Regulamento 808/2023
Sumário: Aprova o Regulamento Municipal de Proteção de Dados do Município de Ourique.
Marcelo David Coelho Guerreiro, Presidente da Câmara Municipal de Ourique, em cumprimento do disposto no artigo 56.º da Lei 75/2013, de 12 de setembro e no artigo 139.º do Decreto-Lei 4/2015, de 7 de janeiro, torna público, que a Assembleia Municipal de Ourique, aprovou por unanimidade, em Sessão Ordinária realizada em 19 de junho de 2023, sob proposta da Câmara Municipal aprovada em reunião ordinária realizada em 16 de junho de 2023, após consulta pública, conforme determinado no artigo 101.º do Código do Procedimento Administrativo, o Regulamento Municipal de Proteção de Dados do Município de Ourique, o qual se encontra disponível na página oficial do Município de Ourique, na Internet, em www.cm-ourique.pt e entrará em vigor no dia útil seguinte à sua publicação no Diário da República.
22 de junho de 2023. - O Presidente da Câmara, Marcelo David Coelho Guerreiro.
Regulamento Municipal de Proteção de Dados do Município de Ourique
Preâmbulo
O Regulamento Geral de Proteção de Dados (Regulamento da União Europeia (UE) 2016/679), de 27 de abril de 2016, doravante designado por RGPD, entrou um vigor no dia 25 de Maio de 2018, aprovado pela Comissão Europeia e relativo à proteção de pessoas singulares, no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, revogando assim a Diretiva 95/46/CE (Regulamento Geral de Proteção de Dados).
No âmbito nacional, aplica-se a Lei de Execução Nacional do RGPD, (Lei 58/2019, de 8 de agosto), sendo a Comissão Nacional de Proteção de Dados, doravante designada por CNPD, a Autoridade de Controlo Nacional para efeitos do RGPD, da Lei de Execução Nacional do RGPD e demais disposições legais e regulamentares aplicáveis, em matéria de proteção de dados pessoais, com o objetivo de defender os direitos, liberdades e garantias das pessoas, no âmbito do tratamento desses mesmos dados pessoais.
O Município de Ourique, como qualquer entidade pública ou privada que proceda ao tratamento de dados pessoais, encontra-se abrangido pelo RGPD. Numa lógica de salvaguardar os dados pessoais dos cidadãos que interagem com esta Autarquia, bem como auxiliar os serviços municipais, os cidadãos e as empresas na prossecução do disposto no RGPD e Lei 58/2019, de 8 de agosto, a Câmara Municipal de Ourique elaborou o Regulamento Municipal de Proteção de Dados do Município de Ourique (RMPD).
O presente Regulamento apresenta-se como um complemento à Legislação em vigor, sendo considerado fundamental para a eficaz atuação desta autarquia, enquanto responsável pelo tratamento de dados pessoais.
O RMPD pretende dar resposta à implementação do RGPD e da Lei 58/2019, de 8 de agosto atendendo às especificidades dos serviços do Município de Ourique, produzindo-se um conjunto de documentos necessários ao cumprimento das obrigações do mesmo, enquanto responsável pelo tratamento de dados pessoais, em tudo o que não contraria a legislação acima mencionada.
Todas as situações não previstas no presente Regulamento, reger-se-ão pelo disposto no RGPD, na Lei 58/2019, de 8 de agosto e demais disposições legais e regulamentares existentes, no que à proteção de dados pessoais concerne.
O presente Regulamento, apesar de fazer referência a normas e medidas organizativas internas, excede uma lógica meramente interna uma vez que estas normas e medidas produzem um efeito externo, ou seja, estabelecem uma relação entre titulares de dados pessoais e a autarquia de Ourique enquanto responsável pelo tratamento desses mesmos dados.
Considera-se, por esta razão e com base nesta premissa, que este é um Regulamento de eficácia externa.
Para tanto, foi elaborado o presente Regulamento que sob a forma de projeto foi submetido a Consulta Pública durante o período de 30 dias úteis, através do Edital 10/P/2023, de 5 de abril p.p., publicado no site do município na Internet em: www.cm-ourique.pt, e afixado nos lugares públicos de costume, para recolha de sugestões/contributos que pudessem ser considerados relevantes no âmbito do projeto em causa.
O período de Consulta Pública terminou em 22 de maio de 2023, sem que se verificasse o registo de quaisquer participações que pudessem aprimorar o presente instrumento regulamentar.
Nesta senda, após aprovação pela Câmara Municipal em Reunião Ordinária realizada em 16/06/2023 no uso da faculdade atribuída pelo disposto na alínea g) do n.º 1 do artigo 25.º do Anexo I, à Lei 75/2013, de 12 de setembro, a Assembleia Municipal na sua sessão ordinária realizada em 19/06/2023, aprova o presente "Regulamento de Proteção de Dados do Município de Ourique".
Regulamento Municipal de Proteção de Dados da Câmara Municipal de Ourique
CAPÍTULO I
Disposições Gerais
Artigo 1.º
Lei habilitante
O presente Regulamento Municipal de Proteção de Dados é elaborado ao abrigo do disposto e nos termos do artigo 241.º da Constituição da República Portuguesa; no artigo 135.º e seguintes do Código de Procedimento Administrativo; no artigo 4.º, no n.º 1 do artigo 23.º, na alínea g) do n.º 1 do artigo 25.º e na alínea k) do n.º 1 do artigo 33.º do Regime Jurídico das Autarquias Locais aprovado pela Lei 75/2013, de 12 de setembro, na sua redação atual; no artigo 24.º do Regulamento Geral de Proteção de Dados (Regulamento (UE) 2016/679), de 27 de abril de 2016 e na Lei 58/2019, de 8 agosto.
Artigo 2.º
Objeto e Âmbito
1 - O presente regulamento estabelece as regras, os termos e o conjunto de medidas com vista ao cumprimento das regras de privacidade e proteção, segurança e integridade de dados pessoais, previstas no RGPD da União Europeia, aprovado pelo Regulamento da União Europeia n.º 2016/679, do Parlamento Europeu e do Concelho de 27 de abril de 2016, cuja execução na ordem jurídica nacional se encontra assegurada pela Lei 58/2019, de 8 de Agosto.
2 - O presente Regulamento visa:
a) Organizar, sistematizar e uniformizar a proteção de dados pessoais no âmbito do exercício de funções da Câmara Municipal de Ourique;
b) Instigar e garantir, de forma complementar o regime legal vigente, os direitos e as liberdades fundamentais das pessoas singulares, nomeadamente a proteção dos seus dados pessoais e os seus direitos enquanto titulares dos dados, sempre que exista uma interação com o Município de Ourique;
c) Definir a forma de atuação dos serviços Municipais, no âmbito da recolha e tratamento de dados pessoais;
3 - São destinatários do presente Regulamento:
a) Os serviços municipais inseridos na estrutura orgânica interna do Município de Ourique;
b) Os funcionários, trabalhadores e outros colaboradores da Câmara Municipal de Ourique;
c) Os contraentes de aquisições de bens e serviços, de empreitadas ou detentores de concessão municipal;
d) Todas as pessoas singulares, que de alguma forma, estabeleçam uma relação com o Município de Ourique.
Artigo 3.º
Termos e Definições
Para efeitos do presente Regulamento entende-se por:
a) «Dados pessoais ou dados»: informação relativa a uma pessoa singular identificada ou identificável, sendo esta o titular dos dados. É considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, através de um identificador como seja: o nome, número de identificação (fiscal, beneficiário, civil), morada, correio eletrónico, entre outros;
b) «Dados genéticos»: dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular que deem informações únicas sobre a sua fisiologia ou a saúde e que resulta de uma análise de uma amostra biológica. No contexto desta autarquia, poderão incluir-se nesta definição dados obtidos através da medicina do trabalho;
c) «Dados biométrico»: dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que confirmem a identificação dessa pessoa singular, nomeadamente imagens faciais: impressões digitais ou recolha de imagem para registo de assiduidade, por exemplo;
d) «Dados relativos à saúde»: dados relacionados com a saúde física ou mental de uma pessoa singular, que revelem informações sobre o seu estado de saúde. No contexto desta autarquia, poderão incluir-se os dados obtidos no âmbito da medicina do trabalho bem como os atestados médicos apresentados pelos trabalhadores;
e) «Tratamento»: uma operação ou um conjunto de operações efetuadas sobre dados pessoais, ou conjunto de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a utilização, a divulgação por transmissão, difusão, ou qualquer forma de disponibilização de informação, apagamento ou destruição, de que são exemplo: Sistema de avaliação de desempenho, sistemas de execução fiscal, expedição de comunicação externa, entre outras;
f) «Responsável pelo tratamento de dados»: Pessoa singular ou coletiva, a autoridade pública ou agência, que individual ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais recolhidos sempre que estes estejam conforme o determinado pela legislação em vigor. No contexto da autarquia de Ourique o responsável pelo tratamento de dados corresponde ao próprio Município de Ourique;
g) «Titular de dados»: Pessoa singular identificada ou identificável a quem os dados pessoais dizem diretamente respeito.
CAPÍTULO II
Política geral de privacidade
Artigo 4.º
Responsável pelo Tratamento
O responsável pelo tratamento dos dados é o Município de Ourique, Avenida 25 de Abril 26, 7670-250 Ourique, contactável através do site http://www.cm-ourique.pt, via correio eletrónico geral@cm-ourique.pt, pelo telefone: + 351 286 510 400 e ainda presencialmente.
Artigo 5.º
Encarregado de Proteção de Dados
1 - Nos termos do artigo 37.º do RGPD e dos artigos 9.º e 12.º da Lei 58/2019, de 8 agosto, a Câmara Municipal de Ourique designou um encarregado de proteção de dados, o qual pode ser contactado através do correio eletrónico: epd@cm-ourique.pt.
2 - Nos termos dos artigos 37.º a 39.º do RGPD e do artigo 11.º da Lei 58/2109, de 8 de agosto, são funções do Encarregado de Proteção de Dados:
a) Informar e aconselhar o responsável pelo tratamento ou o subcontratante, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações nos termos da legislação nacional e europeia, em vigor;
b) Controlar a conformidade com a legislação em vigor e com as políticas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados e as auditorias correspondentes;
c) Prestar aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados, controlando a sua realização nos termos do artigo 35.º do RGPD e do artigo 7.º da Lei 58/2019, de 8 de agosto;
d) Cooperar com a Comissão Nacional de Proteção de Dados, sendo o seu ponto de contacto quanto a questões relacionadas com o tratamento, incluindo a consulta prévia a que se refere o artigo 36.º do RGPD, consultando ainda esta entidade quando considerar necessário;
e) Assegurar a realização de auditorias, quer periódicas, quer não programadas;
f) Sensibilizar os utilizadores para a importância da deteção atempada de incidentes de segurança e para a necessidade de informar o responsável pela segurança;
g) Assegurar as relações com os titulares de dados nas matérias abrangidas pelo RGPD, pela legislação nacional e pelo presente regulamento, em matéria de proteção de dados.
3 - Nos termos do n.º 2 do artigo 39.º do RGPD, no desempenho das suas funções, o Encarregado de Proteção de Dados, tem em devida consideração os riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento.
4 - Nos termos do n.º 5 do artigo 38.º do RGPD e do artigo 10.º da Lei 58/2019, de 8 de agosto, o Encarregado de Proteção de Dados, bem como os responsáveis pelo tratamento dos mesmos, incluindo os subcontratantes, e todas as pessoas que intervenham em qualquer operação de tratamento de dados, estão obrigados a um dever de confidencialidade, que se mantém após o termo do exercício das funções que lhe deram origem, que acresce aos deveres de sigilo profissional legalmente previstos.
5 - As funções do Encarregado de Proteção de Dados são exercidas com total independência e autonomia em relação à estrutura dos serviços, isenção, distanciamento e não subordinação à hierarquia municipal, não podendo ser prejudicado nem penalizado pelo exercício das mesmas ou pelo teor dos pareceres que emite ou pelas iniciativas que desenvolve no âmbito das suas funções e competências.
6 - No âmbito do exercício das suas funções, de forma célere e independente, o Encarregado de Proteção de Dados da Câmara Municipal de Ourique, tem acesso ilimitado ao sistema, à documentação e à informação da organização.
7 - A Câmara Municipal de Ourique, enquanto responsável pelo tratamento dos dados pessoais, deve disponibilizar, ao Encarregado de Proteção de Dados, os meios necessários de ordem logística e tecnológica com vista ao bom desempenho das suas funções e competências.
Artigo 6.º
Princípios relativos ao Tratamento de Dados Pessoais
1 - Nos termos do n.º 5 do RGPD, são os Princípios relativos ao Tratamento de Dados Pessoais:
a) Princípio da licitude: O tratamento de dados pessoais só pode ser realizado ao abrigo das condições previstas na legislação em vigor, a RGPD 2016/679 do parlamento europeu e da Lei 58/219, de 8 de agosto, e as demais disposições legais e regulamentares em matéria de proteção de dados pessoais;
b) Princípio da lealdade e transparência: O tratamento de dados pessoais deverá ser realizado sempre de forma leal e transparente perante os titulares dos dados pessoais;
c) Princípio da limitação das finalidades: Os dados pessoais devem ser recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser tratados posteriormente de forma incompatível com a finalidade da recolha;
d) Princípio da minimização: Só devem ser recolhidos e tratados dados pessoais que sejam adequados, pertinentes e necessários à finalidade estabelecida;
e) Princípio da exatidão: Os dados devem ser exatos e atualizados. Os dados inexatos devem ser eliminados ou retificados sem demora;
f) Princípio da limitação da conservação: Os dados pessoais devem ser conservados de forma a permitir a identificação dos titulares dos dados, apenas durante o período de estritamente necessário, para as finalidades para as quais são tratados;
g) Princípio da integridade e confidencialidade: Os dados pessoais devem ser tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito, contra a sua perda, destruição ou danificação acidental, mediante a adoção de medidas técnicas ou organizativas adequadas;
h) Princípio da responsabilidade: O responsável pelo tratamento tem de cumprir todos os princípios indicados e conseguir comprovar esse cumprimento.
Artigo 7.º
Licitude do Tratamento de Dados Pessoais em Geral
1 - Nos Termos do artigo 6.º do RGPD, o tratamento dos dados pessoais em geral, por parte da Câmara Municipal de Ourique, é lícito sempre que se verifique uma das seguintes situações:
a) Consentimento: O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;
b) Contratos: O tratamento for necessário para execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados;
c) Obrigação jurídica: O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito, entenda-se competências e atribuições legais da Câmara Municipal de Ourique;
d) Interesse vital: O tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de qualquer pessoa singular;
e) Interesse público e autoridade pública: O tratamento for necessário ao exercício de funções de interesse público ou ao exercício de autoridade pública de que está investido o responsável pelo tratamento;
f) Interesse legítimo: O tratamento for necessário para o efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.
Artigo 8.º
Licitude do Tratamento de Categorias Especiais de Dados Especiais e/ou de Dados Pessoais Sensíveis
1 - As categorias especiais de dados pessoais e/ou dados pessoais sensíveis englobam os dados ou informações que implicam maiores riscos para os direitos e liberdades fundamentais da pessoa humana, como: origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos que permitam identificar uma pessoa de forma inequívoca, dados relativos à saúde, dados relativos à vida sexual ou orientação sexual de uma pessoa.
2 - Nos termos do n.º 1 do artigo 9.º do RGPD, é proibido o tratamento destes dados pessoais, exceto nos casos previstos nos termos do n.º 2 e n.º 3 do artigo 9.º do RGPD, a saber:
a) Consentimento: se o titular dos dados tiver dado o seu consentimento explícito para o tratamento desses dados pessoais para uma ou mais finalidades específicas, exceto se a legislação europeia e nacional previr que a proibição não pode ser anulada pelo titular dos dados;
b) Tratamento necessário para cumprimento de obrigações e do exercício de direitos específicos do responsável pelo tratamento de dados ou do titular dos dados em matéria de legislação laboral, de segurança social e de proteção social;
c) Tratamento necessário para medicina preventiva ou do trabalho, para avaliação da capacidade de trabalho do empregado, o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou de ação social;
d) Tratamento que se refira a dados pessoais que tenham sido manifestamente tornados públicos pelo seu titular;
e) Tratamento necessário para interesse público importante, legalmente previsto, que deve ser proporcional ao objetivo visado, respeitar a essência do direito à proteção dos dados pessoais e prever medidas adequadas e específicas que salvaguardem os direitos fundamentais e os interesses dos titulares dos dados pessoais;
f) Se o Tratamento for necessário para arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, previsto na Lei, que deve ser proporcional ao objetivo visado, respeitar a essência do direito à proteção de dados pessoais e prever medidas adequadas e específicas para a defesa dos direitos fundamentais e dos interesses do titular dos dados, respeitando o disposto no artigo 31.º da Lei 58/2019, de 8 de agosto.
Artigo 9.º
Recolha de Dados Pessoais no Website Oficial da Câmara Municipal de Ourique
O Acesso e utilização do website oficial da Câmara Municipal de Ourique (http://www.cm-ourique.pt/) não implica, em geral, a disponibilização e recolha de dados pessoais, o que sucederá apenas através da utilização de funcionalidades pontuais, designadamente as que impliquem submissão de formulários, mediante o preenchimento dos dados pessoais solicitados e a submissão do formulário.
Artigo 10.º
Consentimento dos Titulares dos Dados Pessoais no Website da Câmara Municipal de Ourique
1 - Os dados pessoais serão recolhidos através do consentimento dos utilizadores do Website oficial da Câmara Municipal de Ourique, considerando-se que os utilizadores estão a dar o seu consentimento ao preencherem os seus dados pessoais e ao submeterem os respetivos formulários para cada finalidade em concreto.
2 - O registo no Website do Município (http://www.cm-ourique.pt/) e respetiva utilização têm as mesmas implicações do atendimento presencial no que respeita ao tratamento de dados pessoais, sendo que nestes casos considera-se que os respetivos titulares, ao preencherem os seus dados, dão o consentimento para o respetivo tratamento.
Artigo 11.º
Finalidades da Recolha de Dados Pessoais no Website da Câmara Municipal de Ourique
1 - Os dados pessoais submetidos no formulário de contacto destinam-se a esclarecer dúvidas, pedidos de informação e em geral qualquer solicitação apresentada no formulário em questão.
2 - A comunicação dos dados pessoais não constitui uma obrigação legal, nem contratual. O titular não está obrigado a fornecer os dados pessoais, mas não os fornecendo, não poderá usufruir das respetivas funcionalidades.
Artigo 12.º
Finalidades do Tratamento de Dados Pessoais
Como finalidades do tratamento de dados pessoais, a Câmara Municipal de Ourique terá:
a) A tramitação nos serviços municipais, por exigência legal, de procedimentos administrativos ou celebração de contratos, seja oficiosamente ou a requerimento dos titulares dos dados;
b) O cumprimento pela Câmara Municipal de Ourique das suas obrigações legais e atribuições e das suas funções de interesse público ou autoridade pública enquanto órgão da administração pública;
c) O exercício pelos titulares dos dados ou pela Câmara Municipal de Ourique de direitos e obrigações previstos na Legislação em vigor.
Artigo 13.º
Transmissão de Dados Pessoais
No âmbito da sua atividade, a Câmara Municipal de Ourique, não vende, não aluga, não distribui, nem disponibiliza os dados pessoais a nenhuma entidade terceira externa, exceto nos casos legalmente previstos ou em que a transmissão dos dados seja necessária ao cumprimento de obrigações ou ao exercício de direitos legalmente previstos, bem como à prossecução do interesse público ou exercício dos poderes de autoridade pública.
Artigo 14.º
Prazo de Conservação de Dados Pessoais
A Câmara Municipal de Ourique conserva os dados apenas pelo intervalo de tempo necessário à execução das finalidades específicas para as quais foram recolhidos, sem prejuízo do cumprimento do Regulamento Arquivístico para as Autarquias Locais, aprovado pela Portaria 412/2001, de 17.04, alterado e republicado pela Portaria 1253/2009, de 14.10.
Artigo 15.º
Direitos do titular dos dados pessoais
1 - Nos Termos do Capítulo III do RGPD (Direitos do titular dos dados) e identificadas as disposições específicas no que à Câmara Municipal de Ourique diz respeito, os direitos dos titulares são:
a) Confirmação de que os dados pessoais são objeto de tratamento;
b) Direito de informação;
c) Direito de acesso aos dados pessoais;
d) Direito de retificação;
e) Direito ao apagamento;
f) Direito à limitação do tratamento;
g) Direito à portabilidade dos dados;
h) Direito de oposição ao tratamento;
i) Direito de apresentar reclamação à entidade de controlo, a CNPD.
2 - Relativamente ao consentimento dos titulares dos dados pessoais no Website da Câmara Municipal de Ourique, está associado o direito de retirar o consentimento em qualquer altura, sem comprometer a licitude do tratamento efetuado com base no consentimento previamente dado.
3 - No que diz respeito ao direito ao apagamento dos dados, à portabilidade dos dados e à oposição ao tratamento, estes direitos não poderão ser exercidos nas seguintes situações:
a) Quando o tratamento se revela necessário ao cumprimento de obrigações legais que exigem o tratamento e ao exercício de funções de interesse público e ao exercício da autoridade pública de que esteja investido a Câmara Municipal de Ourique;
b) Quando o tratamento, baseado no cumprimento de obrigações legais, no exercício de funções de interesse público e/ou no exercício da autoridade pública por parte da Câmara Municipal de Ourique, não é precedido pelo consentimento do titular dos dados.
Artigo 16.º
Transparência do Tratamento e o Exercício dos Direitos pelos Titulares dos Dados Pessoais
1 - Nos termos n.º 1 do artigo 12 do RGPD, a Câmara Municipal de Ourique, enquanto responsável pelo tratamento de dados pessoais, deve fornecer aos titulares dos dados as informações relativas ao tratamento dos dados e aos direitos dos titulares dos dados de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples, por escrito ou por outros meios, incluindo, se aplicável, por meios eletrónicos.
2 - A Câmara Municipal de Ourique, enquanto responsável pelo tratamento de dados pessoais, facilita o exercício dos direitos pelos titulares dos dados pessoais e fornece aos titulares dos dados as informações sobre as medidas tomadas, para garantir o exercício dos direitos pelos titulares dos dados, no prazo de um Mês a contar da receção do pedido de exercício dos direitos.
3 - O prazo presente no n.º 2 do presente artigo pode ser prorrogado até dois meses, quando necessário, tendo em conta a complexidade do pedido e do número de pedidos, devendo-se informar o titular dos dados de alguma prorrogação e dos motivos da demora, no prazo de um Mês a contar da data da receção do pedido.
4 - Se o titular dos dados apresentar o pedido por meios eletrónicos, a informação é, sempre que possível, fornecida através de meios eletrónicos, salvo pedido em contrário pelo titular.
5 - Se não for dado seguimento ao pedido apresentado pelo titular dos dados, este deve ser informado no prazo de um mês, a contar da data da receção do pedido, das razões que o levaram a não tomar medidas e da possibilidade de apresentar reclamação à autoridade de controlo (CNPD) e intentar a respetiva ação judicial.
6 - As informações fornecidas e quaisquer comunicações e medidas tomadas são fornecidas a título gratuito.
7 - Se os pedidos apresentados por um titular de dados forem manifestamente infundados ou excessivos, nomeadamente devido ao seu caráter repetitivo, o responsável pelo seu tratamento pode:
a) Exigir o pagamento de uma taxa razoável, tendo em conta os custos administrativos do fornecimento das informações ou da comunicação, ou de tomada de medidas solicitadas;
b) Recusar-se a dar seguimento ao solicitado.
8 - Na sequência do n.º 7 do presente artigo, cabe à Câmara Municipal de Ourique demonstrar o caráter manifestamente infundado ou excessivo do pedido.
9 - Em cumprimento das obrigações de transparência e para facilitar o exercício dos direitos dos titulares, a Câmara Municipal de Ourique disponibiliza um formulário de requerimento de exercício de direitos para ser utilizado pelo titular dos dados (Anexo I-A).
Artigo 17.º
Informações sobre o Tratamento e os Direitos dos Titulares no Momento da Recolha dos Dados Pessoais
1 - No momento da recolha dos dados pessoais, a Câmara Municipal de Ourique, enquanto responsável pelo tratamento, faculta informações sobre o tratamento dos dados pessoais e sobre os direitos dos titulares.
2 - Para que a prestação das informações ocorra no momento da recolha dos dados e fique devidamente documentada e comprovada, estas são prestadas nos formulários dos requerimentos dos diversos procedimentos.
3 - Nos casos em que haja recolha de dados pessoais, sem que o titular dos dados apresente o formulário do requerimento disponibilizado pela Câmara Municipal de Ourique, seja por apresentar um requerimento elaborado por ele próprio, seja por simplesmente não apresentar qualquer requerimento, é utilizado o formulário presente no Anexo I-C, exclusivamente destinado a comprovar a prestação das informações sobre o tratamento de dados e direitos dos titulares.
Artigo 18.º
Outras Informações sobre o Tratamento de Dados Pessoais
1 - A comunicação de dados pessoais à Câmara Municipal de Ourique é em geral necessária para exercício de direitos e cumprimento de obrigações legais ou contratuais.
2 - A não disponibilização dos dados pessoais pelos titulares é, em geral, impeditiva do exercício de direitos e cumprimento de obrigações legais e contratuais.
3 - Não existem informações automatizadas, nem a definição de perfis.
4 - Para além do cumprimento da obrigação legal de tratamento para arquivo, não haverá tratamento posterior de dados pessoais para finalidades distintas às que se destina a recolha.
5 - As informações sobre tratamento de dados pessoais e direitos dos titulares, estão presentes de uma forma genérica, no Anexo I-C.
6 - As informações sobre tratamento de dados pessoais e direitos dos titulares, relativamente a contratos eletrónicos e através do Website da Câmara Municipal de Ourique, estão presentes no Anexo I-G.
Artigo 19.º
Segurança do Tratamento de Dados Pessoais
1 - Nos termos do artigo 32.º do RGPD e tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e liberdades das pessoas singulares, a Câmara Municipal de Ourique, enquanto responsável pelo tratamento, aplica as medidas técnicas e organizativas para assegurar um nível de segurança adequado ao risco, incluindo, manter a capacidade de garantir a confidencialidade, integridade e disponibilidade permanentes do sistema e dos serviços de tratamento.
2 - As medidas técnicas e organizativas referidas acima, estão especificadas no capítulo iii do presente regulamento.
Artigo 20.º
Notificação da Violação de Dados Pessoais à Autoridade de Controlo (CNPD)
1 - Nos termos do Artigo 33.º do RGPD, caso se verifique uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento, a Câmara Municipal de Ourique, enquanto responsável pelo tratamento, notifica desse facto a Autoridade Nacional de Proteção de Dados (CNPD), enquanto autoridade de controlo, utilizando o procedimento previsto para o efeito (Anexo I-D).
Artigo 21.º
Comunicação da Violação de Dados Pessoais aos seus Titulares
Nos termos do Artigo 34.º do RGPD, caso se verifique uma violação da segurança de dados pessoais transmitidos, suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, a Câmara Municipal de Ourique, enquanto responsável pelo tratamento, comunica a violação de dados pessoais ao titular dos dados sem demora injustificada, utilizando o procedimento implementado para o efeito, (Anexo I-E).
Artigo 22.º
Sigilo Profissional
Nos termos do artigo 10.º da Lei 58/2019, de 8 agosto, os responsáveis pelo tratamento de dados, bem como qualquer outra pessoa que, no exercício das suas funções, tenha acesso a dados pessoais, ficam obrigados a sigilo profissional, mesmo após o termo das suas funções.
Artigo 23.º
Registos de atividades de tratamento de dados pessoais
A Câmara Municipal de Ourique, enquanto responsável pelo tratamento de dados, conserva o registo de todas as atividades de tratamento de dados pessoais sob a sua responsabilidade, sendo que desses registos constam todos os elementos e informações legalmente impostos.
Artigo 24.º
Cooperação com a autoridade de controlo
A Câmara Municipal de Ourique, enquanto responsável pelo tratamento de dados e, nos termos do artigo 8.º da Lei 58/2019, de 8 de agosto, colabora e coopera com a autoridade de controlo (CNPD) a pedido desta, facultando-lhe todas as informações que por esta última lhes sejam solicitadas, no exercício das suas atribuições e competências.
Artigo 25.º
A Proteção de Dados Pessoais e o Direito de Acesso aos Documentos Administrativos
1 - O Acesso a documentos administrativos, na posse da Câmara Municipal de Ourique, e que contenham dados pessoais, rege-se pelo disposto na Lei 16/2016, de 22 de agosto.
2 - Podem por isso ser divulgados nos termos da legislação de acesso a documentos administrativos, a fim de conciliar o acesso do público a documentos oficias com direito à proteção de dados pessoais.
Artigo 26.º
Utilização e Reprodução de Documentos de Identificação
A utilização e reprodução dos documentos de identificação dos titulares dos dados apenas pode ser efetuada mediante consentimento escrito dos mesmos.
Artigo 27.º
Tratamento de Dados Pessoais no Contexto Laboral
Nos termos do artigo 88.º da RGPD e da Lei 58/2019, de 8 de agosto, a Câmara Municipal de Ourique, pode tratar os dados pessoais dos trabalhadores, para as finalidades e com os limites definidos pelo código do trabalho e respetiva legislação complementar.
CAPÍTULO III
Medidas Técnicas e Organizativas de Proteção de Dados Pessoais
Artigo 28.º
Regras gerais
1 - Criar e manter um registo atualizado de todos os ativos tecnológicos; (hardware, firmware e software).
2 - Garantir um nível de segurança forte dos dados pessoais e dos recursos de tratamento.
3 - Dar formação adequada a todos os utilizadores sobre segurança do sistema e dos dados pessoais.
4 - Implementar diferentes mecanismos de segurança, criando diferentes camadas de proteção.
5 - Assegurar que cada mecanismo de segurança contribuiu separadamente, e /ou em combinação com outros mecanismos, para atingir os objetivos de segurança.
6 - Anular ou reduzir de forma significativa quaisquer deficiências na segurança, mantendo um risco residual num nível aceitável a cada caso.
7 - Quaisquer alterações ou atualizações do hardware, firmware ou software não devem enfraquecer os mecanismos de segurança do sistema.
8 - Definir de forma concreta as políticas e os procedimentos relativos à gestão do ciclo de vida dos utilizadores, tais como: criação, atribuição, manutenção e atualização das contas de utilizadores do sistema.
9 - Definir e manter atualizados os procedimentos e políticas de segurança que visem a operação segura do sistema e garantir a sua divulgação por todos os utilizadores.
10 - Sensibilizar todos os utilizadores para as respetivas responsabilidades individuais na segurança do sistema e dos dados pessoais.
11 - Garantir a assistência técnica a todos os utilizadores quando e onde necessário.
12 - Criar e manter registos (logs) de modo a permitir o rastreamento das atividades com impacto na segurança dos dados pessoais.
13 - Garantir a salvaguarda e a capacidade de recuperação de informações relevantes para a reposição total do sistema, incluindo os dados pessoais (backups e disaster recovery).
14 - Assegurar que a manutenção do sistema não viola a sua segurança.
15 - Conduzir medidas técnicas para determinar se as medidas de segurança no local são suficientes e apropriadas.
16 - Realizar auditorias internas e os resultados devem ficar devidamente registados em relatório.
17 - Procurar a melhoria contínua da segurança do sistema, através do planeamento e da implementação de novas medidas, monitorização e verificação da adequação das mesmas e adoção de medidas corretivas sempre que necessário.
Artigo 29.º
Medidas Técnicas e Organizativas de Proteção de Dados de Categorias Especiais
1 - Impedir o acesso de pessoas não autorizadas às instalações para tratamento de dados.
2 - Impedir que suportes de dados possam ser lidos, copiados, alterados ou retirados por pessoas não autorizadas.
3 - Impedir a introdução não autorizada, bem como a tomada de conhecimento, a alteração ou a eliminação não autorizadas de dados pessoais inseridos.
4 - Impedir que sistemas de tratamento automatizados de dados possam ser utilizados por pessoas não autorizadas.
5 - Garantir que pessoas autorizadas só possam ter acesso aos dados abrangidos pela autorização.
6 - Garantir a verificação das entidades a quem possam ser transferidos os dados pessoais através da instalação da transmissão de dados.
7 - Garantir que se possa verificar à posteriori, em prazo adequado à natureza do tratamento, quais os dados pessoais introduzidos, quando e por quem.
8 - Impedir que, na transmissão de dados pessoais, bem como no transporte do seu suporte, os dados possam ser lidos, copiados, alterados ou eliminados de forma não autorizada.
9 - Definição de áreas de acesso restrito unicamente a pessoas autorizadas.
10 - Criação e atualização de listas de pessoas autorizadas a aceder às áreas do n.º 9 do presente artigo.
11 - Criação e preservação de registos de acesso às áreas referidas no n.º 9 deste artigo.
Artigo 30.º
Responsabilidades Coletivas e Individuais
1 - Cada utilizador deve ser individualmente responsável por respeitar as políticas e medidas de segurança implementadas.
2 - Todas as atividades registadas no sistema devem estar sujeitas a monitorização e auditorias.
3 - Proibição do acesso aos dados pessoais sob controlo da Câmara Municipal de Ourique a partir de dispositivos pessoais.
4 - Proibição da utilização de dispositivos da Câmara Municipal de Ourique fora das instalações, incluindo para fins pessoais.
5 - A proibição expressa no n.º 4 do presente artigo não abrange os membros do executivo municipal e chefias, porém incluí a proibição da sua utilização para fins pessoais.
6 - Utilização de dispositivos de armazenamento removíveis apenas mediante autorização prévia.
7 - Proibição da utilização do correio eletrónico da Câmara Municipal de Ourique para fins pessoais.
8 - Proibição do uso, acesso e/ou modificação não autorizada a equipamentos informáticos, programas e dados.
Artigo 31.º
Em Caso de Violação de Segurança de Dados Pessoais
1 - Implementação de medidas para deteção, identificação e investigação das circunstâncias em que ocorreu essa violação.
2 - Adoção de medidas atenuadoras, de um circuito de informação entre responsáveis e subcontratantes e apuramento de responsabilidades.
3 - Notificação à Autoridade de Controlo Nacional (CNPD).
4 - Comunicação aos titulares dos dados nos casos em que possa resultar num elevado risco.
Artigo 32.º
Proteção dos Dados e dos Recursos de Tratamento contra Código Malicioso (malware)
1 - Existência de controlos de deteção e prevenção.
2 - Existência de software antivírus e anti-spam, devidamente licenciados e de atualização preferencialmente automática, em todas as estações de trabalho e servidores.
3 - Verificação regular da presença de código malicioso em dados, sistema operativo instalado, pacotes de software e aplicações, dispositivos de armazenamento removíveis, correio eletrónico e anexos recebidos quer de fontes externas quer de fontes internas.
Artigo 33.º
Identificação e Prevenção de Incidentes de Segurança pelos Utilizadores
1 - Sempre que for detetado código malicioso, o responsável pela segurança deve ser informado de forma imediata.
2 - Comunicação imediata de qualquer alerta do sistema antivírus.
3 - Parar imediatamente qualquer procedimento em curso, desconectar o sistema potencialmente infetado da rede e informar o responsável pela segurança.
4 - Entenda-se como responsável pela segurança a Unidade Orgânica Flexível designada Sistemas e Inteligência Territorial, sob a alçada de um Dirigente Intermédio de 3.º Grau.
Artigo 34.º
Privilégios de Acesso, Utilização do Sistema e Credenciais de Autenticação
1 - O acesso ao sistema deve ocorrer apenas mediante um registo prévio.
2 - Os pedidos de criação ou modificação de uma conta de utilizador, nomeadamente relativa a permissões, devem ser efetuados através de um formulário próprio, devidamente preenchido e assinado (Anexo I-F).
3 - A aprovação concedida para a criação referida no n.º 2 do presente artigo irá despoletar a geração de uma nova conta individual para o utilizador e uma palavra-passe inicial que lhe irão permitir aceder unicamente às funções do sistema para as quais foi autorizado.
4 - As contas partilhadas são perentoriamente proibidas.
5 - As credenciais de autenticação de cada utilizador devem ser únicas e intransmissíveis.
6 - A palavra-passe de autenticação deve ser alterada, no máximo, a cada 180 dias para perfis de utilizador, quando for comprometida ou se suspeite que venha a ser comprometida.
7 - A reutilização de palavras-passe deverá ser evitada, recomendando-se que não seja igual ou semelhante às últimas vinte e quatro palavras-passe utilizadas.
8 - Deve existir e ser mantida uma listagem atualizada das pessoas autorizadas a utilizar o sistema, incluindo quais os softwares autorizados e a extensão da respetiva autenticação de cada utilizador devem ser únicas e intransmissíveis.
9 - A listagem anteriormente referida deve ser fornecida ao encarregado de dados, sempre que este o solicite, para controlo interno e verificação de conformidade.
Artigo 35.º
Controlo das Contas dos Utilizadores
1 - As contas dos utilizadores são bloqueadas após três tentativas não sucedidas.
2 - Ocorrerá um bloqueio manual quando houver a suspeita de que a conta está a ser utilizada incorretamente.
3 - As contas desnecessárias ou expiradas devem ser bloqueadas.
4 - O encarregado de proteção de dados deve ser avisado das situações de bloqueio de contas de forma periódica, no início de cada mês, relativamente ao mês anterior, sempre que se verifique essa situação.
5 - A estação de trabalho deve ser bloqueada, sempre, que o utilizador se ausentar do local de trabalho e, encerrada, sempre, que o utilizador termine o ciclo de trabalho.
Artigo 36.º
Registo e Monitorização das Atividades dos Utilizadores
1 - Devem ser criados, atualizados e analisados periodicamente os registos de atividade (logs).
2 - Os registos devem conter detalhes suficientes sobre as atividades dos utilizadores, que permitam a reconstrução do histórico dos eventos: quem, onde, quando e ação efetuada sobre o dado pessoal.
3 - Os registos devem abranger qualquer atividade de criação, leitura, alteração, pesquisa, consulta, transmissão de dados a terceiros ou eliminação de dados pessoais, incluindo o registo temporal da ação e o respetivo resultado.
Artigo 37.º
Proteção dos Registos da Atividade dos Utilizadores
1 - A gravação, os backups e a manutenção dos registos de atividade são obrigatórios e devem incluir todo o tipo de eventos, tanto os eventos bem-sucedidos como falhados.
2 - Os acessos aos registos de atividade dos utilizadores devem ser limitados a pessoas devidamente autorizadas e para os fins legalmente previstos, nomeadamente auditorias.
Artigo 38.º
Instalação de novo hardware e software
1 - Apenas se procede à instalação de novo hardware e/ou software e/ou componentes de hardware e software mediante autorização prévia.
2 - A configuração de local de hardware e software do sistema não deve ser alterada sem autorização prévia.
3 - As alterações à configuração local de hardware e/ou de software do sistema devem ser, logo que possível, comunicadas ao encarregado de proteção de dados.
4 - Os equipamentos devem ser instalados e protegidos de modo a reduzir-se os riscos de ameaças, os perigos ambientais e as oportunidades para acesso não autorizado.
Artigo 39.º
Cópias de Segurança
A realização de cópias de segurança (backups) dos dados e do software é feita periodicamente para a proteção contra perdas e danos, bem como para garantir, quando necessário uma rápida e correta recuperação do sistema.
Artigo 40.º
Computação em Nuvem (Cloud)
1 - No que respeita à computação em nuvem, deverão ser determinados os requisitos técnicos (flexível e escalável) e definidos os requisitos de segurança.
2 - No caso das redes e sistemas de informação que utilizem os serviços de computação em nuvem, públicos ou híbridos, devem ser avaliados o regime de responsabilidade e os níveis de serviço - Service Level Agreement (SLA), em especial no que respeita à disponibilidade do sistema, à segurança dos dados e à reposição do sistema.
3 - As políticas de segurança definidas devem ter conta que a segurança na computação em nuvem também compreende a segurança da infraestrutura de rede, a segurança das aplicações em nuvem, a segurança das instalações físicas, onde se encontram os dados e a possibilidade de realização de auditorias (periódicas e esporádicas) ao fornecedor do serviço.
4 - Os centros de dados devem ficar alojados em instalações com condições de segurança adequadas à proteção dos dados pessoais e serviços contratados.
5 - Os prestadores de serviços devem possuir referenciais internacionais de segurança, demonstrar a conformidade com RGPD (subcontratantes) possuir servidores físicos dentro do território nacional e/ou da União Europeia e possuir a opção por nuvens controladas por entidades públicas.
6 - Apresentar tecnologias de melhoria da privacidade, favorecendo a aplicação de tecnologias PET - Privacy Enhancing Technologies.
7 - Reforçar a segurança de dados pessoais sensíveis através de controlos de acesso mais rígidos, do uso de técnicas de cifragem, da opção pelo sistema de gestão de identidades e acessos (Identity and Access Management) e da adoção de medidas tecnológicas para assegurar que dados específicos não são enviados e recebidos para a/e da nuvem se não estiverem cifrados.
Artigo 41.º
Proteção dos Suportes de Dados
1 - A Câmara Municipal de Ourique disponibiliza os seus próprios suportes de dados eletrónicos.
2 - A utilização dos suportes de dados removíveis deve ser gerida em todas as suas fases, incluindo a aquisição, distribuição, utilização e destruição.
3 - Antes da eliminação ou reutilização de equipamentos que contenham suportes de dados deve verificar-se se todos os dados foram efetivamente removidos ou eliminados.
4 - No caso do suporte de dados em papel, a impressão e/ou a cópia de documentos contendo dados pessoais deve ser limitada ao estritamente necessário.
5 - A reprodução dos documentos deve ser efetuada com recurso a um sistema de impressão segura, as máquinas fotocopiadoras pressupõem a autenticação do utilizador.
6 - Os utilizadores devem garantir que nenhuma impressão e/ou cópia fica esquecida na impressora/fotocopiadora.
7 - Controlar os acessos, com registos das respetivas data e hora, de quem acede e do(s) documento(s) específico acedido(s).
Artigo 42.º
Eliminação dos Suportes de Dados
1 - Os suportes de dados devem ser eliminados de forma segura.
2 - Devem ser eliminados todos os dados armazenados nos equipamentos em fim de vida.
3 - Os equipamentos em fim de vida devem ser desmagnetizados e/ou fisicamente destruídos.
4 - Os documentos em papel devem ser destruídos através de equipamento específico que garanta a sua destruição "segura" (máquinas trituradoras).
5 - No caso de dados pessoais sensíveis a destruição do suporte de dados (eletrónicos e em papel) deve ser testemunhada presencialmente pelo encarregado de proteção de dados.
6 - A destruição de suportes de dados contendo dados pessoais sensíveis deve ser acompanhada da elaboração de certificados de destruição, que devem ser conservados por um período mínimo de 5 anos.
Artigo 43.º
Segurança Documental
1 - Devem existir cofres e armários apropriados (fechados com chave, fechadura de segredo ou tranca com cadeado), para guardar os dados pessoais mais críticos.
2 - As chaves dos cofres e armários não deverão ser levados para fora do perímetro de segurança.
3 - As chaves e as combinações de segredos devem ser memorizadas pelas pessoas que precisam de as conhecer.
4 - As combinações de segredo deverão ser conhecidas pelo número mais restrito possível de pessoas.
5 - As combinações deverão ser modificadas:
a) Quando usadas pela primeira vez;
b) Sempre que haja uma mudança de pessoal;
c) Sempre que tenha ocorrido ou haja suspeita de ter ocorrido uma fuga de informação;
d) Quando sujeitos a manutenção;
e) No mínimo de 6 em 6 meses.
6 - Devem ser mantidos registos escritos das alterações das combinações de segredo.
7 - Os documentos em papel que contêm dados pessoais, principalmente aqueles localizados em espaços físicos acessíveis aos munícipes e entidades externas, devem estar devidamente acautelados, não possibilitando a sua visualização.
Artigo 44.º
Segurança Eletrónica
1 - Servidores, sistemas de gestão de redes, controladores de rede e de comunicações, routers, firewall referentes a redes e sistemas de informação que tratam dados pessoais devem ser acomodados em áreas seguras.
2 - Os terminais dos utilizadores devem estar, preferencialmente, localizados em áreas seguras principalmente nos casos de dados pessoais críticos.
3 - Nas ligações entre equipamentos localizados no interior da mesma área segura, bem como nas ligações entre diferentes áreas seguras dentro do mesmo edifício, deve ser utilizada, preferencialmente, a fibra ótica.
4 - Não sendo possível a utilização da fibra ótica, recomenda-se uma separação entre a cablagem das redes e sistemas de informação que processam dados pessoais e a restante cablagem (energia e dados).
5 - Dentro das áreas seguras apenas devem existir linhas de comunicação e dispositivos eletrónicos autorizados.
CAPÍTULO IV
Disposições Finais
Artigo 45.º
Obrigações Gerais
1 - A Câmara Municipal de Ourique, os seus serviços e os seus funcionários e colaboradores estão legalmente obrigados a cumprir o disposto no RGPD, na Lei 58/2019, de 8 de agosto, no RMPD da Câmara Municipal de Ourique e nas demais disposições legais em vigor, recorrendo ainda às orientações da Comissão Nacional de Proteção de Dados (CNPD).
2 - Devem os funcionários e os colaboradores da Câmara Municipal de Ourique notificar o respetivo superior hierárquico aquando da deteção de violação ou suspeita de violação de dados pessoais, sob pena de sansão prevista nas disposições legais em vigor.
3 - Devem os serviços municipais prestar as informações necessárias e auxiliar o Encarregado de Proteção de Dados no âmbito e na prossecução das suas funções.
4 - A assinatura de requerimentos ou outros documentos, sempre que efetuada perante funcionário da Câmara Municipal de Ourique, deve ser acompanhada da conferência da identidade através do cartão de cidadão respeitando as normas de utilização deste documento nos termos da Lei 7/2007, de 5 de fevereiro, e sucessivas atualizações, pela Lei 91/2015, de 12 de agosto, e pela Lei 32/2017, de 1 de junho.
5 - Sempre que seja necessária a conferência da identidade, devem os serviços recorrer a uma das três opções:
a) Exibição do cartão de cidadão para verificação de identidade;
b) Reprodução com consentimento do titular que deverá ficar documentado;
c) Reprodução que esteja legalmente prevista.
6 - A cláusula presente no Anexo II-A, relativamente à proteção de dados, deve estar presente em todas os formulários e/ou requerimentos dos diversos procedimentos e nos contratos a celebrar pela Câmara Municipal de Ourique, com exceção dos contratos e procedimentos respeitantes aos serviços municipais referidos no n.º 7 do presente artigo.
7 - Em substituição da cláusula referida no n.º 6 do presente artigo, os serviços municipais concretamente referidos no Capítulo IV do presente Regulamento utilizam cláusulas específicas, referenciadas nos respetivos artigos.
8 - Aquando da criação de novos formulários e/ou requerimentos, deve o encarregado da proteção de dados da Câmara Municipal de Ourique, ser notificado de tal situação.
Artigo 46.º
Legislação subsidiária
Em tudo o que não esteja especialmente previsto no presente Regulamento aplica-se subsidiariamente o Regulamento da União Europeia (EU) 2016/679, do Parlamento Europeu e do Conselho de 27 de abril, a Lei 58/2019, de 8 de agosto, e as demais disposições legais que sejam aplicáveis nesta matéria;
Artigo 47.º
Interpretação e casos omissos
1 - As lacunas, as dúvidas interpretativas e os casos omissos suscitados na aplicação do presente Regulamento são preenchidos ou resolvidos, na linha do seu espírito, mediante despacho fundamentado do Presidente da Câmara Municipal.
2 - As menções referentes aos serviços municipais, nomeadamente, Unidades Orgânicas e Gabinetes, constantes do presente Regulamento reportam-se, em caso de alteração da Estrutura Orgânica da Câmara Municipal de Ourique, àquelas que se sucederem nas respetivas funções.
Artigo 48.º
Entrada em vigor
O presente Regulamento entra em vigor no primeiro dia útil seguinte à publicação no Diário da República.
ANEXO I
Procedimentos de notificação e comunicação
ANEXO I-A
Requerimento para o exercício de direito pelos titulares de dados pessoais
(ver documento original)
ANEXO I-B
Resposta ao requerimento de exercício de direitos dos titulares
(ver documento original)
ANEXO I-C
Informação sobre o tratamento de dados e direitos dos titulares
Responsável pelo tratamento de dados pessoais: Câmara Municipal de Ourique, com sede na Avenida 25 de Abril, n.º 26, 7670-250 Ourique, contactável através do Website www.cm-ourique.pt ou correio eletrónico: geral@cm-ourique.pt ou pelo telefone n.º 286510400, ou ainda presencialmente no horário de funcionamento da Câmara Municipal de Ourique.
Encarregado de proteção de dados: O encarregado de proteção de dados da Câmara Municipal de Ourique, com sede na Avenida 25 de Abril, n.º 26, 7670-250 Ourique, contactável através do correio eletrónico: epd@cm-ourique.pt ou pelo telefone n.º 286510400, ou ainda presencialmente no horário de funcionamento da Câmara Municipal de Ourique.
Finalidade do tratamento: A tramitação nos serviços municipais, por exigência legal, de procedimentos administrativos ou contratuais seja oficiosamente ou a requerimento dos titulares dos dados. O exercício pelo titular dos dados ou pelo responsável pelo tratamento de direitos e ou obrigações previstas em legislação.
Licitude do tratamento: Cumprimento pela Câmara Municipal das suas obrigações legais e das suas funções de interesse público e autoridade pública enquanto órgão da Administração Pública.
Dados Pessoais e categorias: Os dados pessoais dos titulares e legais representantes constantes deste requerimento, não envolvendo a recolha de dados de categorias especiais.
Destinatários dos dados pessoais: Os serviços da Câmara Municipal de Ourique.
Prazo de conservação dos dados pessoais: O prazo necessário para a tramitação do procedimento acrescido do prazo legal de arquivo dos documentos onde os dados estão registados conforme determinado pelo Regulamento Arquivístico para as Autarquias Locais.
Direitos que pode exercer: Confirmação que os dados pessoais são objeto de tratamento, Direito de acesso aos dados pessoais, Direito de retificação. Direito à limitação do tratamento, Direito ao apagamento dos dados, Direito de oposição e Direito de apresentar reclamação à Autoridade de Controlo (CNPD).
Outras Informações: A comunicação dos dados pessoais neste procedimento é necessária para cumprir uma obrigação legal ou contratual, caso não forneça os dados, o seu pedido ou pretensão não poderá ser tratado pela Câmara Municipal. Não existem decisões automatizadas nem definição de perfis. Para além do cumprimento da obrigação legal de tratamento para arquivo, não haverá tratamento posterior dos dados pessoais para finalidade distinta das que presidiram à recolha. Qualquer violação de dados pessoais será levada a conhecimento do interessado no prazo legal.
Tomei conhecimento,
Ourique, ___ de ___ de 20___
O (A) Requerente
___
(Assinatura conforme documento de identificação)
ANEXO I-D
Formulário de Comunicação da Violação de Dados Pessoais à Autoridade de Controlo (CNPD)
O formulário de comunicação da violação de dados pessoais à autoridade de controlo é preenchido no Website da Comissão Nacional de Proteção de Dados, através do link: https://www.cnpd.pt/DataBreach/.
Este formulário é submetido pelo encarregado de proteção de dados da Câmara Municipal de Ourique, em representação da mesma.
Aquando do início do preenchimento do formulário, deve ser selecionada uma de duas opções, consoante a tipologia da pretensão:
Notificar uma nova violação de dados pessoais
Ou
Alterar uma notificação anteriormente submetida
Caso selecione uma nova violação de dados pessoais, deve o encarregado de proteção de dados preencher os campos presentes nos seguintes separadores:
Dados da entidade
Dados de contacto
Informação sobre a violação de dados
Consequências da violação de dados
Dados pessoais envolvidos
Titulares dos dados
Informação aos titulares
Medidas preventivas/corretivas
Tratamentos transfronteiriços
Caso selecione alterar uma notificação anteriormente submetida, deve o encarregado de proteção de dados indicar a referência da notificação anteriormente submetida (referência presente no documento que foi remetido por correio eletrónico aquando da notificação). Seguidamente, deve alterar os campos que pretende nos respetivos separadores.
ANEXO I-E
Formulário de comunicação da violação de dados pessoais aos singulares
(ver documento original)
ANEXO I-F
Criação ou modificação de conta de utilizador
(ver documento original)
ANEXO I-G
Informação sobre o tratamento de dados pessoais e direitos dos titulares (comunicações eletrónicas e contactos através de website)
Contactos eletrónicos com a Câmara Municipal: Os contactos eletrónicos com a Câmara Municipal devem ser utilizados para a prestação ou solicitação de informações, incluindo dados pessoais, necessários para a prossecução pelo Município das suas atribuições legais, enquanto órgão da Administração Pública e para o cumprimento das obrigações legais o que poderá envolver pedidos de informação ou de esclarecimentos, procedimentos e atos administrativos, a realização de diligências pré-contratuais ou celebração de contratos ou outros atos relacionados com a atividade administrativa. Os demais contactos não serão tratados e serão eliminados.
Titulares dos dados: São as pessoas singulares cujos dados pessoais são tratados pelo Município, na prossecução das suas obrigações legais.
Responsável pelo tratamento: Câmara Municipal de Ourique, com sede na Avenida 25 de Abril, n.º 26, 7670-250 Ourique, contactável através do Website http://www.cm-ourique.pt ou do e-mail: geral@cm-ourique.pt ou do telefone: 286 510 400 ou ainda, presencialmente, no morada indicada.
Encarregado de proteção de dados: O encarregado de proteção de dados da Câmara Municipal de Ourique, com sede na Avenida 25 de Abril, n.º 26, 7670-250 Ourique, contactável através do correio eletrónico: epd@cm-ourique.pt ou pelo telefone n.º 286510400, ou ainda presencialmente no horário de funcionamento da Câmara Municipal de Ourique.
Finalidades do tratamento: A tramitação nos serviços municipais, por exigência legal, de procedimentos administrativos ou a celebração de contratos, seja oficiosamente ou a requerimento dos titulares dos dados. O cumprimento pela Câmara Municipal das suas atribuições ou obrigações legais e das suas funções de interesse público ou autoridade pública enquanto órgão de administração pública. O exercício pelo titular dos dados ou pelo responsável pelo tratamento de direitos e ou obrigações previstas em legislação.
Licitude do tratamento: O tratamento necessário para a realização de contrato no qual o titular dos dados é parte ou diligências pré-contratuais a pedido do titular dos dados pessoais. O tratamento necessário para cumprimento de obrigações jurídicas a que a Câmara Municipal, enquanto responsável pelo tratamento, se encontra sujeito. O tratamento necessário ao exercício de funções de interesse público e exercício de autoridade pública em que está investida a Câmara Municipal, enquanto responsável pelo tratamento e órgão da Administração Pública.
Licitude do tratamento de categorias especiais de dados pessoais: A Câmara Municipal só trata dados de categorias especiais quando necessário para efeitos de cumprimento de obrigações e do exercício de direitos específicos, previsto na legislação, seja para o responsável pelo tratamento ou para o titular dos dados, em matéria de legislação laboral, de segurança social e de proteção social. Por motivos de interesse público importante previsto na legislação, que seja proporcional ao objetivo visado e respeite a essência do direito à proteção dos dados pessoais. Para efeitos de medicina preventiva ou do trabalho, diagnóstico médico, prestação de cuidados de saúde, ou ação social, gestão de sistemas e serviços de saúde ou de ação social com base na legislação e por força de contrato profissional de saúde sujeito a obrigação de sigilo profissional ou outra pessoa sujeita a obrigação de confidencialidade legalmente prevista.
Dados pessoais: De acordo com o princípio da minimização dos dados, são tratados dados pessoais que sejam adequados, pertinentes, necessários e previstos na legislação aplicável a cada procedimento. Os dados pessoais recolhidos constam de requerimentos, contratos ou documentos anexos aos procedimentos administrativos.
Destinatários dos dados: Os serviços municipais.
Transmissão de dados pessoais: Quando prevista em disposição legal e/ou para cumprimento de direitos ou obrigações legalmente previstas e/ou se absolutamente necessárias à prossecução do interesse público ou exercício da autoridade pública.
Prazo de conservação dos dados: O prazo necessário para a tramitação dos procedimentos, ou duração do contrato, acrescido do prazo legal de arquivo dos documentos onde os dados estão registados conforme determinado no Regulamento Arquivístico para as Autarquias Locais.
Outras informações: A comunicação dos dados pessoais neste procedimento é necessária para cumprir uma obrigação legal ou contratual. Caso não forneça os dados o seu pedido ou pretensão não poderá ser tratado pela Câmara Municipal. Não existem decisões automatizadas nem definição de perfis. Para além do cumprimento da obrigação legal de tratamento para arquivo, não haverá tratamento posterior dos dados pessoais para finalidades distintas das que presidiram à recolha. Qualquer violação de dados pessoais será levada a conhecimento do titular dos dados no prazo legal.
Tomei conhecimento,
Ourique, ___ de ___ de 20___
O (A) Requerente
___
(Assinatura conforme documento de identificação)
ANEXO II
Cláusulas
ANEXO II-A
Cláusula genérica
Responsável pelo tratamento: Câmara Municipal de Ourique, com sede na Avenida 25 de Abril, n.º 26, 7670-250 Ourique, contactável através do Website http://www.cm-ourique.pt ou do e-mail: geral@cm-ourique.pt ou do telefone: 286 510 400 ou ainda, presencialmente, no morada indicada.
Encarregado de proteção de dados: O encarregado de proteção de dados da Câmara Municipal de Ourique, com sede na Avenida 25 de Abril, n.º 26, 7670-250 Ourique, contactável através do correio eletrónico: epd@cm-ourique.pt ou pelo telefone n.º 286510400, ou ainda presencialmente no horário de funcionamento da Câmara Municipal de Ourique.
Finalidade do tratamento de dados: A tramitação nos serviços municipais, por exigência legal, de procedimentos administrativos ou a celebração de contratos, seja oficiosamente ou a requerimento dos titulares dos dados. O exercício pelo titular dos dados ou pelo responsável pelo tratamento de direitos e ou obrigações previstas em legislação.
Licitude do tratamento: Cumprimento pela Câmara Municipal das suas obrigações legais e das suas funções de interesse público e de autoridade pública enquanto órgão da Administração Pública.
Dados pessoais e categorias: Os dados pessoais dos titulares e legais representantes constantes deste requerimento, não envolvendo a recolha de dados de categorias especiais.
Destinatários dos dados pessoais: Os serviços municipais
Prazo de conservação dos dados pessoais: O prazo necessário para a tramitação do procedimento acrescido do prazo legal de arquivo dos documentos onde os dados estão registados conforme estabelecido no Regulamento Arquivístico para as Autarquias Locais.
Direitos que pode exercer: Confirmação de que os dados pessoais são objeto de tratamento, Direito de acesso aos dados pessoais, Direito de retificação, Direito à limitação do tratamento, Direito ao apagamento dos dados, Direito à oposição e Direito de apresentar reclamação à Autoridade de Controlo (CNPD).
Outras informações: A comunicação dos dados pessoais neste procedimento é necessária para cumprir uma obrigação legal ou contratual, caso não forneça os dados o seu pedido ou pretensão não poderá ser tratado pela Câmara Municipal. Não existem decisões automatizadas nem definição de perfis. Para além do cumprimento da obrigação legal de tratamento para arquivo, não haverá tratamento posterior dos dados pessoais para finalidades distintas das que presidiram à recolha. Qualquer violação dos dados será levada a conhecimento do interessado no prazo legal.
ANEXO II-B
Cláusula compras
Proteção de dados pessoais pela entidade adjudicante
Titular dos dados: O (s) adjudicário (s), seus legais representantes e ou trabalhadores são os titulares dos dados pessoais.
Responsável pelo tratamento: A entidade adjudicante é o responsável pelo tratamento e destinatário dos dados pessoais.
Encarregado de proteção de dados: A entidade adjudicante designou um encarregado de proteção de dados que poderá ser contactado pelos titulares dos dados para esclarecimento de dúvidas e exercício de direitos sobre o tratamento dos seus dados pessoais.
Finalidades do tratamento dos dados: A entidade adjudicante vai tratar os dados pessoais para a tramitação nos serviços municipais, por exigência Legal, de procedimentos administrativos, celebração e execução de contratos de contratação pública. O cumprimento das suas atribuições ou obrigações legais e das suas funções de interesse público ou autoridade pública enquanto órgão de Administração Pública. E para exercício pelo titular dos dados ou pelo responsável pelo tratamento de direito e ou obrigações previstas na legislação.
Licitude do tratamento: O tratamento dos dados pessoais é necessário para a execução de contrato no qual o titular dos dados é parte ou diligências pré-contratuais a pedido do titular dos dados. Para cumprimento de obrigações jurídicas a que a entidade adjudicante se encontra sujeita. É ainda necessário para o exercício de funções de interesse público em que está investida a entidade adjudicante, enquanto órgão da administração pública.
Dados pessoais: De acordo com o princípio da minimização dos dados a entidade adjudicante efetua o tratamento dos dados pessoais que sejam adequados, necessários, pertinentes e previstos na legislação aplicável. Os dados pessoais recolhidos constam de requerimentos, contratos ou requerimentos anexos e procedimentos administrativos podendo incluir: nome, data de nascimento, morada, localidade, nacionalidade, número do documento de identificação, data de emissão, número de identificação fiscal, número de segurança social, telefone, telemóvel, habilitações académicas, experiência profissional, entre outras.
Transmissão dos dados pessoais: A entidade adjudicante fará a transmissão para outras entidades dos dados pessoais se e quando prevista em disposição legal e ou para cumprimento e direitos ou obrigações legalmente previstas e ou absolutamente necessárias à prossecução do interesse público ou exercício de autoridade pública. Ocorrerá designadamente para instituições financeiras ou entidades bancárias, de que são exemplo, a Administração Tributária, o Tribunal de Contas ou outras entidades nos termos previstos na legislação.
Prazo de conservação dos dados pessoais: Pelo prazo necessário para a tramitação do procedimento, ou duração e execução do contrato acrescido do prazo legal de arquivo dos documentos onde os dados estão registados conforme estabelecido no Regulamento Arquivístico para as Autarquias Locais.
Direitos dos titulares dos dados: Confirmação de que os dados pessoais são objeto de tratamento, Direito de acesso aos dados pessoais, Direito de retificação, Direito à limitação do tratamento, Direito ao apagamento dos dados, Direito de oposição e Direito de apresentar reclamação à Autoridade de Controlo (CNPD).
Outras informações: A comunicação dos dados pessoais é necessária para cumprimento de obrigação legal ou contratual. Caso não sejam fornecidos os dados o pedido ou pretensão não poderá ser tratado, nem poderá celebrar contratos. Não existem decisões automatizadas nem definição de perfis. Para além do cumprimento da obrigação legal de tratamento para arquivo, não haverá tratamento posterior dos dados pessoais para finalidades distintas das que presidiram à recolha. Qualquer violação de dados pessoais será levada a conhecimento do titular no prazo legal.
Proteção de Dados Pessoais pelo Adjudicatário ou Subcontratante: Se o adjudicatário, aqui também designado por subcontratante, tiver contacto ou conhecimento de dados pessoais que estão sob encargo do responsável pelo tratamento ou efetuar o tratamento dos dados pessoais por conta do responsável pelo tratamento fica obrigado ao cumprimento das seguintes regras:
a) Efetuará o tratamento desses dados pessoais apenas mediante instruções documentadas do responsável pelo tratamento, incluindo no que respeita às transferências de dados para países terceiros ou organizações internacionais, a menos que seja obrigado a fazê-lo pelo direito da União Europeia ou do Estado Membro a que está sujeito, informando nesse caso o responsável pelo tratamento desse requisito jurídico antes do tratamento, salvo se a lei proibir tal informação por motivos importantes de interesse público;
b) Assegura que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade ou estão sujeitas a adequadas obrigações legais de confidencialidade;
c) Adota todas as medidas de segurança do tratamento de dados pessoais exigidas nos termos do artigo 32.º do RGPD;
d) Respeita as condições a que se referem os n.os 2 e 4 do artigo 28.º do RGPD para contratar outro subcontratante;
e) Toma em conta a natureza do tratamento, e na medida do possível, presta assistência ao responsável pelo tratamento através de medidas técnicas e organizativas adequadas, para permitir que este cumpra a sua obrigação de dar resposta aos pedidos dos titulares dos dados tendo em vista o exercício dos seus direitos previstos no capítulo III do RGPD;
f) Consoante a escolha do responsável pelo tratamento, apaga ou devolve-lhe todos os dados pessoais depois de concluída a prestação de serviços relacionados com o tratamento, apagando as cópias existentes, a menos que a conservação dos dados seja exigida ao abrigo da legislação;
g) Disponibiliza ao responsável pelo tratamento todas as informações necessárias para demonstrar o cumprimento das obrigações aqui previstas e facilita e contribui para as auditorias, inclusive as inspeções, conduzidas pelo responsável pelo tratamento ou por outro auditor por este mandatado;
h) Informa imediatamente o responsável pelo tratamento se, no seu entender, alguma instrução deste violar o RGPD ou outras disposições legais em matéria de proteção de dados;
i) O subcontratante garante que implementou procedimentos internos e medidas técnicas e organizativas adequadas a efetuar o tratamento de dados pessoais e a proteger os direitos dos titulares de dados pessoais de acordo com as condições estabelecidas na legislação em vigor, nomeadamente, no Regulamento Geral de Protecção de Dados;
j) O subcontratante obriga-se a durante a vigência do contrato e após a sua cessação a manter confidenciais os dados pessoais de que tenha tomado contacto ou conhecimento ou que lhe tenham sido transmitidos pela entidade adjudicante;
k) O subcontratante, compromete-se a não copiar, reproduzir, adaptar, modificar, alterar, apagar, destruir, difundir, transmitir, divulgar ou por qualquer outra forma colocar à disposição de terceiros os dados pessoais a que tenha acesso ou que lhes sejam transmitidos pela entidade adjudicante ao abrigo do contrato, sem que para tal tenha sido expressamente instruído, por escrito, pela entidade adjudicante;
l) O subcontratante será responsável por qualquer prejuízo em que a entidade adjudicante venha a incorrer em consequência do tratamento, por parte do mesmo e/ou dos seus colaboradores, de dados pessoais em violação das normas legais aplicáveis e/ou do disposto no contrato;
m) Para efeitos do disposto na alínea anterior entende-se por "colaborador" toda e qualquer pessoa singular ou coletiva que preste serviços ao subcontratante, incluindo designadamente, representantes legais, trabalhadores, prestadores de serviços, procuradores e consultores, independentemente da natureza e validade do vínculo jurídico estabelecido entre o subcontrate e o referido colaborador;
n) O subcontratante que tenha a seu cargo 250 ou mais trabalhadores, ou que faça tratamento de dados suscetível de implicar riscos para os direitos e liberdades dos titulares, ou que faça tratamento de dados que não sejam ocasionais, ou que abranja categorias especiais de dados pessoais ou dados pessoais relativos a penais e outras infrações tem de conservar um registo de todas as categorias de atividades de tratamento realizadas em nome da entidade adjudicante enquanto responsável pelo tratamento, do qual consta:
Nome e contactos do subcontratante e do responsável pelo tratamento em nome do qual o subcontratante atua, bem como, sendo caso disso, do representante do responsável pelo tratamento ou do subcontratante e do encarregado de proteção de dados.
As categorias de tratamentos de dados pessoais efetuadas em nome do responsável pelo tratamento.
Se for aplicável, as transferências de dados pessoais para países terceiros ou organizações internacionais, incluindo a identificação desses países terceiros ou organizações internacionais e, no caso das transferências referidas no artigo 49.º n.º 1, segundo parágrafo, a documentação que comprove a existência das garantias adequadas.
Se possível, uma descrição geral das medidas técnicas e organizativas no domínio da segurança referidas no artigo 32.º
ANEXO II-C
Cláusula Recursos Humanos
Proteção de dados pessoais
Titular dos dados: O Segundo Outorgante é o titular dos dados.
Responsável pelo tratamento: O Primeiro Outorgante é o responsável pelo tratamento e destinatário dos dados pessoais do Segundo Outorgante.
Encarregado de Proteção de Dados: O Primeiro Outorgante designou um Encarregado de Proteção de Dados que poderá ser contactado pelo Segundo Outorgante para o esclarecimento de dúvidas e exercício de direitos sobre o tratamento de dados pessoais.
Finalidades do tratamento dos dados: O Primeiro Outorgante pode efetuar o tratamento de dados pessoais de categorias especiais do Segundo Outorgante, incluindo dados biométricos, estado de saúde ou incapacidades para o trabalho, filiação sindical para o cumprimento de legislação laboral, de segurança social, proteção social, medicina preventiva ou do trabalho, avaliação da capacidade de trabalho e o diagnóstico médico, neste último caso, por profissionais submetidos a sigilo profissional.
O Primeiro Outorgante pode ainda tratar outros dados pessoais do Segundo Outorgante necessários para a celebração e execução de contratos de trabalho e diligências pré-contratuais necessárias à celebração desses contratos, incluindo-se aqui a gestão de recursos humanos, processamento de remunerações, formação profissional, gestão de sanções disciplinares, seleção e recrutamento de trabalhadores e controlo de horário e assiduidade.
Licitude do tratamento: O tratamento pelo Primeiro Outorgante dos dados pessoais de categorias especiais (dados biométricos, estado de saúde, ou incapacidade para o trabalho e filiação sindical) do Segundo Outorgante é necessário para o cumprimento da legislação laboral, de segurança social, proteção social, e medicina preventiva ou do trabalho, avaliação da capacidade para o trabalho, o diagnóstico médico, neste caso sob responsabilidade de profissional sujeito a obrigação de sigilo profissional ou pessoa sujeita a obrigação de confidencialidade.
O tratamento dos demais dados pessoais do Segundo Outorgante é necessário para execução de contrato no qual o titular dos dados pessoais é parte ou diligências pré-contratuais a pedido do titular dos dados. Para cumprimento de obrigações jurídicas a que o Segundo Outorgante se encontra sujeito. E ainda necessário para o exercício de funções de interesse público e exercício de autoridade pública em que está investido o Primeiro Outorgante, enquanto responsável pelo tratamento e órgão da Administração Pública.
Dados pessoais: De acordo com o princípio da minimização dos dados pessoais, o Primeiro Outorgante efetua o tratamento dos dados do Segundo Outorgante que sejam necessários, adequados, pertinentes e previstos na legislação aplicável. Os dados pessoais recolhidos constam de requerimentos, contratos ou documentos anexos e procedimentos administrativos podendo incluir: nome, morada, género, nacionalidade, data de nascimento, localidade, número de documento de identificação, número de identificação fiscal, agregado familiar, número de segurança social, impressões digitais, filiação sindical, entre outros.
Transmissão de dados pessoais: O Primeiro Outorgante fará a transmissão para outras entidades dos dados pessoais do Segundo Outorgante se e quando prevista em disposição legal e ou para cumprimento de direitos ou obrigações legalmente previstas e ou se absolutamente necessária à prossecução do interesse público. Ocorrerá designadamente para instituições financeiras ou entidades bancárias para pagamento de remunerações e outros direitos laborais, Segurança Social ou outras entidades gestoras de Fundos de Pensões ou do Regime de Previdência, Autoridades de Controlo das condições de trabalho, companhias de seguros para celebração de seguros de acidentes de trabalho e para Entidades prestadoras de serviços de Segurança, Medicina no Trabalho e Formação Profissional.
Prazo de conservação de dados pessoais: O Primeiro Outorgante conservará os dados pessoais do Segundo Outorgante pelo prazo necessário para a tramitação do procedimento, ou duração do contrato, acrescido do prazo legal de arquivo dos documentos onde os dados estão registados conforme estabelecido no Regulamento Arquivístico para as Autarquias Locais.
Direitos dos titulares dos dados: O Segundo Outorgante pode exercer perante o Primeiro Outorgante Direitos de confirmação de que os seus dados pessoais são objeto de tratamento, Direito de acesso aos dados pessoais, Direito de retificação, Direito à limitação do tratamento e Direito de apresentar reclamação à Autoridade de Controlo (CNPD).
Direitos que não podem ser exercidos e sua justificação: O Segundo Outorgante não pode exercer Direito ao apagamento dos dados (Direito a ser esquecido), Direito de portabilidade dos dados e Direito de oposição uma vez que o tratamento se revela necessário ao cumprimento de uma obrigação legal que exige o tratamento e a que o responsável está sujeito, ao exercício de funções de interesse público e ao exercício da autoridade pública de que esteja investido o Segundo Outorgante.
Outras informações: A comunicação dos dados pessoais pelo Segundo Outorgante ao Primeiro Outorgante é necessário para o cumprimento de obrigação legal ou contratual. Caso o Segundo não forneça os dados o seu pedido ou pretensão não poderá ser tratado, nem poderá celebrar contrato com o Primeiro. Não existem decisões automatizadas, nem a definição de perfis.
Para além do cumprimento de obrigação legal de tratamento para arquivo, não haverá tratamento posterior dos dados pessoais para finalidades distintas das que presidiram à recolha. Qualquer violação de dados pessoais será levada a conhecimento do titular no prazo legal.
Confidencialidade ou sigilo profissional:
a) Ao serviço do Primeiro Outorgante e na execução do contrato de trabalho o Segundo Outorgante pode ter contacto ou acesso a dados pessoais dos titulares de dados que se relacionem com o Primeiro Outorgante;
b) Nos Termos da legislação europeia e nacional sobre proteção de dados pessoais o Primeiro Outorgante, enquanto responsável pelo tratamento dos dados pessoais, tem obrigação de assegurar que as pessoas autorizadas a tratar dados pessoais o façam sob sigilo profissional ou confidencialidade;
c) O Segundo Outorgante reconhece a sua obrigação de sigilo profissional ou confidencialidade conforme previsto na legislação aplicável e que decorre ainda do seu dever de lealdade perante o Primeiro Outorgante, obrigando-se a adotar no desempenho das suas funções os procedimentos implementados pelo Primeiro Outorgante para garantir a proteção de dados pessoais, obrigando-se ainda a não divulgar dados pessoais tratados pelo Primeiro Outorgante, exceto se receber indicações e apenas nas condições indicadas pelo Primeiro Outorgante em cumprimento das suas obrigações legais;
d) Caso o Segundo Outorgante tenha conhecimento direto ou indireto de incidentes de Segurança que possam causar a violação de dados pessoais, ou caso esta tenha ocorrido, deve informar o Primeiro Outorgante de tais factos, contactando o seu superior hierárquico ou o Encarregado de Proteção de Dados designado, devendo também prestar toda a colaboração solicitada;
e) Este dever de sigilo profissional ou confidencialidade mantém-se durante e após a cessação, interrupção e/ou suspensão do contrato de trabalho.
Registo Arquivo
(ver documento original)
316600459
Regulamento 808/2023, de 25 de Julho
- Corpo emitente: Município de Ourique
- Fonte: Diário da República n.º 143/2023, Série II de 2023-07-25
- Data: 2023-07-25
- Parte: H
- Documento na página oficial do DRE
- Secções desta página::
Sumário
Aprova o Regulamento Municipal de Proteção de Dados do Município de Ourique
Texto do documento
Anexos
- Extracto do Diário da República original: https://dre.tretas.org/dre/5422226.dre.pdf .
Ligações deste documento
Este documento liga aos seguintes documentos (apenas ligações para documentos da Serie I do DR):
-
2007-02-05 -
Lei
7/2007 -
Assembleia da República
Cria o cartão de cidadão e rege a sua emissão e utilização.
-
2013-09-12 -
Lei
75/2013 -
Assembleia da República
Estabelece o regime jurídico das autarquias locais, aprova o estatuto das entidades intermunicipais, estabelece o regime jurídico da transferência de competências do Estado para as autarquias locais e para as entidades intermunicipais e aprova o regime jurídico do associativismo autárquico.
-
2015-08-12 -
Lei
91/2015 -
Assembleia da República
Primeira alteração à Lei n.º 7/2007, de 5 de fevereiro, que cria o cartão de cidadão e rege a sua emissão e utilização
-
2016-06-17 -
Lei
16/2016 -
Assembleia da República
Revoga a prova de avaliação de conhecimentos e capacidades, procedendo à décima quinta alteração ao Decreto-Lei n.º 139-A/90, de 28 de abril, e à revogação do Decreto-Lei n.º 146/2013, de 22 de outubro, e do Decreto Regulamentar n.º 3/2008, de 21 de janeiro
-
2017-06-01 -
Lei
32/2017 -
Assembleia da República
Segunda alteração à Lei n.º 7/2007, de 5 de fevereiro, que cria o cartão de cidadão e rege a sua emissão e utilização, primeira alteração à Lei n.º 37/2014, de 26 de junho, que estabelece um sistema alternativo e voluntário de autenticação dos cidadãos nos portais e sítios na Internet da Administração Pública denominado Chave Móvel Digital, e sétima alteração ao Decreto-Lei n.º 83/2000, de 11 de maio, que aprova o regime legal da concessão e emissão de passaportes
-
2019-08-08 -
Lei
58/2019 -
Assembleia da República
Assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados
Aviso
NOTA IMPORTANTE - a consulta deste documento não substitui a leitura do Diário da República correspondente. Não nos responsabilizamos por quaisquer incorrecções produzidas na transcrição do original para este formato.
O URL desta página é: https://dre.tretas.org/dre/5422226/regulamento-808-2023-de-25-de-julho