Este site utiliza cookies para lhe proporcionar uma melhor experiência de utilização. Ao navegar aceita a política de cookies.
OK, ACEITO

Parecer n.º 16

Acesso ao documento completo

Assunto
Recurso a subcontratante para tratamento de dados pessoais de estudantes da UC e de outras pessoas, no âmbito da atividade da DRI. 

Resumo


A contratação de serviços informáticos para tratamento de dados pessoais não é vedada à luz do RGPD, desde que o responsável pelo tratamento recorra apenas a subcontratantes que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas à salvaguarda dos direitos e liberdades dos titulares, sendo necessário que:

- Exista uma correta identificação do subcontratante e que se impeça ou controle contratualmente o tratamento em cadeia que envolva múltiplos subcontratantes.

- Os dados pessoais sejam tratados em locais geográficos do Espaço Económico Europeu (EEE).

- Os dados pessoais não sejam transferidos para países terceiros fora do EEE.

- Os titulares dos dados, quando estudantes da UC, sejam previamente informados de quem efetua o tratamento, quais os dados tratados, como são tratados, com que finalidade e qual o prazo de conservação, de acordo com a minuta anexa - minuta p16.

- Seja obtido consentimento escrito, sempre que os titulares dos dados não sejam alunos da UC.

Caso o serviço a contratar implique uma interconexão de dados com os sistemas atuais (Nónio) para os dados dos alunos da UC, para além de ser dado conhecimento aos titulares desta subcontratação, há que garantir medidas de segurança para que os dados apresentem exatidão e atualização permanentes.

O subcontratante deve também demonstrar a capacidade de garantir resposta às solicitações dos cidadãos, no âmbito do acesso a documentos administrativos, e demonstrar garantias técnicas e organizativas de compliance com o RGPD.

O contrato, deverá incluir, também, todos os aspetos relevantes para efeito de proteção de dados. 


Suporte


Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

Lei n.º 67/1998, de 26 de outubro - Lei da Proteção de Dados Pessoais.

Lei n.º 26/2016, de 2 de agosto - Nova LADA.

- Resolução do Conselho de Ministros n.º 41/2018, de 28 de março - Orientações técnicas para a Administração Pública, recomendando-as ao setor empresarial do Estado, em matéria de arquitetura de segurança das redes e sistemas de informação e procedimentos a adotar de modo a cumprir as normas do RGPD.

- Regulamento 423/2009, de 27 de outubro - Regulamento da Administração da Universidade de Coimbra.

- Regulamento n.º 341/2015, de 17 de junho, alterado pelo Despacho n.º 755/2019, de 17 de janeiro - Regulamento Académico da Universidade de Coimbra.

- Parecer n.º 6/2019, de 28 de março - EPD-UC.

- Parecer n.º 8/2019, de 10 de abril - EPD-UC.