O que é uma violação de dados e o que temos de fazer em caso de violação de dados?
Resposta
Ocorre uma violação de dados quando os dados pelos quais a sua empresa/organização é responsável sofrem um incidente de segurança que resulta numa quebra de confidencialidade, disponibilidade ou integridade. Se isso ocorrer, e for provável que a violação constitua um risco para os direitos e liberdades de um indivíduo, a sua empresa/organização tem de notificar a autoridade de controlo sem demora indevida, e o mais tardar no prazo de 72 horas após ter tomado conhecimento da violação. Se a sua empresa/organização for um processador de dados, deve notificar cada violação de dados ao responsável pelo tratamento de dados.
Se a violação de dados representar um risco elevado para os indivíduos afectados, então todos eles devem também ser informados, a menos que tenham sido implementadas medidas de protecção técnicas e organizacionais eficazes, ou outras medidas que garantam que o risco já não é susceptível de se materializar.
Como organização é vital implementar medidas técnicas e organizacionais apropriadas para evitar possíveis violações de dados.
Exemplos
A organização deve notificar a DPA e os indivíduos
Os dados dos empregados de uma empresa têxtil foram divulgados. Os dados incluíam os endereços pessoais, composição familiar, salário mensal e reclamações médicas de cada empregado. Nesse caso, a empresa têxtil deve informar a autoridade de supervisão sobre a violação. Uma vez que os dados pessoais incluem dados sensíveis, tais como dados de saúde, a empresa tem de notificar também os empregados.
p>Um empregado do hospital decide copiar os dados dos pacientes para um CD e publica-os online. O hospital descobre alguns dias mais tarde. Assim que o hospital descobre, tem 72 horas para informar a autoridade de supervisão e, uma vez que os dados pessoais contêm informações sensíveis, tais como se um paciente tem cancro, se está grávida, etc., tem de informar também os pacientes. Nesse caso, haveria dúvidas sobre se o hospital implementou medidas de protecção técnicas e organizacionais adequadas. Se tivesse efectivamente implementado medidas de protecção adequadas (por exemplo, encriptar os dados), um risco material seria improvável e poderia ser isento de notificar os pacientes.p>A empresa deve notificar os clientes e estes podem então ter de notificar a DPA e os indivíduos
Um serviço em nuvem perde vários discos rígidos contendo dados pessoais pertencentes a vários dos seus clientes. Tem de notificar esses clientes assim que tiver conhecimento da violação. Os seus clientes têm de notificar a DPA e os indivíduos, dependendo dos dados que foram processados pelo processador de dados.