1. Quando a violação dos dados pessoais for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento comunica a violação de dados pessoais ao titular dos dados sem demora injustificada.
2. A comunicação à pessoa em causa a que se refere o n.º 1 do presente artigo deve descrever em linguagem clara e simples a natureza da violação de dados pessoais e conter, pelo menos, as informações e medidas referidas nas alíneas (b), (c) e (d) do n.º 3 do artigo 33.
3. A comunicação ao titular dos dados a que se refere o n.° 1 não é exigida se for preenchida uma das seguintes condições:
|
(a) |
O responsável pelo tratamento tiver aplicado medidas de proteção adequadas, tanto técnicas como organizativas, e essas medidas tiverem sido aplicadas aos dados pessoais afetados pela violação de dados pessoais, especialmente medidas que tornem os dados pessoais incompreensíveis para qualquer pessoa não autorizada a aceder a esses dados, tais como a cifragem; |
|
(b) |
O responsável pelo tratamento tiver tomado medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades dos titulares dos dados a que se refere o n.° 1 já não é suscetível de se concretizar; ou |
|
(c) |
se tal implicar um esforço desproporcionado. |
4. Se o responsável pelo tratamento não tiver já comunicado a violação de dados pessoais ao titular dos dados, a autoridade de controlo, tendo considerado a probabilidade de a violação de dados pessoais resultar num elevado risco, pode exigir-lhe que proceda a essa notificação ou pode constatar que se encontram preenchidas as condições referidas no n.° 3.
O artigo 34.º do RGPD prevê a obrigação de as organizações notificarem as pessoas em caso de violação de dados pessoais suscetível de implicar um risco elevado para os seus direitos e liberdades.
A obrigação de notificar uma violação de dados à pessoa em causa surge quando a violação de dados pessoais é suscetível de resultar num elevado risco para os direitos e liberdades das pessoas singulares. Nestes casos, as organizações são obrigadas a informar as pessoas afectadas o mais rapidamente possível.
Uma violação de dados pessoais é suscetível de resultar num risco elevado para os direitos e liberdades das pessoas singulares quando pode ter efeitos adversos significativos para as pessoas, como a discriminação, a usurpação de identidade, perdas financeiras ou danos à reputação.
Uma notificação de violação de dados nos termos do artigo 34.º do RGPD deve incluir as informações mencionadas no artigo 33. Isto inclui informações como:
Sim, existem excepções à obrigação de notificação. Uma organização não é obrigada a notificar as pessoas de uma violação de dados pessoais se
Certifique-se de que toda a sua empresa está equipada com a formação de sensibilização necessária sobre os princípios básicos do RGPD e da segurança informática.
Once you have submitted your details, you’ll be our top priority!
