da ordem do art. 58(2)(e) do EUDPR
Rec (49) EUDPR em conexão com o Art. 42 GDPR - Certificação de EUI Arte. 6 – Processamento para outra finalidade compatível
Arte. 26 - Responsabilidade do controlador Recomendação (21) em conexão com o art. 5 - Transmissão de dados pessoais dentro da
mesma instituição ou órgão
da União e o destinatário não faça parte do responsável pelo tratamento, ou para outras
instituições ou órgãos da União
Arte. 37 - Proteção de informações transmitidas, armazenadas, relacionadas, processadas Arte. 9 - Transmissões de dados pessoais a destinatários estabelecidos na UE que não sejam
e coletadas de equipamentos terminais de usuários Art. 38 - Diretórios de usuários instituições e órgãos da União
17
Machine Translated by Google
Machine Translated by Google
www.edps.europa.eu
@EU_EDPS
AEPD