§ 29. 1) O subcontratante ou qualquer pessoa que, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante, tenha acesso a dados pessoais, não pode proceder ao tratamento desses dados exceto por instrução do responsável pelo tratamento, salvo se obrigado por força do direito da União ou dos Estados-Membros. |
1. Síntese
O subcontratante ou qualquer pessoa que, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante, tenha acesso a dados pessoais, não pode proceder ao tratamento desses dados exceto por instrução do responsável pelo tratamento, salvo se obrigado por força do direito da União ou dos Estados-Membros.
2. Fundamentação
A fundamentação deste parágrafo é garantir que o tratamento de dados pessoais seja realizado de forma controlada e segura, assegurando que as instruções do responsável pelo tratamento sejam seguidas rigorosamente. Isso previne a manipulação não autorizada dos dados e protege os direitos dos titulares.
3. Por que é Necessário?
É necessário para assegurar que todas as ações de tratamento de dados sejam conduzidas sob a supervisão e conforme as diretrizes estabelecidas pelo responsável pelo tratamento. Isso minimiza os riscos de uso inadequado ou abusivo dos dados pessoais e assegura a conformidade com as políticas de proteção de dados.
4. Cenário Hipotético
Uma empresa de contabilidade terceiriza parte de suas funções para uma firma de processamento de dados. Os funcionários da firma de processamento não podem acessar e tratar os dados dos clientes da empresa de contabilidade a menos que sigam estritamente as instruções fornecidas pela empresa de contabilidade. Se a firma de processamento receber uma ordem judicial para acessar os dados, deve informar a empresa de contabilidade antes de proceder, salvo em casos onde a lei proíba tal comunicação.
5. Benefícios
Garantir que o tratamento de dados seja realizado apenas sob instruções explícitas do responsável pelo tratamento previne o uso não autorizado e protege os direitos dos titulares dos dados. Isso também promove a responsabilidade e a transparência no tratamento de dados, fortalecendo a confiança dos clientes na gestão de seus dados.
6. Implementação
A empresa deve estabelecer processos claros para a comunicação de instruções ao subcontratante e assegurar que todos os funcionários e subcontratados compreendam e sigam essas instruções. Isso pode incluir a formação regular sobre políticas de proteção de dados e a implementação de sistemas de monitoramento e auditoria para verificar a conformidade.
7. Penalidade
As penalidades por não conformidade com o Artigo 29 do GDPR podem incluir multas administrativas que podem chegar a até 2% do faturamento anual global da empresa infratora ou 10 milhões de euros, dependendo do que for mais elevado. ACESSE.
8. Conclusão
O parágrafo 1 do Artigo 29 assegura que o tratamento de dados pessoais seja realizado de forma controlada e segura, seguindo as instruções do responsável pelo tratamento e garantindo a conformidade com o GDPR.