Mais
Navegação
CAPÍTULO I Disposições gerais (1-4)
Artigo 1.o. Objeto e objetivosArtigo 2.o. Âmbito de aplicação materialArtigo 3.o. Âmbito de aplicação territorialArtigo 4.o. Definições
CAPÍTULO II Princípios (5-11)
Artigo 5.o. Princípios relativos ao tratamento de dados pessoaisArtigo 6.o. Licitude do tratamentoArtigo 7.o. Condições aplicáveis ao consentimentoArtigo 8.o. Condições aplicáveis ao consentimento de crianças em relação aos serviços da sociedade da informaçãoArtigo 9.o. Tratamento de categorias especiais de dados pessoaisArtigo 10.o. Tratamento de dados pessoais relacionados com condenações penais e infraçõesArtigo 11.o. Tratamento que não exige identificação
CAPÍTULO III Direitos do titular dos dados (12-23)
Artigo 12.o. Transparência das informações, das comunicações e das regras para exercício dos direitos dos titulares dos dadosArtigo 13.o. Informações a facultar quando os dados pessoais são recolhidos junto do titularArtigo 14.o. Informações a facultar quando os dados pessoais não são recolhidos junto do titularArtigo 15.o. Direito de acesso do titular dos dadosArtigo 16.o. Direito de retificaçãoArtigo 17.o. Direito ao apagamento dos dados («direito a ser esquecido»)Artigo 18.o. Direito à limitação do tratamentoArtigo 19.o. Obrigação de notificação da retificação ou apagamento dos dados pessoais ou limitação do tratamentoArtigo 20.o. Direito de portabilidade dos dadosArtigo 21.o. Direito de oposiçãoArtigo 22.o. Decisões individuais automatizadas, incluindo definição de perfisArtigo 23.o. Limitações
CAPÍTULO IV Responsável pelo tratamento e subcontratante (24-43)
Artigo 24.o. Objeto e objetivosArtigo 25.o. Proteção de dados desde a conceção e por defeitoArtigo 26.o. Responsáveis conjuntos pelo tratamentoArtigo 27.o. Representantes dos responsáveis pelo tratamento ou dos subcontratantes não estabelecidos na União
Artigo 28.o. Subcontratante
Artigo 29.o. Tratamento sob a autoridade do responsável pelo tratamento ou do subcontratanteArtigo 30.o. Registos das atividades de tratamentoArtigo 31.o. Cooperação com a autoridade de controloArtigo 32.o. Segurança do tratamentoArtigo 33.o. Notificação de uma violação de dados pessoais à autoridade de controloArtigo 34.o. Comunicação de uma violação de dados pessoais ao titular dos dadosArtigo 35.o. Avaliação de impacto sobre a proteção de dadosArtigo 36.o. Consulta préviaArtigo 37.o. Designação do encarregado da proteção de dadosArtigo 38.o. Posição do encarregado da proteção de dadosArtigo 39.o. Funções do encarregado da proteção de dadosArtigo 40.o. Códigos de condutaArtigo 41.o. Supervisão dos códigos de conduta aprovadosArtigo 42.o. CertificaçãoArtigo 43.o. Organismos de certificação
CAPÍTULO V Transferências de dados pessoais para países terceiros ou organizações internacionais (44-50)
Artigo 44.o. Princípio geral das transferênciasArtigo 45.o. Transferências com base numa decisão de adequaçãoArtigo 46.o. Transferências sujeitas a garantias adequadasArtigo 47.o. Regras vinculativas aplicáveis às empresasArtigo 48.o. Transferências ou divulgações não autorizadas pelo direito da UniãoArtigo 49.o. Derrogações para situações específicasArtigo 50.o. Cooperação internacional no domínio da proteção de dados pessoais
CAPÍTULO VI Autoridades de controlo independentes (51-59)
Artigo 51.o. Autoridade de controloArtigo 52.o. IndependênciaArtigo 53.o. Condições gerais aplicáveis aos membros da autoridade de controloArtigo 54.o. Regras aplicáveis à constituição da autoridade de controloArtigo 55.o. CompetênciaArtigo 56.o. Competência da autoridade de controlo principalArtigo 57.o. AtribuiçõesArtigo 58.o. PoderesArtigo 59.o. Relatórios de atividades
CAPÍTULO VII Cooperação e coerência (60-70)
Artigo 60.o. Cooperação entre a autoridade de controlo principal e as outras autoridades de controlo interessadasArtigo 61.o. Assistência mútuaArtigo 62.o. Operações conjuntas das autoridades de controloArtigo 63.o. Procedimento de controlo da coerênciaArtigo 64.o. Parecer do ComitéArtigo 65.o. Resolução de litígios pelo ComitéArtigo 66.o. Procedimento de urgênciaArtigo 67.o. Troca de informaçõesArtigo 68.o. Comité Europeu para a Proteção de DadosArtigo 69.o. IndependênciaArtigo 70.o. Atribuições do ComitéArtigo 71.o. RelatóriosArtigo 72.o. ProcedimentoArtigo 73.o. PresidenteArtigo 74.o. Funções do presidenteArtigo 75.o. SecretariadoArtigo 76.o. Confidencialidade
CAPÍTULO VIII Vias de recurso, responsabilidade e sanções (77-84)
Artigo 77.o. Direito de apresentar reclamação a uma autoridade de controloArtigo 78.o. Direito à ação judicial contra uma autoridade de controloArtigo 79.o. Direito à ação judicial contra um responsável pelo tratamento ou um subcontratanteArtigo 80.o. Representação dos titulares dos dadosArtigo 81.o. Suspensão do processoArtigo 82.o. Direito de indemnização e responsabilidadeArtigo 83.o. Condições gerais para a aplicação de coimasArtigo 84.o. Sanções
CAPÍTULO IX Disposições relativas a situações específicas de tratamento (85-91)
Artigo 85.o. Tratamento e liberdade de expressão e de informaçãoArtigo 86.o. Tratamento e acesso do público aos documentos oficiaisArtigo 87.o. Tratamento do número de identificação nacionalArtigo 88.o. Tratamento no contexto laboralArtigo 89.o. Garantias e derrogações relativas ao tratamento para fins de arquivo de interesse público ou para fins de investigação científica ou histórica ou para fins estatísticosArtigo 90.o. Obrigações de sigiloArtigo 91.o. Normas vigentes em matéria de proteção dos dados das igrejas e associações religiosas
CAPÍTULO X Atos delegados e atos de execução (92-93)
Artigo 92.o. Exercício da delegaçãoArtigo 93.o. Procedimento de comité
CAPÍTULO XI Disposições finais (94-95)
Artigo 94.o. Revogação da Diretiva 95/46/CEArtigo 95.o. Relação com a Diretiva 2002/58/CEArtigo 96.o. Relação com acordos celebrados anteriormenteArtigo 97.o. Relatórios da ComissãoArtigo 98.o. Revisão de outros atos jurídicos da União em matéria de proteção de dadosArtigo 99.o. Entrada em vigor e aplicação
RGPD (GDPR) > Artigo 28.o. Subcontratante
Descarregar PDF

Artigo 28.o RGPD (GDPR). Subcontratante

Article 28 GDPR. Processor

1. Quando o tratamento dos dados for efetuado por sua conta, o responsável pelo tratamento recorre apenas a subcontratantes que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas de uma forma que o tratamento satisfaça os requisitos do presente regulamento e assegure a defesa dos direitos do titular dos dados.

1. Where processing is to be carried out on behalf of a controller, the controller shall use only processors providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that processing will meet the requirements of this Regulation and ensure the protection of the rights of the data subject.

2. O subcontratante não contrata outro subcontratante sem que o responsável pelo tratamento tenha dado, previamente e por escrito, autorização específica ou geral. Em caso de autorização geral por escrito, o subcontratante informa o responsável pelo tratamento de quaisquer alterações pretendidas quanto ao aumento do número ou à substituição de outros subcontratantes, dando assim ao responsável pelo tratamento a oportunidade de se opor a tais alterações.

2. The processor shall not engage another processor without prior specific or general written authorisation of the controller. In the case of general written authorisation, the processor shall inform the controller of any intended changes concerning the addition or replacement of other processors, thereby giving the controller the opportunity to object to such changes.

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraphs to article 28(2) GDPR:

8.5.6 Disclosure of subcontractors used to process PII

Control

The organization should disclose any use of subcontractors to process PII to the customer before use.

Implementation guidance

Provisions for the use of subcontractors to process PII should be included in the customer contract.

(EN) […]


to read the full text

3. O tratamento em subcontratação é regulado por contrato ou outro ato normativo ao abrigo do direito da União ou dos Estados-Membros, que vincule o subcontratante ao responsável pelo tratamento, estabeleça o objeto e a duração do tratamento, a natureza e finalidade do tratamento, o tipo de dados pessoais e as categorias dos titulares dos dados, e as obrigações e direitos do responsável pelo tratamento. Esse contrato ou outro ato normativo estipulam, designadamente, que o subcontratante:

3. Processing by a processor shall be governed by a contract or other legal act under Union or Member State law, that is binding on the processor with regard to the controller and that sets out the subject-matter and duration of the processing, the nature and purpose of the processing, the type of personal data and categories of data subjects and the obligations and rights of the controller. That contract or other legal act shall stipulate, in particular, that the processor:

a) Trata os dados pessoais apenas mediante instruções documentadas do responsável pelo tratamento, incluindo no que respeita às transferências de dados para países terceiros ou organizações internacionais, a menos que seja obrigado a fazê-lo pelo direito da União ou do Estado-Membro a que está sujeito, informando nesse caso o responsável pelo tratamento desse requisito jurídico antes do tratamento, salvo se a lei proibir tal informação por motivos importantes de interesse público;

(a) processes the personal data only on documented instructions from the controller, including with regard to transfers of personal data to a third country or an international organisation, unless required to do so by Union or Member State law to which the processor is subject; in such a case, the processor shall inform the controller of that legal requirement before processing, unless that law prohibits such information on important grounds of public interest;

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(3)(a) GDPR:

8.2.2 Organization’s purposes

Control

The organization should ensure that PII processed on behalf of a customer are only processed for the purposes expressed in the documented instructions of the customer.

Implementation guidance

The contract between the organization and the customer should include, but not be limited to, the objective and time frame to be achieved by the service.

(EN) […]


to read the full text

b) Assegura que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade ou estão sujeitas a adequadas obrigações legais de confidencialidade;

(b) ensures that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality;

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 13.2.4.

Here is the relevant paragraph to article 28(3)(b) GDPR:

6.10.2.4 Confidentiality or non-disclosure agreements

Implementation guidance

The organization should ensure that individuals operating under its control with access to PII are subject to a confidentiality obligation. The confidentiality agreement, whether part of a contract or separate, should specify the length of time the obligations should be adhered to.

(EN) […]


to read the full text

c) Adota todas as medidas exigidas nos termos do artigo 32.o;

(c) takes all measures required pursuant to Article 32;

Textos ligados
Textos ligados

d) Respeita as condições a que se referem os n.os 2 e 4 para contratar outro subcontratante;

(d) respects the conditions referred to in paragraphs 2 and 4 for engaging another processor;

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(3)(d) GDPR:

8.5.7 Engagement of a subcontractor to process PII

Control

The organization should only engage a subcontractor to process PII according to the customer contract.

Implementation guidance

Where the organization subcontracts some or all of the processing of that PII to another organization, a written authorization from the customer is required prior to the PII processed by the subcontractor. This can be in the form of appropriate clauses in the customer contract, or can be a specific “one-off” agreement.

 

(EN) […]


to read the full text

e) Toma em conta a natureza do tratamento, e na medida do possível, presta assistência ao responsável pelo tratamento através de medidas técnicas e organizativas adequadas, para permitir que este cumpra a sua obrigação de dar resposta aos pedidos dos titulares dos dados tendo em vista o exercício dos seus direitos previstos no capítulo III;

(e) taking into account the nature of the processing, assists the controller by appropriate technical and organisational measures, insofar as this is possible, for the fulfilment of the controller’s obligation to respond to requests for exercising the data subject’s rights laid down in Chapter III;

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(3)(e) GDPR:

8.3.1 Obligations to PII principals

Control

The organization should provide the customer with the means to comply with its obligations related to PII principals.

Implementation guidance

A PII controller’s obligations can be defined by legislation, by regulation and/or by contract. These obligations can include matters where the customer uses the services of the organization for implementation of these obligations.

(EN) […]


to read the full text

f) Presta assistência ao responsável pelo tratamento no sentido de assegurar o cumprimento das obrigações previstas nos artigos 32.o a 36.o, tendo em conta a natureza do tratamento e a informação ao dispor do subcontratante;

(f) assists the controller in ensuring compliance with the obligations pursuant to Articles 32 to 36 taking into account the nature of processing and the information available to the processor;

Textos ligados
Textos ligados

g) Consoante a escolha do responsável pelo tratamento, apaga ou devolve-lhe todos os dados pessoais depois de concluída a prestação de serviços relacionados com o tratamento, apagando as cópias existentes, a menos que a conservação dos dados seja exigida ao abrigo do direito da União ou dos Estados-Membros; e

(g) at the choice of the controller, deletes or returns all the personal data to the controller after the end of the provision of services relating to processing, and deletes existing copies unless Union or Member State law requires storage of the personal data;

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(3)(g) GDPR:

8.4.2 Return, transfer or disposal of PII

Control

The organization should provide the ability to return, transfer and/or disposal of PII in a secure manner. It should also make its policy available to the customer.

Implementation guidance

At some point in time, PII can need to be disposed of in some manner. This can involve returning the PII to the customer, transferring it to another organization or to a PII controller (e.g. as a result of a merger), deleting or otherwise destroying it, de-identifying it or archiving it.

(EN) […]


to read the full text

h) Disponibiliza ao responsável pelo tratamento todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no presente artigo e facilita e contribui para as auditorias, inclusive as inspeções, conduzidas pelo responsável pelo tratamento ou por outro auditor por este mandatado.

(h) makes available to the controller all information necessary to demonstrate compliance with the obligations laid down in this Article and allow for and contribute to audits, including inspections, conducted by the controller or another auditor mandated by the controller.

ISO 27701
ISO 27701

No que diz respeito ao primeiro parágrafo, alínea h), o subcontratante informa imediatamente o responsável pelo tratamento se, no seu entender, alguma instrução violar o presente regulamento ou outras disposições do direito da União ou dos Estados-Membros em matéria de proteção de dados.

With regard to point (h) of the first subparagraph, the processor shall immediately inform the controller if, in its opinion, an instruction infringes this Regulation or other Union or Member State data protection provisions.

4. Se o subcontratante contratar outro subcontratante para a realização de operações específicas de tratamento de dados por conta do responsável pelo tratamento, são impostas a esse outro subcontratante, por contrato ou outro ato normativo ao abrigo do direito da União ou dos Estados-Membros, as mesmas obrigações em matéria de proteção de dados que as estabelecidas no contrato ou outro ato normativo entre o responsável pelo tratamento e o subcontratante, referidas no n.o 3, em particular a obrigação de apresentar garantias suficientes de execução de medidas técnicas e organizativas adequadas de uma forma que o tratamento seja conforme com os requisitos do presente regulamento. Se esse outro subcontratante não cumprir as suas obrigações em matéria de proteção de dados, o subcontratante inicial continua a ser plenamente responsável, perante o responsável pelo tratamento, pelo cumprimento das obrigações desse outro subcontratante.

4. Where a processor engages another processor for carrying out specific processing activities on behalf of the controller, the same data protection obligations as set out in the contract or other legal act between the controller and the processor as referred to in paragraph 3 shall be imposed on that other processor by way of a contract or other legal act under Union or Member State law, in particular providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that the processing will meet the requirements of this Regulation. Where that other processor fails to fulfil its data protection obligations, the initial processor shall remain fully liable to the controller for the performance of that other processor’s obligations.

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(4) GDPR:

8.5.6 Disclosure of subcontractors used to process PII

Control

The organization should disclose any use of subcontractors to process PII to the customer before use.

Implementation guidance

Provisions for the use of subcontractors to process PII should be included in the customer contract.

(EN) […]


to read the full text

5. O facto de o subcontratante cumprir um código de conduta aprovado conforme referido no artigo 40.o ou um procedimento de certificação aprovado conforme referido no artigo 42.o pode ser utilizado como elemento para demonstrar as garantias suficientes a que se referem os n.os 1 e 4 do presente artigo.

5. Adherence of a processor to an approved code of conduct as referred to in Article 40 or an approved certification mechanism as referred to in Article 42 may be used as an element by which to demonstrate sufficient guarantees as referred to in paragraphs 1 and 4 of this Article.

Textos ligados
Textos ligados

6. Sem prejuízo de um eventual contrato individual entre o responsável pelo tratamento e o subcontratante, o contrato ou outro ato normativo referidos nos n.os 3 e 4 do presente artigo podem ser baseados, totalmente ou em parte, nas cláusulas contratuais-tipo referidas nos n.os 7 e 8 do presente artigo, inclusivamente quando fazem parte de uma certificação concedida ao responsável pelo tratamento ou ao subcontratante por força dos artigos 42.o e 43.o.

6. Without prejudice to an individual contract between the controller and the processor, the contract or the other legal act referred to in paragraphs 3 and 4 of this Article may be based, in whole or in part, on standard contractual clauses referred to in paragraphs 7 and 8 of this Article, including when they are part of a certification granted to the controller or processor pursuant to Articles 42 and 43.

Textos ligados
Textos ligados

7. A Comissão pode estabelecer cláusulas contratuais-tipo para as matérias referidas nos n.os 3 e 4 do presente artigo pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.

7. The Commission may lay down standard contractual clauses for the matters referred to in paragraph 3 and 4 of this Article and in accordance with the examination procedure referred to in Article 93(2).

Textos ligados
Textos ligados

8. A autoridade de controlo pode estabelecer cláusulas contratuais-tipo para as matérias referidas nos n.os 3 e 4 do presente artigo e de acordo com o procedimento de controlo da coerência referido no artigo 63.o.

8. A supervisory authority may adopt standard contractual clauses for the matters referred to in paragraph 3 and 4 of this Article and in accordance with the consistency mechanism referred to in Article 63.

Textos ligados
Textos ligados

9. O contrato ou outro ato normativo a que se referem os n.os 3 e 4 devem ser feitos por escrito, incluindo em formato eletrónico.

9. The contract or the other legal act referred to in paragraphs 3 and 4 shall be in writing, including in electronic form.

10. Sem prejuízo do disposto nos artigos 82.o, 83.o e 84.o, o subcontratante que, em violação do presente regulamento, determinar as finalidades e os meios de tratamento, é considerado responsável pelo tratamento no que respeita ao tratamento em questão.

10. Without prejudice to Articles 82, 83 and 84, if a processor infringes this Regulation by determining the purposes and means of processing, the processor shall be considered to be a controller in respect of that processing.

Textos ligados
Textos ligados
Regulamento Geral sobre a Proteção de Dados (RGPD, GDPR)

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

Comentário de especialista ISO 27701 Considerandos Lei de Diretrizes & Case Deixe um comentário
Comentário de especialista

(EN) A processor is a person or an organization that processes personal data on behalf and under the authority of a controller [Articles 4(8) and 28(1)]. The term used in the English text of the General Data Protection Regulation (GDPR) remains difficult to apprehend by a non-legal audience, so it is useful to turn to other linguistic versions for a better understanding.

(EN) […]


to read the full text

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
(EN) Ask a question
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to articles 28(5), 28(6), and 28(10) GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.

(EN) […]


to read the full text

Considerandos

(81) Para assegurar o cumprimento do presente regulamento no que se refere ao tratamento a efetuar pelo subcontratante por conta do responsável pelo tratamento, este, quando confiar atividades de tratamento a um subcontratante, deverá recorrer exclusivamente a subcontratantes que ofereçam garantias suficientes, especialmente em termos de conhecimentos especializados, fiabilidade e recursos, quanto à execução de medidas técnicas e organizativas que cumpram os requisitos do presente regulamento, nomeadamente no que se refere à segurança do tratamento. O facto de o subcontratante cumprir um código de conduta aprovado ou um procedimento de certificação aprovado poderá ser utilizado como elemento para demonstrar o cumprimento das obrigações do responsável pelo tratamento. A realização de operações de tratamento de dados em subcontratação deverá ser regulada por um contrato ou por outro ato normativo ao abrigo do direito da União ou dos Estados-Membros, que vincule o subcontratante ao responsável pelo tratamento e em que seja estabelecido o objeto e a duração do contrato, a natureza e as finalidades do tratamento, o tipo de dados pessoais e as categorias dos titulares dos dados, tendo em conta as tarefas e responsabilidades específicas do subcontratante no contexto do tratamento a realizar e o risco em relação aos direitos e liberdades do titular dos dados. O responsável pelo tratamento e o subcontratante poderão optar por utilizar um contrato individual ou cláusulas contratuais-tipo que são adotadas quer diretamente pela Comissão quer por uma autoridade de controlo em conformidade com o procedimento de controlo da coerência e adotadas posteriormente pela Comissão. Após concluído o tratamento por conta do responsável pelo tratamento, o subcontratante deverá, consoante a escolha do primeiro, devolver ou apagar os dados pessoais, a menos que seja exigida a conservação dos dados pessoais ao abrigo do direito da União ou do Estado-Membro a que o subcontratante está sujeito.

(81) To ensure compliance with the requirements of this Regulation in respect of the processing to be carried out by the processor on behalf of the controller, when entrusting a processor with processing activities, the controller should use only processors providing sufficient guarantees, in particular in terms of expert knowledge, reliability and resources, to implement technical and organisational measures which will meet the requirements of this Regulation, including for the security of processing. The adherence of the processor to an approved code of conduct or an approved certification mechanism may be used as an element to demonstrate compliance with the obligations of the controller. The carrying-out of processing by a processor should be governed by a contract or other legal act under Union or Member State law, binding the processor to the controller, setting out the subject-matter and duration of the processing, the nature and purposes of the processing, the type of personal data and categories of data subjects, taking into account the specific tasks and responsibilities of the processor in the context of the processing to be carried out and the risk to the rights and freedoms of the data subject. The controller and processor may choose to use an individual contract or standard contractual clauses which are adopted either directly by the Commission or by a supervisory authority in accordance with the consistency mechanism and then adopted by the Commission. After the completion of the processing on behalf of the controller, the processor should, at the choice of the controller, return or delete the personal data, unless there is a requirement to store the personal data under Union or Member State law to which the processor is subject.

Lei de Diretrizes & Case Deixe um comentário
[js-disqus]