PDPF

Question 1

O que é privacidade?

Answer 1

O direito ao respeito pela vida privada e familiar de uma pessoa, seu lar e sua correspondência pessoal

Question 2

Como privacidade e proteção de dados estão relacionadas?

Answer 2

A proteção de dados consiste em algumas medidas necessárias para proteger a privacidade de um indivíduo

Question 3

Quais as partes interessadas conforme o GDPR?

Answer 3

Controlador, processador, terceiro, destinatário, representante legal, autoridade supervisora, DPO

Question 4

Quais os seis fundamentos legítimos para processamento?

Answer 4

Consentimento, execução de contrato, cumprimento de obrigação legal por parte do Controlador, proteção de interesse vital, interesse público/exercício de autoridade, legítimo interesse do Controlador ou Terceiro

Question 5

Qual o conceito de limitação de finalidade?

Answer 5

Princípio da limitação de objetivos no processamento de dados pessoais. O GDPR exige que os “dados pessoais sejam recolhidos para fins específicos, explícitos e legítimos”.

Question 6

Como são descritas a proporcionalidade e subsidiariedade?

Answer 6

Proporcionalidade - exige que qualquer ação não ultrapasse o necessário para alcançar os objetivos.
Subsidiariedade - dados pessoais só podem ser processados se não houver outros meios para garantir esses objetivos.

Question 7

Quais os requisitos para processamento legítimo de dados?

Answer 7

De acordo com o Artigo 6(1) do GDPR, o processamento só será lícito se, e na medida em que ao menos um dos seguintes motivos legítimos de processamento se aplicar:
consentimento
necessário para a execução de um contrato
cumprimento de uma obrigação legal
proteger um interesse vital
desempenho de uma tarefa realizada no interesse público ou no exercício da autoridade
interesses legítimos

Question 8

Como são descritos os requisitos para processamento legítimo de dados?

Answer 8

A exigência de legitimidade significa que as finalidades para o processamento de dados devem estar de acordo com a lei no sentido mais amplo (Artigo GDPR 6(3)).
Para que o processamento seja legal, ele deve sempre ser baseado em pelo menos um dos seis motivos legítimos de processamento.

Question 9

Como é descrita a finalidade do processamento de dados?

Answer 9

Os dados pessoais devem ser coletados para fins especificados, explícitos e legítimos e não devem ser processados de maneira incompatível com esses fins.

Question 10

Quais os princípios relacionados ao processamento de dados pessoais?

Answer 10

Integridade e confidencialidade
Limitação de finalidade
Legalidade, justiça e transparência
Minimização de dados
Limitação de armazenamento
Prestação de contas
Precisão

Question 11

Como a proteção de dados é formalizada em contratos entre o controlador e o processador?

Answer 11

Quando um processador é contratado para executar o processamento ou parte do processamento, é um contrato por escrito para que o controlador demonstre que implementa medidas técnicas e organizacionais apropriadas e garanta que essas precauções permaneçam em vigor durante o processamento.

Question 12

Quais as cláusulas desse tipo de contrato entre controlador e o processador?

Answer 12

Dados cobertos pelo acordo
Medidas técnicas e organizacionais
Segurança geral e salvaguardas no processamento de dados
Monitoramento da segurança da informação e proteção de dados
Violação de segurança da informação e violação de dados pessoais
Acordo com outro processador de dados
Transferência de dados
Correção, exclusão e bloqueio / obrigações específicas para auxiliar o controlador

Question 13

Quais os benefícios da proteção de dados desde a concepção e por padrão?

Answer 13

Adotar uma abordagem de Proteção de Dados desde a Concepção (by design) é uma ferramenta essencial para minimizar os riscos de privacidade e criar confiança.

Question 14

Como são descritos os benefícios da proteção de dados desde a concepção e por padrão?

Answer 14

• problemas potenciais são identificados em um estágio inicial, quando resolvê-los será sempre mais simples e menos dispendioso
• maior conscientização sobre privacidade e proteção de dados em toda a organização
• as organizações são mais propensas a cumprir suas obrigações legais e menos propensas a violar a Lei de Proteção de Dados.
• é menos provável que as ações sejam invasivas à privacidade e tenham um impacto negativo nos indivíduos

Question 15

Quais os sete princípios da proteção de dados desde a concepção?

Answer 15

Funcionalidade Total - Soma Positiva, Não Soma Zero
Segurança de ponta a ponta - proteção total do ciclo de vida
Proativo não reativo; preventiva não remediadora
Proteção de dados como configuração padrão
Privacidade Incorporada ao Design
Visibilidade e transparência - Abertura
Respeito à privacidade do usuário – Centrada no Usuário

Question 16

O que a Avaliação de Impacto sobre a Proteção de Dados (DPIA) aborda?

Answer 16

Uma DPIA pode endereçar uma única ou um conjunto de operações de processamento semelhantes.

Question 17

Quando um DPIA deve ser realizado?

Answer 17

DPIA só é exigida quando o processamento é “susceptível de resultar em um alto risco aos direitos e liberdades das pessoas físicas”.
A DPIA deve ser realizada antes do processamento. A DPIA deve ser iniciado o mais cedo possível no projeto da operação de processamento, mesmo que algumas das operações de processamento ainda sejam desconhecidas.

Question 18

Quais os oito objetivos de um DPIA?

Answer 18

• evitar mudanças dispendiosas nos processos, redesenho de sistemas ou encerramento de projetos
• reduzir as consequências da supervisão e fiscalização
• melhorar a qualidade dos dados
• melhorar a prestação de serviços
• melhorar a tomada de decisão
• melhorar a comunicação em relação à privacidade e proteção de dados pessoais
• aumentar a conscientização sobre privacidade em uma organização melhorar a viabilidade do projeto
• reforçar a confiança dos titulares de dados na forma como os dados pessoais são processados e a privacidade é respeitada

Question 19

Quais os tópicos de um relatório de DPIA?

Answer 19

• uma descrição das operações de processamento previstas e as finalidades do processamento
• uma avaliação da necessidade e proporcionalidade do processamento
• uma avaliação dos riscos para os direitos e liberdades dos titulares de dados
• as medidas previstas para o abordar os riscos e o demonstrar o cumprimento com o GDPR

Question 20

Quais os objetivos da Gestão do Ciclo de Vida do Dado?

Answer 20

Ajudar a gerenciar o fluxo de dados em todo o seu ciclo de vida: da criação, uso, compartilhamento, arquivamento e exclusão.
Rastrear dados com precisão em todo o ciclo de vida da informação é a base de uma estratégia de proteção de dados confidencial e ajuda a determinar onde aplicar os controles de segurança.

Question 21

Como é explicada a retenção e a minimização de dados?

Answer 21

Um dos princípios é a minimização de dados: a obrigação de garantirem que os dados pessoais são adequados, relevantes e limitados ao necessário em relação aos fins para os quais são processados (Artigo 5(1c)).
Há muitas obrigações legais em relação à retenção de dados pessoais por um determinado período. Na prática, isso leva a um equilíbrio contínuo entre quais dados manter e por que e quais dados descartar de maneira segura.

Question 22

O que é um cookie?

Answer 22

Um cookie é apenas um arquivo de texto (geralmente pequeno), armazenado no computador do usuário.

Question 23

Qual a finalidade de um cookie?

Answer 23

Sessão - permitem que os usuários sejam reconhecidos dentro de um site; qualquer alteração de página ou seleção de item ou de dados será lembrada de uma página para outra.
Persistentes - permanecem no disco rígido do usuário até serem apagados pelo usuário ou até expirarem. Esse tipo de cookie pode tornar a experiência do visitante do site mais pessoal.
Rastreamento - geralmente é chamado de cookie de terceiros. O objetivo é acompanhar quais páginas uma pessoa está visitando, construindo um perfil da pessoa com base em interesses.

Question 24

Como é descrito o direito de oposição ao processamento de dados pessoais com finalidade de marketing direto, inclusive definição de perfis?

Answer 24

Quando dados pessoais são processados para fins de marketing direto, o titular dos dados deve ter o direito de se opor a tal processamento, incluindo o perfil na medida em que está relacionado a tal marketing direto, seja em relação ao processamento inicial ou posterior, em qualquer tempo e gratuitamente.

Question 25

A quem se aplica o GDPR?

Answer 25

A todos os países da UE, Islândia, Liechtenstein e a Noruega (EEE EFTA).

Question 26

Qual o principal objetivo do GDPR?

Answer 26

Fortalecer e unificar a proteção de dados para indivíduos na UE.

Question 27

É possível ter privacidade sem proteção de dados?

Answer 27

Não. A privacidade inclui o direito à proteção de dados pessoais.

Question 28

A proteção de dados ajuda a garantir alguns aspectos da privacidade?

Answer 28

Sim. É o modo/meio para implementar a proteção ao direito de privacidade.

Question 29

É possível ter privacidade sem segurança da informação?

Answer 29

Não. Mas é possível ter segurança sem privacidade.

Question 30

Qual a definição de dados pessoais de acordo com o GDPR?

Answer 30

Informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»).

Question 31

Quais os exemplos de identificadores?

Answer 31

Um número de identificação, dados de localização, identificadores por via eletrónica ou um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular

Question 32

Verdadeiro ou Falso

Os dados pessoais que tenham sido pseudonimizados, que possam ser atribuídos a uma pessoa singular mediante a utilização de informações suplementares, deverão ser considerados informações sobre uma pessoa singular identificável.

Answer 32

Verdadeiro

Question 33

Como determinar se uma pessoa singular é identificável?

Answer 33

Importa considerar todos os meios suscetíveis de ser razoavelmente utilizados, tais como a seleção, quer pelo responsável pelo tratamento quer por outra pessoa, para identificar direta ou indiretamente a pessoa singular.

Question 34

Qual o requisito para determinar se há uma probabilidade razoável de os meios serem utilizados para identificar a pessoa singular?

Answer 34

Importa considerar todos os fatores objetivos, como os custos e o tempo necessário para a identificação, tendo em conta a tecnologia disponível à data do tratamento dos dados e a evolução tecnológica.

Question 35

Verdadeiro ou Falso

As pessoas singulares podem ser associadas a identificadores por via eletrónica, fornecidos pelos respetivos aparelhos, aplicações, ferramentas e protocolos

Answer 35

Verdadeiro

Question 36

Endereços IP (protocolo internet) ou testemunhos de conexão (cookie) ou outros identificadores, como as etiquetas de identificação por radiofrequência são dados pessoais?

Answer 36

Sim, tendo em vista que pessoas singulares podem ser associadas a esses identificadores.

Question 37

Qual a principal diferença de distinguir dados pessoais e categorias especiais de dados?

Answer 37

Merecem proteção específica os dados pessoais que sejam, pela sua natureza, especialmente sensíveis do ponto de vista dos direitos e liberdades fundamentais, dado que o contexto do tratamento desses dados poderá implicar riscos significativos para os direitos e liberdades fundamentais.

Question 38

Quais são as categorias especiais de dados?

Answer 38

Dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.

Question 39

Verdadeiro ou Falso

Os Estados-Membros podem manter ou impor novas condições, incluindo limitações, no que respeita ao tratamento de dados genéticos, dados biométricos ou dados relativos à saúde.

Answer 39

Verdadeiro

Question 40

Quais são os direitos do titular dos dados?

Answer 40

Direito de acesso, retificação, apagamento (“direito a a ser esquecido”), notificação da retificação/apagamento, à limitação do tratamento, portabilidade, oposição

Question 41

Como é descrito o direito de acesso?

Answer 41

O direito de obter do responsável pelo tratamento a confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento e, se for esse o caso, o direito de aceder aos seus dados pessoais.

Question 42

Como é descrito o direito de retificação?

Answer 42

O direito de obter, sem demora injustificada, do responsável pelo tratamento a retificação dos dados pessoais inexatos que lhe digam respeito. Que os seus dados pessoais incompletos sejam completados, incluindo por meio de uma declaração adicional.

Question 43

Como é descrito o direito ao apagamento?

Answer 43

O direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada.

Question 44

Como é descrito o direito à limitação do tratamento?

Answer 44

Para restringir o tratamento de dados pessoais pode recorrer-se a métodos como a transferência temporária de determinados dados para outro sistema de tratamento, a indisponibilização do acesso a determinados dados pessoais por parte dos utilizadores, ou a retirada temporária de um sítio web dos dados aí publicados.

Question 45

Verdadeiro ou Falso

O titular dos dados tem o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis

Answer 45

Verdadeiro

Question 46

Como é descrita obrigação de notificação da retificação ou apagamento dos dados pessoais ou limitação do tratamento?

Answer 46

O responsável pelo tratamento comunica a cada destinatário a quem os dados pessoais tenham sido transmitidos qualquer retificação ou apagamento dos dados pessoais ou limitação do tratamento a que se tenha procedido, salvo se tal comunicação se revelar impossível ou implicar um esforço desproporcionado. Se o titular dos dados o solicitar, o responsável pelo tratamento fornece-lhe informações sobre os referidos destinatários.

Question 47

Como é descrito o direito de portabilidade dos dados?

Answer 47

O titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento, num formato estruturado, de uso corrente e de leitura automática, e o direito de transmitir esses dados a outro responsável.

Question 48

Como é descrito o direito de oposição?

Answer 48

O direito de se opor a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito

Question 49

Qual a consequência do direito de oposição?

Answer 49

O responsável pelo tratamento cessa o tratamento dos dados pessoais, a não ser que apresente razões imperiosas e legítimas para esse tratamento que prevaleçam sobre os interesses, direitos e liberdades do titular dos dados, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial.

Question 50

Como é definido o processamento de dados pessoais que se enquadre no escopo do GDPR?

Answer 50

Âmbito material ( A proteção das pessoas singulares deverá aplicar-se ao tratamento de dados pessoais por meios automatizados, bem como ao tratamento manual, se os dados pessoais estiverem contidos ou se forem destinados a um sistema de ficheiros. )

Âmbito territorial ( efetuado no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante situado no território da União, independentemente de o tratamento ocorrer dentro ou fora da União. )

Question 51

Verdadeiro ou Falso

É proibido o tratamento de categorias especiais de dados pessoais, com exceções.

Answer 51

Verdadeiro (Artigo 9.1, GDPR)

Question 52

Qual o conceito de “Terceiro”?

Answer 52

A pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais

Question 53

Quais são os diferentes tipos de administração?

Answer 53

Registro de atividades de processamento
e Registro de violações de dados pessoais

Question 54

A que esse trecho se refere?

“Often it is enough to create a spreadsheet or a simple Excel table if the number of your processing activities is not so high, but if it doesn’t scale well, there are also specialised software solutions for Register of Processing Activities.”

Answer 54

A um dos tipos de administração, do art. 30, GDPR

Question 55

A referência à ISO27001 abaixo casa com qual norma da GDPR?

7.2.8 Records related to processing PII
Control
The organization should determine and securely maintain the necessary records in support of its obligations for the processing of PII.

Implementation guidance
A way to maintain records of the processing of PII is to have an inventory or list of the PII processing activities that the organization performs.

Answer 55

Ao artigo 30, GDPR

Question 56

O que é obrigatório ter nos registos das atividades de tratamento do controlador?

Answer 56

O nome e os contactos do responsável pelo tratamento e, sendo o caso, de qualquer responsável conjunto
As finalidades do tratamento
Categorias de titulares de dados e das categorias de dados pessoais
As categorias de destinatários a quem os dados pessoais foram ou serão divulgados, incluindo os destinatários estabelecidos em países terceiros ou organizações internacionais

Question 57

O que é facultado ter nos registros das atividades de tratamento do controlador?

Answer 57

Se for aplicável, as transferências de dados pessoais para países terceiros ou organizações internacionais, incluindo a identificação desses países terceiros ou organizações internacionais
Se possível, os prazos previstos para o apagamento das diferentes categorias de dados
Se possível, uma descrição geral das medidas técnicas e organizativas no domínio da segurança

Question 58

Qual a diferença do registro do controlador para o subcontratante?

Answer 58

O do subcontratante só precisa de:
O nome e contactos do subcontratante ou subcontratantes e de cada responsável pelo tratamento em nome do qual o subcontratante atua, bem como, sendo caso disso, do representante do responsável pelo tratamento ou do subcontratante e do encarregado da proteção de dados;
As categorias de tratamentos de dados pessoais efetuados em nome de cada responsável pelo tratamento;
Se for aplicável, as transferências de dados pessoais para países terceiros ou organizações internacionais, incluindo a identificação desses países terceiros ou organizações internacionais
Se possível, uma descrição geral das medidas técnicas e organizativas no domínio da segurança

Question 59

Verdadeiro ou Falso

As obrigações referentes ao registro das atividades de tratamento não se aplicam às empresas ou organizações com menos de 250 trabalhadores

Answer 59

Verdadeiro

A menos que o tratamento efetuado seja suscetível de implicar um risco para os direitos e liberdades do titular dos dados, não seja ocasional ou abranja as categorias especiais de dados, aí se aplica

Question 60

Os registros de controladores e processadores precisam ser necessariamente os mesmos?

Answer 60

Não.

O controlador pode usar vários processadores. Um processador pode estar sob contrato com vários controladores.

Question 61

Quais as categorias de violação de dados pessoais?

Answer 61

• Improvável que resultem em risco para os direitos e liberdades (notificação da violação não é obrigatória);
• Pode resultar em danos físicos, materiais ou não- materiais às pessoas (a notificação à Autoridade Supervisora é obrigatória);
• Provavelmente resultará em um alto risco para os direitos e liberdades (notificação à Autoridade Supervisora e ao titular dos dados é obrigatória - se possível)

Question 62

O que é violação de dados pessoais?

Answer 62

“uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento” Art. 4º, (12), GDPR

Question 63

Quais os procedimentos sobre como agir quando ocorre uma violação de dados pessoais?

Answer 63

São três - e todos envolvem notificação
1. À Autoridade Supervisora (obrigação do controlador)
2. Ao controlador (obrigação do processador)
3. Ao titular afetado (obrigação do controlador)

Question 64

Dê exemplos de categorias de violação de dados pessoais.

Answer 64

Material - pastas de arquivos perdidas
Verbal - indiscrição
Cyber - backdoor, hackers

Question 65

Qual a diferença entre uma violação de segurança e uma violação de dados pessoais?

Answer 65

Nem todo incidente de segurança é uma violação de dados pessoais. Uma violação de dados pessoais é sempre um incidente de segurança: não é apenas uma vulnerabilidade (risco à segurança) ou uma ameaça à segurança - alguém teve acesso aos dados pessoais.

Question 66

Quais as partes interessadas relevantes que devem ser informadas no caso de uma violação de dados pessoais?

Answer 66

Autoridade Supervisora, controlador, e pessoa singular afetada (caso puder resultar em alto risco a seus direitos e liberdades)

Question 67

Quais atividades são necessárias para estar em conformidade com o GDPR?

Answer 67

Satisfazer princípios do GDPR
DPIA
Consulta prévia à Autoridade (quando DPIA indicar processamento resultando em risco elevado)
Estrutura legal
Contrato controlador - processador

Question 68

Como é definida a proteção de dados desde a concepção?

Answer 68

Uma abordagem que garante consideração da privacidade e proteção de dados em sistemas, produtos e serviços durante todo o ciclo de vida do dado pessoal

Question 69

Como é definida a proteção de dados por padrão?

Answer 69

A implementação de medidas técnicas e organizacionais apropriadas para garantir que, por padrão (by default), apenas sejam processados dados pessoais necessários para cada finalidade específica do processamento.

Question 70

Dê exemplos de violação de dados pessoais.

Answer 70

Hackers mal intencionados ou benignos com acesso a DP
Incêndio em data center
Processador exclui acidentalmente conjunto de DP

Question 71

Há exceção à obrigação de notificação de violação de dados pessoais?

Answer 71

A notificação não é exigida se “for improvável que a violação de dados pessoais resulte em um risco para os direitos e liberdades das pessoas físicas”. Artigo 33(1), GDPR

Question 72

Como se descreve a execução das regras mediante a emissão de sanções, incluindo multas administrativas?

Answer 72

Para fazer cumprir o GDPR, além dos poderes consultivos, uma Autoridade Supervisora deve ter em cada Estado-Membro as mesmas funções e poderes efetivos, incluindo poderes de investigação, poderes de correção e sanções para impor a implementação do GDPR.

Question 73

Qual deve ser o conteúdo mínimo da notificação à Autoridade Supervisora?

Answer 73

Art. 33, (3)
a) Descrever a natureza da violação dos dados pessoais incluindo, se possível, as categorias e o número aproximado de titulares de dados afetados, bem como as categorias e o número aproximado de registos de dados pessoais em causa;
b) Comunicar o nome e os contactos do encarregado da proteção de dados ou de outro ponto de contacto onde possam ser obtidas mais informações;
c) Descrever as consequências prováveis da violação de dados pessoais;
d) Descrever as medidas adotadas ou propostas pelo responsável pelo tratamento para reparar a violação de dados pessoais, inclusive, se for caso disso, medidas para atenuar os seus eventuais efeitos negativos;

Question 74

Qual deve ser o conteúdo mínimo da notificação ao titular?

Answer 74

Descreve em linguagem clara e simples a natureza da violação e fornece, pelo menos:
b) Comunicar o nome e os contactos do encarregado da proteção de dados ou de outro ponto de contacto onde possam ser obtidas mais informações;
c) Descrever as consequências prováveis da violação de dados pessoais;
d) Descrever as medidas adotadas ou propostas para reparar a violação de dados pessoais, inclusive, se for caso disso, medidas para atenuar os seus eventuais efeitos negativos;

Question 75

Verdadeiro ou Falso

a necessidade de atenuar um risco imediato de prejuízo exigirá uma pronta comunicação aos titulares dos dados, mas a necessidade de aplicar medidas adequadas contra violações de dados pessoais recorrentes ou similares poderá justificar um período mais alargado para a comunicação

Answer 75

Verdadeiro

Question 76

Quando não é necessário comunicar o titular de uma violação?

Answer 76

a) O responsável tiver aplicado medidas de proteção, e essas medidas tiverem sido aplicadas aos dados pessoais afetados pela violação de dados pessoais, especialmente criptografia;

b) O responsável tiver tomado medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades já não é suscetível de se concretizar; ou

c) Implicar um esforço desproporcionado. Nesse caso, é feita uma comunicação pública ou tomada uma medida semelhante através da qual os titulares dos dados são informados de forma igualmente eficaz.

Question 77

Como pode ser descrito o contexto da legislação da União e do Estado-Membro?

Answer 77

O GDPR é vinculante e diretamente aplicável como força de lei em todos os países membros da AEE.
Leis nacionais baseadas na Diretiva 95/46/CE são substituídas

Question 78

Quais as responsabilidades gerais de uma autoridade supervisora?

Answer 78

Principal: proteger os direitos e liberdades, e facilitar o livre fluxo de dados pessoais na União
Acompanhar e fazer cumprir o regulamento
Aconselhar e promover conscientização
Administrar violações de dados
Estabelecer padrões
Cooperação com outras autoridades e o EDPS

Question 79

Como são descritas as responsabilidades gerais de uma autoridade supervisora?

Answer 79

Ao acompanhar e fazer cumprir: papel preventivo e remediador; pode revisar certificações emitidas
Ao aconselhar e conscientizar: aconselha o
parlamento nacional, o governo e outras instituições e organismos relacionados
Ao administrar sanções: manterá registros internos de infrações do GDPR
Ao estabelecer padrões: estabelece normas e diretrizes (quando fazer DPIA, códigos de conduta, contratos e regras corporativas vinculativas) e atua como um órgão certificador
Ao cooperar: por meio de mecanismo de consistência

Question 80

Como são descritos o papel e as responsabilidades de uma autoridade supervisora em relação a violações de dados pessoais?

Answer 80

A responsabilidade principal é fazer cumprir a aplicação do GDPR. Além dos poderes consultivos, uma Autoridade Supervisora possui amplos poderes de investigação e correção relativamente a violações.

Question 81

Como uma autoridade supervisora contribui para a aplicação do GDPR?

Answer 81

Por meio do mecanismo de consistência, em que compartilham informações e fornecem assistência mútua a outras Autoridades
Compartilhando todas as informações relevantes com o Conselho
Conduzindo operações conjuntas

Question 82

Verdadeiro ou Falso

Não é responsabilidade de uma Autoridade Supervisora estabelecer e manter uma lista em relação à exigência de Avaliação de Impacto sobre a Proteção de Dados (AIPD)

Answer 82

Falso

Question 83

Verdadeiro ou Falso

O tipo de multa ou medida é determinado de acordo com o histórico, o caráter intencional ou negligente da infração, e a forma como a autoridade de controlo tomou conhecimento da infração

Answer 83

Verdadeiro

Question 84

DPO pode responder criminalmente?

Answer 84

Sim, caso do Reino Unido e da Irlanda. Podem enfrentar responsabilidade penal mas em ambos os casos não há prisão.

Question 85

Verdadeiro ou Falso

A perda irrecuperável de dados pessoais é considerada como uma violação de segurança que provoca a destruição ilegal de dados pessoais, o que também faz com que represente uma violação de dados

Answer 85

Verdadeiro

Question 86

Verdadeiro ou Falso

Uma falha técnica que faz com que os dados deixem de estar disponíveis (perda acidental de dados) não constitui um incidente de segurança

Answer 86

Falso

O GDPR considera uma perda acidental como um processamento ilegal (não por instrução do controlador ou processador)

Question 87

As organizações têm a obrigação de manter diversos registros para demonstrar conformidade com o GDPR. Qual deles não é obrigatório?

i. um registro de todo o processamento pretendido, juntamente com as finalidades e justificativas legais
ii. um registro das notificações enviadas à autoridade supervisora, relativas ao processamento de dados pessoais

Answer 87

II

Question 88

Verdadeiro ou Falso

Uma consulta prévia sobre um processamento de alto risco é obrigatória, mas não há necessidade de registro separado das notificações enviadas

Answer 88

Verdadeiro

Question 89

Verdadeiro ou Falso

A informação de que as autoridades locais e nacionais foram notificadas da violação de dados precisa ser fornecida na notificação à Autoridade Supervisora

Answer 89

Falso

relatos a autoridades locais (ex: polícia) não precisam ser notificados

Question 90

Verdadeiro ou Falso

A autoridade supervisora precisa ser informada de relatos a autoridades de outros países da AEE

Answer 90

Verdadeiro

Question 91

Qual o valor máximo para uma infração da obrigação de notificar violação de dados pessoais?

Answer 91

10 mi euros, ou 2% do volume global anual de negócios, o que for maior

Question 92

Verdadeiro ou Falso

Códigos de conduta podem representar um modo de harmonizar contratos entre o controlador e o processador

Answer 92

Verdadeiro

Question 93

O que está definido abaixo?

“Uma medida para compensar a ausência de proteção de dados em país terceiro”

Answer 93

Salvaguardas apropriadas

Question 94

Qual a principal utilização de um cookie persistente?

i. personalizar a experiência do usuário do site durante uma próxima visita
ii. salvar as páginas que um usuário marcar como favoritas no histórico do navegador do usuário

Answer 94

I

Question 95

Verdadeiro ou Falso

A minimização dos dados não aborda o privilégio mínimo

Answer 95

Verdadeiro

Question 96

Qual a regulamentação que é aplicada transferência de dados dentro da Área Econômica Europeia?

Answer 96

Em caso de multinacionais, a autoridade supervisora do estabelecimento principal deve ter competência para agir como autoridade de controle principal para o processamento transfronteiriço

Question 96

Qual a regulamentação que é aplicada na transferência de dados fora da Área Econômica Europeia?

Answer 96

Apenas para jurisdição adequada ou se parte tiver implementado mecanismo legal de transferência de dados:
Decisão de adequação
Salvaguardas apropriadas
Regras corporativas vinculantes
Cláusulas-padrão adotadas pela Comissão
Cláusulas-tipo adotadas ou autorizadas por uma autoridade supervisora

Question 97

Qual a regulamentação que é aplicada na transferência de dados entre a Área Econômica Europeia e os EUA?

Answer 97

US Privacy Shield, uma decisão de adequação que foi revogada

Question 98

O que é Regras Corporativas Vinculantes (BCR)?

Answer 98

Um conjunto de regras aprovadas sobre a proteção de dados pessoais, usadas por um grupo empresarial ou do grupo de empresas envolvidas numa atividade econômica conjunta

Question 99

O que é uma AIPD?

Answer 99

DPIA é um processo concebido para descrever o processamento, avaliar a necessidade e a proporcionalidade de um processamento e ajudar a gerir os riscos para os direitos e liberdades das pessoas singulares resultantes do processamento de dados pessoais