Clínica Internacional de Campo de Ourique
Pub

Outros Sites

Visite os nossos laboratórios, onde desenvolvemos pequenas aplicações que podem ser úteis:


Simulador de Parlamento


Desvalorização da Moeda

Aviso 8953/2018, de 2 de Julho

Partilhar:

Sumário

Projeto de Regulamento Relativo à Recolha, Tratamento e Livre Circulação de Dados Pessoais nos Serviços Municipalizados de Água e Saneamento de Vila Franca de Xira

Texto do documento

Aviso 8953/2018

Nos termos do artigo 101.º do Código do Procedimento Administrativo, aprovado em anexo ao Decreto-Lei 4/2015, de 07/01, submete-se a consulta pública, pelo período de trinta dias, o projeto de Regulamento Relativo à Recolha, Tratamento e Livre Circulação de Dados Pessoais nos Serviços Municipalizados de Água e Saneamento de Vila Franca de Xira, aprovado pela câmara municipal na sua reunião ordinária de 2018/06/13, conforme consta do edital 440/2018, datado de 2018/06/15.

Projeto de Regulamento Relativo à Recolha, Tratamento e Livre Circulação de Dados Pessoais nos Serviços Municipalizados de Água e Saneamento de Vila Franca de Xira

Nota Justificativa

Com a celebração da Convenção para a Proteção das Pessoas relativamente ao Tratamento Automatizado de Dados de Caráter Pessoal (Convenção 108) do Conselho da Europa de 1981, com depósito do instrumento de ratificação por Portugal em 2 de setembro de 1993, pela primeira vez foi feita referência aos princípios que nortearam a elaboração da Diretiva 95/46/CE, de 24 de outubro e ao Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016.

A Diretiva 95/46/CE do Parlamento Europeu e do Conselho visou harmonizar a defesa dos direitos e das liberdades fundamentais das pessoas singulares em relação às atividades de tratamento de dados e assegurar a livre circulação de dados pessoais entre os Estados-Membros.

A proteção das pessoas singulares relativamente ao tratamento de dados pessoais é um direito fundamental. O artigo 8.º, n.º 1, da Carta dos Direitos Fundamentais da União Europeia e o artigo 16.º, n.º 1, do Tratado sobre o Funcionamento da União Europeia estabelecem que todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito.

Os princípios e as regras em matéria de proteção das pessoas singulares relativamente ao tratamento dos seus dados pessoais deverão respeitar, independentemente da nacionalidade ou do local de residência dessas pessoas, os seus direitos e liberdades fundamentais, nomeadamente o direito à proteção dos dados pessoais. O presente Regulamento tem como objetivo contribuir para a realização de um espaço de liberdade, segurança e justiça e de uma união económica, para o progresso económico e social, a consolidação e a convergência das economias a nível do mercado interno e para o bem-estar das pessoas singulares.

Em Portugal a Diretiva 95/46/CE, foi transposta para a ordem jurídica portuguesa através da Lei 67/98, de 26 de outubro (Lei da Proteção de Dados Pessoais).

O Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, que define o novo regime jurídico da proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, foi publicado em 4 de maio de 2016 no Jornal Oficial da União Europeia, entrou em vigor a 25 de maio de 2016, sendo de aplicação direta em todos os Estados-Membros a partir de 25 de maio de 2018, e revogou a Diretiva 95/46/CE do Parlamento Europeu e do Conselho.

Os Serviços Municipalizados de Água e Saneamento de Vila Franca de Xira, em conformidade com o artigo 40.º do Regulamento da UE acima mencionado, têm de promover a elaboração de um código de conduta, destinado a contribuir para a correta aplicação do mesmo regulamento e neste sentido torna-se necessário elaborar um regulamento, que discipline a recolha de dados pessoais e o respetivo tratamento.

De acordo com o Regulamento Geral sobre a Proteção de Dados (RGPD), entende-se por «'dados pessoais', informação relativa a uma pessoa singular identificada ou identificável (titular dos dados); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular» (cf. n.º 1 do artigo 4.º RGPD).

Entende-se, por sua vez, por «'tratamento' uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o pagamento ou a destruição» (conforme n.º 2 do artigo 4.º RGPD).

O código de conduta dos SMAS designa-se por «Regulamento Relativo à Recolha, Tratamento, e Livre Circulação de Dados Pessoais nos Serviços Municipalizados de Água e Saneamento de Vila Franca de Xira».

O Conselho de Administração na sua reunião de 31 de janeiro de 2018, deliberou o envio à câmara municipal do início do procedimento e participação procedimental relativos à elaboração do Regulamento Relativo à Recolha, Tratamento e Livre Circulação de Dados Pessoais nos Serviços Municipalizados de Água e Saneamento de Vila Franca de Xira.

A câmara municipal na sua reunião de 07 de fevereiro de 2018, deliberou aprovar o início do procedimento e participação procedimental relativo à elaboração do presente Regulamento, com publicitação na Internet, no site institucional dos Serviços Municipalizados, tendo início a 09 de fevereiro de 2018, nos termos do artigo 98.º do Código do Procedimento Administrativo, aprovado em Anexo ao Decreto-Lei 4/2015, de 7 de janeiro.

Nestes termos, e sem prejuízo da legislação que o Estado Português ainda possa vir a publicar para esclarecer algumas matérias do RGPD, foi elaborado o presente projeto de Regulamento.

Assim,

O presente projeto de Regulamento tem por normas habilitantes as disposições conjugadas do n.º 7, do artigo 112.º e artigo 241.º, da Constituição da República Portuguesa, bem como o disposto nos n.os 1 e 2 do artigo 23.º, na alínea g), do n.º 1, do artigo 25.º e na alínea k), do n.º 1 do artigo 33.º, do Anexo I à Lei 75/2013, de 12 de setembro, na redação em vigor, e ainda o disposto na alínea f) do artigo 13.º da Lei 50/2012, de 31 de agosto, pelo que se submete o mesmo para aprovação pelo Conselho de Administração para posterior remessa à câmara municipal para aprovação e sujeição a consulta pública, pelo prazo de 30 dias úteis, contados da data de publicação na 2.ª série do Diário da República e na Internet, no site institucional dos serviços municipalizados, podendo os interessados durante o referido período, apresentarem as suas observações e sugestões, dirigidas ao Senhor Presidente do Conselho de Administração, na forma escrita, para o e-mail protecaodedados@smas-vfxira.pt ou na Loja do Munícipe, sita na rua Bartolomeu Dias, n.º 9, Quinta da Mina, 2600-076 Vila Franca de Xira, nos termos do disposto nos artigos 100.º e 101.º do Código do Procedimento Administrativo, aprovado em Anexo ao Decreto-Lei 4/2015, de 7 de janeiro, visando posterior remessa, para aprovação do documento final, à assembleia municipal.

CAPÍTULO I

Disposições gerais

Artigo 1.º

Lei habilitante

O presente Regulamento é elaborado ao abrigo e nos termos do artigo 241.º da Constituição da República Portuguesa, do disposto do artigo 135.º do Código do Procedimento Administrativo, aprovado pelo Decreto-Lei 4/2015, de 7 de janeiro, do n.º 1 e 2 do artigo 23.º, na alínea g), do n.º 1, do artigo 25.º, da alínea k), do n.º 1, do artigo 33.º do Anexo I à Lei 75/2013, de 12 de setembro, na redação em vigor e do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados).

Artigo 2.º

Objeto

O presente Regulamento tem por objeto a elaboração de um código de conduta destinado a disciplinar internamente a recolha e tratamento de dados pessoais e à livre circulação desses dados por parte dos Serviços Municipalizados de Água e Saneamento de Vila Franca de Xira, abreviadamente designado por SMAS VFX, tendo em conta os direitos e os legítimos interesses dos titulares dos dados e de terceiros, em conformidade com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, doravante designado abreviadamente por RGPD, bem como da legislação nacional aplicável e orientações das autoridades de controlo.

Artigo 3.º

Âmbito de aplicação

O presente Regulamento aplica-se a todos os tratamentos de dados pessoais realizados por parte dos SMAS VFX, nos quais se inclui o tratamento de dados de munícipes do concelho, de cidadãos portugueses que residam no estrangeiro ou de estrangeiros que se encontrem em território português, que tenham fornecido os seus dados pessoais em virtude de qualquer procedimento efetuado junto destes SMAS VFX.

Artigo 4.º

Definições

Para efeitos do presente Regulamento, entende-se por:

1 - Dados pessoais, informação relativa a uma pessoa singular identificada ou identificável (titular dos dados); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.

2 - Tratamento, uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.

3 - Responsável pelo tratamento, a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro.

4 - Consentimento do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.

5 - Avaliação de impacto sobre a proteção de dados, um processo concebido para descrever o tratamento, avaliar a necessidade e proporcionalidade desse tratamento e ajudar a gerir os riscos para os direitos e liberdades das pessoas singulares decorrentes do tratamento dos dados pessoais avaliando-os e determinando as medidas necessárias para fazer face a esses riscos.

Artigo 5.º

Princípios base

1 - Os princípios base do RGPD, e do presente Regulamento, são a transparência, a finalidade, a precisão, a conservação, a integridade e confidencialidade e a responsabilização dos operacionais do tratamento de dados pessoais.

2 - No que se reporta aos princípios acima mencionados, entende-se o seguinte:

a) Por princípio da transparência o processamento dos dados pessoais deve ser feito de forma lícita, leal e transparente, com respeito pelos direitos do titular dos direitos de personalidade;

b) Por princípio da finalidade a recolha de dados pessoais deve ser determinada a uma finalidade específica e essa, além de legítima deve ser explícita - os dados pessoais recolhidos devem corresponder ao «mínimo indispensável» para se satisfazer a finalidade pretendida;

c) Por princípio da precisão os dados pessoais devem ser exatos e atualizados sempre que necessário e quando estejam inexatos devem os mesmos ser eliminados ou corrigidos, utilizando para tal todas as medidas adequadas;

d) Por princípio da conservação o prazo de conservação de dados pessoais, não pode exceder o tempo necessário para a concretização da finalidade para as quais os dados pessoais foram recolhidos;

e) Por princípio da integridade e confidencialidade o legislador estabelece o dever de integridade e confidencialidade no tratamento de dados pessoais;

f) Por princípio da responsabilização dos operacionais do tratamento de dados pessoais os operacionais devem ser responsáveis e devem ser responsabilizados por obedecer e compatibilizar o tratamento de dados pessoais com as normas constantes do RGPD, na legislação nacional, bem como no presente Regulamento.

Artigo 6.º

Direitos dos titulares dos dados pessoais

1 - De acordo com o disposto no RGPD, constituem direitos dos titulares dos dados pessoais, os seguintes:

a) O direito à informação, no momento em que os dados são recolhidos, ou caso a recolha dos dados não seja feita diretamente junto deste, logo que os dados sejam tratados o titular dos dados, tem o direito de ser informado sobre:

A finalidade do tratamento e o prazo de conservação;

A base jurídica para o tratamento dos seus dados;

A quem podem ser comunicados e/ou transmitidos os seus dados;

Quais as condições em que pode aceder e retificar os seus dados;

Quais os dados que tem que fornecer obrigatoriamente e quais são opcionais;

O contacto do responsável pelo tratamento dos dados, bem como do encarregado da proteção de dados.

b) O direito de acesso aos dados, o titular dos dados pessoais tem o direito de aceder aos dados que sejam registados sobre si, sem restrições e sem demoras, bem como saber quaisquer informações disponíveis sobre a origem desses dados. O exercício do direito de acesso deve ser feito pelo titular dos dados mediante formulário, em suporte digital ou de papel, dirigido ao responsável pelo tratamento dos dados, tendo o direito de obter uma cópia dos dados num formato acessível, desde que não prejudique os direitos e as liberdades de terceiros;

c) O direito à portabilidade e à transferência dos dados, quando o tratamento de dados pessoais se realize por meios automatizados e se basear no consentimento prévio do titular dos dados ou na necessidade de cumprimento de uma obrigação contratual, o titular dos dados pessoais tem o direito a:

Receber os seus dados pessoais que foram objeto de tratamento num formato estruturado, de uso corrente e de leitura automática;

Transmitir esses dados a outro responsável por tratamento de dados, sem que o responsável pelo tratamento dos SMAS VFX se possa opor, e desde que o mesmo não prejudique os direitos e as liberdades de terceiros.

d) O direito de retificação, o titular dos dados pessoais tem o direito a solicitar ao responsável pelo tratamento dos dados, mediante formulário, em suporte digital ou de papel, a retificação dos dados pessoais inexatos que lhe digam respeito;

e) O direito à oposição, o titular dos dados pessoais tem o direito de se opor, a seu pedido e gratuitamente, ao tratamento dos seus dados pessoais, nos seguintes casos:

Para efeitos de publicidade direta ou de qualquer outra forma de prospeção, sem o seu prévio consentimento;

Que sejam comunicados a terceiros, salvo disposição legal em contrário;

A que os seus dados, nalguns casos previstos na lei, não sejam objeto de tratamento, por razões ponderosas e legítimas relacionadas com a sua situação particular.

f) O direito ao apagamento e à eliminação («direito a ser esquecido»), o titular dos dados pessoais tem o direito de exigir que os seus dados sejam eliminados, dos ficheiros de endereços utilizados para efeitos de publicidade.

O direito a ser esquecido é definido pelo direito de os titulares dos dados impedirem a continuação do tratamento dos respetivos dados e de os mesmos serem apagados quando deixarem de ser necessários para fins legítimos. Assim, sempre que uma pessoa singular deixe de permitir o tratamento dos seus dados e não haja razões legítimas para a sua conservação, os dados deverão obrigatoriamente ser apagados.

O exercício do direito de apagamento e à eliminação dos dados é exercido diretamente junto do responsável pelo tratamento dos dados, mediante formulário, em suporte digital ou de papel.

Artigo 7.º

Consentimento

1 - O consentimento dado pelo titular dos dados deve ser sempre dado de forma escrita, expressa, livre, específica e informada.

2 - Da declaração de consentimento deve também constar qual o tratamento realizado sobre os dados, qual a finalidade, se existe partilha ou transferência dessa informação com outras entidades e qual o prazo de conservação.

3 - O consentimento deverá abranger todas as atividades de tratamento realizadas com a mesma finalidade.

4 - Quando o tratamento dos dados for realizado com base no consentimento, o responsável pelo tratamento tem de conseguir demonstrar que tem o consentimento do titular dos dados para o tratamento dos seus dados pessoais.

5 - O titular dos dados tem o direito de retirar o seu consentimento a qualquer momento, não comprometendo a licitude do tratamento efetuado com base no consentimento previamente dado.

6 - O consentimento dado tem de ser tão fácil de retirar quanto foi de dar.

CAPÍTULO II

Responsável pelo tratamento de dados

Artigo 8.º

Responsável pelo tratamento de dados pessoais

Nos SMAS VFX, o responsável pelo tratamento dos dados pessoais é o Presidente do Conselho de Administração.

Artigo 9.º

Competências do responsável pelo tratamento de dados pessoais

1 - São competências do responsável pelo tratamento de dados pessoais:

a) Aplicar as medidas técnicas e organizativas que forem adequadas para assegurar que, por defeito, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento, de forma a poder comprovar que o tratamento é realizado em conformidade com o RGPD, legislação nacional e o presente Regulamento. Essas medidas são revistas e atualizadas consoante as necessidades;

b) Comunicar à autoridade de controlo as violações dos dados pessoais que lhe sejam comunicadas pelo encarregado da proteção de dados, sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma, a menos que a violação dos dados pessoais não seja suscetível de resultar risco para os direitos e liberdades das pessoas singulares. Se a notificação à autoridade de controlo não for transmitida no prazo de 72 horas, é acompanhada dos motivos do atraso;

c) Comunicar ao titular dos dados pessoais, sem demora injustificada, a violação destes, se a mesma for suscetível de implicar um elevado risco para os seus direitos e liberdades, exceto quando se verifique um dos seguintes casos:

I) O responsável pelo tratamento tiver aplicado medidas de proteção adequadas, tanto técnicas como organizativas, nomeadamente medidas que tornem os dados pessoais incompreensíveis para qualquer pessoa não autorizada a aceder a esses dados, tais como a cifragem;

II) O responsável pelo tratamento tiver tomado medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades dos titulares dos dados a que se refere a alínea c) já não for suscetível de se concretizar; ou

III) Implicar um esforço desproporcionado. Nesse caso, é feita uma comunicação pública ou tomada uma medida semelhante através da qual os titulares dos dados são informados de forma igualmente eficaz.

d) Proceder, antes de iniciar o tratamento de dados pessoais, a uma avaliação de impacto sobre a proteção dos referidos dados, a fim de avaliar a probabilidade ou gravidade particulares do elevado risco, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento e as fontes do risco, bem como consultar a autoridade de controlo. Essa avaliação de impacto deverá incluir, nomeadamente, as medidas, garantias e procedimentos previstos para atenuar esse risco, assegurar a proteção dos dados pessoais e comprovar a observância do cumprimento do RGPD, legislação nacional e do presente Regulamento;

e) Solicitar pareceres ao encarregado da proteção de dados, nos termos da alínea anterior;

f) Apoiar o encarregado da proteção de dados no exercício das suas funções, fornecendo-lhe os recursos necessários ao desempenho dessas funções e à manutenção dos seus conhecimentos, bem como dando-lhe acesso aos dados pessoais e às operações de tratamento.

Artigo 10.º

Responsabilidade dos dirigentes e/ou responsáveis das unidades orgânicas

1 - Todos os dirigentes dos SMAS VFX e/ou responsáveis por unidades orgânicas devem identificar as diferentes atividades que são desenvolvidas nas mesmas, bem como os dados pessoais que são recolhidos e o respetivo tratamento.

2 - Os dirigentes e/ou responsáveis pelas unidades orgânicas devem comunicar ao encarregado da proteção de dados a informação recolhida no ponto anterior e mantê-la atualizada.

CAPÍTULO III

Medidas de segurança

Artigo 11.º

Acesso e arquivamento

1 - O acesso aos dados pessoais recolhidos deve estar devidamente acautelado, no sentido de apenas poderem aceder aos mesmos os trabalhadores que em determinado momento processual estejam a desenvolver algum procedimento que os legitime, devendo ser criado um registo que confirme o acesso, e o mesmo seja informatizado, onde conste o nome do trabalhador, o motivo para a consulta, a data e a identificação do documento/processo.

2 - No caso dos dados pessoais se encontrarem disponíveis fisicamente, estes devem estar devidamente arquivados em locais fechados, sendo que as chaves devem igualmente estar na posse de trabalhadores determinados pelos respetivos dirigentes e/ou responsáveis das unidades orgânicas, devendo, neste caso, ser guardado um registo de acesso aos mesmos, onde conste o nome do trabalhador, o motivo para a consulta, a data e a identificação do documento/processo.

3 - No caso de os dados pessoais constarem de processos arquivados ou a decorrerem em plataformas eletrónicas, os dirigentes e/ou responsáveis pelas unidades orgânicas devem identificar quem tem permissões para aceder aos mesmos e os momentos em que o podem fazer.

Artigo 12.º

Segurança das redes e sistemas de informação

A recolha, tratamento e salvaguarda dos dados pessoais, deve estar assente numa conceção que tenha no seu desenho, como principal objetivo, a segurança, que garanta, nomeadamente o seguinte:

a) Para este efeito deverão ser cumpridos em todas as aplicações e sistemas de informação dos SMAS VFX os requisitos técnicos constantes na Resolução do Conselho de Ministros n.º 41/2018, de 28 de março de 2018, que define as orientações técnicas para a Administração Pública em matéria de arquitetura de segurança das redes e sistemas de informação relativos a dados pessoais;

b) É da competência dos dirigentes e/ou responsáveis pelas unidades orgânicas determinar os requisitos gerais indicados no número anterior, nomeadamente devem determinar quem tem permissões para recolher e tratar dados pessoais, no âmbito dos processos que coordenam;

c) É da competência da informática definir e implementar os requisitos específicos indicados na alínea a) do presente artigo;

d) Adicionalmente poderão ser acauteladas e desenvolvidas medidas tecnológicas e procedimentais tendentes a aumentar e garantir os níveis e segurança de todos os dados pessoais e restante informação à sua guarda.

Artigo 13.º

Avaliação de impacto sobre a proteção de dados

1 - A avaliação de impacto sobre a proteção de dados consiste num processo que visa estabelecer e demonstrar a conformidade com o RGPD, legislação nacional e o presente Regulamento.

2 - Nos casos em que as operações de tratamento de dados sejam suscetíveis de resultar num elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo seu tratamento deverá encarregar-se da realização de uma avaliação de impacto da proteção de dados para determinação, nomeadamente, da origem, natureza, particularidade e gravidade desse risco.

3 - Uma avaliação de impacto sobre a proteção de dados deve conter:

a) Uma descrição do tratamento e das suas finalidades;

b) Uma avaliação da necessidade e da proporcionalidade do tratamento;

c) Uma apreciação sobre os riscos para os direitos e liberdades do titular;

d) Medidas previstas para diminuir os riscos em conformidade com o RGPD, legislação nacional, orientações das autoridades de controlo e o presente Regulamento.

4 - Para além das operações de tratamento sujeitas a uma avaliação de impacto sobre a proteção de dados definidas no RGPD, em legislação nacional, bem como a lista que a autoridade de controlo tornar pública, deverão os SMAS VFX efetuar avaliação aquando das seguintes situações:

a) A celebração de protocolos de geminação com países fora do âmbito territorial do RGPD, quando exista transferência de dados pessoais que implique um elevado risco para os direitos e liberdades das pessoas singulares;

b) As transferências de base de dados ou de ferramentas eletrónicas na nuvem/internet ou correio eletrónico devem assegurar que o fluxo de transferência dos dados e seu arquivo ocorra em território da União;

c) Sempre que a avaliação de impacto sobre a proteção de dados indicar que o tratamento apresenta um elevado risco que o responsável pelo tratamento não poderá atenuar através de medidas adequadas, atendendo à tecnologia disponível e aos custos de aplicação, será necessário consultar a autoridade de controlo antes de se proceder ao tratamento de dados pessoais.

Artigo 14.º

Procedimentos administrativos

1 - Apenas podem ser recolhidos os dados pessoais para efeitos processuais que forem estritamente necessários.

2 - A lei ou qualquer outro normativo, previamente definido, determina quais são os dados pessoais que são necessários recolher para efeitos processuais.

3 - Caso exista necessidade por parte dos serviços de recolher dados pessoais adicionais que não se encontrem previstos na lei ou em qualquer outro normativo, previamente definido, é necessário obter o consentimento do titular dos dados.

4 - O exercício dos direitos dos titulares dos dados pessoais, referidos no artigo 6.º, do presente Regulamento, deverá ser feito mediante o preenchimento de formulário, em suporte digital ou de papel.

5 - No exercício do direito ao apagamento e à eliminação «direito a ser esquecido») por parte do titular dos dados pessoais, referido na alínea f) do artigo 6.º do presente Regulamento, o responsável pelo tratamento dos dados da entidade a que tenha sido efetuado o pedido de exercício deste direito, deverá notificar todas as entidades para onde os respetivos dados tenham sido partilhados, para que estas procedam em conformidade com o pedido efetuado.

6 - A documentação rececionada no atendimento ao público deverá ser remetida para o backoffice, ou quando tal não seja possível não deverá estar visível a pessoas terceiras.

7 - Na receção de documentação via correio eletrónico, o consentimento para a recolha e tratamento dos dados pessoais, deve ser solicitado pelo dirigente e/ou responsável pela unidade orgânica a que o assunto se reportar, que deverá solicitar junto do titular a recolha do respetivo consentimento.

Artigo 15.º

Atendimento

1 - A comunicação de informação que envolva dados pessoais via telefone, ou correio eletrónico só poderá ser realizada se previamente o titular dos dados tiver dado o consentimento expresso nesse sentido.

2 - No atendimento presencial ao público deverá ser reservada e mantida a distância necessária para uma maior salvaguarda e proteção da privacidade no tratamento dos dados pessoais das pessoas singulares.

CAPÍTULO IV

Encarregado da proteção de dados

Artigo 16.º

Encarregado da proteção de dados

1 - Os SMAS VFX são obrigados a designar um encarregado da proteção de dados.

2 - Compete ao Presidente do Conselho de Administração, enquanto responsável pelo tratamento dos dados, a designação do encarregado da proteção de dados.

3 - O encarregado da proteção de dados não recebe instruções relativamente ao exercício das suas funções, assim como não pode ser destituído nem penalizado pelo responsável pelo tratamento dos dados pessoais, pelo facto de exercer as suas funções.

4 - O encarregado da proteção de dados está obrigado ao dever de sigilo durante o exercício de funções, mantendo-se tal dever após o termo das mesmas.

Artigo 17.º

Funções do encarregado da proteção de dados

1 - O encarregado da proteção de dados serve como intermediário entre a autoridade de controlo, os titulares dos dados e o responsável pelo tratamento dos dados, exercendo as seguintes funções:

a) Informa e aconselha o responsável pelo tratamento dos dados, bem como os trabalhadores que tratem os dados pessoais, a respeito das suas obrigações nos termos do presente Regulamento;

b) Controla de forma contínua a conformidade com o RGPD, legislação nacional, bem como com o presente Regulamento relativo à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados;

c) Assegura a realização de auditorias, quer periódicas, quer não programadas;

d) Assegura a relação com os titulares dos dados pessoais nas matérias abrangidas pelo RGPD, legislação nacional e o presente Regulamento na proteção dos dados;

e) Presta aconselhamento e emite pareceres, quando tal lhe for solicitado pelo responsável pelo tratamento dos dados, no que respeita à avaliação de impacto sobre a proteção de dados, controlando a sua realização;

f) Coopera com a autoridade de controlo e assegura a manutenção do dossier de conformidade;

g) Ponto de contacto para a autoridade de controlo sobre questões relacionadas com o tratamento de dados, incluindo a consulta prévia antes de proceder ao tratamento quando a avaliação de impacto sobre a proteção de dados indicar que do mesmo resultaria um elevado risco;

h) Colabora com o responsável pelo tratamento dos dados pessoais no reporte de qualquer violação de dados pessoais no prazo máximo de 72 horas.

2 - No desempenho das suas funções, o encarregado da proteção de dados tem em devida consideração os riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento.

CAPÍTULO V

Situações especiais

Artigo 18.º

Consentimento de menores

1 - O tratamento dos dados pessoais de menores relativos à oferta direta de serviços da sociedade de informação disponibilizados pelos SMAS VFX, e especificamente definidos, é lícito, quando as mesmas deem formalmente o consentimento e já tenham completado 13 anos de idade.

2 - Caso a criança tenha idade inferior a 13 anos, o tratamento só é lícito se o consentimento for dado pelos representantes legais desta.

Artigo 19.º

Recolha, tratamento e divulgação de imagens, fotografias e/ou vídeos

1 - O titular dos dados deve dar o prévio consentimento para a recolha, tratamento e divulgação de imagens, fotografias e/ou vídeos por parte dos SMAS VFX, bem como deverá ser prestada toda a informação, em linguagem clara e simples, e qual o destino de arquivamento.

2 - Quando a recolha, tratamento e divulgação de imagens, fotografias e/ou vídeos por parte dos SMAS VFX, disser respeito a menores deverá ser obtido o prévio consentimento dos seus representantes legais, privilegiando-se, no entanto, os direitos dos menores optando por captação de imagem de longe e de ângulos em que os mesmos não sejam facilmente identificáveis.

3 - Sempre que existam eventos organizados pelos SMAS VFX, onde não seja proibida a recolha de imagens, som e vídeo, deverá o mesmo ser informado aos titulares dos dados pessoais.

Artigo 20.º

Proteção de dados pessoais de pessoas falecidas

1 - Quando forem recolhidos ou tratados dados de pessoas falecidas, nomeadamente, os dados pessoais que corresponderem aos de origem racial ou étnica, sobre opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual, é necessário solicitar o consentimento escrito à pessoa que haja sido designada para o efeito, pelo titular dos dados em vida, ou, na sua falta, aos respetivos herdeiros, para divulgar esses mesmos dados pessoais, existindo duas situações que se indicam:

a) Se o titular dos dados, em vida, tiver manifestamente tornado público os dados acima mencionados, não é necessário o consentimento;

b) Caso contrário, tem de ser obtido o consentimento escrito e expresso.

2 - Todos os dados pessoais que não sejam identificados no número anterior, podem ser divulgados sem a necessidade de consentimento.

Artigo 21.º

Publicação de dados pessoais

1 - A publicação de dados pessoais em jornais oficiais e plataformas eletrónicas, que sejam da responsabilidade dos SMAS VFX, devem obedecer aos princípios base, mencionados no artigo 5.º do presente Regulamento, nomeadamente ao princípio da finalidade.

2 - Sempre que o dado pessoal nome seja suficiente para garantir a identificação do titular dos dados e a eficácia do tratamento, não devem ser publicados outros dados pessoais.

Artigo 22.º

Dados biométricos

O tratamento de dados biométricos dos trabalhadores dos SMAS VFX só pode ser considerado legítimo por razões de controlo de assiduidade e controlo de acessos às instalações do Município.

CAPÍTULO VI

Disposições finais

Artigo 23.º

Responsabilidade civil, criminal, contraordenacional e disciplinar

A violação das normas do RGPD, legislação nacional, orientações das autoridades de controlo e do presente Regulamento, pode gerar responsabilidade civil, criminal, contraordenacional e disciplinar.

Artigo 24.º

Dúvidas e omissões

Em tudo o que não se encontrar previsto no presente Regulamento, aplica-se subsidiariamente o RGPD, a legislação nacional e as orientações das autoridades de controlo.

Artigo 25.º

Entrada em vigor

O presente Regulamento entra em vigor após a sua publicação no Diário da República.

15 de junho de 2018. - O Presidente da Câmara Municipal, Alberto Simões Maia Mesquita.

311434676

Anexos

  • Extracto do Diário da República original: https://dre.tretas.org/dre/3387302.dre.pdf .

Ligações deste documento

Este documento liga aos seguintes documentos (apenas ligações para documentos da Serie I do DR):

  • Tem documento Em vigor 1998-10-26 - Lei 67/98 - Assembleia da República

    Transpõe para a ordem jurídica interna a Directiva nº 95/46/CE (EUR-Lex), do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. - Lei da Protecção de Dados Pessoais.

  • Tem documento Em vigor 2012-08-31 - Lei 50/2012 - Assembleia da República

    Aprova o regime jurídico da atividade empresarial local e das participações locais.

  • Tem documento Em vigor 2013-09-12 - Lei 75/2013 - Assembleia da República

    Estabelece o regime jurídico das autarquias locais, aprova o estatuto das entidades intermunicipais, estabelece o regime jurídico da transferência de competências do Estado para as autarquias locais e para as entidades intermunicipais e aprova o regime jurídico do associativismo autárquico.

  • Tem documento Em vigor 2015-01-07 - Decreto-Lei 4/2015 - Ministério da Justiça

    No uso da autorização legislativa concedida pela Lei n.º 42/2014, de 11 de julho, aprova o novo Código do Procedimento Administrativo

Ligações para este documento

Este documento é referido no seguinte documento (apenas ligações a partir de documentos da Série I do DR):

Aviso

NOTA IMPORTANTE - a consulta deste documento não substitui a leitura do Diário da República correspondente. Não nos responsabilizamos por quaisquer incorrecções produzidas na transcrição do original para este formato.

O URL desta página é:

Clínica Internacional de Campo de Ourique
Pub

Outros Sites

Visite os nossos laboratórios, onde desenvolvemos pequenas aplicações que podem ser úteis:


Simulador de Parlamento


Desvalorização da Moeda