Os primeiros passos para a preparação e cumprimento do RGPD são o conhecimento e compreensão do impacto, das obrigações da organização, a avaliação da atual situação, relativa a políticas e processos implementados e a identificação das iniciativas e medidas necessárias para a conformidade perante o RGPD.
Esta tabela suporta um exercício da avaliação inicial e não uma auditoria exaustiva a todos os processos requeridos no programa de preparação. Os responsáveis do tratamento e subcontratados tem diferentes obrigações, porém devem ter o conhecimento e compreensão dos requisitos de ambos, pois partilham a responsabilidade e devem assistir-se mutuamente no cumprimento do RGPD.
A Trust Your Data oferece os primeiros serviços de Audit Checklist para melhor compreensão do impacto e obrigações do RGPD na sua organização
Dados Pessoais
Título | Questões de avaliação | Responsável / Controller | Subcontratante/ Processor |
Dados Pessoais | Existe registo e tratamento de dados pessoais? Definição Dados pessoais – informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular (art.º 4)? | ✓ | ✓ |
Dados pessoais Sensíveis () | Existe registo e processamento de dados pessoais sensíveis? Categoria especiais de dados pessoais inclui a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa | ✓ | ✓ |
Dados pessoais de menores (< 16 anos) | Existe registo e processamento de dados pessoais de menores (artº 8)? Caso a criança tenha menos de 16 anos, o tratamento só é lícito se e na medida em que o consentimento seja dado ou autorizado pelos titulares das responsabilidades parentais da criança. | ✓ | ✓ |
Âmbito da aplicação do RGPD
Título | Questões | Responsável/ Controller | Subcontratante/ Processor |
Responsável UE | Pela definição do RGPD (art.º 3, 4), é um responsável pelo tratamento – “data controller”? | ✓ |
|
Subcontratante EU | Pela definição do RGPD (art.º 3, 4), é um subcontratado processando dados pessoais por conta do responsável pelo tratamento? |
| ✓ |
Estabelecimento principal | Tem sede do “estabelecimento principal” na EU (art.º 3 e 4)? | ✓ | ✓ |
Controller / Processor fora da EU | É um grupo / multinacional com sede fora da EU que regista e processa dados de titulares da EU? | ✓ | ✓ |
| Se Sim, tem designado por contrato escrito, um representante estabelecido em Estados membros da UE? | ✓ | ✓ |
| Is the EU representative mandated to be addressed (in addition to the controller / processor) by supervisory authorities and data subjects on processing issues? | ✓ | ✓ |
Responsáveis conjuntos pelo tratamento | Existe alguma relação de partilha de registo e tratamento de dados pessoais com outro responsável (art.º 26)? | ✓ |
|
Base legal para processamento
Título | Questões | Responsável/ Controller | Subcontratante/ Processor |
Base legal para processamento | Licitude do tratamento – Existe uma base legal lícita para o processamento de dados pessoais para cada operação de tratamento e processamento de dados (art.º 6)? | ✓ |
|
| Licitude do tratamento – Existe uma base legal lícita para o processamento de dados pessoais sensíveis para cada operação de tratamento e processamento de dados (art.º 6 e 9)? | ✓ |
|
Consentimento | Quando necessário, qual a forma(s) de recolha e registo do consentimento? | ✓ |
|
| Para efeito de responsabilidade, como pode ser demonstrado o consentimento (artº 7)? | ✓ |
|
| Pode o titular de dados retirar o consentimento de forma fácil? “O consentimento deve ser tão fácil de retirar quanto de dar” | ✓ |
|
Requisitos de transparência
Título | Questões | Responsável/ Controller | Subcontratante/ Processor |
Notificação ao titular de dados | O titular de dados é informado / notificado do respetivo registo e tratamento de dados de forma concisa, de fácil acesso e compreensão, bem como formulada numa linguagem clara e simples (art.º 12)? | ✓ |
|
Fonte e recolha de dados e prestação de informação | Quando os dados pessoais são recolhidos diretamente do titular, a informação da finalidade é devidamente prestada ao próprio (art.º 13)? | ✓ |
|
| Quando os dados pessoais não são recolhidos diretamente do titular, a informação da finalidade é devidamente prestada ao próprio (art.º 14)? | ✓ |
|
O responsável pelo tratamento facilita o exercício dos direitos do titular dos dados nos termos dos artigos 15 a 22? | ✓ |
Príncipios da proteção e responsabilidade “accountability”
Título | Questões | Responsável/ Controller | Subcontratante/ Processor |
Limitação das finalidades | Os dados pessoais são utilizados apenas para o fim “finalidade” para o qual foram inicialmente recolhidos (artº 5 e 18)? | ✓ |
|
Minimização dos dados | Os dados pessoais são os adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados (art.º 5)? | ✓ |
|
Exactidão – Accuracy | Os dados pessoais são exatos e atualizados sempre que necessário? Existe políticas implementadas para assegurar a exatidão e validade dos dados e quando incorrectos são rectificados ou apagados sem demora? | ✓ |
|
Limitação da conservação | Os dados são guardados e conservados apenas durante o período necessário para as finalidades para as quais são tratados (art.º 5)? Existem processos implementados para o arquivo e destruição de informação de dados pessoais? | ✓ |
|
Integridade e confidencialidade | Existe processos e medidas que garanta a segurança dos dados pessoais, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental (art.º 5)? | ✓ |
|
Responsabilidade – Accountability | Consegue demonstrar / comprovar o cumprimento dos princípios da proteção de dados do art.º 5? | ✓ |
|
Direitos dos titulares de dados pessoais
Título | Questões | Responsável/ Controller | Subcontratante/ Processor |
Acesso do titular dos dados | Existe um procedimento atualizado para tratar pedidos de acesso aos dados pessoais do respectivo titular (conforme art.º 15)? | ✓ |
|
| Existe um processo implementado para solicitação do acesso à informação registada sobre os mesmos? | ✓ |
|
| O responsável do tratamento está preparada para o mais tardar, no prazo de um mês a contar da data de receção do pedido responder ao pedido do titular? | ✓ |
|
Retificação e apagamento | A entidade responsável informa os titulares dos direitos de retificação e apagamento dos dados pessoais registados dos mesmos (quando aplicável pelo art.º 16)? | ✓ |
|
Retificação | O titular tem o direito de obter, sem demora injustificada, do responsável pelo tratamento a retificação dos dados pessoais inexatos que lhe digam respeito. Existe controlos e procedimentos definidos para permitir a retificação ou apagamento dos dados pessoais do titular (art.º 16 e 17)? | ✓ |
|
Limitação do tratamento | Existe procedimento definido para o titular dos dados obter a limitação do tratamento, se se aplicar as situações previstas art.º 18 (1)? | ✓ | |
Existe procedimento para a notificação da retificação ou apagamento dos dados pessoais ou limitação do tratamento aos destinatários do processamento (art.º 19)? | ✓ | ||
Portabilidade dos dados | Existe processo para transmitir os dados pessoais do titular e que tenha fornecido a um responsável pelo tratamento, num formato estruturado, de uso corrente e de leitura automática (art.º 20)? | ✓ |
|
Direito de oposição | São transmitidos aos titulares os direitos de oposição ao tratamento para certos tipos de processamento, ex. definição de perfil, comercialização direta (art. 21)? | ✓ |
|
| Existe um processo para assegurar a aplicação do direito de oposição pelo titular? | ✓ |
|
Decisões individuais automatizadas, perfis | Existe processamento de dados associados a decisões individuais automatizadas suportado pelo art. 22 (2)? Se sim, o tratamento de dados para definição de perfis é baseado em consentimento explícito do titular? | ✓ |
|
| A definição de perfis de titulares utiliza dados pessoais sensíveis (categorias especiais)? | ✓ |
|
| A definição de perfis de titulares utiliza dados pessoais de menores? | ✓ |
|
Segurança de dados
Título | Questões | Responsável/ Controller | Subcontratante/ Processor |
Medidas técnicas e organizativas de segurança | Existe uma avaliação formal contínua de risco associado a cada operação de processamento, e estão identificadas as medidas para mitigar esses riscos e assegurada as medidas de segurança do processamento (art.º 32)? | ✓ | ✓ |
| Existe uma política e programa de segurança que especifica as medidas técnicas, administrativas e físicas para assegurar um nível de segurança adequado ao risco? | ✓ | ✓ |
| Existe um processo documentado para a resolução de incidentes com segurança dos dados pessoais? | ✓ | ✓ |
| Existe processos e técnicas de pseudonimização e a cifragem dos dados pessoais? | ✓ | ✓ |
Encriptação e Confidencialid | Existe processos e tecnologia de encriptação para a transferência, armazenamento e recepção de dados pessoais e sensíveis? | ✓ | ✓ |
| A informação relativa a dados pessoais é “sistematicamente” destruída, apagada ou anonimizada quando legalmente não é necessário manter a informação ou a finalidade do processamento deixou de existir? | ✓ | ✓ |
Integridade e resiliência | A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento? | ||
Disponibilidade | Assegurada a capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico;(art.º 32)? | ✓ | ✓ |
Testes e Auditoria | Assegurado um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento? | ✓ | ✓ |
Segurança de dados
Título | Questões | Responsável/ Controller | Subcontratante/ Processor |
Medidas técnicas e organizativas de segurança | Existe uma avaliação formal contínua de risco associado a cada operação de processamento, e estão identificadas as medidas para mitigar esses riscos e assegurada as medidas de segurança do processamento (art.º 32)? | ✓ | ✓ |
| Existe uma política e programa de segurança que especifica as medidas técnicas, administrativas e físicas para assegurar um nível de segurança adequado ao risco? | ✓ | ✓ |
| Existe um processo documentado para a resolução de incidentes com segurança dos dados pessoais? | ✓ | ✓ |
| Existe processos e técnicas de pseudonimização e a cifragem dos dados pessoais? | ✓ | ✓ |
Encriptação e Confidencialid | Existe processos e tecnologia de encriptação para a transferência, armazenamento e recepção de dados pessoais e sensíveis? | ✓ | ✓ |
| A informação relativa a dados pessoais é “sistematicamente” destruída, apagada ou anonimizada quando legalmente não é necessário manter a informação ou a finalidade do processamento deixou de existir? | ✓ | ✓ |
Integridade e resiliência | A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento? | ||
Disponibilidade | Assegurada a capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico;(art.º 32)? | ✓ | ✓ |
Testes e Auditoria | Assegurado um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento? | ✓ | ✓ |
Perda de dados – Data breaches
Título | Questões | Responsável/ Controller | Subcontratante/ Processor |
Notificação de uma violação | Existe um processo de Notificação de uma violação de dados pessoais à autoridade de controlo, quando aplicável, no prazo estipulado de 72 Horas (art.º 33)? | ✓ | ✓ |
| Existe um plano e procedimentos de resposta a incidents de segurança e privacidade (art.º 33 (2)? Existe programa regular para a revisão e testes do plano e procedimentos? | ✓ | ✓ |
Comunicação ao titular dos dados | Existe um processo de Notificação de uma violação de dados pessoais aos titulares de dados, quando aplicável, no prazo estipulado (art.º 34)? | ✓ |
|
Existe procedimento para comunicação pública ou tomada uma medida semelhante através da qual os titulares dos dados são informados de forma igualmente eficaz? | |||
| Existe um plano e procedimentos relativos à necessidade da notificação, e que informação deve ser reportada junto da Autoridade Supervisão? E junto dos titulares de Dados? | ✓ |
|
| Existe um procedimento e formulário relativo à obrigação do subcontratante notificar o responsável pelo tratamento sem demora injustificada após ter conhecimento de uma violação de dados pessoais (art.º 33)? |
| ✓ |
| Está devidamente documentado os incidentes de violação de dados pessoais conforme art.º 33 (5)? | ✓ |
|
| Existem procedimentos de colaboração definidos contratualmente entre responsáveis de tratamento, subcontratados e outros parceiros para responder a incidentes de violação ou perda de dados? | ✓ | ✓ |
Transferências de dados pessoais para países terceiros ou organizações internacionais (EU e EEA)
Título | Questões | Responsável/ Controller | Subcontratante/ Processor |
Fluxos de dados internacional | Existe transferência internacional de dados pessoais fora da EU e Área Económica Europeia (Europe Economic Area – EEA) definido pelo capítulo V? Se Sim, está a assegurado que não é comprometido o nível de proteção das pessoas singulares garantido pelo presente regulamento (art.º 44)? | ✓ | ✓ |
| Existe um Registos das atividades de tratamento atualizado do tipo de dados pessoais transferidos? Inclui transferência de dados sensíveis (categorias especiais) art.º 30? | ✓ | ✓ |
| A finalidade(s) da transferência enquadra-se nas condições do regulamento? | ✓ | ✓ |
| Inclui identificação dos mecanismos adequados de salvaguarda de todas as transferências para países terceiros ou organizações internacionais, incluindo a identificação desses países terceiros ou organizações internacionais? | ✓ | ✓ |
Legalidade e adequação de transferências | Transferências com base numa decisão de adequação (art.º 45). Transferências para o país terceiro, um território, um ou mais setores específicos desse país terceiro, ou a organização internacional em causa, ao abrigo de decisão de adequação da Comissão? Ou sujeita a garantias adequadas (art. 46)? | ✓ | ✓ |
Transparência | Foram os titulares informados da intenção de transferência dos seus dados pessoais? | ✓ |
|
Situações específicas | Transferências justificadas ao abrigo de situações específicas previstos no art.º 49? ex. o titular dos dados tiver explicitamente dado o seu consentimento à transferência prevista? | ✓ | ✓ |
Outras obrigações do responsável do tratamento
Título | Questões | Responsável/ Controller | Subcontratante/ Processor |
Medidas técnicas e organizativas | Existe um plano de formação sobre a política e os processos de proteção de dados para colaboradores do pessoal implicado nas operações de tratamento de dados? | ✓ | ✓ |
| Existe documentação sobre as políticas, processos e procedimentos relativos aos conceitos, princípios e cumprimento do RGPD? | ✓ | ✓ |
| Existe um plano regular de auditoria aos processos? | ✓ |
|
Privacy by design and default | Proteção de dados desde a conceção e por defeito (art.º 25) – A organização aplica, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizativas adequadas ao cumprimento dos princípios do regulamento? | ✓ |
|
Data Protection Officer (DPO) | Encarregado da proteção de dados – EPD (art.º 37). A organização realizou avaliação para a obrigatoriedade ou necessidade de nomear um EPD? | ✓ | ✓ |
| Posição do encarregado da proteção de dados (art.º 38). A organização assegurou que o EPD seja envolvido, de forma adequada e em tempo útil, a todas as questões relacionadas com a proteção de dados pessoais? | ✓ | ✓ |
| Funções do encarregado da proteção de dados (art.º 39). A organização assegurou a definição formal das funções do EPD, o modelo de governação e comunicação, as garantias de autonomia da função, incluindo a repartição de responsabilidades? | ✓ | ✓ |
Demonstração de conformidade (records) | Registo e mapeamento da organização. Número de empregados, fornecedores e subcontratantes, prestadores de serviços? Categorias de dados pessoais e finalidades legais do tratamento? Registo e tratamento de categorias especiais de dados? | ✓ | ✓ |
Códigos de conduta e certificação | Códigos de conduta (art.º 40). A organização (seja responsáveis pelo tratamento ou subcontratantes) sujeitos ao presente regulamento têm ou iniciaram processo de adesão a Código de Conduta de associações e outros organismos representantes do setor sobre matéria de privacidade e proteção de dados? | ✓ | ✓ |
Certificação (art.º 42). A organização (seja responsáveis pelo tratamento ou subcontratantes) pretende aderir voluntariamente a procedimentos de certificação em matéria de proteção de dados, bem como selos e marcas de proteção de dados? | ✓ | ✓ | |
Avaliação de impacto sobre a proteção de dados | Existe um processo para identificar a necessidade (obrigação) de realizar e documentar a Avaliação de Impacto sobre a Proteção de Dados – DPIA (art.º 35), sempre que o tratamento de dados de implicar um elevado risco para os direitos e liberdades das pessoas? | ✓ |
|
Nomeadamente conforme art.º 35 (3) e (4), sempre que exisitir: a) Avaliação sistemática e completa dos aspetos pessoais relacionados com pessoas singulares, baseada no tratamento automatizado, incluindo a definição de perfis; b) Operações de tratamento em grande escala de categorias especiais de dados; c) Controlo sistemático de zonas acessíveis ao público em grande escala. d) Lista pública dos tipos de operações de tratamento sujeitos ao requisito de avaliação de impacto sobre a proteção de dados elaborada pela Autoridade de Supervisão | ✓ | ||
A entidade responsável pelo tratamento no processo DPIA solicita o parecer do encarregado da proteção de dados? | ✓ | ||
| Ao avaliar o impacto das operações de tratamento efetuadas pelos responsáveis pelo tratamento é consultado e avaliado o tratamento pelos subcontratantes? | ✓ |
|
Existe processo de controlo e avaliação do DPIA, pelo menos quando haja uma alteração dos riscos que as operações de tratamento representam? | ✓ | ||
| Assegrada por contrato, a assistência do subcontratante ao responsável pelo tratamento no sentido de assegurar o cumprimento das obrigações previstas no regulamento, decorrente do art.º 35 e 28 (3)? | ✓ |
|
Subcontratante | O tratamento em subcontratação é regulado por contrato ou outro ato normativo, que vincule o subcontratante ao responsável pelo tratamento (art.º 28)? | ✓ | ✓ |
Designadamente, que o subcontratante: a) Trata os dados pessoais apenas mediante instruções documentadas do responsável pelo tratamento; b) Assegura que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade; c) Adota todas as medidas exigidas nos termos do artigo 32º; d) Respeita as condições exigidas na lei para contratar outro subcontratante; e) Presta assistência ao responsável pelo tratamento para permitir que este cumpra a sua obrigação de dar resposta aos pedidos dos titulares dos dados; f) Presta assistência ao responsável pelo tratamento no sentido de assegurar o cumprimento das obrigações previstas nos artigos 32.o a 36.o; g) Apaga ou devolve-lhe todos os dados pessoais depois de concluída a prestação de serviços relacionados com o tratamento; e h) Disponibiliza todas as informações necessárias para demonstrar o cumprimento das obrigações previstas e facilita e contribui para as auditorias, inclusive as inspeções, conduzidas pelo responsável pelo tratamento ou por outro auditor por este mandatado. | ✓ | ✓ |
Vias de recurso, responsabilidade e sanções
Título | Questões | Responsável/ Controller | Subcontratante/ Processor |
Reclamação a uma autoridade de controlo | Existe um processo para gestão de reclamações do Titular de dados relativo ao tratamento dos seus dados junto da Autoridade? Os titulares de dados têm direito a apresentar reclamação a uma autoridade de controlo, em especial no Estado-Membro da sua residência habitual, do seu local de trabalho ou do local onde foi alegadamente praticada a infração. | ✓ | |
Direito à ação judicial | Existe um processo para gestão de acções judiciais do Titular de dados relativo ao tratamento dos seus dados (art.º 79) contra um responsável pelo tratamento ou um subcontratante? | ✓ | ✓ |
Existe procedimentos para a gestão de processos judiciais nacionais e internacionais? propostos nos tribunais do Estado–Membro em que tenham estabelecimento ou interpostos nos tribunais do Estado–Membro em que o titular dos dados tenha a sua residência habitual? | ✓ | ✓ | |
Representação dos titulares dos dados | Representação dos titulares dos dados | ||
Direito de indemnização e responsabilidade | Existe definição de política e processo definido para gestão de pedidos de indemnização e responsabilidade ao abrigo do art.º 82? Qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação do presente regulamento tem direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante pelos danos sofridos. | ✓ | ✓ |
Aplicação de coimas | Existe definição de um programa / projeto para cumprir as condições mínimas do RGPD conforme as condições para a aplicação de coimas (art.º 83)? | ✓ | ✓ |
Existe avaliação, definição de política e processos efetivos para conformidade das disposições a seguir enumeradas, sujeitas a coimas até 10 000 000 EUR ou até 2 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior: a) As obrigações do responsável pelo tratamento e do subcontratante nos termos dos artigos 8º, 11º, 25º a 39º e 42º e 43º; a. Condições aplicáveis ao consentimento de crianças b. Tratamento que não exige identificação c. Proteção de dados desde a conceção e por defeito d. Obrigações do responsável de tratamento e. Registos das atividades de tratamento f. Cooperação com a Autoridade de Supervisão g. Segurança do tratamento h. Notificação de uma violação à autoridade de controlo i. Comunicação de uma violação ao titular dos dados j. Realização de Avaliação de impacto sobre a proteção de dados k. Designação e definição de tarefas do EPD (DPO) b) As obrigações do organismo de certificação nos termos dos artigos 42.º (Certificações) e 43.º (Autoridades de certificação); c) As obrigações do organismo de supervisão nos termos do artigo 41º, n 4; a. Cooperação com AS | ✓ | ✓ | |
Existe avaliação, definição de política e processos efetivos para conformidade das disposições a seguir enumeradas, sujeitas a coimas até 20 000 000 EUR ou até 4 % do seu volume de negócios anual a nível mundial: a) Os princípios básicos do tratamento, incluindo as condições de consentimento, nos termos dos artigos 5.º, 6.º, 7.º e 9.º; a. Princípios do tratamento de dados pessoais b. Licititude do tratamento c. Condições aplicáveis ao consentimento d. Tratamento de categorias especiais de dados pessoais b) Os direitos dos titulares dos dados nos termos dos artigos 12º a 22.º; a. Transparência das informações,… b. Informações a facultar…são / não são recolhidos junto do titular c. Direito de acesso do titular dos dados d. Direito de retificação e. Direito de apagamento f. Direito de limitação do tratamento g. Direito de portabilidade h. Direito de oposição i. Decisões individuais automatizadas, incluindo definição de perfis c) As transferências de dados pessoais para um destinatário num país terceiro ou uma organização internacional; d) O incumprimento de uma ordem de limitação, temporária ou definitiva,… | ✓ | ✓ | |
Sanções | Existe uma avaliação e definição de programa para cumprimento das regras relativas às outras sanções aplicáveis em caso de violação do disposto no presente regulamento, estabelecidas por cada Estados-Membros (Art.º 84) | ✓ | ✓ |
Obrigações do Subcontrante
| Título | Questões ao Subcontratante | Responsável/ Controller | Subcontratante/ Processor |
| Definições | A entidade é um subcontratante nos termos do RGPD (art.º 4)? «Subcontratante», uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes; | ✓ | |
| Contratos com responsáveis de tratamento | Existe um contrato escrito, formal entre responsável do tratamento e subcontratante nos termos deste regulamento (art.º 28)? O tratamento em subcontratação é regulado por contrato ou outro ato normativo, que vincule o subcontratante ao responsável pelo tratamento, estabeleça o objeto e a duração do tratamento, a natureza e finalidade do tratamento, o tipo de dados pessoais e as categorias dos titulares dos dados, e as obrigações e direitos do responsável pelo tratamento… | ✓ | |
| Utilização de sub-contratação | Existe autorização por escrito para a contratação de outro subcontratante? O subcontratante não pode contratar outro subcontratante sem que o responsável pelo tratamento tenha dado, previamente e por escrito, autorização específica ou geral. | ✓ | |
| Se existir autorização geral, existe um processo para o subcontratante informar o responsável pelo tratamento de quaisquer alterações pretendidas aos termos da autorização ou do tratamento? | ✓ | ||
| Estão estas obrigações definidas em contrato escrito com o responsável do tratamento também definidas com todos os outros subcontratantes (se exisitirem)? | ✓ | ||
Designadamente, que o outro subcontratante: a) Trata os dados pessoais apenas mediante instruções documentadas do subcontratante sob contrato com o responsável pelo tratamento; b) Assegura que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade; c) Adota todas as medidas exigidas nos termos do artigo 32º; d) Respeita as condições exigidas na lei para contratar outro subcontratante; e) Presta assistência ao subcontratante sob ordens do responsável pelo tratamento para permitir que este cumpra a sua obrigação de dar resposta aos pedidos dos titulares dos dados; f) Presta assistência ao responsável pelo tratamento no sentido de assegurar o cumprimento das obrigações previstas nos artigos 32.o a 36.o; g) Apaga ou devolve-lhe todos os dados pessoais depois de concluída a prestação de serviços relacionados com o tratamento; e h) Disponibiliza todas as informações necessárias para demonstrar o cumprimento das obrigações previstas e facilita e contribui para as auditorias, inclusive as inspeções, conduzidas pelo responsável pelo tratamento ou por outro auditor por este mandatado. | ✓ | ||
| Responsabilidade (records) | Existe ou está em vias de implememtar, as políticas, os processos e procedimentos necessários para o cumprimento do RGPD até Maio de 2018? | ✓ | |
| Assistência ao responsável do tratamento | Enquanto Subcontratante está preparada para dar a assistência e partilhar a responsabilidade do tratamento nos termos deste RGPD? | ✓ |
Contactos
- Sede: R. José Cardoso Pires, nº 3, Loja C1 , R/C - Quinta do Castelo 2690 - 416 Santa Iria Azóia
- marketing@trustyourdata.pt