O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.
Não foi possivel carregar a página pretendida. Reportar Erro

II SÉRIE-E — NÚMERO 21

8

Artigo 15.º

Tratamento de dados pessoais em decorrência de vínculo laboral ou semelhante

1 – O tratamento dos dados pessoais para finalidades inerentes a vínculo laboral ou semelhante (e.g.

pagamento de salários, dedução de quotizações ou cobrança de impostos) deve ser o estritamente necessário.

2 – A análise da proporcionalidade do tratamento a efetuar deve garantir o equilíbrio entre os direitos de

privacidade dos funcionários e o interesse legítimo no tratamento.

3 – Caberá ao EPD, em cooperação com as unidades competentes, definir medidas técnicas e organizativas

para assegurar que, por defeito, só são tratados os dados pessoais necessários para cada finalidade específica

do tratamento.

4 – Deve ser também garantido o princípio da minimização de dados sempre que se decida sobre a utilização

de novas tecnologias.

Artigo 16.º

Contratos com terceiros

1 – Toda a contratação com terceiros que implique o acesso a dados pessoais sob a responsabilidade da

Assembleia da República, é precedida de uma análise das garantias de cumprimento do RGPD e da

implementação de medidas de segurança por parte de tais terceiros.

2 – Os contratos a celebrar devem incluir cláusulas específicas de proteção de dados que limitem o

tratamento dos dados à execução do contrato e às instruções da Assembleia da República, bem como prever

medidas de proteção dos dados por parte da entidade contratada.

3 – Após a cessação do contrato, a entidade contratada deve ser obrigada a devolver os dados pessoais à

Assembleia da República e destruir todas as cópias dos mesmos, com exceção dos casos em que exista uma

obrigação legal ou contratual da sua conservação.

4 – Quanto aos contratos já celebrados, a Assembleia da República procede, no prazo de 30 dias a contar

da publicação do presente regulamento, ao inventário de terceiros que têm acesso direto ou indireto aos dados

pessoais sob a sua responsabilidade, podendo, caso se justifique, rever os contratos existentes para que os

mesmos fiquem em conformidade com as obrigações impostas pelo RGPD.

Artigo 17.º

Subcontratantes

1 – Quando a Assembleia da República recorra a entidades subcontratadas para, em seu nome e de acordo

com as suas instruções, procederem ao tratamento de dados pessoais, o contrato deve definir claramente a

duração do serviço, a natureza e as finalidades do tratamento dos dados pessoais, o tipo de dados pessoais, as

categorias de titulares de dados, a obrigação de notificar uma violação de dados pessoais, bem como indicar as

obrigações da entidade subcontratada no que concerne à segurança da informação e confidencialidade.

2 – As entidades subcontratadas devem fornecer à Assembleia da República a documentação necessária

para demonstrar o adequado cumprimento de todas as obrigações referentes à proteção de dados pessoais,

em especial no RGPD.

3 – Essas entidades não poderão transmitir os dados pessoais a outras entidades sem que a Assembleia da

República tenha dado, previamente e por escrito, autorização para tal.

4 – Quando o contrato cesse, essas entidades devem ser obrigadas a devolver os dados pessoais à

Assembleia da República e a destruir todas as cópias dos mesmos, com exceção dos casos em que exista uma

obrigação legal ou contratual da sua conservação.