1. Em caso de violação de dados pessoais, o responsável pelo tratamento notifica desse facto a autoridade de controlo competente nos termos do artigo 55.°, sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma, a menos que a violação dos dados pessoais não seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares. Se a notificação à autoridade de controlo não for transmitida no prazo de 72 horas, é acompanhada dos motivos do atraso.
2. O subcontratante notifica o responsável pelo tratamento sem demora injustificada após ter conhecimento de uma violação de dados pessoais.
3. A notificação referida no n.° 1 deve, pelo menos:
(a) |
Descrever a natureza da violação dos dados pessoais incluindo, se possível, as categorias e o número aproximado de titulares de dados afetados, bem como as categorias e o número aproximado de registos de dados pessoais em causa; |
(b) |
Comunicar o nome e os contactos do encarregado da proteção de dados ou de outro ponto de contacto onde possam ser obtidas mais informações; |
(c) |
Descrever as consequências prováveis da violação de dados pessoais; |
(d) |
Descrever as medidas adotadas ou propostas pelo responsável pelo tratamento para reparar a violação de dados pessoais, inclusive, se for caso disso, medidas para atenuar os seus eventuais efeitos negativos; |
4. Caso, e na medida em que não seja possível fornecer todas as informações ao mesmo tempo, estas podem ser fornecidas por fases, sem demora injustificada.
5. O responsável pelo tratamento documenta quaisquer violações de dados pessoais, compreendendo os factos relacionados com as mesmas, os respetivos efeitos e a medida de reparação adotada. Essa documentação deve permitir à autoridade de controlo verificar o cumprimento do disposto no presente artigo.
Para lidar com uma violação de dados pessoais, o Responsável pelo tratamento deve primeiro ser capaz de reconhecer uma violação.
Uma violação da segurança da RGPD é uma violação que leva à destruição acidental ou ilegal, perda, alteração, ou divulgação não autorizada, ou acesso não autorizado a dados pessoais transmitidos, armazenados ou de outro modo tratar.
Apenas os eventos que conduzam à destruição acidental ou ilegal, perda, alteração ou divulgação ou acesso não autorizado a dados pessoais são abrangidos pela definição da RGPD de violação de dados pessoais.
Por exemplo, pode ocorrer uma violação de dados pessoais quando o software do Responsável pelo tratamento não estiver suficientemente seguro para permitir o acesso de estranhos aos dados pessoais (por exemplo, pirataria informática).
Contudo, também pode ser o próprio tratamento dos dados pessoais pelo Responsável pelo tratamento que pode causar uma violação, por exemplo, se o Responsável pelo tratamento revelar ou modificar os dados pessoais sem autorização.
Outro exemplo, o Responsável pelo tratamento pode também ilegalmente ou, como resultado de um evento imprevisto (por exemplo, incêndio ou inundação), não ter acesso aos dados pessoais ou acabar por destruir os dados pessoais.
Exemplos de violações de dados pessoais:
Quando uma violação não é tratada de forma adequada e atempada, pode causar danos físicos, materiais ou imateriais a pessoas, por exemplo
Geralmente, é necessário comunicar todas as violações de dados pessoais à Autoridade de Protecção de Dados. Não é necessária notificação se for improvável que a violação dos dados pessoais ponha em risco os direitos ou liberdades das pessoas singulares.
Um risco para os direitos e liberdades das pessoas singulares inclui:
O Responsável pelo tratamento deve avaliar a probabilidade de a violação constituir um risco para os direitos dos indivíduos em causa imediatamente após tomar conhecimento da violação.
Deve-se ter sempre em conta os seguintes factores na avaliação do risco para os direitos e liberdades das pessoas em causa, resultante de uma violação de dados pessoais:
O Responsável pelo tratamento deve documentar todos violações de dados pessoais, incluindo os factos da violação de dados pessoais, os seus efeitos e as medidas correctivas tomadas.
Neste contexto, é irrelevante se o Responsável pelo tratamento é obrigado a notificar a violação à Autoridade de Protecção de Dados.
Esta obrigação de documentação visa permitir à Autoridade de Protecção de Dados verificar se a obrigação de notificar determinadas violações foi cumprida.
A documentação deve conter informações sobre a violação,
incluindo os factos da violação, os seus efeitos e a reparação
medidas. Os requisitos de documentação também podem ser os seguintes.
Aprenda os conceitos básicos do RGPD no curso Introdução ao RGPD de 1 hora: Os factos básicos para os funcionários.