Artigo 28

Subcontratante

1. Quando o tratamento dos dados for efetuado por sua conta, o responsável pelo tratamento recorre apenas a subcontratantes que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas de uma forma que o tratamento satisfaça os requisitos do presente regulamento e assegure a defesa dos direitos do titular dos dados.

2. O subcontratante não contrata outro subcontratante sem que o responsável pelo tratamento tenha dado, previamente e por escrito, autorização específica ou geral. Em caso de autorização geral por escrito, o subcontratante informa o responsável pelo tratamento de quaisquer alterações pretendidas quanto ao aumento do número ou à substituição de outros subcontratantes, dando assim ao responsável pelo tratamento a oportunidade de se opor a tais alterações.

3. O tratamento em subcontratação é regulado por contrato ou outro ato normativo ao abrigo do direito da União ou dos Estados-Membros, que vincule o subcontratante ao responsável pelo tratamento, estabeleça o objeto e a duração do tratamento, a natureza e finalidade do tratamento, o tipo de dados pessoais e as categorias dos titulares dos dados, e as obrigações e direitos do responsável pelo tratamento. Esse contrato ou outro ato normativo estipulam, designadamente, que o subcontratante:

(a)

Trata os dados pessoais apenas mediante instruções documentadas do responsável pelo tratamento, incluindo no que respeita às transferências de dados para países terceiros ou organizações internacionais, a menos que seja obrigado a fazê-lo pelo direito da União ou do Estado-Membro a que está sujeito, informando nesse caso o responsável pelo tratamento desse requisito jurídico antes do tratamento, salvo se a lei proibir tal informação por motivos importantes de interesse público;

(b)

Assegura que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade ou estão sujeitas a adequadas obrigações legais de confidencialidade;

(c)

Adota todas as medidas exigidas nos termos do artigo 32.°;

(d)

Respeita as condições a que se referem os n.os 2 e 4 para contratar outro subcontratante;

(e)

Toma em conta a natureza do tratamento, e na medida do possível, presta assistência ao responsável pelo tratamento através de medidas técnicas e organizativas adequadas, para permitir que este cumpra a sua obrigação de dar resposta aos pedidos dos titulares dos dados tendo em vista o exercício dos seus direitos previstos no capítulo III;

(f)

Presta assistência ao responsável pelo tratamento no sentido de assegurar o cumprimento das obrigações previstas nos artigos 32.° a 36.°, tendo em conta a natureza do tratamento e a informação ao dispor do subcontratante;

(g)

Consoante a escolha do responsável pelo tratamento, apaga ou devolve-lhe todos os dados pessoais depois de concluída a prestação de serviços relacionados com o tratamento, apagando as cópias existentes, a menos que a conservação dos dados seja exigida ao abrigo do direito da União ou dos Estados-Membros; e

(h)

Disponibiliza ao responsável pelo tratamento todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no presente artigo e facilita e contribui para as auditorias, inclusive as inspeções, conduzidas pelo responsável pelo tratamento ou por outro auditor por este mandatado.

No que diz respeito ao primeiro parágrafo, alínea h), o subcontratante informa imediatamente o responsável pelo tratamento se, no seu entender, alguma instrução violar o presente regulamento ou outras disposições do direito da União ou dos Estados-Membros em matéria de proteção de dados.

4. Se o subcontratante contratar outro subcontratante para a realização de operações específicas de tratamento de dados por conta do responsável pelo tratamento, são impostas a esse outro subcontratante, por contrato ou outro ato normativo ao abrigo do direito da União ou dos Estados-Membros, as mesmas obrigações em matéria de proteção de dados que as estabelecidas no contrato ou outro ato normativo entre o responsável pelo tratamento e o subcontratante, referidas no n.o 3, em particular a obrigação de apresentar garantias suficientes de execução de medidas técnicas e organizativas adequadas de uma forma que o tratamento seja conforme com os requisitos do presente regulamento. Se esse outro subcontratante não cumprir as suas obrigações em matéria de proteção de dados, o subcontratante inicial continua a ser plenamente responsável, perante o responsável pelo tratamento, pelo cumprimento das obrigações desse outro subcontratante.

5. O facto de o subcontratante cumprir um código de conduta aprovado conforme referido no artigo 40.° ou um procedimento de certificação aprovado conforme referido no artigo 42.° pode ser utilizado como elemento para demonstrar as garantias suficientes a que se referem os n.°ˢ 1 e 4 do presente artigo.

6. Sem prejuízo de um eventual contrato individual entre o responsável pelo tratamento e o subcontratante, o contrato ou outro ato normativo referidos nos n.os 3 e 4 do presente artigo podem ser baseados, totalmente ou em parte, nas cláusulas contratuais-tipo referidas nos n.os 7 e 8 do presente artigo, inclusivamente quando fazem parte de uma certificação concedida ao responsável pelo tratamento ou ao subcontratante por força dos artigos 42.o e 43.o.

7. A Comissão pode estabelecer cláusulas contratuais-tipo para as matérias referidas nos n.°ˢ 3 e 4 do presente artigo pelo procedimento de exame a que se refere o artigo 93.°, n.° 2.

8. A autoridade de controlo pode estabelecer cláusulas contratuais-tipo para as matérias referidas nos n.°ˢ 3 e 4 do presente artigo e de acordo com o procedimento de controlo da coerência referido no artigo 63.°.

9. O contrato ou outro ato normativo a que se referem os n.°ˢ 3 e 4 devem ser feitos por escrito, incluindo em formato eletrónico.

10. Sem prejuízo do disposto nos artigos 82.°, 83.° e 84.°, o subcontratante que, em violação do presente regulamento, determinar as finalidades e os meios de tratamento, é considerado responsável pelo tratamento no que respeita ao tratamento em questão.

O que isto significa?

Deve utilizar tratarde dados pessoais que possam fornecer garantias suficientes que implementaram medidas técnicas ou organizacionais para salvaguardar os dados da pessoa em causa.

Fornecendo garantias suficientes significa provar que o tratarestá em conformidade com a manutenção da segurança dos dados da pessoa em causa. Por isso, deve escolher um tratardados fiável para dar garantias suficientes.

Tudo isto deve ser documentado num acordo de tratamento dados ou de uma forma semelhante.

Medidas técnicas e organizacionais adequadas são um conceito fundacional do GDPR.

Para determinar uma medida “adequada”, deverá realizar uma avaliação de risco do tratamento de dados pessoais relativos à pessoa em causa.

O processamento de dados pessoais sensíveis requer medidas mais rigorosas para assegurar a conformidade com o RGPD do que, por exemplo, alguém que se inscreva num boletim informativo. A avaliação do risco, portanto, avalia os detalhes do seu tratamento específico para que possa aplicar medidas técnicas e organizacionais adequadas.

A avaliação do risco permite determinar se uma medida é adequada.

Não pode utilizar qualquer tratarem seu nome, a menos que tenham fornecido garantias suficientes para tratar os dados pessoais em conformidade com o RGPD.

O tratardados deve implementar medidas técnicas e organizacionais adequadas e concordar em não utilizar outros tratardados sem o consentimento prévio do Responsável pelo tratamento. Além disso, o responsável pelo tratamento e o processador de dados devem assinar um acordo de tratamento de dados que determine os requisitos específicos para o tratamento de dados pessoais, por exemplo, o tipo de dados pessoais e a duração do tratamento.

Todos os controladores de dados devem assinar um acordo de tratamento de dados com os seus processadores de dados. O acordo de tratamento de dados deve conter os requisitos enumerados no nº 3 do artigo 28º, que, por exemplo, exigem que todos os processadores obtenham autorização prévia do responsável pelo tratamento de dados para a utilização de qualquer subprocessador.

O processador de um processador é também chamado de subprocessador. Um subprocessador é um fornecedor a um fornecedor no contexto do processamento de dados pessoais.

O responsável pelo tratamento de dados é responsável pelo acordo de tratamento de dados como responsável pelo tratamento dos dados pessoais. Esta responsabilidade implica também a auditoria de que o processador de dados cumpre o acordo de tratamento de dados.

Um acordo de tratamento de dados deve cumprir os requisitos estabelecidos no artigo 28º do RGPD.

É possível encontrar cláusulas contratuais padrão no website da União Europeia. Estes são modelos para fazer um acordo de tratamento dados.

Sim. É da responsabilidade do controlador documentar a conformidade com a RGPD, e também deve ser capaz de demonstrar que os processadores cumprem o acordo de processamento de dados.

Alguns acordos de tratamento de dados declaram que o processador de dados necessita de autorização prévia específica do responsável pelo tratamento para escolher um novo processador para partes do tratamento (subprocessador). Esta autorização prévia dá ao responsável pelo tratamento um maior controlo do tratamento dos dados pessoais na cadeia de valor, aumentando assim a segurança das pessoas em causa.

Os acordos de tratamento de dados podem também conter uma autorização geral por escrito quando um tipo específico de subprocessador é autorizado a ser utilizado para dados pessoais acordados sem autorização prévia explícita. Data processing agreements may also contain a general written authorization when a specific type of sub-processor is allowed to be used for agreed personal data without explicit prior authorization.

Se for o processador de dados e desejar adicionar ou substituir um subprocessador, então deve informar o controlador de dados por escrito. Se for o processador de dados e desejar adicionar ou substituir um subprocessador, então deve informar o controlador de dados por escrito.

Formação de sensibilização

Certifique-se de que toda a sua empresa está equipada com a formação de sensibilização necessária sobre os princípios básicos do RGPD e da segurança informática.

Discover

About