Artigo 28.o

Subcontratante

  • Quando o tratamento dos dados for efetuado por sua conta, o respons√°vel pelo tratamento recorre apenas a subcontratantes que apresentem garantias suficientes de execu√ß√£o de medidas t√©cnicas e organizativas adequadas de uma forma que o tratamento satisfa√ßa os requisitos do presente regulamento e assegure a defesa dos direitos do titular dos dados.
  • O subcontratante n√£o contrata outro subcontratante sem que o respons√°vel pelo tratamento tenha dado, previamente e por escrito, autoriza√ß√£o espec√≠fica ou geral. Em caso de autoriza√ß√£o geral por escrito, o subcontratante informa o respons√°vel pelo tratamento de quaisquer altera√ß√Ķes pretendidas quanto ao aumento do n√ļmero ou √† substitui√ß√£o de outros subcontratantes, dando assim ao respons√°vel pelo tratamento a oportunidade de se opor a tais altera√ß√Ķes.
  • O tratamento em subcontrata√ß√£o √© regulado por contrato ou outro ato normativo ao abrigo do direito da Uni√£o ou dos Estados-Membros, que vincule o subcontratante ao respons√°vel pelo tratamento, estabele√ßa o objeto e a dura√ß√£o do tratamento, a natureza e finalidade do tratamento, o tipo de dados pessoais e as categorias dos titulares dos dados, e as obriga√ß√Ķes e direitos do respons√°vel pelo tratamento. Esse contrato ou outro ato normativo estipulam, designadamente, que o subcontratante:
    • a) Trata os dados pessoais apenas mediante instru√ß√Ķes documentadas do respons√°vel pelo tratamento, incluindo no que respeita √†s transfer√™ncias de dados para pa√≠ses terceiros ou organiza√ß√Ķes internacionais, a menos que seja obrigado a faz√™-lo pelo direito da Uni√£o ou do Estado-Membro a que est√° sujeito, informando nesse caso o respons√°vel pelo tratamento desse requisito jur√≠dico antes do tratamento, salvo se a lei proibir tal informa√ß√£o por motivos importantes de interesse p√ļblico;
    • b) Assegura que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade ou est√£o sujeitas a adequadas obriga√ß√Ķes legais de confidencialidade;
    • c) Adota todas as medidas exigidas nos termos do artigo¬†32.o;
    • d) Respeita as condi√ß√Ķes a que se referem os n.os¬†2 e 4 para contratar outro subcontratante;
    • e) Toma em conta a natureza do tratamento, e na medida do poss√≠vel, presta assist√™ncia ao respons√°vel pelo tratamento atrav√©s de medidas t√©cnicas e organizativas adequadas, para permitir que este cumpra a sua obriga√ß√£o de dar resposta aos pedidos dos titulares dos dados tendo em vista o exerc√≠cio dos seus direitos previstos no cap√≠tulo¬†III;
    • f) Presta assist√™ncia ao respons√°vel pelo tratamento no sentido de assegurar o cumprimento das obriga√ß√Ķes previstas nos artigos¬†32.o a 36.o, tendo em conta a natureza do tratamento e a informa√ß√£o ao dispor do subcontratante;
    • g) Consoante a escolha do respons√°vel pelo tratamento, apaga ou devolve-lhe todos os dados pessoais depois de conclu√≠da a presta√ß√£o de servi√ßos relacionados com o tratamento, apagando as c√≥pias existentes, a menos que a conserva√ß√£o dos dados seja exigida ao abrigo do direito da Uni√£o ou dos Estados-Membros; e
    • h) Disponibiliza ao respons√°vel pelo tratamento todas as informa√ß√Ķes necess√°rias para demonstrar o cumprimento das obriga√ß√Ķes previstas no presente artigo e facilita e contribui para as auditorias, inclusive as inspe√ß√Ķes, conduzidas pelo respons√°vel pelo tratamento ou por outro auditor por este mandatado.
      No que diz respeito ao primeiro par√°grafo, al√≠nea¬†h), o subcontratante informa imediatamente o respons√°vel pelo tratamento se, no seu entender, alguma instru√ß√£o violar o presente regulamento ou outras disposi√ß√Ķes do direito da Uni√£o ou dos Estados-Membros em mat√©ria de prote√ß√£o de dados.
  • Se o subcontratante contratar outro subcontratante para a realiza√ß√£o de opera√ß√Ķes espec√≠ficas de tratamento de dados por conta do respons√°vel pelo tratamento, s√£o impostas a esse outro subcontratante, por contrato ou outro ato normativo ao abrigo do direito da Uni√£o ou dos Estados-Membros, as mesmas obriga√ß√Ķes em mat√©ria de prote√ß√£o de dados que as estabelecidas no contrato ou outro ato normativo entre o respons√°vel pelo tratamento e o subcontratante, referidas no n.o¬†3, em particular a obriga√ß√£o de apresentar garantias suficientes de execu√ß√£o de medidas t√©cnicas e organizativas adequadas de uma forma que o tratamento seja conforme com os requisitos do presente regulamento. Se esse outro subcontratante n√£o cumprir as suas obriga√ß√Ķes em mat√©ria de prote√ß√£o de dados, o subcontratante inicial continua a ser plenamente respons√°vel, perante o respons√°vel pelo tratamento, pelo cumprimento das obriga√ß√Ķes desse outro subcontratante.
  • O facto de o subcontratante cumprir um c√≥digo de conduta aprovado conforme referido no artigo¬†40.o ou um procedimento de certifica√ß√£o aprovado conforme referido no artigo¬†42.o pode ser utilizado como elemento para demonstrar as garantias suficientes a que se referem os n.os¬†1 e¬†4 do presente artigo.
  • Sem preju√≠zo de um eventual contrato individual entre o respons√°vel pelo tratamento e o subcontratante, o contrato ou outro ato normativo referidos nos n.os¬†3 e 4 do presente artigo podem ser baseados, totalmente ou em parte, nas cl√°usulas contratuais-tipo referidas nos n.os¬†7 e 8 do presente artigo, inclusivamente quando fazem parte de uma certifica√ß√£o concedida ao respons√°vel pelo tratamento ou ao subcontratante por for√ßa dos artigos¬†42.o e 43.o.
  • A Comiss√£o pode estabelecer cl√°usulas contratuais-tipo para as mat√©rias referidas nos n.os¬†3 e¬†4 do presente artigo pelo procedimento de exame a que se refere o artigo¬†93.o, n.o¬†2.
  • A autoridade de controlo pode estabelecer cl√°usulas contratuais-tipo para as mat√©rias referidas nos n.os¬†3 e 4 do presente artigo e de acordo com o procedimento de controlo da coer√™ncia referido no artigo¬†63.o.
  • O contrato ou outro ato normativo a que se referem os n.os¬†3 e 4 devem ser feitos por escrito, incluindo em formato eletr√≥nico.
  • Sem preju√≠zo do disposto nos artigos¬†82.o, 83.o e 84.o, o subcontratante que, em viola√ß√£o do presente regulamento, determinar as finalidades e os meios de tratamento, √© considerado respons√°vel pelo tratamento no que respeita ao tratamento em quest√£o.