|
Regulamento(UE) n.º 679/2016, de 27 de Abril REGULAMENTO GERAL SOBRE A PROTEÇÃO DE DADOS (RGPD) DA UNIÃO EUROPEIA (UE)(versão actualizada) |
|
|
Contém as seguintes alterações: |
Ver versões do diploma:
|
|
|
|
|
| SUMÁRIO REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO
de 27 de abril de 2016
relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados)
(Texto relevante para efeitos do EEE) _____________________ |
|
Secção 4
Encarregado da proteção de dados
| Artigo 37.º
Designação do encarregado da proteção de dados |
1. O responsável pelo tratamento e o subcontratante designam um encarregado da proteção de dados sempre que:
a)O tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional;
b)As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou
c)As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados nos termos do artigo 9.º ou de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10.º.
2. Um grupo empresarial pode também designar um único encarregado da proteção de dados desde que haja um encarregado da proteção de dados que seja facilmente acessível a partir de cada estabelecimento.
3. Quando o responsável pelo tratamento ou o subcontratante for uma autoridade ou um organismo público, pode ser designado um único encarregado da proteção de dados para várias dessas autoridades ou organismos, tendo em conta a respetiva estrutura organizacional e dimensão.
4. Em casos diferentes dos visados no n.º 1, o responsável pelo tratamento ou o subcontratante ou as associações e outros organismos que representem categorias de responsáveis pelo tratamento ou de subcontratantes podem, ou, se tal lhes for exigido pelo direito da União ou dos Estados-Membros, designar um encarregado da proteção de dados. O encarregado da proteção de dados pode agir em nome das associações e de outros organismos que representem os responsáveis pelo tratamento ou os subcontratantes.
5. O encarregado da proteção de dados é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as funções referidas no artigo 39.º.
6. O encarregado da proteção de dados pode ser um elemento do pessoal da entidade responsável pelo tratamento ou do subcontratante, ou exercer as suas funções com base num contrato de prestação de serviços.
7. O responsável pelo tratamento ou o subcontratante publica os contactos do encarregado da proteção de dados e comunica-os à autoridade de controlo. |
Contém as alterações dos seguintes diplomas:
- Retificação n.º 00/2016, de 04/05
|
Consultar versões anteriores deste artigo:
-1ª versão: Regulamento(UE) n.º 679/2016, de 27/04
|
|
|
|
Artigo 38.º
Posição do encarregado da proteção de dados |
1. O responsável pelo tratamento e o subcontratante asseguram que o encarregado da proteção de dados seja envolvido, de forma adequada e em tempo útil, a todas as questões relacionadas com a proteção de dados pessoais.
2. O responsável pelo tratamento e o subcontratante apoia o encarregado da proteção de dados no exercício das funções a que se refere o artigo 39.º, fornecendo-lhe os recursos necessários ao desempenho dessas funções e à manutenção dos seus conhecimentos, bem como dando-lhe acesso aos dados pessoais e às operações de tratamento.
3. O responsável pelo tratamento e o subcontratante asseguram que da proteção de dados não recebe instruções relativamente ao exercício das suas funções. O encarregado não pode ser destituído nem penalizado pelo responsável pelo tratamento ou pelo subcontratante pelo facto de exercer as suas funções. O encarregado da proteção de dados informa diretamente a direção ao mais alto nível do responsável pelo tratamento ou do subcontratante.
4. Os titulares dos dados podem contactar o encarregado da proteção de dados sobre todas questões relacionadas com o tratamento dos seus dados pessoais e com o exercício dos direitos que lhe são conferidos pelo presente regulamento.
5. O encarregado da proteção de dados está vinculado à obrigação de sigilo ou de confidencialidade no exercício das suas funções, em conformidade com o direito da União ou dos Estados-Membros.
6. O encarregado da proteção de dados pode exercer outras funções e atribuições. O responsável pelo tratamento ou o subcontratante assegura que essas funções e atribuições não resultam num conflito de interesses. |
| |
|
|
|
|
Artigo 39.º
Funções do encarregado da proteção de dados |
1. O encarregado da proteção de dados tem, pelo menos, as seguintes funções:
a)Informa e aconselha o responsável pelo tratamento ou o subcontratante, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações nos termos do presente regulamento e de outras disposições de proteção de dados da União ou dos Estados-Membros;
b)Controla a conformidade com o presente regulamento, com outras disposições de proteção de dados da União ou dos Estados-Membros e com as políticas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados, e as auditorias correspondentes;
c)Presta aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e controla a sua realização nos termos do artigo 35.º;
d)Coopera com a autoridade de controlo;
e)Ponto de contacto para a autoridade de controlo sobre questões relacionadas com o tratamento, incluindo a consulta prévia a que se refere o artigo 36.º, e consulta, sendo caso disso, esta autoridade sobre qualquer outro assunto.
2. No desempenho das suas funções, o encarregado da proteção de dados tem em devida consideração os riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento. |
| |
|
|
|
|
Secção 5
Códigos de conduta e certificação
| Artigo 40.º
Códigos de conduta |
1. Os Estados-Membros, as autoridades de controlo, o Comité e a Comissão promovem a elaboração de códigos de conduta destinados a contribuir para a correta aplicação do presente regulamento, tendo em conta as características dos diferentes setores de tratamento e as necessidades específicas das micro, pequenas e médias empresas.
2. As associações e outros organismos representantes de categorias de responsáveis pelo tratamento ou de subcontratantes podem elaborar códigos de conduta, alterar ou aditar a esses códigos, a fim de especificar a aplicação do presente regulamento, como por exemplo:
a)O tratamento equitativo e transparente;
b)Os legítimos interesses dos responsáveis pelo tratamento em contextos específicos;
c)A recolha de dados pessoais;
d)A pseudonimização dos dados pessoais;
e)A informação prestada ao público e aos titulares dos dados;
f)O exercício dos direitos dos titulares dos dados;
g)As informações prestadas às crianças e a sua proteção, e o modo pelo qual o consentimento do titular das responsabilidades parentais da criança deve ser obtido;
h)As medidas e procedimentos a que se referem os artigos 24.º e 25.º e as medidas destinadas a garantir a segurança do tratamento referidas no artigo 30.º;
i)A notificação de violações de dados pessoais às autoridades de controlo e a comunicação dessas violações de dados pessoais aos titulares dos dados;
j)A transferência de dados pessoais para países terceiros ou organizações internacionais; ou
k)As ações extrajudiciais e outros procedimentos de resolução de litígios entre os responsáveis pelo tratamento e os titulares dos dados em relação ao tratamento, sem prejuízo dos direitos dos titulares dos dados nos termos dos artigos 77.º e 79.º.
3. Além dos responsáveis pelo tratamento ou dos subcontratantes sujeitos ao presente regulamento, também os responsáveis pelo tratamento ou subcontratantes que não estão sujeitos ao presente regulamento por força do artigo 3.º podem cumprir códigos de conduta aprovados em conformidade com o n.º 5 do presente artigo e de aplicabilidade geral por força do n.º 9 do presente artigo, de modo a fornecer garantias apropriadas no quadro das transferências dos dados pessoais para países terceiros ou organizações internacionais nos termos referidos no artigo 46.º, n.º 2, alínea e). Os responsáveis pelo tratamento ou os subcontratantes assumem compromissos vinculativos e com força executiva, por meio de instrumentos contratuais ou de outros instrumentos juridicamente vinculativos, no sentido de aplicar as garantias apropriadas, inclusivamente em relação aos direitos dos titulares dos dados.
4. Os códigos de conduta referidos no n.º 2 do presente artigo devem prever procedimentos que permitam ao organismo referido no artigo 41.º, n.º 1, efetuar a supervisão obrigatória do cumprimento das suas disposições por parte dos responsáveis pelo tratamento ou subcontratantes que se comprometam a aplicá-lo, sem prejuízo das funções e competências das autoridades de controlo competentes por força do artigo 55.º ou 56.º.
5. As associações e outros organismos a que se refere o n.º 2 do presente artigo que tencionem elaborar um código de conduta, ou alterar ou aditar a um código existente, apresentam o projeto de código, a alteração ou o aditamento à autoridade de controlo que é competente por força do artigo 55.º. A autoridade de controlo emite um parecer sobre a conformidade do projeto de código de conduta ou da alteração ou do aditamento com o presente regulamento e aprova este projeto, esta alteração ou este aditamento se determinar que são previstas garantias apropriadas suficientes.
6. Se o código de conduta, ou a alteração ou o aditamento for aprovado nos termos do n.º 5, e se o código de conduta em causa não estiver relacionado com atividades de tratamento realizadas em vários Estados-Membros, a autoridade de controlo regista e publica o código.
7. Se o projeto do código de conduta estiver relacionado com atividades de tratamento realizadas em vários Estados-Membros, a autoridade de controlo competente nos termos do artigo 55.º, antes da aprovação, apresenta o projeto do código, a alteração ou o aditamento, pelo procedimento referido no artigo 63.º, ao Comité, que emite um parecer sobre a conformidade do projeto de código de conduta, ou da alteração ou do aditamento, com o presente regulamento, ou, na situação referida no n.º 3 do presente artigo, sobre a previsão de garantias adequadas.
8. Se o parecer a que se refere o n.º 7 confirmar que o projeto do código de conduta, ou a alteração ou o aditamento, está conforme com o presente regulamento ou, na situação referida no n.º 3, prevê garantias adequadas, o Comité apresenta o seu parecer à Comissão.
9. A Comissão pode, através de atos de execução, decidir que os códigos de conduta aprovados, bem como as alterações ou os aditamentos, que lhe sejam apresentados nos termos do n.º 8 do presente artigo, são de aplicabilidade geral na União. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93.º, n.º 2.
10. A Comissão assegura a publicidade adequada dos códigos aprovados que declarou, mediante decisão, serem de aplicabilidade geral em conformidade com o n.º 9.
11. O Comité recolhe todos os códigos de conduta aprovados, respetivas alterações e respetivos aditamentos num registo e disponibiliza-os ao público pelos meios adequados. |
| |
|
|
|
|
Artigo 41.º
Supervisão dos códigos de conduta aprovados |
1. Sem prejuízo das funções e competências da autoridade de controlo competente ao abrigo dos artigos 57.º e 58.º, a supervisão de conformidade com um código de conduta nos termos do artigo 40.º pode ser efetuada por um organismo que tenha um nível adequado de competência relativamente ao objeto do código e esteja acreditado para o efeito pela autoridade de controlo competente.
2. O organismo a que se refere o n.º 1 pode ser acreditado para supervisão de conformidade com um código de conduta, se:
a)Tiver demonstrado que goza de independência e dispõe dos conhecimentos necessários em relação ao objeto do código, de forma satisfatória para a autoridade de controlo competente;
b)Tiver estabelecido procedimentos que lhe permitam avaliar a elegibilidade dos responsáveis pelo tratamento e dos subcontratantes em questão para aplicar o código, verificar se estes respeitam as disposições do mesmo e rever periodicamente o seu funcionamento;
c)Tiver estabelecido procedimentos e estruturas para tratar reclamações relativas a violações do código ou à forma como o código tenha sido ou esteja a ser aplicado pelo responsável pelo tratamento ou subcontratante, e para tornar estes procedimentos e estruturas transparentes para os titulares dos dados e o público; e
d)Demonstrar, de forma satisfatória para a autoridade de controlo competente, que as suas funções e atribuições não implicam um conflito de interesses.
3. A autoridade de controlo competente apresenta os projetos de requisitos para a acreditação do organismo referido no n.º 1 do presente artigo ao Comité, de acordo com o procedimento de controlo da coerência referido no artigo 63.º.
4. Sem prejuízo das funções e competências da autoridade de controlo competente e do disposto no capítulo VIII, o organismo a que se refere o n.º 1 do presente artigo toma, sob reserva das garantias adequadas, as medidas que forem adequadas em caso de violações do código por um responsável pelo tratamento ou por um subcontratante, incluindo a suspensão ou exclusão desse responsável ou subcontratante do código. O referido organismo informa a autoridade de controlo competente dessas medidas e dos motivos que levaram à sua tomada.
5. A autoridade de controlo competente revoga a acreditação do organismo a que se refere o n.º 1 se os requisitos para a acreditação não estiverem ou tiverem deixado de estar reunidas, ou se as medidas tomadas pelo organismo violarem o presente regulamento.
6. O presente artigo não se aplica ao tratamento realizado por autoridades e organismos públicos. |
Contém as alterações dos seguintes diplomas:
- Retificação n.º 00/2016, de 04/05
|
Consultar versões anteriores deste artigo:
-1ª versão: Regulamento(UE) n.º 679/2016, de 27/04
|
|
|
|
1. Os Estados-Membros, as autoridades de controlo, o Comité e a Comissão promovem, em especial ao nível da União, a criação de procedimentos de certificação em matéria de proteção de dados, bem como selos e marcas de proteção de dados, para efeitos de comprovação da conformidade das operações de tratamento de responsáveis pelo tratamento e subcontratantes com o presente regulamento. Serão tidas em conta as necessidades específicas das micro, pequenas e médias empresas.
2. Além do cumprimento pelos responsáveis pelo tratamento ou pelos subcontratantes sujeitos ao presente regulamento, os procedimentos de certificação em matéria de proteção de dados, bem como selos ou marcas aprovados de acordo com o n.º 5 do presente artigo também podem ser estabelecidos para efeitos de comprovação da existência de garantias adequadas fornecidas por responsáveis pelo tratamento ou por subcontratantes que não estão sujeitos ao presente regulamento por força do artigo 3.º no quadro das transferências de dados pessoais para países terceiros ou organizações internacionais nos termos referidos no artigo 46.º, n.º 2, alínea f). Os responsáveis pelo tratamento ou os subcontratantes assumem compromissos vinculativos e com força executiva, por meio de instrumentos contratuais ou de outros instrumentos juridicamente vinculativos, no sentido de aplicar as garantias adequadas, inclusivamente em relação aos direitos dos titulares dos dados.
3. A certificação é voluntária e está disponível através de um processo transparente.
4. A certificação prevista no presente artigo não diminui a responsabilidade dos responsáveis pelo tratamento e subcontratantes pelo cumprimento do presente regulamento nem prejudica as funções e competências das autoridades de controlo competentes por força do artigo 55.º ou 56.º.
5. A certificação prevista no presente artigo é emitida pelos organismos de certificação referidos no artigo 43.º ou pela autoridade de controlo competente, com base nos critérios por esta aprovados por força do artigo 58.º, n.º 3, ou pelo Comité por força do artigo 63.º. Caso os critérios sejam aprovados pelo Comité, podem ter como resultado uma certificação comum, o Selo Europeu de Proteção de Dados.
6. Os responsáveis pelo tratamento ou subcontratantes que submetem o seu tratamento ao procedimento de certificação fornecem ao organismo de certificação a que se refere o artigo 43.º, ou, consoante o caso, à autoridade de controlo competente, todo o acesso às suas atividades de tratamento e toda a informação de que haja necessidade para efetuar o procedimento de certificação.
7. A certificação é emitida aos responsáveis pelo tratamento e subcontratantes por um período máximo de três anos e pode ser renovada nas mesmas condições, desde que os critérios aplicáveis continuem a estar reunidos. A certificação é retirada, consoante o caso, pelos organismos de certificação referidos no artigo 43.º ou pela autoridade de controlo competente, se os critérios para a certificação não estiverem ou tiverem deixado de estar reunidos.
8. O Comité recolhe todos os procedimentos de certificação e todos os selos e marcas de proteção de dados aprovados num registo e disponibiliza-os ao público por todos os meios adequados. |
Contém as alterações dos seguintes diplomas:
- Retificação n.º 00/2016, de 04/05
|
Consultar versões anteriores deste artigo:
-1ª versão: Regulamento(UE) n.º 679/2016, de 27/04
|
|
|
|
Artigo 43.º
Organismos de certificação |
1. Sem prejuízo das atribuições e poderes da autoridade de controlo competente nos termos dos artigos 57.º e 58.º, um organismo de certificação que tenha um nível adequado de competência em matéria de proteção de dados emite e renova a certificação, após informar a autoridade de controlo para que esta possa exercer as suas competências nos termos do artigo 58.º, n.º 2, alínea h), sempre que necessário. Os Estados-Membros asseguram que estes organismos de certificação são acreditados:
a)Pela autoridade de controlo que é competente nos termos do artigo 55.º ou 56.º;
b)Pelo organismo nacional de acreditação, designado nos termos do Regulamento (CE) n.º 765/2008 do Parlamento Europeu e do Conselho (20), em conformidade com a norma EN-ISO/IEC 17065/2012 e com os requisitos adicionais estabelecidos pela autoridade de controlo que é competente nos termos do artigo 55.º ou 56.º.
2. Os organismos de certificação referidos no n.º 1 são acreditados em conformidade com o mesmo, apenas se:
a)Tiverem demonstrado que gozam de independência e dispõem dos conhecimentos necessários em relação ao objeto da certificação, de forma satisfatória para a autoridade de controlo competente;
b)Se tiverem comprometido a respeitar os critérios referidos no artigo 42.º, n.º 5, e aprovados pela autoridade de controlo que é competente por força do artigo 55.º ou 56.º ou pelo Comité por força do artigo 63.º;
c)Tiverem estabelecido procedimentos para a emissão, revisão periódica e retirada de procedimentos de certificação, selos e marcas de proteção de dados;
d)Tiverem estabelecido procedimentos e estruturas para tratar reclamações relativas a violações da certificação ou à forma como a certificação tenha sido ou esteja a ser implementada pelo responsável pelo tratamento ou subcontratante, e para tornar estes procedimentos e estruturas transparentes para os titulares dos dados e o público; e
e)Demonstrarem, de forma satisfatória para a autoridade de controlo competente, que as suas funções e atribuições não implicam um conflito de interesses.
3. A acreditação dos organismos de certificação referida nos n.ºs 1 e 2 do presente artigo é efetuada com base nos requisitos aprovados pela autoridade de controlo que é competente por força do artigo 55.º ou do artigo 56.º ou pelo Comité por força do artigo 63.º. No caso de acreditações nos termos do n.º 1, alínea b), do presente artigo, esses requisitos complementam os requisitos previstos no Regulamento (CE) n.º 765/2008 e as regras técnicas que descrevem os métodos e procedimentos dos organismos de certificação.
4. Os organismos de certificação a que se refere o n.º 1 são responsáveis pela correta avaliação necessária à certificação, ou pela revogação dessa certificação, sem prejuízo da responsabilidade que cabe ao responsável pelo tratamento ou ao subcontratante pelo cumprimento do presente regulamento. A acreditação é emitida por um período máximo de cinco anos e pode ser renovada nas mesmas condições, desde que o organismo de certificação reúna os requisitos estabelecidos no presente artigo.
5. Os organismos de certificação a que se refere o n.º 1 fornecem às autoridades de controlo competentes os motivos que levaram à concessão ou revogação da certificação solicitada.
6. Os requisitos referidos no n.º 3 do presente artigo, e os critérios referidos no artigo 42.º, n.º 5, são publicados pela autoridade de controlo sob uma forma facilmente acessível. As autoridades de controlo também comunicam estes requisitos e estas informações ao Comité.
7. Sem prejuízo do capítulo VIII, a autoridade de controlo competente ou o organismo nacional de acreditação revoga uma acreditação do organismo de certificação nos termos do n.º 1 do presente artigo, se as condições para a acreditação não estiverem ou tiverem deixado de estar reunidas, ou se as medidas tomadas pelo organismo de certificação violarem o presente regulamento.
8. A Comissão fica habilitada a adotar atos delegados nos termos do artigo 92.º, a fim de especificar os requisitos a ter em conta relativamente aos procedimentos de certificação em matéria de proteção de dados referidos no artigo 42.º, n.º 1.
9. A Comissão pode adotar atos de execução estabelecendo normas técnicas para os procedimentos de certificação e os selos e marcas em matéria de proteção de dados, e regras para promover e reconhecer esses procedimentos de certificação, selos e marcas. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93.º, n.º 2. |
Contém as alterações dos seguintes diplomas:
- Retificação n.º 00/2016, de 04/05
|
Consultar versões anteriores deste artigo:
-1ª versão: Regulamento(UE) n.º 679/2016, de 27/04
|
|
|
|
CAPÍTULO V
Transferências de dados pessoais para países terceiros ou organizações internacionais
| Artigo 44.º
Princípio geral das transferências |
| Qualquer transferência de dados pessoais que sejam ou venham a ser objeto de tratamento após transferência para um país terceiro ou uma organização internacional só é realizada se, sem prejuízo das outras disposições do presente regulamento, as condições estabelecidas no presente capítulo forem respeitadas pelo responsável pelo tratamento e pelo subcontratante, inclusivamente no que diz respeito às transferências ulteriores de dados pessoais do país terceiro ou da organização internacional para outro país terceiro ou outra organização internacional. Todas as disposições do presente capítulo são aplicadas de forma a assegurar que não é comprometido o nível de proteção das pessoas singulares garantido pelo presente regulamento. |
| |
|
|
|
|
Artigo 45.º
Transferências com base numa decisão de adequação |
1. Pode ser realizada uma transferência de dados pessoais para um país terceiro ou uma organização internacional se a Comissão tiver decidido que o país terceiro, um território ou um ou mais setores específicos desse país terceiro, ou a organização internacional em causa, assegura um nível de proteção adequado. Esta transferência não exige autorização específica.
2. Ao avaliar a adequação do nível de proteção, a Comissão tem nomeadamente em conta os seguintes elementos:
a)O primado do Estado de direito, o respeito pelos direitos humanos e liberdades fundamentais, a legislação pertinente em vigor, tanto a geral como a setorial, nomeadamente em matéria de segurança pública, defesa, segurança nacional e direito penal, e respeitante ao acesso das autoridades públicas a dados pessoais, bem como a aplicação dessa legislação e das regras de proteção de dados, das regras profissionais e das medidas de segurança, incluindo as regras para a transferência ulterior de dados pessoais para outro país terceiro ou organização internacional, que são cumpridas nesse país ou por essa organização internacional, e a jurisprudência, bem como os direitos dos titulares dos dados efetivos e oponíveis, e vias de recurso administrativo e judicial para os titulares de dados cujos dados pessoais sejam objeto de transferência;
b)A existência e o efetivo funcionamento de uma ou mais autoridades de controlo independentes no país terceiro ou às quais esteja sujeita uma organização internacional, responsáveis por assegurar e impor o cumprimento das regras de proteção de dados, e dotadas de poderes coercitivos adequados para assistir e aconselhar os titulares dos dados no exercício dos seus direitos, e cooperar com as autoridades de controlo dos Estados-Membros; e
c)Os compromissos internacionais assumidos pelo país terceiro ou pela organização internacional em causa, ou outras obrigações decorrentes de convenções ou instrumentos juridicamente vinculativos, bem como da sua participação em sistemas multilaterais ou regionais, em especial em relação à proteção de dados pessoais.
3. Após avaliar a adequação do nível de proteção, a Comissão pode decidir, através de um ato de execução, que um país terceiro, um território ou um ou mais setores específicos de um país terceiro, ou uma organização internacional, garante um nível de proteção adequado na aceção do n.º 2 do presente artigo. O ato de execução prevê um procedimento de avaliação periódica, no mínimo de quatro em quatro anos, que deverá ter em conta todos os desenvolvimentos pertinentes no país terceiro ou na organização internacional. O ato de execução especifica o âmbito de aplicação territorial e setorial e, se for caso disso, identifica a autoridade ou autoridades de controlo a que se refere o n.º 2, alínea b), do presente artigo. O referido ato de execução é adotado pelo procedimento de exame a que se refere o artigo 93.º, n.º 2.
4. A Comissão controla, de forma continuada, os desenvolvimentos nos países terceiros e nas organizações internacionais que possam afetar o funcionamento das decisões adotadas nos termos do n.º 3 do presente artigo e das decisões adotadas com base no artigo 25.º, n.º 6, da Diretiva 95/46/CE.
5. A Comissão, sempre que a informação disponível revelar, nomeadamente na sequência da revisão a que se refere o n.º 3 do presente artigo, que um país terceiro, um território ou um ou mais setores específicos de um país terceiro, ou uma organização internacional, deixou de assegurar um nível de proteção adequado na aceção do n.º 2 do presente artigo, na medida do necessário, revoga, altera ou suspende a decisão referida no n.º 3 do presente artigo, através de atos de execução, sem efeitos retroativos. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93.º, n.º 2.
Por imperativos de urgência devidamente justificados, a Comissão adota atos de execução imediatamente aplicáveis pelo procedimento a que se refere o artigo 93.º, n.º 3.
6. A Comissão inicia consultas com o país terceiro ou a organização internacional com vista a corrigir a situação que tiver dado origem à decisão tomada nos termos do n.º 5.
7. As decisões tomadas ao abrigo do n.º 5 do presente artigo não prejudicam as transferências de dados pessoais para o país terceiro, um território ou um ou mais setores específicos desse país terceiro, ou para a organização internacional em causa, nos termos dos artigos 46.º a 49.º.
8. A Comissão publica no Jornal Oficial da União Europeia e no seu sítio web uma lista dos países terceiros, territórios e setores específicos de um país terceiro e de organizações internacionais relativamente aos quais tenha declarado, mediante decisão, se asseguram ou não um nível de proteção adequado.
9. As decisões adotadas pela Comissão com base no artigo 25.º, n.º 6, da Diretiva 95/46/CE permanecem em vigor até que sejam alteradas, substituídas ou revogadas por uma decisão da Comissão adotada em conformidade com o n.º 3 ou o n.º 5 do presente artigo. |
| |
|
|
|
|
Artigo 46.º
Transferências sujeitas a garantias adequadas |
1. Não tendo sido tomada qualquer decisão nos termos do artigo 45.º, n.º 3, os responsáveis pelo tratamento ou subcontratantes só podem transferir dados pessoais para um país terceiro ou uma organização internacional se tiverem apresentado garantias adequadas, e na condição de os titulares dos dados gozarem de direitos oponíveis e de medidas jurídicas corretivas eficazes.
2. Podem ser previstas as garantias adequadas referidas no n.º 1, sem requerer nenhuma autorização específica de uma autoridade de controlo, por meio de:
a)Um instrumento juridicamente vinculativo e com força executiva entre autoridades ou organismos públicos;
b)Regras vinculativas aplicáveis às empresas em conformidade com o artigo 47.º;
c)Cláusulas-tipo de proteção de dados adotadas pela Comissão pelo procedimento de exame referido no artigo 93.º, n.º 2;
d)Cláusulas-tipo de proteção de dados adotadas por uma autoridade de controlo e aprovadas pela Comissão pelo procedimento de exame referido no artigo 93.º, n.º 2;
e)Um código de conduta, aprovado nos termos do artigo 40.º, acompanhado de compromissos vinculativos e com força executiva assumidos pelos responsáveis pelo tratamento ou pelos subcontratantes no país terceiro no sentido de aplicarem as garantias adequadas, nomeadamente no que respeita aos direitos dos titulares dos dados; ou
f)Um procedimento de certificação, aprovado nos termos do artigo 42.º, acompanhado de compromissos vinculativos e com força executiva assumidos pelos responsáveis pelo tratamento ou pelos subcontratantes no país terceiro no sentido de aplicarem as garantias adequadas, nomeadamente no que respeita aos direitos dos titulares dos dados.
3. Sob reserva de autorização da autoridade de controlo competente, podem também ser previstas as garantias adequadas referidas no n.º 1, nomeadamente por meio de:
a)Cláusulas contratuais entre os responsáveis pelo tratamento ou subcontratantes e os responsáveis pelo tratamento, subcontratantes ou destinatários dos dados pessoais no país terceiro ou organização internacional; ou
b)Disposições a inserir nos acordos administrativos entre as autoridades ou organismos públicos que contemplem os direitos efetivos e oponíveis dos titulares dos dados.
4. A autoridade de controlo aplica o procedimento de controlo da coerência a que se refere o artigo 63.º nos casos enunciados no n.º 3 do presente artigo.
5. As autorizações concedidas por um Estado-Membro ou uma autoridade de controlo com base no artigo 26.º, n.º 2, da Diretiva 95/46/CE continuam válidas até que a mesma autoridade de controlo as altere, substitua ou revogue, caso seja necessário. As decisões adotadas pela Comissão com base no artigo 26.º, n.º 4, da Diretiva 95/46/CE permanecem em vigor até que sejam alteradas, substituídas ou revogadas, caso seja necessário, por uma decisão da Comissão adotada em conformidade com o n.º 2 do presente artigo. |
| |
|
|
|
|
Artigo 47.º
Regras vinculativas aplicáveis às empresas |
1. Pelo procedimento de controlo da coerência previsto no artigo 63.º, a autoridade de controlo competente aprova regras vinculativas aplicáveis às empresas, que devem:
a)Ser juridicamente vinculativas e aplicáveis a todas as entidades em causa do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta, incluindo os seus funcionários, as quais deverão assegurar o seu cumprimento;
b)Conferir expressamente aos titulares dos dados direitos oponíveis relativamente ao tratamento dos seus dados pessoais; e
c)Preencher os requisitos estabelecidos no n.º 2.
2. As regras vinculativas aplicáveis às empresas a que se refere o n.º 1 especificam, pelo menos:
a)A estrutura e os contactos do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta e de cada uma das entidades que o compõe;
b)As transferências ou conjunto de transferências de dados, incluindo as categorias de dados pessoais, o tipo de tratamento e suas finalidades, o tipo de titulares de dados afetados e a identificação do país ou países terceiros em questão;
c)O seu caráter juridicamente vinculativo, a nível interno e externo;
d)A aplicação dos princípios gerais de proteção de dados, nomeadamente a limitação das finalidades, a minimização dos dados, a limitação dos prazos de conservação, a qualidade dos dados, a proteção dos dados desde a conceção e por defeito, o fundamento jurídico para o tratamento, o tratamento de categorias especiais de dados pessoais, as medidas de garantia da segurança dos dados e os requisitos aplicáveis a transferências posteriores para organismos não abrangidos pelas regras vinculativas aplicáveis às empresas;
e)Os direitos dos titulares dos dados relativamente ao tratamento e regras de exercício desses direitos, incluindo o direito de não ser objeto de decisões baseadas unicamente no tratamento automatizado, nomeadamente a definição de perfis a que se refere o artigo 22.º, o direito de apresentar uma reclamação à autoridade de controlo competente e aos tribunais competentes dos Estados-Membros nos termos do artigo 79.º, bem como o de obter reparação e, se for caso disso, indemnização pela violação das regras vinculativas aplicáveis às empresas;
f)A aceitação, por parte do responsável pelo tratamento ou subcontratante estabelecido no território de um Estado-Membro, da responsabilidade por toda e qualquer violação das regras vinculativas aplicáveis às empresas cometida por uma entidade envolvida que não se encontre estabelecida na União; o responsável pelo tratamento ou o subcontratante só pode ser exonerado dessa responsabilidade, no todo ou em parte, mediante prova de que o facto que causou o dano não é imputável à referida entidade;
g)A forma como as informações sobre as regras vinculativas aplicáveis às empresas, nomeadamente, sobre as disposições referidas nas alíneas d), e) e f) do presente número, são comunicadas aos titulares dos dados para além das informações referidas nos artigos 13.º e 14.º;
h)As funções de qualquer encarregado da proteção de dados, designado nos termos do artigo 37.ºou de qualquer outra pessoa ou entidade responsável pelo controlo do cumprimento das regras vinculativas aplicáveis às empresas, a nível do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta, e pela supervisão das ações de formação e do tratamento de reclamações;
i)Os procedimentos de reclamação;
j)Os procedimentos existentes no grupo empresarial ou no grupo de empresas envolvidas numa atividade económica conjunta para assegurar a verificação do cumprimento das regras vinculativas aplicáveis às empresas. Esses procedimentos incluem a realização de auditorias sobre a proteção de dados e o recurso a métodos que garantam a adoção de medidas corretivas capazes de preservar os direitos dos respetivos titulares. Os resultados dessa verificação devem ser comunicados à pessoa ou entidade referida na alínea h) e ao Conselho de Administração da empresa ou grupo empresarial que exerce o controlo ou do grupo de empresas envolvidas numa atividade económica conjunta, devendo também ser facultados à autoridade de controlo competente, a pedido desta;
k)Os procedimentos de elaboração de relatórios e de registo de alterações às regras, bem como de comunicação dessas alterações à autoridade de controlo;
l)O procedimento de cooperação com a autoridade de controlo para assegurar o cumprimento, por qualquer entidade do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta, em especial facultando à autoridade de controlo os resultados de verificações das medidas referidas na alínea j);
m)Os procedimentos de comunicação, à autoridade de controlo competente, de todos os requisitos legais a que uma entidade do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta esteja sujeita num país terceiro que sejam passíveis de ter forte impacto negativo nas garantias dadas pelas regras vinculativas aplicáveis às empresas; e
n)Ações de formação especificamente dirigidas a pessoas que tenham, em permanência ou regularmente, acesso a dados de natureza pessoal.
3. A Comissão pode especificar o formato e os procedimentos de intercâmbio de informações entre os responsáveis pelo tratamento, os subcontratantes e as autoridades de controlo no que respeita às regras vinculativas aplicáveis às empresas na aceção do presente artigo. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93.º, n.º 2. |
| |
|
|
|
|
|