Cada responsável pelo tratamento e, sendo caso disso, o seu representante conserva um registo de todas as atividades de tratamento sob a sua responsabilidade. Desse registo constam todas seguintes informações:
(a) |
O nome e os contactos do responsável pelo tratamento e, sendo caso disso, de qualquer responsável conjunto pelo tratamento, do representante do responsável pelo tratamento e do encarregado da proteção de dados; |
(b) |
As finalidades do tratamento dos dados; |
(c) |
A descrição das categorias de titulares de dados e das categorias de dados pessoais; |
(d) |
As categorias de destinatários a quem os dados pessoais foram ou serão divulgados, incluindo os destinatários estabelecidos em países terceiros ou organizações internacionais; |
(e) |
Se for aplicável, as transferências de dados pessoais para países terceiros ou organizações internacionais, incluindo a identificação desses países terceiros ou organizações internacionais e, no caso das transferências referidas no artigo 49.°, n.° 1, segundo parágrafo, a documentação que comprove a existência das garantias adequadas; |
(f) |
Se possível, os prazos previstos para o apagamento das diferentes categorias de dados; |
(g) |
Se possível, uma descrição geral das medidas técnicas e organizativas no domínio da segurança referidas no artigo 32.°, n.° 1. |
2. Cada subcontratante e, sendo caso disso, o representante deste, conserva um registo de todas as categorias de atividades de tratamento realizadas em nome de um responsável pelo tratamento, do qual constará:
(a) |
O nome e contactos do subcontratante ou subcontratantes e de cada responsável pelo tratamento em nome do qual o subcontratante atua, bem como, sendo caso disso do representante do responsável pelo tratamento ou do subcontratante e do encarregado da proteção de dados; |
(b) |
As categorias de tratamentos de dados pessoais efetuados em nome de cada responsável pelo tratamento; |
(c) |
Se for aplicável, as transferências de dados pessoais para países terceiros ou organizações internacionais, incluindo a identificação desses países terceiros ou organizações internacionais e, no caso das transferências referidas no artigo 49.°, n.° 1, segundo parágrafo, a documentação que comprove a existência das garantias adequadas; |
(d) |
Se possível, uma descrição geral das medidas técnicas e organizativas no domínio da segurança referidas no artigo 32.°, n.° 1. |
3. Os registos a que se referem os n.°ˢ 1 e 2 são efetuados por escrito, incluindo em formato eletrónico.
4. O responsável pelo tratamento e, sendo caso disso, o subcontratante, o representante do responsável pelo tratamento ou do subcontratante, disponibilizam, a pedido, o registo à autoridade de controlo.
5. As obrigações a que se referem os n.°ˢ 1 e 2 não se aplicam às empresas ou organizações com menos de 250 trabalhadores, a menos que o tratamento efetuado seja suscetível de implicar um risco para os direitos e liberdades do titular dos dados, não seja ocasional ou abranja as categorias especiais de dados a que se refere o artigo 9.°, n.° 1, ou dados pessoais relativos a condenações penais e infrações referido no artigo 10.°.
O objectivo de manter registos das suas actividades de tratamento é criar uma visão geral da sua utilização de dados pessoais. Esta visão geral é o primeiro passo para assegurar o tratar correcto dos dados pessoais.
Os registos ilustrarão quem tem acesso aos seus dados a nível interno e externo. Esta informação permitir-lhe-á tomar medidas para assegurar que os dados pessoais são tratarcorrectamente.
É fácil interpretar mal a redacção destas regras, uma vez que o artigo 30(5) à primeira vista poderia isentá-lo desta procura significativa para o seu negócio. A maioria das empresas tem menos de 250 empregados, mas ter menos de 250 não significa que esteja isento de manter um registo das suas actividades tratamento.
Suponhamos que faz o tratamento dados não casuais, por exemplo, gestão de salários ou serviço ao cliente. Nesse caso, ainda tem de manter um registo das suas actividades tratamento.
O mesmo se aplica quando se tratar dados pessoais sensíveis, por exemplo, dados de saúde ou se o seu tratamento for susceptível de envolver um risco para os direitos e liberdade das pessoas, o que seria o caso quando se utilizam sistemas de geolocalização ou vigilância por vídeo.
Sim, é possível criar os seus próprios registos de actividades de tratamento. Cuidado, pois é necessário algum conhecimento das regras para se fazer o exercício correctamente. A realização deste exercício pode beneficiar o seu negócio de várias maneiras. Fornece-lhe uma visão geral de todos os tratarcom dados pessoais. Esta visão geral é essencial para o seu cumprimento da RGPD e informação relevante para criar uma melhor visão geral dos seus tratarempresariais.
Recomenda-se a delegação do cumprimento do RGPD a um funcionário-chave dentro da sua organização. A delegação assegura que todos os conhecimentos e coordenação são centralizados com um único funcionário.
Deve manter uma cópia dos seus registos de actividades de tratamento por escrito, que pode ser electrónica.
Deve actualizar os seus registos de actividades de tratamento sempre que um tratar muda ou quando implementa um novo sistema informático.
Sempre que alterar um tratar empresarial envolvendo o tratamento de dados pessoais, deverá avaliar como é que o tratamento de dados pessoais é afectado. Se o tratamento tiver mudado, então deverá actualizar os seus registos em conformidade.
Um tratar pode requerer muitos sistemas diferentes, e um sistema informático pode ser utilizado em muitos tratardiferentes tratardados pessoais.
O serviço ao cliente pode utilizar vários sistemas de TI; e-mail, chat, e CRM. Todos os tratarna empresa podem utilizar um sistema informático, por exemplo, e-mail.
Não é obrigatório, mas seria útil para o cumprimento da RGPD.
Ter um registo separado para os seus sistemas informáticos e em que tratareles são utilizados irá ajudá-lo a manter-se em conformidade na prática. De acordo com o RGPD, deve demonstrar que cumpre o regulamento de acordo com o artigo 5 (2). Um registo de todos os seus sistemas informáticos e de como cada um deles está em conformidade ajudá-lo-ia a demonstrar a conformidade com, por exemplo, os artigos 25 e 32 sobre segurança.
Certifique-se de que toda a sua empresa está equipada com a formação de sensibilização necessária sobre os princípios básicos do RGPD e da segurança informática.
Once you have submitted your details, you’ll be our top priority!