Perguntas frequentes (FAQs) sobre a aplicação do Regulamento Geral sobre a Proteção de Dados (RGPD) a partir de 25 de maio de 2018

Disponível no site da Comissão Nacional da Protecção de Dados

 

A Comissão Nacional de Protecção de Dados (CNPD) publicou uma lista de Perguntas e Respostas que nos ajudam a perceber melhor as regras do novo Regulamento Geral de Protecção de Dados.

O texto abaixo foi integralmente retirado do site da CNPD em https://www.cnpd.pt/bin/faqs/faqs.htm

Veja quais são:

Consentimento

É obrigatório pedir outra vez o consentimento aos meus clientes para tratar os seus dados? Antes de mais, deve verificar-se se o consentimento do titular é o fundamento de legitimidade adequado quando está em causa uma relação contratual com um cliente, uma vez que o tratamento de dados necessário à execução de um contrato não precisa do consentimento do cliente.


Se o que estiver em causa for um tratamento de dados pessoais adicionais em relação ao contrato, então se o consentimento que obteve anteriormente foi dado de forma implícita, é preciso pedir um novo consentimento ao titular dos dados nas condições exigíveis pelo RGPD.

O consentimento tem de ser explícito, isto é, a pessoa tem de manifestar a sua vontade em autorizar. Tem também de prestar as informações que vêm referidas no artigo 13.º do RGPD, adequadas ao seu caso concreto, não se esquecendo de informar o titular dos dados de que pode revogar o consentimento a todo o momento e indicando o meio como o pode fazer.

O consentimento tem ainda de ser específico, devendo ser diferenciado, por exemplo, quando haja utilização de dados para fins distintos ou quando haja comunicação de dados a terceiros, e acompanhado sempre da informação necessária relativa a cada situação.
Também não é possível fazer depender a execução de um contrato do consentimento do titular dos dados.

É preciso obter o consentimento dos trabalhadores no âmbito da gestão administrativa ou de processamento de remunerações?
Não. Os tratamentos de dados pessoais, no âmbito da gestão dos recursos humanos, têm como fundamentos de legitimidade a execução do contrato de trabalho e a lei.

O consentimento dos trabalhadores não é de uma maneira geral considerado válido, pois raramente poderá ser dado em condições de liberdade, atendendo ao desequilíbrio entre as partes.

Direitos dos titulares

Existe alguma minuta ou um texto-tipo para informar os titulares dos dados dos seus direitos?
Neste momento não, mas a CNPD não exclui a possibilidade de vir a disponibilizar alguns textos padrão, quando em causa estiverem tratamentos de dados pessoais mais simples.


Encarregado de Proteção de Dados (EPD/DPO)

É obrigatório ter um encarregado de proteção de dados?
Só é obrigatório designar um EPD em alguns casos.

As entidades públicas estão sempre obrigadas a ter um EPD.

Quanto às empresas, seja na qualidade de responsáveis pelos tratamentos ou de subcontratantes, só estão obrigadas a designar um EPD se tratarem dados sensíveis ou dados relativos a condenações penais e infrações em larga escala (dados referidos no artigo 9.º e 10.º do RGPD) ou se realizarem tratamentos em larga escala relativos ao controlo regular e sistemático dos titulares dos dados.


É possível várias empresas partilharem o mesmo encarregado de proteção de dados? Sim. O RGPD admite que associações ou outros organismos representativos de empresas possam designar um EPD comum. Também dentro do mesmo grupo empresarial, é possível designar um único EPD, desde que este esteja facilmente acessível a partir de cada estabelecimento.

Os EPD precisam de alguma certificação para desempenhar as suas funções? Não. O EPD deve ser designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados.

É preciso fazer algum registo do EPD? É necessário publicar os contactos do encarregado de proteção de dados e dar conhecimento aos titulares dos dados desses contactos quando lhes presta as informações referidas nos artigos 13.º e 14.º do RGPD.
Também é necessário comunicar à CNPD essa informação.
Para o efeito, a CNPD disponibiliza um formulário próprio em https://www.cnpd.pt/bin/notifica_rgpd/epd_dpo.htm


Violações de dados pessoais
Como é feita a notificação de violações de dados pessoais à CNPD?


A CNPD disponibiliza um formulário próprio para os responsáveis pelos tratamentos de dados efetuarem as notificações exigidas pelo artigo 33.º do RGPD.

Está acessível em https://www.cnpd.pt/bin/notifica_rgpd/data_breach.htm