CSE - Documentos de Enquadramento

5540 DIÁRIO DA REPÚBLICA — I SÉRIE-A N. o 247 — 26-10-1998 cação, um nível de segurança adequado em relação aos riscos que o tratamento apresenta e à natureza dos dados a proteger. 2 — O responsável pelo tratamento, em caso de tra- tamento por sua conta, deverá escolher um subcontra- tante que ofereça garantias suficientes em relação às medidas de segurança técnica e de organização do tra- tamento a efectuar, e deverá zelar pelo cumprimento dessas medidas. 3 — A realização de operações de tratamento em sub- contratação deve ser regida por um contrato ou acto jurídico que vincule o subcontratante ao responsável pelo tratamento e que estipule, designadamente, que o subcontratante apenas actua mediante instruções do responsável pelo tratamento e que lhe incumbe igual- mente o cumprimento das obrigações referidas no n. o 1. 4 — Os elementos de prova da declaração negocial, do contrato ou do acto jurídico relativos à protecção dos dados, bem como as exigências relativas às medidas referidas no n. o 1, são consignados por escrito em docu- mento em suporte com valor probatório legalmente reconhecido. Artigo 15. o Medidas especiais de segurança 1 — Os responsáveis pelo tratamento dos dados refe- ridos no n. o 2 do artigo 7. o e no n. o 1 do artigo 8. o devem tomar as medidas adequadas para: a ) Impedir o acesso de pessoa não autorizada às instalações utilizadas para o tratamento desses dados (controlo da entrada nas instalações); b ) Impedir que suportes de dados possam ser lidos, copiados, alterados ou retirados por pessoa não autorizada (controlo dos suportes de dados); c ) Impedir a introdução não autorizada, bem como a tomada de conhecimento, a alteração ou a eliminação não autorizadas de dados pessoais inseridos (controlo da inserção); d ) Impedir que sistemas de tratamento automa- tizados de dados possam ser utilizados por pes- soas não autorizadas através de instalações de transmissão de dados (controlo da utilização); e ) Garantir que as pessoas autorizadas só possam ter acesso aos dados abrangidos pela autoriza- ção (controlo de acesso); f ) Garantir a verificação das entidades a quem pos- sam ser transmitidos os dados pessoais através das instalações de transmissão de dados (con- trolo da transmissão); g ) Garantir que possa verificar-se a posteriori, em prazo adequado à natureza do tratamento, a fixar na regulamentação aplicável a cada sector, quais os dados pessoais introduzidos quando e por quem (controlo da introdução); h ) Impedir que, na transmissão de dados pessoais, bem como no transporte do seu suporte, os dados possam ser lidos, copiados, alterados ou eliminados de forma não autorizada (controlo do transporte). 2 — Tendo em conta a natureza das entidades res- ponsáveis pelo tratamento e o tipo das instalações em que é efectuado, a CNPD pode dispensar a existência de certas medidas de segurança, garantido que se mostre o respeito pelos direitos, liberdades e garantias dos titu- lares dos dados. 3 — Os sistemas devem garantir a separação lógica entre os dados referentes à saúde e à vida sexual, incluindo os genéticos, dos restantes dados pessoais. 4 — A CNPD pode determinar que, nos casos em que a circulação em rede de dados pessoais referidos nos artigos 7. o e 8. o possa pôr em risco direitos, liber- dades e garantias dos respectivos titulares, a transmissão seja cifrada. Artigo 16. o Tratamento por subcontratante Qualquer pessoa que, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante, bem como o próprio subcontratante, tenha acesso a dados pessoais não pode proceder ao seu tratamento sem ins- truções do responsável pelo tratamento, salvo por força de obrigações legais. Artigo 17. o Sigilo profissional l — Os responsáveis do tratamento de dados pessoais, bem como as pessoas que, no exercício das suas funções, tenham conhecimento dos dados pessoais tratados, ficam obrigados a sigilo profissional, mesmo após o termo das suas funções. 2 — Igual obrigação recai sobre os membros da CNPD, mesmo após o termo do mandato. 3 — O disposto nos números anteriores não exclui o dever do fornecimento das informações obrigatórias, nos termos legais, excepto quando constem de ficheiros organizados para fins estatísticos. 4 — Os funcionários, agentes ou técnicos que exerçam funções de assessoria à CNPD ou aos seus vogais estão sujeitos à mesma obrigação de sigilo profissional. CAPÍTULO III Transferência de dados pessoais SECÇÃO I Transferência de dados pessoais na União Europeia Artigo 18. o Princípio É livre a circulação de dados pessoais entre Estados membros da União Europeia, sem prejuízo do disposto nos actos comunitários de natureza fiscal e aduaneira. SECÇÃO II Transferência de dados pessoais para fora da União Europeia Artigo 19. o Princípios 1 — Sem prejuízo do disposto no artigo seguinte, a transferência, para um Estado que não pertença à União Europeia, de dados pessoais que sejam objecto de tra-