Que informações têm de ser dadas às pessoas cujos dados são recolhidos?

Resposta

No momento da recolha dos dados, as pessoas devem ser informadas, pelo menos, do seguinte:

• quem é a sua empresa/organização (os seus contactos e os do EPD, se existir);
• porque é que a sua empresa/organização irá utilizar os seus dados pessoais (finalidades);
• as categorias de dados pessoais em causa;
• a justificação jurídica para o tratamento dos seus dados;
• durante quanto tempo serão conservados os dados;
• quem mais poderá receber os dados;
• se os dados pessoais serão transferidos para um destinatário fora da UE;
• que a pessoa tem o direito a obter uma cópia dos dados (direito de acesso aos dados pessoais), bem como outros direitos básicos no domínio da proteção de dados (ver a lista completa dos direitos);
• que a pessoa tem o direito de apresentar uma reclamação a uma autoridade de proteção de dados (APD);
• que a pessoa tem o direito de retirar o seu consentimento em qualquer altura;
• se aplicável, a existência de decisões automatizadas e a lógica envolvida, incluindo as suas consequências.

Ver a lista de informações completa a fornecer.

Estas informações podem ser fornecidas por escrito ou oralmente a pedido da pessoa desde que a sua identidade seja comprovada por outros meios ou por meios eletrónicos se tal for apropriado. A sua empresa/organização deve fazê-lo de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples e gratuitamente.

Se os dados forem obtidos de outra empresa/organização, a sua empresa/organização deve fornecer as informações indicadas acima à pessoa à qual dizem respeito o mais tardar um mês após a sua empresa/organização ter obtido os dados pessoais; ou, caso a sua empresa/organização comunique com a pessoa, quando os dados forem utilizados para comunicar; ou, se estiver prevista a divulgação a outra empresa, aquando da primeira divulgação dos dados pessoais.

A sua empresa/organização também tem de informar sobre as categorias dos dados e sobre a fonte a partir da qual os obteve, incluindo se foram obtidos de fontes acessíveis ao público. Nas circunstâncias específicas previstas no artigo 13.º, n.º 4, e no artigo 14.º, n.º 5, do RGPD, a sua empresa/organização pode estar isenta da obrigação de informar . Verifique se alguma destas situações se aplica à sua empresa/organização.

Referências

• Artigo 12.º, n.os 1, 5 e 7, artigos 13.º e 14.º; considerandos 58-62 do RGPD
• Orientações do CEPD relativas à transparência na aceção do Regulamento 2016/679

• Article 12(1), (5) and (7), Articles 13 and 14 and Recitals (58) to (62) of the GDPR
• EDPB guidelines on Transparency under Regulation 2016/679