Esclarecimento sobre novas regras de uso de dados

A partir de 25 de Março de 2018 entram em vigor as novas regras para coleta e uso de dados de usuários de internet na União Européia. Chamada de General Data Protection Regulation (GDPR), a medida, tem como objetivo proteger dados de cidadãos europeus, e dar-lhes a autonomia, sabendo o que as empresas coletam, podendo editar e até remover informações. Mas, um detalhe faz com que toda internet seja afetada: as multas. Um cidadão europeu que entrar num site brasileiro (algo extremamente comum por exemplo, em Portugal), terá o direito de saber quais dados seus foram coletados. Se a empresa não fizer isso, estará sujeita a multas pesadas (chegando a mais de R$ 80 milhões).

Por esse motivo estamos vendo insistentes avisos sobre a mudança nos sites que entramos, no entanto, não há mensagem sobre isso no site da Sens – Rádio e Podcast. A Sens recebe visitas provenientes da Europa e não são poucos o que muda é que não fazemos qualquer coleta de dados desses usuários, sequer usamos cookies (como está especificado no rodapé do nosso site). O único recurso do site que pode coletar alguns desses dados é o Google Analytics, que por se tratar de um serviço de terceiros, não compete à Sens Comunicações, controlá-lo.

Conclusão: a Sens não precisa alterar sua política de coleta de dados e consequentemente avisar os visitantes, porque não fazemos coleta de dados. Diferente de sites como Spotify, Deezer, YouTube e outros, temos um ambiente apenas de entretenimento (rádio e podcast), sem fins lucrativos, que não necessita cadastro e não faz cobrança. Portanto, sinta-se a vontade para navegar de forma completamente anônima.

Para saber mais, consulte nossa Política e FAQ. Mais informações, aqui.

 


Íntegra do General Data Protection Regulation (GDPR), divulgado pelo ICO (Traduzido para português de forma automática)

Página 1
Visão geral do Proteção Geral de Dados Regulamento (GDPR) Proteção de dados
Página 2
Introdução O que há de novo Princípios Principais áreas a serem consideradas Direitos individuais O direito de ser informado O direito de acesso O direito de retificação O direito de apagar O direito de restringir o processamento O direito à portabilidade de dados O direito de objetar Direitos relacionados à tomada de decisões e perfis automatizados Responsabilidade e governança Notificação de violação Transferência de dados Derrogações nacionais 20 de outubro de 2017 – 1.13.4 2 3 5 7 9 13 14 17 19 20 22 23 25 27 30 38 41 44
Página 3
Introdução Introdução Esta visão geral destaca os principais temas do Regulamento Geral de Proteção de Dados (GDPR) para organizações entendem o novo quadro jurídico na UE. Explica as semelhanças com o existente Lei de Proteção de Dados do Reino Unido de 1998 (DPA), e descreve alguns dos requisitos novos e diferentes. Isto é para aqueles que têm responsabilidade cotidiana pela proteção de dados. Este é um documento vivo e estamos trabalhando para expandi-lo em áreas-chave. Inclui links para seções do próprio GDPR, a outras orientações da OIC e às orientações elaboradas pelo artigo 29 da Partido dos Trabalhadores. O grupo de trabalho inclui representantes das autoridades de protecção de dados de cada Estado membro da UE, e a OIC é o representante do Reino Unido. O GDPR será aplicado no Reino Unido a partir de 25 de maio de 2018. O governo confirmou que a decisão do Reino Unido deixar a UE não afetará o início do PIBR. A OIC está empenhada em ajudar empresas e órgãos públicos a se prepararem para atender aos requisitos de o GDPR antes de maio de 2018 e além. Reconhecemos que ainda pode haver dúvidas sobre como o GDPR se aplicaria no Reino Unido ao deixar a UE, mas isso não deve desviar a atenção da importante tarefa de conformidade com o GDPR. Com tantas empresas e serviços operando além das fronteiras, a consistência internacional em torno dos dados leis e direitos de proteção são cruciais tanto para empresas e organizações como para indivíduos. O da OIC papel sempre envolveu trabalhar de perto com os reguladores em outros países, e isso continuará a ser O caso. Ter leis claras com salvaguardas em vigor é mais importante do que nunca, dada a crescente economia digital, e vamos trabalhar com o governo para ficar no centro dessas conversas sobre o futuro a longo prazo da lei de protecção de dados do Reino Unido e fornecer o nosso aconselhamento e aconselhamento, quando apropriado. Para quem o GDPR se aplica? O GDPR aplica-se a ‘controllers’ e ‘processadores’. As definições são amplamente as mesmas que sob o DPA – ou seja, o controlador diz como e por que os dados pessoais são processados ​​eo processador atua no nome do controlador. Se você está atualmente sujeito ao DPA, é provável que você também esteja sujeito a o GDPR. Se você é um processador, o GDPR coloca obrigações legais específicas em você; por exemplo, você é necessário para manter registros de dados pessoais e atividades de processamento. Você terá significativamente mais responsabilidade legal se você for responsável por uma violação. Estas obrigações para os processadores são um novo exigência sob o GDPR. No entanto, se você é um controlador, você não está dispensado de suas obrigações quando um processador é envolvido – o GDPR coloca mais obrigações em você para garantir seus contratos com processadores cumprir com o GDPR. O GDPR aplica-se ao processamento realizado por organizações que operam dentro da UE. Também se aplica organizações fora da UE que oferecem bens ou serviços a indivíduos na UE. O RGPD não se aplica a certas atividades, incluindo o processamento coberto pelo Aplicação da lei 20 de outubro de 2017 – 1.13.4 3
Página 4
Directiva  , o processamento para fins de segurança nacional e o processamento efectuado por indivíduos puramente para atividades pessoais / domésticas. Outras leituras no GDPR Para quais informações o GDPR se aplica? Dados pessoais Como o DPA, o GDPR aplica-se a ‘dados pessoais’. No entanto, a definição do GDPR é mais detalhada e deixa claro que informações como um identificador on-line – por exemplo, um endereço IP – podem ser dados pessoais. A definição mais abrangente fornece uma ampla gama de identificadores pessoais para constituir dados, refletindo mudanças na tecnologia e na forma como as organizações coletam informações sobre as pessoas. Para a maioria das organizações, mantendo registros de RH, listas de clientes ou detalhes de contato, etc., a alteração definição deve fazer pouca diferença prática. Você pode assumir que, se você tiver informações que caiam dentro do escopo do DPA, também estará no escopo do GDPR. O GDPR se aplica tanto a dados pessoais automatizados quanto a sistemas de arquivamento manual, onde dados pessoais são acessíveis de acordo com critérios específicos. Isso é mais amplo que a definição da DPA e poderia incluir conjuntos ordenados cronologicamente de registros manuais contendo dados pessoais. Os dados pessoais que foram pseudonimizados – por exemplo, codificados por chave – podem estar no escopo do GDPR dependendo de como é difícil atribuir o pseudônimo a um indivíduo em particular. Dados pessoais sensíveis O GDPR refere-se a dados pessoais sensíveis como “categorias especiais de dados pessoais” (ver Artigo 9). Essas categorias são amplamente as mesmas que as do DPA, mas há algumas pequenas alterações. Por exemplo, as categorias especiais incluem especificamente dados genéticos e dados biométricos onde processado para identificar exclusivamente um indivíduo. Dados pessoais relativos a condenações criminais e crimes não estão incluídos, mas salvaguardas extras semelhantes aplicam ao seu processamento (ver Artigo 10). Outras leituras no GDPR Ver artigos 3º, 28º a 31º e considerandos 22-25, 81-82  Link externo  Ver artigos 2, 4, 9, 10 e considerandos 1, 2, 26, 51  Link externo  20 de outubro de 2017 – 1.13.4 4
Página 5
O que há de novo O que há de novo Atualizaremos esta página mensalmente para destacar e vincular as novidades da nossa Visão geral do GDPR. Novembro de 2017 O Grupo de Trabalho do Artigo 29º publicou orientações sobre a imposição de multas administrativas . Outubro de 2017 O Grupo de Trabalho do Artigo 29 publicou a seguinte orientação, que agora está incluída em nosso Visão geral. Notificação de violação Tomada de decisões e perfis individuais automatizados O Grupo de Trabalho do Artigo 29º adoptou também directrizes sobre multas administrativas e estas são a ser publicado em breve. No Direitos relacionados à tomada de decisão e perfis automatizados , atualizamos as próximas etapas para o ICO. No Principais áreas a serem consideradas Atualizamos os próximos passos em relação à orientação de consentimento da OIC. O prazo para respostas ao nosso rascunho da orientação GDPR sobre contratos e responsabilidades para controladores e processadores já passou. Estamos analisando o feedback e isso será inserido na versão final. Setembro de 2017 Lançamos para consulta nosso rascunho da orientação GDPR sobre contratos e obrigações para controladores e processadores. Julho de 2017 No Principais áreas a serem consideradas Atualizamos os próximos passos com relação à orientação de consentimento da OIC e as directrizes de consentimento europeu para o grupo de trabalho do artigo 29º. Junho de 2017 A consulta do Grupo de Trabalho do artigo 29.º sobre as suas orientações em matéria de processamento e dados de alto risco avaliações de impacto na proteção  encerradas em 23 de maio. Aguardamos a adoção da versão final. Maio de 2017 Nós atualizamos nosso GDPR 12 passos para levar agora documento Nós adicionamos um Preparando-se para a lista de verificação do GDPR para nosso kit de ferramentas de autoavaliação 20 de outubro de 2017 – 1.13.4 5
Página 6
Abril de 2017 Nós publicamos nossos papel de discussão de perfil para feedback  . Março de 2017 Nós publicamos nossos rascunho de orientação de consentimento para consulta pública . Janeiro de 2017 O Artigo 29 publicou a seguinte orientação, que agora está incluída em nossa visão geral: Portabilidade de dados Autoridades de supervisão principais Agentes de proteção de dados Próximos passos O artigo 29 está planejando as seguintes orientações: Consentimento Transparência Perfilamento (agora publicado) Processamento de alto risco Certificação Multas administrativas Notificação de violação (agora publicada) Transferência de dados 20 de outubro de 2017 – 1.13.4 6
Página 7
Princípios Sob o GDPR, os princípios de proteção de dados estabelecem as principais responsabilidades das organizações. Os princípios são semelhantes aos do DPA, com detalhes adicionais em certos pontos e um novo exigência de prestação de contas . O GDPR não possui princípios relativos aos direitos individuais ou transferências internacionais de dados pessoais – estas são especificamente abordadas em artigos separados (ver GDPR Capítulo III e Capítulo V, respectivamente). O acréscimo mais significativo é o princípio da responsabilidade. O GDPR exige que você mostre como você cumprir os princípios – por exemplo, documentando as decisões que você toma sobre um processamento atividade. Isso é explicado em maior detalhe mais adiante neste guia . O artigo 5º do GDPR exige que os dados pessoais sejam: Outras leituras no GDPR  (a) processados ​​de forma legal, justa e transparente em relação aos indivíduos; b) Recolhidos para finalidades determinadas, explícitas e legítimas e não tratados ulteriormente isso é incompatível com esses propósitos; processamento adicional para fins de arquivamento em público interesse, fins de investigação científica ou histórica ou para fins estatísticos não são considerados ser incompatível com os propósitos iniciais; c) Adequados, relevantes e limitados ao necessário em relação aos fins para os quais são processados; d) Exacto e, sempre que necessário, actualizado; cada passo razoável deve ser tomado para garantir que os dados pessoais que são imprecisos, tendo em conta os fins para os quais eles são processados, são apagados ou retificados sem demora; e) mantidos numa forma que permita a identificação dos titulares de dados por um período não superior ao as finalidades para as quais os dados pessoais são processados; dados pessoais podem ser armazenados por mais períodos, na medida em que os dados pessoais serão processados ​​exclusivamente para fins de arquivamento no interesse, fins de investigação científica ou histórica ou para fins estatísticos sujeitos à aplicação de as medidas técnicas e organizacionais adequadas exigidas pelo RGPD, a fim de salvaguardar os direitos e liberdades dos indivíduos; (f) processado de uma forma que garanta a segurança apropriada dos dados pessoais, incluindo protecção contra o processamento não autorizado ou ilegal e contra a perda, destruição ou danos, usando medidas técnicas ou organizacionais apropriadas. O n.º 2 do artigo 5.º exige que “O controlador deve ser responsável e demonstrar o cumprimento dos princípios.” Ver artigo 5º e considerando 39   20 de outubro de 2017 – 1.13.4 7
Página 8
Link externo 20 de outubro de 2017 – 1.13.4 8
Página 9
Principais áreas a serem consideradas Processamento legal Para que o processamento seja legal sob o GDPR, você precisa identificar uma base legal antes de processar dados pessoais. Estes são muitas vezes referidos como as “condições de processamento” sob o DPA. É importante que você determine sua base legal para processar dados pessoais e documentar isso. Isso se torna mais um problema sob o GDPR porque sua base legal para processamento tem um efeito sobre os direitos dos indivíduos. Por exemplo, se você confiar no consentimento de alguém para processar seus dados, eles geralmente têm direitos mais fortes, por exemplo, para ter seus dados excluídos. O RPDP permite aos Estados membros introduzir disposições mais específicas em relação ao Artigo 6 (1) (c) e e): Estas disposições são particularmente relevantes para as autoridades públicas e setores altamente regulamentados. As tabelas abaixo apresentam as bases legais disponíveis para o processamento de dados pessoais e categorias especiais De dados. Legalidade das condições de processamento 6 (1) (a) – Consentimento da pessoa em causa 6 (1) (b) – O processamento é necessário para a execução de um contrato com a pessoa em causa ou para tomar medidas para celebrar um contrato 6 (1) (c) – O processamento é necessário para o cumprimento de uma obrigação legal 6 (1) (d) – O processamento é necessário para proteger os interesses vitais de um titular de dados ou de outro pessoa 6 (1) (e) – O processamento é necessário para o desempenho de uma tarefa levada a cabo no interesse ou no exercício da autoridade pública conferida ao controlador 6 (1) (f) – Necessário para os interesses legítimos do responsável pelo tratamento ou de um terceiros, exceto quando tais interesses forem sobrepostos pelos interesses, direitos ou liberdades da pessoa em causa Note-se que esta condição não está disponível para o processamento realizado pelas autoridades o desempenho de suas tarefas.  “(C) o processamento é necessário para o cumprimento de uma obrigação legal”; “E) O processamento é necessário para o desempenho de uma tarefa realizada no interesse público ou no exercício da autoridade oficial investida no controlador. ” 20 de outubro de 2017 – 1.13.4 9
Página 10
Condições para categorias especiais de dados 9 (2) (a) – Consentimento explícito do titular dos dados, a menos que a dependência do consentimento seja proibida pela ou legislação do Estado-Membro 9 (2) (b) – O processamento é necessário para o cumprimento das obrigações no âmbito do emprego, lei de segurança ou de protecção social, ou um acordo colectivo 9 (2) (c) – O processamento é necessário para proteger os interesses vitais de um titular de dados ou de outro indivíduo em que o titular dos dados é física ou legalmente incapaz de dar o seu consentimento. 9 (2) (d) – Processamento realizado por órgão sem fins lucrativos com caráter político, filosófico, finalidade religiosa ou sindical, desde que o tratamento se refira apenas a membros ou membros (ou aqueles que têm contato regular com ele em conexão com esses propósitos) e desde que não haja divulgação a terceiros sem consentimento 9 (2) (e) – Processamento refere-se a dados pessoais manifestamente tornados públicos pela pessoa em causa 9 (2) (f) – O processamento é necessário para o estabelecimento, exercício ou defesa de ações judiciais. ou quando os tribunais estiverem a actuar judicialmente 9 (2) (g) – A transformação é necessária por razões de interesse público substancial com base Legislação da União ou do Estado-Membro que seja proporcional ao objectivo visado e que contenha salvaguardas apropriadas 9 (2) (h) – O tratamento é necessário para fins de medicina preventiva ou ocupacional, para avaliar a capacidade de trabalho do empregado, o diagnóstico médico, a prestação de cuidados de saúde ou sociais ou tratamento ou gestão de sistemas de saúde ou de assistência social e serviços públicos com base na legislação da União ou dos Estados-Membros ou num contrato com um profissional de saúde. 9 (2) (i) – O tratamento é necessário por razões de interesse público no domínio da saúde pública, como proteger contra ameaças transfronteiriças graves para a saúde ou garantir normas de cuidados de saúde e de medicamentos ou dispositivos médicos 9 (2) (j) – O processamento é necessário para fins de arquivamento no interesse público, ou e para fins de investigação histórica ou para fins estatísticos, em conformidade com o nº 1 do artigo 89º Outras leituras no GDPR Consentimento O consentimento ao abrigo do GDPR deve ser uma indicação livre, específica, informada e inequívoca da desejos do indivíduo. Deve haver alguma forma de ação afirmativa clara – ou, em outras palavras, um resultado positivo opt-in – o consentimento não pode ser inferido a partir do silêncio, caixas pré-marcadas ou inatividade. O consentimento também deve ser separado de outros termos e condições, e você precisará fornecer maneiras simples para as pessoas retirar o consentimento. As autoridades públicas e os empregadores terão de tomar cuidado especial para garantir que consentimento é dado livremente. O consentimento deve ser verificável, e os indivíduos geralmente têm mais direitos quando você confia no consentimento para processar seus dados. Ver artigos 6-10 e considerandos 38, 40-50, 59  Link externo  20 de outubro de 2017 – 1.13.4 10
Página 11
Lembre-se de que você pode confiar em outras bases legais além do consentimento – por exemplo, onde o processamento é necessário para os interesses legítimos da sua organização ou de um terceiro. Você não é obrigado a “repassar” ou atualizar automaticamente todos os consentimentos existentes da DPA em preparação para o GDPR. Mas se você confiar no consentimento das pessoas para processar seus dados, certifique-se de que elas atendam ao GDPR padrão em ser específico, granular, claro, proeminente, opt-in, devidamente documentado e facilmente retirado. Em caso negativo, altere seus mecanismos de consentimento e procure um novo consentimento compatível com GDPR ou encontre um alternativa ao consentimento. Outras leituras no GDPR Dados pessoais das crianças O GDPR contém novas disposições destinadas a melhorar a proteção dos dados pessoais das crianças. Avisos de privacidade para crianças Quando os serviços são oferecidos diretamente a uma criança, você deve garantir que seu aviso de privacidade seja maneira clara e simples que uma criança entenderá. Serviços online oferecidos a crianças Se oferecer um ‘serviço da sociedade da informação’ (ou seja, serviço online) a crianças, poderá ter de obter consentimento de um pai ou responsável para processar os dados da criança. O GDPR afirma que, se o consentimento for sua base para o processamento dos dados pessoais da criança, uma criança sob o idade de 16 anos não pode dar esse consentimento e, em vez disso, é necessário o consentimento de uma pessoa segurando ‘responsabilidade parental’ – mas note que permite aos estados membros prever uma idade menor na lei, contanto que não seja abaixo de 13. Ver artigos 4 (11), 6 (1) (a), 7, 8, 9 (2) (a) e os considerandos 32, 38, 40, 42, 43, 51, 59, 171  Link externo  Próximas etapas para o grupo de trabalho do artigo 29.º O Grupo de Trabalho do Artigo 29 deverá publicar as diretrizes sobre o consentimento em 2017 e as mais recentes calendário para que isso seja acordado e adotado em dezembro de 2017. Próximos passos para a OIC Analisamos o feedback recebido para o nosso esboço de orientação de consentimento. Um resumo do respostas podem ser encontradas no Consultas páginas  do site. No entanto, não seremos poderá publicar a versão final das nossas orientações até que o Grupo de Trabalho do Artigo 29 da As autoridades de proteção de dados concordaram com as diretrizes de consentimento em toda a Europa. 20 de outubro de 2017 – 1.13.4 11
Página 12
«Serviços da sociedade da informação» inclui a maior parte dos serviços Internet prestados a pedido do utilizador, normalmente por remuneração. O GDPR enfatiza que a proteção é particularmente significativa quando a informações pessoais são usadas para fins de marketing e criação de perfis on-line. O consentimento dos pais / responsáveis ​​não é necessário quando o processamento está relacionado a aconselhamento preventivo ou aconselhamento serviços oferecidos diretamente a uma criança. Outras leituras no GDPR Ver artigo 8º e considerando 38, 58, 71  Link externo  Próximos passos para a OIC A OIC está trabalhando na questão dos dados pessoais das crianças e pretendemos publicar os resultados isso em 2017. 20 de outubro de 2017 – 1.13.4 12
Página 13
Direitos individuais O GDPR cria alguns novos direitos para os indivíduos e fortalece alguns dos direitos que atualmente existem sob o DPA. O GDPR fornece os seguintes direitos para indivíduos: Esta parte da visão geral explica esses direitos. O direito de ser informado 1 O direito de acesso 2 O direito de retificação 3 O direito de apagar 4 O direito de restringir o processamento 5 O direito à portabilidade de dados 6 O direito de objetar 7 Direitos em relação à tomada de decisões e perfis automatizados. 8 20 de outubro de 2017 – 1.13.4 13
Página 14
O direito de ser informado Em resumo… O direito de ser informado engloba sua obrigação de fornecer ‘informação de processamento justo’, tipicamente através de um aviso de privacidade. Ele enfatiza a necessidade de transparência sobre como você usa dados pessoais. Em mais detalhes… Quais informações devem ser fornecidas? O GDPR define as informações que você deve fornecer e quando os indivíduos devem ser informados. A informação que você fornece é determinada se você obteve ou não os dados pessoais diretamente de indivíduos. Veja a tabela abaixo para mais informações sobre isso. Muitas das informações que você deve fornecer são consistentes com suas obrigações atuais sob o DPA, mas Há algumas informações adicionais que você é explicitamente obrigado a fornecer. A informação que você fornece sobre o processamento de dados pessoais deve ser: conciso, transparente, inteligível e de fácil acesso; escrito em linguagem clara e clara, particularmente se endereçado a uma criança; e grátis. A tabela abaixo resume as informações que você deve fornecer aos indivíduos e em que estágio. Quais informações devem ser fornecidas? Dados obtidos diretamente de assunto dos dados Dados não obtidos diretamente do assunto dos dados Identidade e detalhes de contato do controlador (e onde aplicável, o controlador representante) ea protecção de dados oficial Finalidade do processamento e do legal base para o processamento Os interesses legítimos do responsável pelo tratamento ou terceiro, quando aplicável Categorias de dados pessoais 20 de outubro de 2017 – 1.13.4 14
Página 15
Qualquer destinatário ou categorias de destinatários do dados pessoais Detalhes das transferências para países terceiros e proteções Período de retenção ou critérios usados ​​para determinar o período de retenção A existência de cada um dos direitos do titular dos dados O direito de retirar o consentimento a qualquer momento, onde relevante O direito de apresentar uma queixa com um autoridade supervisora A origem da qual os dados pessoais são originários e se veio de publicamente acessível fontes Se a provisão de parte de dados pessoais de uma exigência estatutária ou contratual ou obrigação e possíveis consequências da não fornecer os dados pessoais A existência de tomada de decisão automatizada, incluindo perfis e informações sobre como decisões são tomadas, o significado e a consequências. Quando as informações devem ser fornecidas? No momento em que o os dados são obtido. Dentro de um razoável período de ter obtido os dados (dentro de um mês) Se os dados forem usados ​​para comunicar com o indivíduo, em o mais tardar, quando o primeiro comunicação leva Lugar, colocar; ou Se a divulgação para outro destinatário está previsto, o mais recente, antes que os dados sejam 20 de outubro de 2017 – 1.13.4 15
Página 16
divulgado. Outras leituras – orientação da OIC Outras leituras no GDPR Avisos de privacidade, transparência e controle Para organizações  Ver artigos 12.º, n.º 1, 12.º, n.º 5, 12.º, n.º 7, 13.º e 14.º e considerandos 58-62 . Link externo  Próximas etapas para o grupo de trabalho do artigo 29.º De acordo com o seu plano de trabalho, o Grupo de Trabalho do Artigo 29º publicará orientações sobre transparência em 2017 20 de outubro de 2017 – 1.13.4 16
Página 17
O direito de acesso Em resumo… Que informação é um indivíduo com direito ao abrigo do GDPR? Sob o GDPR, os indivíduos terão o direito de obter: confirmação de que seus dados estão sendo processados; acesso aos seus dados pessoais; e outras informações suplementares – isso corresponde em grande parte à informação que deve ser fornecida em um aviso de privacidade (ver Artigo 15). Eles são semelhantes aos direitos de acesso a usuários existentes no DPA. Em mais detalhes… Qual é o propósito do direito de acesso sob GDPR? O GDPR esclarece que a razão para permitir que indivíduos acessem seus dados pessoais é para que eles Conhecer e verificar a legalidade do tratamento (considerando 63). Posso cobrar uma taxa para lidar com uma solicitação de acesso por assunto? Você deve fornecer uma cópia das informações gratuitamente. A remoção da taxa de acesso de £ 10 é uma mudança significativa em relação às regras existentes sob o DPA. No entanto, você pode cobrar uma ‘taxa razoável’ quando uma solicitação é manifestamente infundada ou excessiva, particularmente se for repetitivo. Você também pode cobrar uma taxa razoável para atender pedidos de cópias adicionais do mesmo em formação. Isso não significa que você pode cobrar por todas as solicitações de acesso subseqüentes. A taxa deve basear-se no custo administrativo de fornecer as informações. Quanto tempo tenho que cumprir? Você terá menos tempo para cumprir uma solicitação de acesso de assunto no âmbito do GDPR. A informação deve ser fornecida sem demora e, o mais tardar, no prazo de um mês a contar da recepção. Você poderá estender o período de cumprimento por mais dois meses, quando os pedidos forem complexo ou numeroso. Se este for o caso, você deve informar o indivíduo dentro de um mês do recebimento da solicitação e explique por que a extensão é necessária. E se o pedido for manifestamente infundado ou excessivo? Quando os pedidos são manifestamente infundados ou excessivos, em especial porque são repetitivos, posso: 20 de outubro de 2017 – 1.13.4 17
Página 18
cobrar uma taxa razoável, tendo em conta os custos administrativos da prestação da informação; ou recusar-se a responder. Quando você se recusa a responder a um pedido, deve explicar o motivo para o indivíduo, informando-o direito de reclamar perante a autoridade de supervisão e de um recurso judicial sem demora o mais tardar no prazo de um mês. Como as informações devem ser fornecidas? Você deve verificar a identidade da pessoa que faz a solicitação usando “meios razoáveis”. Se a solicitação for feita eletronicamente, você deve fornecer as informações em um documento eletrônico comumente usado. formato. O GDPR introduz uma nova recomendação de melhores práticas que, quando possível, as organizações devem ser capaz de fornecer acesso remoto a um sistema de auto-atendimento seguro que proporcionaria ao indivíduo acesso directo às suas informações (considerando 63). Isso não será apropriado para todas as organizações, mas existem alguns setores em que isso pode funcionar bem. O direito de obter uma cópia de informações ou de acessar dados pessoais por meio de um acesso seguro O sistema não deve afetar adversamente os direitos e liberdades dos outros. E quanto aos pedidos de grandes quantidades de dados pessoais? Quando você processa uma grande quantidade de informações sobre um indivíduo, o GDPR permite que você individual para especificar as informações a que o pedido se refere (considerando 63). O GDPR não introduz uma isenção para solicitações relacionadas a grandes quantidades de dados, mas você pode ser capaz de considerar se o pedido é manifestamente infundado ou excessivo. Outras leituras no GDPR Ver artigos 12.º, 15.º e considerando 63  Link externo  20 de outubro de 2017 – 1.13.4 18
Página 19
O direito de retificação Em resumo Quando os dados pessoais devem ser retificados? Os indivíduos têm o direito de ter os dados pessoais corrigidos se estiverem imprecisos ou incompletos. Se você tiver divulgado os dados pessoais em questão a terceiros, deverá informá-los sobre os rectificação sempre que possível. Você também deve informar os indivíduos sobre os terceiros a quem o os dados foram divulgados quando apropriado. Em mais detalhes… Por quanto tempo tenho que cumprir uma solicitação de retificação? Você deve responder no prazo de um mês. Isso pode ser estendido por dois meses, em que o pedido de retificação é complexo. Onde você não está agindo em resposta a um pedido de retificação, você deve explicar por que individual, informando-os do seu direito de reclamar à autoridade de supervisão e a um remédio. Outras leituras no GDPR Ver artigos 12, 16 e 19  Link externo  20 de outubro de 2017 – 1.13.4 19
Página 20
O direito de apagar Em resumo… O direito de apagar também é conhecido como “o direito de ser esquecido”. O amplo princípio subjacente a esta direito é permitir que um indivíduo solicite a exclusão ou remoção de dados pessoais quando não houver razão convincente para o seu processamento contínuo. Em mais detalhes… Quando o direito de apagar se aplica? O direito de apagar não fornece um direito absoluto a ser esquecido. Os indivíduos têm o direito de ter dados pessoais apagados e para impedir o processamento em circunstâncias específicas: Onde os dados pessoais não são mais necessários em relação ao propósito para o qual foram originalmente coletados / processados. Quando o indivíduo retira o consentimento. Quando o indivíduo se opõe ao processamento e não há interesse legítimo primordial para o processamento continuando o processamento. Os dados pessoais foram processados ​​ilegalmente (ou seja, violando o GDPR). Os dados pessoais devem ser apagados para cumprir uma obrigação legal. Os dados pessoais são processados ​​em relação à oferta de serviços da sociedade da informação a uma criança. Sob o DPA, o direito de apagar é limitado ao processamento que causa injustificável e substancial dano ou aflição. Sob o GDPR, esse limite não está presente. No entanto, se o processamento causar danos ou aflição, isso provavelmente fará com que o caso de apagamento seja mais forte. Existem algumas circunstâncias específicas em que o direito de apagar não se aplica e você pode se recusar a lidar com um pedido. Quando posso recusar-me a cumprir um pedido de apagamento? Você pode se recusar a atender a uma solicitação de exclusão quando os dados pessoais forem processados ​​para o pelas seguintes razões: exercer o direito de liberdade de expressão e informação; cumprir uma obrigação legal ou para o desempenho de uma tarefa de interesse público ou exercício de autoridade; para fins de saúde pública no interesse público; fins de arquivamento no interesse público, pesquisa histórica de pesquisa científica ou fins estatísticos; ou o exercício ou a defesa de ações judiciais. 20 de outubro de 2017 – 1.13.4 20
Página 21
Como o direito de apagar se aplica aos dados pessoais das crianças? Existem requisitos adicionais quando o pedido de apagamento se refere aos dados pessoais das crianças, refletindo a ênfase do GDPR na proteção aprimorada de tais informações, especialmente em ambientes on-line. Se você processar os dados pessoais de crianças, deve prestar atenção especial a situações existentes onde uma criança deu o consentimento para o processamento e posteriormente solicitou o apagamento dos dados idade no momento da solicitação), especialmente em sites de redes sociais e fóruns da Internet. Isto é porque uma criança pode não ter tido plena consciência dos riscos envolvidos no processamento no momento da consentimento (considerando 65). Tenho que informar outras organizações sobre o apagamento de dados pessoais? Se você divulgou os dados pessoais em questão a terceiros, você deve informá-los sobre o eliminação dos dados pessoais, a menos que seja impossível ou envolva um esforço desproporcionado para o fazer. O GDPR reforça o direito ao apagamento, esclarecendo que as organizações no ambiente online que tornar os dados pessoais públicos deve informar outras organizações que processam os dados pessoais para apagar links para, cópias ou replicação dos dados pessoais em questão. Embora isso possa ser um desafio, se você processar informações pessoais on-line, por exemplo, redes, fóruns ou sites, você deve se esforçar para cumprir esses requisitos. Como no exemplo abaixo, pode haver casos em que as organizações que processam os dados pessoais pode não ser obrigado a cumprir esta disposição porque uma isenção se aplica. Outras leituras no GDPR  Exemplo Um mecanismo de pesquisa notifica um editor de mídia de que está deslistando os resultados de pesquisa vinculados a um relatório de notícias como resultado de um pedido de apagamento de um indivíduo. Se a publicação do artigo estiver protegida por a isenção de liberdade de expressão, então o editor não é obrigado a apagar o artigo. Ver artigos 17º e 19º e considerandos 65 e 66  Link externo  20 de outubro de 2017 – 1.13.4 21
Página 22
O direito de restringir o processamento Em resumo… Sob o DPA, os indivíduos têm o direito de ‘bloquear’ ou suprimir o processamento de dados pessoais. o restrição de processamento sob o GDPR é semelhante. Quando o processamento é restrito, você tem permissão para armazenar os dados pessoais, mas não processá-los posteriormente. Você pode reter apenas informações suficientes sobre o indivíduo para garantir que a restrição seja respeitada futuro. Em mais detalhes… Quando o direito de restringir o processamento se aplica? Você será obrigado a restringir o processamento de dados pessoais nas seguintes circunstâncias: Quando um indivíduo contesta a precisão dos dados pessoais, você deve restringir o processamento até que você tenha verificado a precisão dos dados pessoais. Quando um indivíduo objetou ao processamento (onde foi necessário para o desempenho de um public interest task or purpose of legitimate interests), and you are considering whether your organisation’s legitimate grounds override those of the individual. When processing is unlawful and the individual opposes erasure and requests restriction instead. If you no longer need the personal data but the individual requires the data to establish, exercise or defend a legal claim. You may need to review procedures to ensure you are able to determine where you may be required to restrict the processing of personal data. If you have disclosed the personal data in question to third parties, you must inform them about the restriction on the processing of the personal data, unless it is impossible or involves disproportionate effort to do so. You must inform individuals when you decide to lift a restriction on processing. Further reading in the GDPR See Articles 18, 19 and Recital 67  External link  20 October 2017 – 1.13.4 22
Page 23
The right to data portability In brief… The right to data portability allows individuals to obtain and reuse their personal data for their own purposes across different services. It allows them to move, copy or transfer personal data easily from one IT environment to another in a safe and secure way, without hindrance to usability. Some organisations in the UK already offer data portability through the midata and similar initiatives which allow individuals to view, access and use their personal consumption and transaction data in a way that is portable and safe. It enables consumers to take advantage of applications and services which can use this data to find them a better deal, or help them understand their spending habits. In more detail… When does the right to data portability apply? The right to data portability only applies: to personal data an individual has provided to a controller; where the processing is based on the individual’s consent or for the performance of a contract; and when processing is carried out by automated means. How do I comply? You must provide the personal data in a structured, commonly used and machine readable form. Open formats include CSV files. Machine readable means that the information is structured so that software can extract specific elements of the data. This enables other organisations to use the data. The information must be provided free of charge. If the individual requests it, you may be required to transmit the data directly to another organisation if this is technically feasible. However, you are not required to adopt or maintain processing systems that are technically compatible with other organisations.  Exemplo midata is used to improve transparency across the banking industry by providing personal current account customers access to their transactional data for their account(s), which they can upload to a third party price comparison website to compare and identify best value. A price comparison website displays alternative current account providers based on their own calculations. 20 October 2017 – 1.13.4 23
Page 24
If the personal data concerns more than one individual, you must consider whether providing the information would prejudice the rights of any other individual. How long do I have to comply? You must respond without undue delay, and within one month. This can be extended by two months where the request is complex or you receive a number of requests. You must inform the individual within one month of the receipt of the request and explain why the extension is necessary. Where you are not taking action in response to a request, you must explain why to the individual, informing them of their right to complain to the supervisory authority and to a judicial remedy without undue delay and at the latest within one month. Further reading in the GDPR Further reading from the Article 29 Working Party See Articles 12, 20 and Recital 68  External link  The Article 29 Working Party has published guidelines  and FAQs  on data portability for organisations. 20 October 2017 – 1.13.4 24
Page 25
The right to object In brief… When does the right to object apply? Individuals have the right to object to: processing based on legitimate interests or the performance of a task in the public interest/exercise of official authority (including profiling); direct marketing (including profiling); and processing for purposes of scientific/historical research and statistics. In more detail… How do I comply with the right to object? If you process personal data for the performance of a legal task or your organisation’s legitimate interests Individuals must have an objection on “grounds relating to his or her particular situation”. You must stop processing the personal data unless: you can demonstrate compelling legitimate grounds for the processing, which override the interests, rights and freedoms of the individual; ou the processing is for the establishment, exercise or defence of legal claims. You must inform individuals of their right to object “at the point of first communication” and in your privacy notice. This must be “explicitly brought to the attention of the data subject and shall be presented clearly and separately from any other information”. If you process personal data for direct marketing purposes You must stop processing personal data for direct marketing purposes as soon as you receive an objection. There are no exemptions or grounds to refuse. You must deal with an objection to processing for direct marketing at any time and free of charge. You must inform individuals of their right to object “at the point of first communication” and in your privacy notice. This must be “explicitly brought to the attention of the data subject and shall be presented clearly and separately from any other information”. These requirements are similar to existing rules under the DPA. 20 October 2017 – 1.13.4 25
Page 26
If you process personal data for research purposes Individuals must have “grounds relating to his or her particular situation” in order to exercise their right se opor ao processamento para fins de pesquisa. Se você está conduzindo uma pesquisa onde o processamento de dados pessoais é necessário para o desempenho de uma tarefa de interesse público, você não é obrigado a cumprir uma objeção ao processamento. Se as suas atividades de processamento se enquadrarem em alguma das categorias acima e forem executadas conectados: Você deve oferecer um meio para as pessoas se oporem online. Outras leituras no GDPR Ver artigos 12.º, 21.º e 69.º e 70.º. Link externo  20 de outubro de 2017 – 1.13.4 26
Página 27
Direitos relacionados à tomada de decisão automatizada e perfilamento Em resumo… O GDPR fornece salvaguardas para indivíduos contra o risco de uma decisão potencialmente prejudicial tomadas sem intervenção humana. Esses direitos funcionam de maneira semelhante aos direitos existentes sob o DPA. Identifique se alguma de suas operações de processamento constitui tomada de decisão automatizada e considere se você precisa atualizar seus procedimentos para lidar com os requisitos do GDPR. Em mais detalhes… Quando a direita se aplica? Os indivíduos têm o direito de não estar sujeitos a uma decisão quando:baseia-se no processamento automatizado; e produz um efeito legal ou um efeito similarmente significativo no indivíduo. Você deve garantir que os indivíduos sejam capazes de: obter intervenção humana; expressar seu ponto de vista; e obter uma explicação da decisão e desafiá-la. O direito se aplica a todas as decisões automatizadas? Não. O direito não se aplica se a decisão: é necessário para entrar ou executar um contrato entre você e o indivíduo; is authorised by law (eg for the purposes of fraud or tax evasion prevention); ou based on explicit consent. (Article 9(2)). Furthermore, the right does not apply when a decision does not have a legal or similarly significant effect on someone. What else does the GDPR say about profiling? The GDPR defines profiling as any form of automated processing intended to evaluate certain personal aspects of an individual, in particular to analyse or predict their: performance at work; economic situation; health; 20 October 2017 – 1.13.4 27
Page 28
personal preferences; reliability; behaviour; location; ou movements. When processing personal data for profiling purposes, you must ensure that appropriate safeguards are in place. You must: Ensure processing is fair and transparent by providing meaningful information about the logic involved, as well as the significance and the envisaged consequences. Use appropriate mathematical or statistical procedures for the profiling. Implement appropriate technical and organisational measures to enable inaccuracies to be corrected and minimise the risk of errors. Secure personal data in a way that is proportionate to the risk to the interests and rights of the individual and prevents discriminatory effects. Automated decisions taken for the purposes listed in Article 9(2) must not : concern a child; ou be based on the processing of special categories of data unless: you have the explicit consent of the individual; ou the processing is necessary for reasons of substantial public interest on the basis of EU / Member State law. This must be proportionate to the aim pursued, respect the essence of the right to data protection and provide suitable and specific measures to safeguard fundamental rights and the interests of the individual. Further reading in the GDPR See Articles 4(4), 9, 22 and Recitals 71, 72  External link  Further reading from the Article 29 Working Party The Article 29 Working Party has published guidelines on Automated individual decision-making and Profiling. The consultation period for these guidelines will run for six weeks from 17 October 2017. Comments should be sent to the following addresses by 28 November 2017 at the latest: JUST-ARTICLE29WP-SEC@ec.europa.eu and presidenceg29@cnil.fr . 20 October 2017 – 1.13.4 28
Page 29
Next steps for the ICO We have now analysed the responses to our request for feedback on profiling and automated decision-making. UMA summary of the responses can be found on the Consultation pages of the website. We are currently considering whether the ICO can provide any further detail over and above the Article 29 Working Party guidelines. We will add any additional advice we are able to provide here in due course. 20 October 2017 – 1.13.4 29
Page 30
Accountability and governance In brief… The GDPR includes provisions that promote accountability and governance. These complement the GDPR’s transparency requirements. While the principles of accountability and transparency have previously been implicit requirements of data protection law, the GDPR’s emphasis elevates their significance. You are expected to put into place comprehensive but proportionate governance measures. Boa practice tools that the ICO has championed for a long time such as privacy impact assessments and privacy by design are now legally required in certain circumstances. Ultimately, these measures should minimise the risk of breaches and uphold the protection of personal data. Practically, this is likely to mean more policies and procedures for organisations, although many organisations will already have good governance measures in place. In more detail… What is the accountability principle? Records of processing activities (documentation) Data protection by design and by default Data protection impact assessments When does a Data Protection Officer need to be appointed under the GDPR? Codes of conduct and certification mechanisms What is the accountability principle? The new accountability principle in Article 5(2) requires you to demonstrate that you comply with the principles and states explicitly that this is your responsibility. How can I demonstrate that I comply? You must: Implement appropriate technical and organisational measures that ensure and demonstrate that you comply. This may include internal data protection policies such as staff training, internal audits of processing activities, and reviews of internal HR policies. Maintain relevant documentation on processing activities. Where appropriate, appoint a data protection officer. Implement measures that meet the principles of data protection by design and data protection by padrão. Measures could include: Data minimisation; 20 October 2017 – 1.13.4 30
Page 31
Pseudonymisation; Transparency; Allowing individuals to monitor processing; and Creating and improving security features on an ongoing basis. Use data protection impact assessments where appropriate. You can also: Adhere to approved codes of conduct and/or certification schemes. Veja o section on codes of conduct and certification for more detail. Records of processing activities (documentation) As well as your obligation to provide comprehensive, clear and transparent privacy policies (see section on Individual rights ) , if your organisation has more than 250 employees, you must maintain additional internal records of your processing activities. If your organisation has less than 250 employees you are required to maintain records of activities related to higher risk processing, such as: • processing personal data that could result in a risk to the rights and freedoms of individual; ou • processing of special categories of data or criminal convictions and offences. What do I need to record? Você deve manter registros internos de atividades de processamento. Você deve registrar as seguintes informações. Existem algumas semelhanças com “elementos de registo” ao abrigo da APD que devem ser notificados à ICO. Nome e detalhes da sua organização (e, quando aplicável, de outros controladores, sua representante e responsável pela protecção de dados). Finalidades do processamento. Descrição das categorias de indivíduos e categorias de dados pessoais. Categorias de destinatários de dados pessoais. Detalhes das transferências para países terceiros, incluindo a documentação das salvaguardas do mecanismo de transferência no lugar. Agendamentos de retenção. Descrição de medidas de segurança técnica e organizacional. Você pode ser solicitado a disponibilizar esses registros à autoridade supervisora ​​relevante para fins de uma investigação. Outras leituras no GDPR Ver o artigo 30.º, considerando 82.  Link externo  20 de outubro de 2017 – 1.13.4 31
Página 32
Outras leituras do Grupo de Trabalho do Artigo 29º Proteção de dados por design e por padrão Sob o GDPR, você tem uma obrigação geral de implementar medidas técnicas e organizacionais para mostre que você considerou e integrou a proteção de dados em suas atividades de processamento. Sob o DPA, privacidade por design sempre foi um requisito implícito dos princípios – por exemplo, relevância e não-excesso – que a OIC tem consistentemente defendido. A OIC publicou orientação nesta área . Outras leituras no GDPR Avaliações de impacto de proteção de dados O que é uma avaliação de impacto de proteção de dados? As avaliações de impacto de proteção de dados (DPIAs) (também conhecidas como avaliações de impacto de privacidade ou PIAs) são tool which can help organisations identify the most effective way to comply with their data protection obligations and meet individuals’ expectations of privacy. An effective DPIA will allow organisations to identify and fix problems at an early stage, reducing the associated costs and damage to reputation which might otherwise occur. While not a legal requirement under the DPA, the ICO has promoted the use of DPIAs as an integral part of taking a privacy by design approach. See the ICO’s Conducting privacy impact assessments code of practice  for good practice advice. When do I need to conduct a DPIA? You must carry out a DPIA when: using new technologies; and the processing is likely to result in a high risk to the rights and freedoms of individuals. O processamento que provavelmente resultará em um alto risco inclui (mas não está limitado a): O Grupo de Trabalho do Artigo 29º diretrizes publicadas sobre liderança autoridades de supervisão  e chumbo Perguntas frequentes da autoridade de supervisão  . Estes destinam-se a ajudar na identificação de qual é o principal autoridade de supervisão quando um responsável pelo tratamento ou um subcontratante está a dados pessoais. Ver artigo 25.º e considerando 78  Link externo  20 de outubro de 2017 – 1.13.4 32
Página 33
atividades sistemáticas e extensivas de processamento, incluindo perfis e onde as decisões que têm efeitos – ou efeitos significativos semelhantes – em indivíduos. processamento em larga escala de categorias especiais de dados ou relação de dados pessoais com condenações criminais ou ofensas. This includes processing a considerable amount of personal data at regional, national or supranational level; that affects a large number of individuals; and involves a high risk to rights and freedoms eg based on the sensitivity of the processing activity. large scale, systematic monitoring of public areas (CCTV). What information should the DPIA contain? A description of the processing operations and the purposes, including, where applicable, the legitimate interests pursued by the controller. An assessment of the necessity and proportionality of the processing in relation to the purpose. An assessment of the risks to individuals. The measures in place to address risk, including security and to demonstrate that you comply. A DPIA can address more than one project. Further reading in the GDPR When does a Data Protection Officer need to be appointed under the GDPR? Under the GDPR, you must appoint a data protection officer (DPO) if you: See Articles 35, 36 and 83 and Recitals 84, 89-96  External link  Próximos passos The Article 29 Working Party has finalised its guidelines on high risk processing and DPIAs  , following its consultation. Further reading from the ICO We are currently considering whether the ICO can provide any further detail over and above the Article 29 Working Party guidelines. We will add any additional advice we are able to provide here in due course. 20 October 2017 – 1.13.4 33
Page 34
are a public authority (except for courts acting in their judicial capacity); carry out large scale systematic monitoring of individuals (for example, online behaviour tracking); ou carry out large scale processing of special categories of data or data relating to criminal convictions and offences. You may appoint a single data protection officer to act for a group of companies or for a group of public authorities, taking into account their structure and size. Any organisation is able to appoint a DPO. Regardless of whether the GDPR obliges you to appoint a DPO, you must ensure that your organisation has sufficient staff and skills to discharge your obligations under the GDPR. What are the tasks of the DPO? The DPO’s minimum tasks are defined in Article 39: To inform and advise the organisation and its employees about their obligations to comply with the GDPR and other data protection laws. To monitor compliance with the GDPR and other data protection laws, including managing internal data protection activities, advise on data protection impact assessments; train staff and conduct internal audits. To be the first point of contact for supervisory authorities and for individuals whose data is processed (employees, customers etc). What does the GDPR say about employer duties? You must ensure that: The DPO reports to the highest management level of your organisation – ie board level. The DPO operates independently and is not dismissed or penalised for performing their task. Adequate resources are provided to enable DPOs to meet their GDPR obligations. Can we allocate the role of DPO to an existing employee? Sim. As long as the professional duties of the employee are compatible with the duties of the DPO and do not lead to a conflict of interests. You can also contract out the role of DPO externally. Does the data protection officer need specific qualifications? The GDPR does not specify the precise credentials a data protection officer is expected to have. It does require that they should have professional experience and knowledge of data protection law. This should be proportionate to the type of processing your organisation carries out, taking into consideration the level of protection the personal data requires. 20 October 2017 – 1.13.4 34
Page 35
Further reading in the GDPR Further reading from the Article 29 Working Party Further reading from the ICO Codes of conduct and certification mechanisms The GDPR endorses the use of approved codes of conduct and certification mechanisms to demonstrate that you comply. The specific needs of micro, small and medium sized enterprises must be taken into account. Signing up to a code of conduct or certification scheme is not obligatory. But if an approved code of conduct or certification scheme that covers your processing activity becomes available, you may wish to consider working towards it as a way of demonstrating that you comply. Adhering to codes of conduct and certification schemes brings a number of benefits over and above demonstrating that you comply. It can: improve transparency and accountability – enabling individuals to distinguish the organisations that meet the requirements of the law and they can trust with their personal data. provide mitigation against enforcement action; and improve standards by establishing best practice. When contracting work to third parties, including processors, you may wish to consider whether they have signed up to codes of conduct or certification mechanisms. Who is responsible for drawing up codes of conduct? Governments and regulators can encourage the drawing up of codes of conduct. See Articles 37-39, 83 and Recital 97  External link  The Article 29 Working Party has published guidelines on DPOs  and DPO FAQs  . We are currently considering whether the ICO can provide any further detail over and above the Article 29 Working Party guidelines. We will add any additional advice we are able to provide here in due course. 20 October 2017 – 1.13.4 35
Page 36
Codes of conduct may be created by trade associations or representative bodies. Codes should be prepared in consultation with relevant stakeholders, including individuals (Recital 99). Os códigos devem ser aprovados pela autoridade supervisora ​​relevante; e onde o processamento é cruzado fronteira, o European Data Protection Board (o EDPB). Os códigos existentes podem ser alterados ou estendidos para atender aos requisitos do GDPR. O que os códigos de conduta abordarão? Os códigos de conduta devem ajudá-lo a cumprir a lei e podem abranger tópicos como: processamento justo e transparente; interesses legítimos perseguidos pelos controladores em contextos específicos; a coleta de dados pessoais; a pseudonimização de dados pessoais; as informações fornecidas aos indivíduos e o exercício dos direitos dos indivíduos; as informações fornecidas e a proteção das crianças (incluindo mecanismos de obtenção de consentimento parental); medidas técnicas e organizacionais, incluindo a proteção de dados por projeto e por padrão e medidas de segurança; notificação de violação; transferências de dados para fora da UE; ou procedimentos de resolução de litígios. Implicações práticas Se você se inscrever para um código de conduta, você estará sujeito ao monitoramento obrigatório por um organismo credenciado pela autoridade de supervisão. Se você infringir os requisitos do código de prática, você poderá ser suspenso ou excluído e os autoridade supervisora ​​será informada. Você também corre o risco de ser multado em até 10 milhões de euros ou 2 por cento do seu volume de negócios global. A adesão a um código de conduta pode servir como um fator atenuante quando uma autoridade supervisora considerando a ação de execução por meio de uma multa administrativa. Quem é responsável pelos mecanismos de certificação? Os Estados-Membros, as autoridades de supervisão, o CEPD ou a Comissão devem incentivar a estabelecimento de mecanismos de certificação para aumentar a transparência e o cumprimento do Regulamento. A certificação será emitida por autoridades de supervisão ou organismos de certificação acreditados. Qual é o propósito de um mecanismo de certificação? 20 de outubro de 2017 – 1.13.4 36
Página 37
Um mecanismo de certificação é uma maneira de você demonstrar que cumpre, em particular, mostrar que você estão implementando medidas técnicas e organizacionais. Um mecanismo de certificação também pode ser estabelecido para demonstrar a existência de salvaguardas relacionadas com a adequação das transferências de dados. Destinam-se a permitir que os indivíduos avaliem rapidamente o nível de proteção de dados de um determinado produto ou serviço. Implicações práticas A certificação não reduz suas responsabilidades de proteção de dados. Você deve fornecer todas as informações necessárias e acesso às suas atividades de processamento para o organismo de certificação para permitir a realização do procedimento de certificação. Qualquer certificação será válida por um período máximo de três anos. Pode ser retirado se você não mais se encontrar os requisitos da certificação, e a autoridade supervisora ​​será notificada. Se você não aderir aos padrões do esquema de certificação, corre o risco de estar sujeito a um multa administrativa de até 10 milhões de euros ou 2 por cento do seu volume de negócios global. Outras leituras no GDPR Ver artigos 40 a 43 , 83 e considerandos 98, 99.100, 148, 150, 151  Link externo  Próximas etapas para o grupo de trabalho do artigo 29.º O Grupo de Trabalho do Artigo 29º publicou orientações sobre a aplicação de multas administrativas  20 de outubro de 2017 – 1.13.4 37
Página 38
Notificação de violação Em resumo… O GDPR introduzirá um dever em todas as organizações de relatar certos tipos de violação de dados ao autoridade supervisora ​​e, em alguns casos, aos indivíduos afetados. Em mais detalhes… O que é uma violação de dados pessoais? Uma violação de dados pessoais significa uma quebra de segurança que leva à destruição, perda, alteração, divulgação não autorizada ou acesso a dados pessoais. Isso significa que uma violação é mais do que apenas perder dados pessoais. Quais violações eu preciso notificar a autoridade supervisora ​​relevante? Só tem de notificar a autoridade de supervisão relevante de uma violação sempre que seja provável que resulte num risco aos direitos e liberdades dos indivíduos. Se não for atendido, tal violação provavelmente terá um impacto efeito prejudicial sobre os indivíduos – por exemplo, resultar em discriminação, danos à reputação, perda, perda de confidencialidade ou qualquer outra desvantagem econômica ou social significativa. Isso tem que ser avaliado caso a caso. Por exemplo, você precisará notificar os autoridade supervisora ​​sobre uma perda de detalhes do cliente onde a violação deixa os indivíduos roubo de identidade. Por outro lado, a perda ou alteração inadequada de uma lista telefônica de pessoal, por exemplo, normalmente não atende a esse limite. Quando as pessoas precisam ser notificadas? Onde uma violação é susceptível de resultar em um alto risco para os direitos e liberdades dos indivíduos, você deve notificar aqueles envolvidos diretamente. Um ‘alto risco’ significa que o limite para notificar os indivíduos é maior do que para notificar os autoridade supervisora. Quais informações devem conter uma notificação de violação? A natureza da violação de dados pessoais, incluindo, sempre que possível: as categorias e o número aproximado de indivíduos envolvidos; e  Exemplo Um hospital pode ser responsável por uma violação de dados pessoais se o registro de saúde de um paciente for acessado indevidamente devido à falta de controles internos apropriados. 20 de outubro de 2017 – 1.13.4 38
Página 39
as categorias e o número aproximado de registos de dados pessoais em causa; O nome e os detalhes de contato do encarregado de proteção de dados (se a sua organização tiver um) ou outro ponto de contato onde mais informações podem ser obtidas; Uma descrição das consequências prováveis ​​da violação de dados pessoais; e Uma descrição das medidas tomadas, ou propostas para serem tomadas, para lidar com a violação de dados pessoais e, quando apropriado, das medidas tomadas para mitigar quaisquer possíveis efeitos adversos. Como notifico uma violação? Uma violação notificável deve ser comunicada à autoridade de supervisão relevante no prazo de 72 horas organização tornando-se consciente disso. O GDPR reconhece que muitas vezes será impossível investigar um violar totalmente dentro desse período de tempo e permite que você forneça informações em fases. Se a violação for suficientemente séria para justificar a notificação ao público, a organização responsável deve fazê-lo sem demora indevida. Deixar de notificar uma violação quando necessário pode resultar em uma multa significativa de até 10 milhões de euros ou 2 por cento do seu volume de negócios global. O que devo fazer para me preparar para denúncias de violação? Você deve se certificar de que sua equipe entende o que constitui uma violação de dados, e que isso é mais do que uma perda de dados pessoais. Você deve garantir que você tenha um procedimento interno de relatório de violação. Isso facilitará tomada de decisão sobre a necessidade de notificar a autoridade de supervisão relevante ou o público. À luz dos prazos curtos para relatar uma violação – é importante ter uma detecção de violação robusta, procedimentos de investigação e relatórios internos em vigor. Outras leituras no GDPR Ver artigos 33º, 34º, 83º e 85º, 87º e 88º . Link externo  Outras leituras para o Grupo de Trabalho do Artigo 29º O Grupo de Trabalho do Artigo 29º publicou orientações sobre notificação de violação de dados pessoais . o O período de consulta para essas diretrizes será de seis semanas a partir de 17 de outubro de 2017. Os comentários devem ser enviados para os seguintes endereços até 28 de novembro de 2017, o mais tardar. JUST-ARTICLE29WP-SEC@ec.europa.eu  e presidenceg29@cnil.fr  . 20 de outubro de 2017 – 1.13.4 39
Página 40
Próximos passos para a OIC Estamos considerando se a OIC pode fornecer mais detalhes sobre o Artigo. 29 orientações do grupo de trabalho. Vamos adicionar qualquer conselho adicional que possamos fornecer aqui devido curso. 20 de outubro de 2017 – 1.13.4 40
Página 41
Transferência de dados Em resumo… O GDRR impõe restrições à transferência de dados pessoais para fora da União Europeia, para terceiros países ou organizações internacionais, a fim de assegurar que o nível de proteção dos indivíduos proporcionado pelo GDPR não é prejudicado. Em mais detalhes… Quando é que os dados pessoais podem ser transferidos para fora da União Europeia? Os dados pessoais só podem ser transferidos para fora da UE em conformidade com as condições de transferência estabelecido no capítulo V do GDPR. Transferências com base numa decisão da Comissão As transferências podem ser feitas quando a Comissão tenha decidido que um país terceiro, um território ou sectores mais específicos do país terceiro, ou uma organização internacional garante um nível adequado de protecção. Outras leituras no GDPR Transferências sujeitas a salvaguardas apropriadas Você pode transferir dados pessoais onde a organização que recebe os dados pessoais forneceu salvaguardas adequadas. Os direitos individuais devem ser recursos legais efetivos e executáveis ​​para indivíduos deve estar disponível após a transferência. Salvaguardas adequadas podem ser fornecidas por: um acordo juridicamente vinculativo entre autoridades ou organismos públicos; regras corporativas vinculativas (acordos que regem as transferências feitas entre organizações dentro de grupo de corporação); cláusulas-tipo de protecção de dados sob a forma de cláusulas de transferência de modelos adoptadas pela Comissão. Comissão; cláusulas-tipo de protecção de dados sob a forma de cláusulas de transferência de modelos adoptadas por um órgão de supervisão. autoridade competente e aprovado pela Comissão; cumprimento de um código de conduta aprovado e aprovado por uma autoridade supervisora; certificação sob um mecanismo de certificação aprovado, conforme previsto no GDPR; cláusulas contratuais acordadas e autorizadas pela autoridade de supervisão competente; ou disposições inseridas nas disposições administrativas entre autoridades ou organismos públicos Ver artigo 45.º e considerandos 103-107 e 169  Link externo  20 de outubro de 2017 – 1.13.4 41
Página 42
pela autoridade de controlo competente. Outras leituras no GDPR O GDPR limita a sua capacidade de transferir dados pessoais para fora da UE, onde isto é baseado apenas no seu avaliação própria da adequação da protecção conferida aos dados pessoais. Autorizações de transferências feitas pelos Estados-Membros ou autoridades de supervisão e decisões do Comissão quanto às garantias adequadas previstas na directiva permanecerão válidas / permanecerão em vigor até emendado, substituído ou revogado. Outras leituras no GDPR O GDPR prevê derrogações à proibição geral de transferências de dados pessoais para fora do UE para determinadas situações específicas. Uma transferência, ou conjunto de transferências, pode ser feita quando a transferência é: feita com o consentimento informado do indivíduo; necessário para a execução de um contrato entre o indivíduo ea organização ou para medidas pré-contratuais tomadas a pedido do indivíduo; necessário para a execução de um contrato feito no interesse do indivíduo entre o controlador e outra pessoa; necessário por razões importantes de interesse público; necessárias ao estabelecimento, exercício ou defesa de ações judiciais; necessárias para proteger os interesses vitais da pessoa em causa ou de outras pessoas, sempre que a pessoa em causa física ou legalmente incapaz de dar consentimento; ou feita a partir de um registo que, ao abrigo do direito do Reino Unido ou da UE, se destina a fornecer informações ao público (e que está aberto à consulta do público em geral ou daqueles que podem mostrar um interesse legítimo. interesse em inspeccionar o registo). As três primeiras derrogações não estão disponíveis para as actividades das autoridades públicas no exercício das suas poderes públicos. Ver artigo 46 e considerandos 108-10 e 114  . Link externo  Próximas etapas para o grupo de trabalho do artigo 29.º De acordo com o seu plano de trabalho, o grupo de trabalho do artigo 29.º publicará orientações sobre as transferências de dados com base em regras corporativas vinculativas e cláusulas contratuais em 2017. Ver os artigos 83º e 84º e os considerandos 148-152 . Link externo  20 de outubro de 2017 – 1.13.4 42
Página 43
Outras leituras no GDPR E quanto a transferências pontuais (ou infrequentes) de dados pessoais relativos apenas a poucos indivíduos? Mesmo quando não existe uma decisão da Comissão que autorize as transferências para o país em questão, se não possível demonstrar que os direitos individuais são protegidos por salvaguardas adequadas e que nenhum dos aplicam derrogações, o GDPR prevê que os dados pessoais podem ainda ser transferidos para fora da UE. No entanto, tais transferências são permitidas somente quando a transferência: não está sendo feito por uma autoridade pública no exercício de seus poderes públicos; não é repetitivo (transferências similares não são feitas regularmente); envolve dados relacionados apenas a um número limitado de indivíduos; é necessário para os interesses legítimos e convincentes da organização (desde que sejam tais interesses não são sobrepostos pelos interesses do indivíduo); e está sujeita a salvaguardas adequadas postas em prática pela organização (à luz de uma avaliação de todas as circunstâncias que cercam a transferência) para proteger os dados pessoais. Nestes casos, as organizações são obrigadas a informar a autoridade de supervisão relevante da transferência. e fornecer informações adicionais aos indivíduos. Outras leituras no GDPR Ver artigo 49.º e considerandos 111 e 112 . Link externo  Ver artigo 49.º e considerandos 113  Link externo  20 de outubro de 2017 – 1.13.4 43
Página 44
Derrogações nacionais Que derrogações o GDPR permite? O artigo 23.º permite que os Estados-Membros introduzam derrogações ao RGPD em determinadas situações. Esses são semelhante às isenções existentes de direitos e deveres no DPA. Os Estados-Membros podem introduzir isenções das obrigações de transparência da DPRP e direitos, mas apenas quando a restrição respeita a essência dos direitos fundamentais do indivíduo e liberdades e é uma medida necessária e proporcionada numa sociedade democrática para salvaguardar: segurança nacional; defesa; segurança Pública; a prevenção, investigação, detecção ou repressão de infrações penais; outros interesses públicos importantes, em especial os interesses económicos ou financeiros, incluindo os questões fiscais, saúde pública e segurança; a proteção da independência e dos processos judiciais; violações da ética nas profissões regulamentadas; funções de controlo, inspecção ou regulação relacionadas com o exercício de autoridade oficial segurança, defesa, outros interesses públicos importantes ou prevenção da criminalidade / ética; a proteção do indivíduo, ou os direitos e liberdades dos outros; ou a aplicação de questões de direito civil. Derrogações ou isenções de outros Estados-Membros O capítulo IX prevê que os Estados-Membros podem prever isenções, derrogações, condições ou relação a atividades específicas de processamento. Estes incluem processamento relacionado a: liberdade de expressão e liberdade de informação; acesso do público a documentos oficiais; números de identificação nacional; processamento de dados de funcionários; Processamento para fins de arquivo e para fins científicos ou históricos de pesquisa e estatística; obrigações de sigilo; e igrejas e associações religiosas. Outras leituras no GDPR Ver nºs 2 e 3 do artigo 6º, alínea a) do nº 2 do artigo 9º, artigos 23º e 85º-91º e considerandos 71, 50, 53, 153-165  Link externo  20 de outubro de 2017 – 1.13.4 44

 

Deixe um comentário

O seu endereço de e-mail não será publicado.