Conforme mencionado nos artigos anteriores desta série (RGPD para o Condomínio e Como implementar o RGPD no condomínio), disponibilizamos um questionário de apoio à implementação do RGPD para o condomínio. O questionário está semi respondido com exemplos para melhor compreensão. Contudo, lembre-se que todo o condomínio tem necessidades únicas, por isso, deverá adaptar a realidade do respetivo. Após efetuar a leitura dos dois artigos anteriores, deverá estar a questionar-se: “Por onde começar?”
Deverá começar por responder este questionário. Logo a seguir, já com os dados definidos, poderá começar a preencher o formulário disponibilizado no artigo II ou através do sítio ‘web’ www.cnpd.pt, o formulário referente ao Modelo para responsáveis pelo tratamento.
Aconselhamos que guarde este questionário, com o formulário do CNPD.
Abaixo descrevemos alguns exemplos que podem ser utilizados de forma acumulativa ou não.
Área de atividade: Gestão de Condomínio
1 – Finalidades:
1.1 – Quais as finalidades das atividades de tratamento?
- Gestão de contas do prédio XPTO;
- Análise de contas e Cobrança;
- Gestão de Contencioso;
- Fecho de contas;
- Gestão da manutenção e incidentes;
- Envio de documentação por endereço eletrónico;
- Contratação de funcionários;
2 – Dados Guardados e organização do histórico da informação:
2.1 – Que dados pessoais são guardados na sua empresa?
- Descrição dos dados da ficha de condómino;
- Descrição dos dados do funcionário;
2.2 – Os dados pessoais estão armazenados em:
Papel | x | Sistema | x |
2.3 – Com que periodicidade são atualizados os dados?
São atualizados ao longo do ano, sempre que o condómino solicite alteração ou nos fechos contabilísticos do condomínio.
2.4 – Possuí um registo organizado?
Sim, o registo organizado dos condóminos está em sistema. No entanto, em suporte de papel existe apenas um arquivo com registo de cobranças e os respetivos históricos dos contactos efetuados neste sentido.
2.5 – Guarda apenas dados pessoais que são realmente necessários, ou guarda também dados adicionais que possam ser necessários no futuro?
Sim, os dados guardados são realmente necessários para a correta gestão de contas do condómino.
Sim, os dados adicionais são coletados quando os condóminos solicitam alteração à ficha de perfil, no sentido de constar o nome e o contacto do seu representante ou em ações judiciais.
-
Procedimentos Técnicos:
3.1 – Quais são os procedimentos técnicos que condomínio aplicou para assegurar a proteção da informação?
- Os dados pessoais são entregues apenas ao administrador.
- Os mesmos são inseridos em sistemas apenas por pessoa (s) devidamente autorizada(s).
- As cobranças de contencioso são efetuadas pelo administrador.
- O ‘software’ utilizado contém mecanismos para proteção de dados em conformidade com o regime geral de proteção de dados.
- O administrador, bem como, os funcionários tiveram formação ou ‘workshop’ de RGPD.
4. Segurança do Sistema: Garantir a confidencialidade, integridade e disponibilidade dos dados.
Responda as seguintes questões:
4.1 – Os sistemas utilizados limitam o acesso à informação apenas as pessoas autorizadas através de uma palavra-chave? (Confidencialidade)
Sim | x | Não |
4.2 – Os sistemas utilizados garantem que os dados originais apenas sejam alterados por pessoas autorizadas consoante a sua categoria de importância no sistema? (Integridade)
Sim | x | Não |
4.2.1 – É possível utilizar ferramentas de recuperação de informações danificadas ou perdidas, como, por exemplo, ‘backup’ da informação? (Integridade)
Sim, através de ‘backup’ do sistema. O sistema realizar automaticamente ‘backup’ diário, por exemplo.
4.2.2 – A informação está sempre disponível para utilização legítima? (Disponibilidade)
Sim, o sistema de gestão utilizado possui conexão dos dados através da Cloud. Desta forma, a informação está sempre disponível.
[membership level=”0,-3,-4″] Continue a ler este artigo, saiba mais acerca dos mecanismos de segurança, direitos dos titulares, entidades terceiras, mecanismos de comunicação de violação de dados, avaliação de risco, saiba mais acerca deste procedimento. Este conteúdo é exclusivo aos Membros Vip e/ou Plano membros Vip + Publicidade , clique no link e confira o que cada plano tem a oferecer. [/membership] [membership level=”3, 4″]
5 – Mecanismo de segurança:
5.1. – Possui algum controle físico de acesso à informação?
Sim, é utilizado um armário com tranca ou sala com acesso privado às pessoas autorizadas.
5.2. – Possui algum controle lógico de acesso à informação?
Sim, os sistemas informáticos possuem o antivírus, as firewalls, os filtros anti-spam e os mecanismos de encriptação.
6 – Direito dos titulares:
Direito de acesso aos dados | Sim | Não | ||
Direito de retificação dos dados | Sim | Não | ||
Direito ao apagamento dos dados | Sim | Não | ||
Direito à limitação do tratamento | Sim | Não | ||
Direito de portabilidade dos dados | Sim | Não | ||
Direito de oposição | Sim | Não |
6.1. – Todos os direitos dos titulares dos dados estão salvaguardados?
Sim, são assegurados o direito de acesso, à retificação, ao esquecimento, à portabilidade dos dados, a limitar ou opor-se ao tratamento dos seus dados pessoais (por exemplo, imagens de câmara de segurança, ou biometria) e a apresentar reclamação, bem como, recorrer à ação judicial.
7- Entidades terceiras:
7.1 – Quantas e quais são as entidades terceiras com acesso aos dados dos titulares?
Para responder a esta questão, deverá fazer uma listagem de fornecedores com acesso aos dados dos titulares e descrever o procedimento, por exemplo:
São 2 entidades terceiras. Os serviços de portaria e segurança, através de registos de controlo de entrada em suporte de papel e sistema. A gravação de espaços comuns, através das quatro câmaras existentes ligadas a um circuito.
O sistema de faturação e gestão armazena os dados na cloud e é encarregado pela segurança do mesmo. Esta entidade possui acesso aos dados dos titulares.
7.2 – A entidade terceira processadora dos dados cumpre na íntegra com a implementação do RGPD?
Sim, após leitura atenta da política de privacidade e os termos de utilização dos sistemas utilizados concluímos que o RGPD foi implementado, solicitamos ao prestador de serviços de segurança e portaria a informação relativa a sua política de privacidade e implementação do RGPD na empresa.
8 – Mecanismo de comunicação de Violação dos dados:
8.1 – Em caso de violação dos dados, é possível comunicá-la em 72 horas?
Sim, sempre que for detetada uma violação de dados, comunicaremos o mesmo através do formulário disponível no sítio ‘web’ da comissão nacional de proteção de dados, através da notificação.
9– Avaliação de Risco:
9.1 – Possuem procedimentos que permitam avaliar e gerir os riscos?
Sim, para diminuir o risco foram implementadas as seguintes medidas, nomeadamente, todos os meses os palavras-chave dos principais sistemas são alterados. Na sequência, a cada seis meses é verificado o nível de privilégio do utilizador no sistema, com a finalidade de estar sempre atualizados as necessidades da atividade.
10- Conseguem recolher evidências e demonstrar que cumprem com o RGPD?
Sim, através de toda a documentação gerada e dos procedimentos implementados.
Vale ressaltar que este questionário é apenas um exemplo padrão do levantamento de requisitos e pretende ajudá-lo a implementar o RGPD no seu condomínio. Contudo, cada condomínio tem as suas necessidades. Neste sentido, respondemos às questões apenas para exemplificar e simplificar todo o processo.
[/membership]