Resposta
O responsável pelo tratamento determina as finalidades e os meios pelos quais os dados pessoais são tratados. Portanto, a sua empresa/organização é a responsável pelo tratamento se decide «porquê» e «como» os dados pessoais devem ser tratados. Os trabalhadores que efetuam o tratamento de dados pessoais na sua organização fazem-no para cumprir as suas tarefas enquanto responsável pelo tratamento.
A sua empresa/organização é responsável conjunto pelo tratamento quando determina, em conjunto com uma ou mais organizações, «porquê» e «como» os dados pessoais devem ser tratados. Os responsáveis conjuntos pelo tratamento devem celebrar um acordo que defina as respetivas responsabilidades pelo cumprimento das regras do RGPD. Os principais aspetos desse acordo devem ser comunicados às pessoas cujos dados são objeto de tratamento.
O subcontratante só efetua o tratamento de dados pessoais em nome do responsável pelo tratamento. O subcontratante é geralmente um terceiro externo à empresa; contudo, no caso dos grupos de empresas, uma empresa pode atuar como subcontratante para outra empresa.
Os deveres do subcontratante perante o responsável pelo tratamento devem ser especificados num contrato ou noutro ato jurídico. Por exemplo, o contrato deve indicar o que acontece aos dados pessoais uma vez terminado o contrato. Uma atividade típica dos subcontratantes é a oferta de soluções informáticas, incluindo armazenamento em nuvem. O subcontratante só pode subcontratar uma parte das suas tarefas a outro subcontratante ou nomear um subcontratante conjunto se tiver recebido autorização prévia por escrito do responsável pelo tratamento dos dados.
Existem situações em que uma entidade pode ser um responsável pelo tratamento, um subcontratante ou ambos.
Exemplos
Responsável pelo tratamento e subcontratante
Uma fábrica de cerveja tem muitos trabalhadores. Assina um contrato com uma empresa de gestão de folhas de pagamento para que esta efetue o pagamento dos seus salários. A fábrica de cerveja informa a empresa de gestão de folhas de pagamento quando os salários devem ser pagos, quando um trabalhador sai da empresa ou recebe um aumento, e fornece todos os restantes dados necessários para a folha de salário e o pagamento. A empresa de gestão de folhas de pagamento fornece o sistema informático e armazena os dados dos trabalhadores. A fábrica de cerveja é a responsável pelo tratamento e a empresa de gestão de folhas de pagamento é a subcontratante.
Responsáveis conjuntos pelo tratamento
A sua empresa/organização oferece serviços de babysitting através de uma plataforma em linha. Simultaneamente, a sua empresa/organização tem um contrato com outra empresa que lhe permite prestar serviços de valor acrescentado. Estes serviços incluem a possibilidade de os pais escolherem, não só a babysitter, mas também alugar jogos e DVD para a babysitter levar consigo. Ambas as empresas participam na configuração técnica do sítio web. Neste caso, as empresas decidiram utilizar a plataforma para ambas as finalidades (serviços de babysitting e aluguer de DVD/jogos) e partilham frequentemente os nomes dos clientes. Por conseguinte, as duas empresas são responsáveis conjuntas pelo tratamento, porque não só concordaram em oferecer a possibilidade de «serviços combinados», como também conceberam e utilizam uma plataforma comum.
Referências:
Examples
Controller and processor
A brewery has many employees. It signs a contract with a payroll company to pay the wages. The brewery tells the payroll company when the wages should be paid, when an employee leaves or has a pay rise, and provides all other details for the salary slip and payment. The payroll company provides the IT system and stores the employees’ data. The brewery is the data controller and the payroll company is the data processor.
Joint controllers
Your company/organisation offers babysitting services via an online platform. At the same time your company/organisation has a contract with another company allowing you to offer value-added services. Those services include the possibility for parents not only to choose the babysitter but also to rent games and DVDs that the babysitter can bring. Both companies are involved in the technical set-up of the website. In that case, the two companies have decided to use the platform for both purposes (babysitting services and DVD/games rental) and will very often share clients’ names. Therefore, the two companies are joint controllers because not only do they agree to offer the possibility of ‘combined services’ but they also design and use a common platform.