Artigo 30º – Registos das atividades de tratamento

Artigo 30º

Registos das atividades de tratamento

1. Cada responsável pelo tratamento e, sendo caso disso, o seu representante conserva um registo de todas as atividades de tratamento sob a sua responsabilidade. Desse registo constam todas seguintes informações:

a) O nome e os contactos do responsável pelo tratamento e, sendo caso disso, de qualquer responsável conjunto pelo tratamento, do representante do responsável pelo tratamento e do encarregado da proteção de dados;

b) As finalidades do tratamento dos dados;

c) A descrição das categorias de titulares de dados e das categorias de dados pessoais;

d) As categorias de destinatários a quem os dados pessoais foram ou serão divulgados, incluindo os destinatários estabelecidos em países terceiros ou organizações internacionais;

e) Se for aplicável, as transferências de dados pessoais para países terceiros ou organizações internacionais, incluindo a identificação desses países terceiros ou organizações internacionais e, no caso das transferências referidas no artigo 49º, nº 1, segundo parágrafo, a documentação que comprove a existência das garantias adequadas;

f) Se possível, os prazos previstos para o apagamento das diferentes categorias de dados;

g) Se possível, uma descrição geral das medidas técnicas e organizativas no domínio da segurança referidas no artigo 32º, nº 1.

2. Cada subcontratante e, sendo caso disso, o representante deste, conserva um registo de todas as categorias de atividades de tratamento realizadas em nome de um responsável pelo tratamento, do qual constará:

a) O nome e contactos do subcontratante ou subcontratantes e de cada responsável pelo tratamento em nome do qual o subcontratante atua, bem como, sendo caso disso do representante do responsável pelo tratamento ou do subcontratante e do encarregado da proteção de dados;

b) As categorias de tratamentos de dados pessoais efetuados em nome de cada responsável pelo tratamento;

c) Se for aplicável, as transferências de dados pessoais para países terceiros ou organizações internacionais, incluindo a identificação desses países terceiros ou organizações internacionais e, no caso das transferências referidas no artigo 49º, nº 1, segundo parágrafo, a documentação que comprove a existência das garantias adequadas;

d) Se possível, uma descrição geral das medidas técnicas e organizativas no domínio da segurança referidas no artigo 32º, nº 1.

3. Os registos a que se referem os nºs 1 e 2 são efetuados por escrito, incluindo em formato eletrónico.

4. O responsável pelo tratamento e, sendo caso disso, o subcontratante, o representante do responsável pelo tratamento ou do subcontratante, disponibilizam, a pedido, o registo à autoridade de controlo.

5. As obrigações a que se referem os nºs 1 e 2 não se aplicam às empresas ou organizações com menos de 250 trabalhadores, a menos que o tratamento efetuado seja suscetível de implicar um risco para os direitos e liberdades do titular dos dados, não seja ocasional ou abranja as categorias especiais de dados a que se refere o artigo 9º, nº 1, ou dados pessoais relativos a condenações penais e infrações referido no artigo 10º.

Artigo 27º – Representantes dos responsáveis pelo tratamento ou dos subcontratantes não estabelecidos na União

Artigo 27º

Representantes dos responsáveis pelo tratamento ou dos subcontratantes não estabelecidos na União

1. Se for aplicável o artigo 3º, nº 2, o responsável pelo tratamento ou o subcontratante designa por escrito um representante seu na União.

2. A obrigação a que se refere o nº 1 do presente artigo não se aplica:

a) Às operações de tratamento que sejam ocasionais, não abranjam o tratamento, em grande escala, de categorias especiais de dados a que se refere o artigo 9º, nº 1, ou o tratamento de dados pessoais relativos a condenações penais e infrações referido no artigo 10º, e não seja suscetível de implicar riscos para os direitos e liberdades das pessoas singulares, tendo em conta a natureza, o contexto, o âmbito e as finalidades do tratamento; ou

b) Às autoridades ou organismos públicos;

3. O representante deve estar estabelecido num dos Estados-Membros onde se encontram os titulares dos dados cujos dados pessoais são objeto do tratamento no contexto da oferta que lhes é feita de bens ou serviços ou cujo comportamento é controlado.
4. Para efeitos do cumprimento do presente regulamento, o representante é mandatado pelo responsável pelo tratamento ou pelo subcontratante para ser contactado em complemento ou em substituição do responsável pelo tratamento ou do subcontratante, em especial por autoridades de controlo e por titulares, relativamente a todas as questões relacionadas com o tratamento.

5. A designação de um representante pelo responsável pelo tratamento ou pelo subcontratante não prejudica as ações judiciais que possam vir a ser intentadas contra o próprio responsável pelo tratamento ou o próprio subcontratante.

Artigo 29º – Tratamento sob a autoridade do responsável pelo tratamento ou do subcontratante

Artigo 29º

Tratamento sob a autoridade do responsável pelo tratamento ou do subcontratante

O subcontratante ou qualquer pessoa que, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante, tenha acesso a dados pessoais, não procede ao tratamento desses dados exceto por instrução do responsável pelo tratamento, salvo se a tal for obrigado por força do direito da União ou dos Estados-Membros.

Artigo 26º – Responsáveis conjuntos pelo tratamento

Artigo 26º

Responsáveis conjuntos pelo tratamento

1. Quando dois ou mais responsáveis pelo tratamento determinem conjuntamente as finalidades e os meios desse tratamento, ambos são responsáveis conjuntos pelo tratamento. Estes determinam, por acordo entre si e de modo transparente as respetivas responsabilidades pelo cumprimento do presente regulamento, nomeadamente no que diz respeito ao exercício dos direitos do titular dos dados e aos respetivos deveres de fornecer as informações referidas nos artigos 13º e 14º, a menos e na medida em que as suas responsabilidades respetivas sejam determinadas pelo direito da União ou do Estado-Membro a que se estejam sujeitos. O acordo pode designar um ponto de contacto para os titulares dos dados.

2. O acordo a que se refere o nº 1 reflete devidamente as funções e relações respetivas dos responsáveis conjuntos pelo tratamento em relação aos titulares dos dados. A essência do acordo é disponibilizada ao titular dos dados.

3. Independentemente dos termos do acordo a que se refere o nº 1, o titular dos dados pode exercer os direitos que lhe confere o presente regulamento em relação e cada um dos responsáveis pelo tratamento.

Artigo 25º – Proteção de dados desde a conceção e por defeito

Artigo 25º

Proteção de dados desde a conceção e por defeito

Leia nossas considerações em particular a respeito deste artigo do RGPD.

1. Tendo em conta as técnicas mais avançadas, os custos da sua aplicação, e a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos decorrentes do tratamento para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizativas adequadas, como a pseudonimização, destinadas a aplicar com eficácia os princípios da proteção de dados, tais como a minimização, e a incluir as garantias necessárias no tratamento, de uma forma que este cumpra os requisitos do presente regulamento e proteja os direitos dos titulares dos dados.

2. O responsável pelo tratamento aplica medidas técnicas e organizativas para assegurar que, por defeito, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento. Essa obrigação aplica-se à quantidade de dados pessoais recolhidos, à extensão do seu tratamento, ao seu prazo de conservação e à sua acessibilidade. Em especial, essas medidas asseguram que, por defeito, os dados pessoais não sejam disponibilizados sem intervenção humana a um número indeterminado de pessoas singulares.

3. Pode ser utilizado como elemento para demonstrar o cumprimento das obrigações estabelecidas nos nºs 1 e 2 do presente artigo, um procedimento de certificação aprovado nos termos do artigo 42º.