Resposta
Uma violação de dados ocorre quando a sua empresa/organização sofre um incidente de segurança relativo aos dados pelos quais é responsável que resulta numa violação da confidencialidade, da disponibilidade ou da integridade dos dados. Se tal ocorrer, e se a violação for suscetível de representar um risco para os direitos e as liberdades de uma pessoa, a sua empresa/organização tem de notificar a autoridade de controlo sem demora injustificada e, o mais tardar, no prazo de 72 horas após tomar conhecimento da violação. Se a sua empresa/organização for um subcontratante, tem de notificar todas as violações de dados ao responsável pelo tratamento.
Se a violação de dados representar um elevado risco para aspessoas afetadas, estas devem também ser informadas (a menos que existam medidas de proteção técnicas e organizativas eficazes ou outras medidas destinadas a garantir que não é provável que o risco se volte a concretizar).
Enquanto organização, é fundamental aplicar medidas técnicas e organizativas adequadas para evitar possíveis violações de dados.
Exemplos
A organização deve notificar a APD e as pessoas
Os dados dos trabalhadores de uma empresa têxtil foram divulgados. Incluem os seus endereços pessoais, a composição do agregado familiar, o salário mensal e os pedidos de reembolso de despesas médicas de todos os trabalhadores. Neste caso, a empresa têxtil tem de informar a autoridade de controlo sobre a violação. Uma vez que os dados pessoais incluem dados sensíveis, incluindo dados de saúde, a empresa tem de notificar também os trabalhadores.
Um trabalhador de um hospital decide copiar os dados dos doentes para um CD e publicá-los em linha. O hospital descobre o que aconteceu alguns dias depois. Assim que o hospital toma conhecimento do sucedido, tem 72 horas para informar a autoridade de controlo e, uma vez que os dados pessoais em causa contêm informações sensíveis, nomeadamente se um doente tem cancro, se uma mulher está grávida, etc., tem de informar também os doentes. Neste caso, existe a dúvida sobre se o hospital aplicou medidas de proteção técnicas e organizativas adequadas. Caso tivesse aplicado medidas de proteção adequadas (por exemplo, cifragem de dados), a existência de um risco material seria improvável e o hospital poderia isentar-se da obrigação de notificar os doentes.
A empresa deve notificar os clientes e estes poderão, por sua vez, ter de notificar a APD e o titular dos dados
Um serviço em nuvem perde vários discos rígidos que contêm dados pessoais pertencentes a vários dos seus clientes. Tem de notificar esses clientes assim que tome conhecimento da violação. Os seus clientes têm de notificar a APD e o titular dos dados, consoante os dados que tenham sido tratados pelo subcontratante.
Referências
Examples
Organisation must notify the DPA and individuals
The data of a textile company’s employees has been disclosed. The data included the personal addresses, family composition, monthly salary and medical claims of each employee. In that case, the textile company must inform the supervisory authority of the breach. Since the personal data includes sensitive data, such as health data, the company has to notify the employees as well.
A hospital employee decides to copy patients’ details onto a CD and publishes them online. The hospital finds out a few days later. As soon as the hospital finds out, it has 72 hours to inform the supervisory authority and, since the personal details contain sensitive information such as whether a patient has cancer, is pregnant, etc., it has to inform the patients as well. In that case, there would be doubts about whether the hospital has implemented appropriate technical and organisational protection measures. If it had indeed implemented appropriate protection measures (for example encrypting the data), a material risk would be unlikely and it could be exempt from notifying the patients.
Company must notify clients and they may then have to notify the DPA and individuals
A cloud service loses several hard drives containing personal data belonging to several of its clients. It has to notify those clients as soon as it becomes aware of the breach. Its clients must notify the DPA and the individuals depending on the data that was processed by the data processor.