Mar 17 2022 0 POR FAVOR, RESPONDA ÀS SEGUINTES QUESTÕESSECÇÃO I – SERVIÇOS PÚBLICOS: TRATAMENTOA. UNIDADES1. O Município dispõe de uma unidade interna, com competências específicas na área da proteção de dados pessoais? Sim Não None Em caso de resposta afirmativa à Questão 1:a) Quantas pessoas integra? 2 ou menos 2 a 4 Mais de 4 None b) Qual a área de formação dos seus membros? Área jurídica Área informática Outra(s) None Em caso de resposta negativa à Questão 1:a) O Município recorre a serviços de terceiros para esse efeito? Sim Não None b) As questões relacionadas com a área da proteção de dados pessoais são analisadas internamente por outros serviços? Se sim, quais? Serviços jurídicos Serviços informáticos Outro(s) None B. ENCARREGADO DA PROTEÇÃO DE DADOS2. O Município dispõe de um Encarregado da Proteção de Dados? Sim Não None Em caso de resposta afirmativa à questão anterior:a) O Encarregado da Proteção de Dados é envolvido, de forma adequada e em tempo útil, em todas as questões relacionadas com a proteção de dados pessoais? Em especial, é assegurado que: None i) O Encarregado da Proteção de Dados é convidado a participar regulamente nas reuniões dos quadros de gestão médios e superiores do Município? Sim Não None ii) A presença do Encarregado da Proteção de Dados é recomendada sempre que sejam adotadas decisões com implicações na proteção de dados? Sim Não None iii) Todas as informações pertinentes são transmitidas oportunamente ao Encarregado da Proteção de Dados, para que este possa prestar um aconselhamento adequado? Sim Não None iv) O Parecer do Encarregado da Proteção de Dados é sempre devidamente ponderado? Sim Não None v) Nos casos em que o Parecer do Encarregado da Proteção de Dados não é seguido, a razão para tal é devidamente fundamentada? Sim Não None vi) O Encarregado da Proteção de Dados é imediatamente consultado após a ocorrência de uma violação de dados ou outro incidente? Sim Não None b) O Encarregado da Proteção de Dados dispõe de recursos adequados para o exercício das respetivas funções? Em especial é assegurado que: None i) O Encarregado da Proteção de Dados exerce essas funções a tempo inteiro? Sim Não None ii) Caso o Encarregado da Proteção de Dados exerça essas funções a tempo parcial, a percentagem de tempo alocada ao desempenho das mesmas encontra-se definida e demonstra-se suficiente? Sim Não None iii) O Encarregado da Proteção de Dados dispõe de recursos financeiros adequados para o exercício das respetivas funções? Sim Não None iv) O Encarregado da Proteção de Dados dispõe de infraestruturas (locais, instalações, equipamento) adequados para o exercício das respetivas funções? Sim Não None v) O Encarregado da Proteção de Dados dispõe de recursos humanos adequados para o exercício das respetivas funções? Sim Não None vi) A nomeação do Encarregado da Proteção de Dados foi oficialmente comunicada, de forma clara, a todo os trabalhadores e agentes do Município, a fim de divulgar a sua existência e missão dentro da instituição? Sim Não None vii) O Encarregado da Proteção de Dados goza da possibilidade de receber apoio, contributos e informações essenciais por parte de outros serviços do Município, tais como os recursos humanos, os serviços jurídicos, informáticos, de segurança, etc? Sim Não None c) É concedida ao Encarregado da Proteção de Dados a possibilidade de realizar formação, de forma periódica, de modo a que este possa atualizar os seus conhecimentos? Sim Não None d) O Encarregado da Proteção de Dados está contratualmente vinculado a um dever de sigilo ou a uma obrigação confidencialidade, no que toca ao exercício das suas funções? Sim Não None e) O Encarregado da Proteção de Dados dispõe de adequadas garantias de autonomia e independência? Em particular, é assegurado que este: Sim Não None i) Não recebe instruções quanto ao exercício das suas funções? Sim Não None ii) Não pode ser penalizado ou destituído por força do regular exercício dessas funções? Sim Não None iii) Reporta diretamente ao mais alto nível de gestão (Presidente da Câmara ou em quem este delegue)? Sim Não None iv) Não exerce funções profissionais (dentro ou fora do Município) que possam resultar num conflito de interesses? Sim Não None SECÇÃO II – CONDIÇÕES DE LICITUDE PARA O TRATAMENTO DE DADOS PESSOAISC. CONFORMIDADE COM O PRINCÍPIO DA LICITUDE3. O Município tem implementadas medidas técnicas e organizativas com vista a garantir que todas as operações de tratamento por si realizadas se baseiam numa das condições de licitude previstas no artigo 6.º/1 do RGPD, e, quando aplicável, numa das derrogações para situações específicas, contempladas no artigo 9.º/2 do mesmo diploma? Sim Não None D. TRATAMENTO DE DADOS PESSOAIS DE CATEGORIAS GERAIS4. Quais os fundamentos já invocados pelo Município para o tratamento de dados pessoais? Consentimento Execução de um contrato no qual o titular dos dados é parte ou realização de diligências pré-contratuais a pedido do titular dos dados? Cumprimento de obrigações jurídicas? Defesa de interesses vitais do titular dos dados ou de outras pessoas singular? Exercício de funções de interesse público ou de autoridade pública? Prossecução de interesses legítimos do responsável pelo tratamento ou de terceiros? E. TRATAMENTO DE DADOS PESSOAIS DE CATEGORIAS ESPECIAIS5. No caso de dados pessoais pertencentes a pelo menos uma das categorias especiais previstas no artigo 9.º/1 do RGPD, quais as derrogações já invocadas pelo Município para afastar a proibição-geral estabelecida quanto ao seu tratamento? Consentimento explícito dos titulares dos dados? Tratamento necessário por motivos de interesse público importante? Tratamento necessário por motivos de interesse público no domínio da saúde pública? Tratamento necessário para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos? Outro(s) SECÇÃO III – DIREITOS DOS TITULARES DOS DADOSF. DIREITO DE INFORMAÇÃO6. O Município presta aos titulares de dados pessoais as informações a que se referem os artigos 13.º (no caso de informações recolhidas diretamente junto dos titulares) e 14.º (no caso de informações recolhidas indiretamente, a partir de terceiros) do RGPD? Sim Não None 7. Essas informações são prestadas de forma concisa, transparente, inteligível e de fácil acesso, através de uma linguagem clara e simples (em especial quando se dirijam a crianças)? Sim Não None G. DIREITO DE ACESSO8. O Município tem implementadas políticas e procedimentos internos que permitam aos cidadãos, na qualidade de titulares de dados pessoais, obterem, de forma simples, a confirmação de que os dados pessoais que lhes digam respeito são ou não objeto de tratamento? Sim Não None 9. O Município tem implementadas políticas e procedimentos internos que permitam aos cidadãos, na qualidade de titulares de dados pessoais, acederem às informações tratadas a seu respeito, bem como às demais informações previstas no artigo 15.º/1 do RGPD? Sim Não None 10. Em média, qual o número de pedidos de exercício deste direito recebidos pelo Município nos últimos 24 meses? 0 a 10 10 a 20 20 a 30 Mais de 30 None 11. Em média, qual o prazo de resposta do Município aos titulares dos dados? 1 a 2 semanas 2 a 3 semanas 1 mês Mais de 1 mês None H. DIREITO DE RETIFICAÇÃO12. O Município tem implementadas políticas e procedimentos internos que permitam aos cidadãos, na qualidade de titulares de dados pessoais, obterem, de forma simples e sem demora injustificada, a retificação dos dados pessoais inexatos que lhes digam respeito? Sim Não None 13. Tendo em conta as finalidades do tratamento, os cidadãos têm ainda o direito a que os seus dados incompletos sejam completados, incluindo por meio de uma declaração adicional? Sim Não None 14. Em média, qual o número de pedidos de exercício deste direito recebidos pelo Município nos últimos 24 meses? 0 a 10 10 a 20 20 a 30 Mais de 30 None 15. Em média, qual o prazo de resposta do Município aos titulares dos dados? 1 a 2 semanas 2 a 3 semanas 1 mês Mais de 1 mês None I. DIREITO AO APAGAMENTO DOS DADOS (DIREITO A SER ESQUECIDO)16. O Município tem implementadas políticas e procedimentos internos que permitam aos cidadãos, na qualidade de titulares de dados pessoais, obterem, de forma simples e sem demora injustificada, o apagamento dos dados pessoais que lhes digam respeito, sempre que se encontrem verificadas uma das condições previstas no artigo 17.º/1 do RGPD? Sim Não None 17. O Município tem implementadas políticas e procedimentos internos por forma a assegurar que, quando tenha tornado públicos os dados pessoais em questão e for obrigado a apagá-los, os responsáveis pelo tratamento efetivo desses mesmos dados são informados de que os titulares solicitaram o apagamento das ligações para esses dados pessoais, bem como de quaisquer cópias ou reproduções das informações em causa? Sim Não None 18. Em média, qual o número de pedidos de exercício deste direito recebidos pelo Município nos últimos 24 meses? 0 a 10 10 a 20 20 a 30 Mais de 30 None 19. Em média, qual o prazo de resposta do Município aos titulares dos dados? 1 a 2 semanas 2 a 3 semanas 1 mês Mais de 1 mês None J. DIREITO À LIMITAÇÃO DO TRATAMENTO20. O Município tem implementadas políticas e procedimentos internos que permitam aos cidadãos, na qualidade de titulares de dados pessoais, obterem, de forma simples, a limitação do tratamento dos dados pessoais que lhes digam respeito, caso se aplique uma das situações-pressuposto contempladas nas alíneas a) a d) do artigo 18.º/1 do RGPD? Sim Não None 21. Em média, qual o número de pedidos de exercício deste direito recebidos pelo Município nos últimos 24 meses? 0 a 10 10 a 20 20 a 30 Mais de 30 None 22. Em média, qual o prazo de resposta do Município aos titulares dos dados? 1 a 2 semanas 2 a 3 semanas 1 mês Mais de 1 mês None K. DIREITO À PORTABILIDADE DOS DADOS23. O Município tem implementadas políticas e procedimentos internos que permitam aos cidadãos receberem os dados pessoais que lhes digam respeito e que tenham originariamente fornecido àquele, num formato estruturado, de uso corrente e de leitura automática, desde que verificadas as condições previstas no artigo 20.º/1 do RGPD? Sim Não None 24. Em caso afirmativo, é-lhes ainda concedida a possibilidade de solicitarem a transmissão direta desses mesmos dados pessoais a outro responsável pelo tratamento? Sim Não None 25. Em média, qual o número de pedidos de exercício deste direito recebidos pelo Município nos últimos 24 meses? 0 a 10 10 a 20 20 a 30 Mais de 30 None 26. Em média, qual o prazo de resposta do Município aos titulares dos dados? 1 a 2 semanas 2 a 3 semanas 1 mês Mais de 1 mês None L. DIREITO DE OPOSIÇÃO27. O Município tem implementadas políticas e procedimentos internos que permitam aos cidadãos oporem-se a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhes digam respeito, sempre que este se baseie numa condições previstas nos artigos 6.º/1/e), 6.º/1/f) ou 6.º/4 do RGPD? Sim Não None 28. Em caso afirmativo – e sendo tal direito exercido – o Município cessa o tratamento dos dados em questão, a não ser que existam razões imperiosas e legítimas para esse tratamento que prevaleçam sobre os interesses, direitos e liberdades do titular dos dados, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial? Sim Não None 29. Em média, qual o número de pedidos de exercício deste direito recebidos pelo Município nos últimos 24 meses? 0 a 10 10 a 20 20 a 30 Mais de 30 None 30. Em média, qual o prazo de resposta do Município aos titulares dos dados? 1 a 2 semanas 2 a 3 semanas 1 mês Mais de 1 mês None M. DECISÕES AUTOMATIZADAS31. O Município tem implementadas políticas e procedimentos internos destinados a garantir que nenhum cidadão fique sujeito a decisões tomadas exclusivamente com base no tratamento de dados pessoais que lhes digam respeito, suscetíveis de produzir efeitos na sua esfera jurídica ou de os afetarem significativamente de forma similar, salvo se verificadas uma das exceções expressamente previstas no artigo 22.º/2 do RGPD? Sim Não None SECÇÃO IV – GESTÃO DE RISCON. POLÍTICAS EM MATÉRIA DE PROTEÇÃO DE DADOS PESSOAIS32. O Município dispõe de Políticas internas em matéria de proteção de dados pessoais? Se sim, quais? Política de Proteção de Dados Pessoais (Geral) Políticas setoriais a) Em caso de resposta afirmativa à questão anterior, com que frequência as mesmas são revistas e atualizadas? Nunca 6 em 6 meses Ano em ano 2 em 2 anos Outra None O. REGISTO DE ATIVIDADES DE TRATAMENTO33. O Município dispõe de um registo interno, onde se encontrem documentadas todas as atividades de tratamento de dados pessoais desenvolvidas sob a sua responsabilidade? Sim Não None Em caso de resposta afirmativa à questão anterior:a) Qual o número aproximado de atividades de tratamento identificadas nesse registo? 0 a 50 50 a 100 100 a 200 Mais de 200 None b) Esse registo contém informações relativamente: None i) Ao nome e aos contactos do responsável pelo tratamento, bem como de eventuais responsáveis conjuntos pelo tratamento e do Encarregado da Proteção de Dados? Sim Não None ii) Às finalidades para as quais os dados serão tratados? Sim Não None iii) Às categorias de titulares de dados e às categorias de dados pessoais tratados? Sim Não None iv) Às categorias de destinatários a quem os dados pessoais foram ou serão divulgados, incluindo os destinatários estabelecidos em países terceiros ou organizações internacionais? Sim Não None v) Às transferências de dados pessoais para países terceiros ou organizações internacionais (caso ocorram), incluindo a identificação desses países terceiros ou organizações internacionais e, sendo o caso, a documentação que comprove a existência de garantias adequadas para a transferência? Sim Não None vi) Aos prazos previstos para o apagamento das diferentes categorias de dados Sim Não None vii) Às medidas técnicas e organizativas implementadas para garantir a segurança dos dados tratados? Sim Não None P. AVALIAÇÃO DE IMPACTO SOBRE A PROTEÇÃO DE DADOS34. O Município realiza uma Avaliação de Impacto sobre a Proteção de Dados sempre que um certo tipo de tratamento, em particular que utilize novas tecnologias, for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares? Sim Não None 35. Em particular, o Município realiza uma Avaliação de Impacto sobre a Proteção de Dados quando se encontrem verificadas as condições previstas no artigo 35.º/3 do RGPD ou no Regulamento n.º 1/2018 da Comissão Nacional da Proteção de Dados? Sim Não None 36. Em média, quantas Avaliações de Impacto sobre a Proteção de Dados foram realizadas pelo Município nos últimos 24 meses? 0 a 10 10 a 20 20 a 30 Mais de 30 None Q. PROTEÇÃO DE DADOS DESDE A CONCEÇÃO E POR DEFEITO37. O Município aplica, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizativas adequadas, como a pseudonimização, destinadas a aplicar com eficácia os princípios da proteção de dados, tais como a minimização, e a incluir as garantias necessárias no tratamento, de uma forma que este cumpra os requisitos do RGPD e proteja os direitos dos titulares dos dados? Sim Não None 38. O Município aplica medidas técnicas e organizativas para assegurar que, por defeito, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento? Sim Não None R. SEGURANÇA DE DADOS PESSOAIS39. O Município tem implementadas medidas técnicas e organizativas adequadas, com vista a assegurar que os dados pessoais pelos quais é responsável são tratados de uma maneira que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental? Em especial, e no que concerne aos tratamento automatizados de dados, o Município tem implementadas medidas técnicas e organizativas destinadas a:a) Impedir o acesso de pessoas não autorizadas aos equipamentos utilizados para o tratamento? Sim Não None b) Impedir que os suportes de dados sejam lidos, copiados, alterados ou retirados sem autorização? Sim Não None c) Impedir a introdução não autorizada de dados pessoais, bem assim como qualquer outra operação não autorizada relativamente a dados pessoais por si conservados? Sim Não None d) Impedir que os sistemas de tratamento automatizado sejam utilizados por indivíduos não autorizados por intermédio de equipamentos de comunicação de dados? Sim Não None e) Assegurar que as pessoas autorizadas a utilizar o sistema de tratamento automatizado só tenham acesso aos dados abrangidos pela sua autorização de acesso? Sim Não None f) Garantir que possa ser verificado e determinado a que organismos os dados foram ou podem ser transmitidos ou facultados utilizando equipamentos de comunicação de dados? Sim Não None g) Garantir que possa ser verificado e determinado a posteriori quais os dados introduzidos nos sistemas de tratamento automatizado, quando e por quem foram introduzidos? Sim Não None h) Impedir que, durante as transferências de dados pessoais ou o transporte dos seus suportes, os dados possam ser lidos, copiados, alterados ou suprimidos sem autorização? Sim Não None i) Assegurar que os sistemas utilizados possam ser restauradas em caso de interrupção? Sim Não None j) Assegurar que as funções do sistema de tratamento automatizado funcionam, que os erros de funcionamento sejam assinalados (fiabilidade) e que os dados pessoais não possam ser falseados por funcionamento defeituoso desse sistema (integridade)? Sim Não None S. FORMAÇÃO E SENSIBILIZAÇÃO40. O Município proporciona formação aos seus trabalhadores e agentes na área da proteção de dados pessoais? Sim Não None Em caso de resposta afirmativa à questão anterior: a) Com que frequência? 6 em 6 meses Ano em ano 2 em 2 anos Outra None b) Quais dos seguintes conteúdos são abordados nessa formação? Condições de licitude para o tratamento de dados pessoais Princípios aplicáveis ao tratamento Direitos dos titulares dos dados Obrigações do responsável pelo tratamento Outros T. SUBCONTRATANTES41. O Município toma diligências, previamente à contratação de subcontratantes, com vista a assegurar que estes oferecem garantias suficientes de execução de medidas técnicas e organizativas adequadas em matéria de proteção de dados pessoais? Sim Não None 42. As relações de subcontratação (que impliquem o tratamento de dados pessoais por conta do Município) encontram-se reguladas por contrato ou outro ato normativo ao abrigo do direito da União Europeia ou dos Estados-Membros, que cumpra com os requisitos formais e substanciais contemplados nos artigos 28.º/2 e 28.º/3 do RGPD? Sim Não None U. VIOLAÇÕES DE DADOS PESSOAIS43. O Município tem implementadas políticas e procedimentos internos, com vista a responder a incidentes de segurança que constituam violações de dados pessoais? Sim Não None 44. Em especial, o Município tem implementadas políticas e procedimentos internos para assegurar que essas violações são notificadas à Comissão Nacional de Proteção de Dados, no prazo máximo de 72 horas, sempre que aquelas se mostrem suscetíveis de resultar em riscos para os direitos e liberdades das pessoas singulares afetadas pela sua ocorrência? Sim Não None 45. Nos casos em que essas violações se demonstrem suscetíveis de resultar em riscos elevados para os direitos e liberdades das pessoas singulares afetadas, dispõe o Município, além disso, de políticas e procedimentos internos que permitam comunicar a esses titulares de dados, sem demora injustificada, a verificação de um databreach? Sim Não None 46. Em média, quantas violações de dados pessoais foram identificadas pelo Município nos últimos 24 meses? 0 a 10 10 a 20 20 a 30 Mais de 30 None 47. Em média, quantas violações de dados pessoais foram notificadas pelo Município à CNPD nos últimos 24 meses? 0 a 10 10 a 20 20 a 30 Mais de 30 None 48. Em média, quantas violações de dados pessoais foram comunicadas pelo Município aos titulares dos dados nos últimos 24 meses? 0 a 10 10 a 20 20 a 30 Mais de 30 None Questões adaptadas de: Information Comissioner’s Office, “Controllers checklist”, disponível em: https://ico.org.uk/for-organisations/sme-web-hub/checklists/data-protection-self-assessment/controllers-checklist/ [Consultado a 11/01/2021]. None Time's up Post navigationNext PostNext PARTE IV- CIBERSEGURANÇA