PROTOCOL OBRIGAÇÃO DE RELATO DE VIOLAÇÕES DE DADOS
PROTOCOL OBRIGAÇÃO DE RELATO DE VIOLAÇÕES DE DADOS
Considerações:
A CalmActiva valoriza a boa segurança dos seus sistemas (eletrónicos) onde os dados pessoais estão armazenados e são processados.
não é possível evitar completamente que ocorra uma violação de dados
CalmActiva é obrigada, nos termos do Regulamento Geral sobre a Proteção de Dados (RGPD), a comunicar (graves) violações de dados à Autoridade de Proteção de Dados e aos interessados.
CalmActiva deseja cumprir com as suas obrigações legais
A CalmActiva formulou, portanto, uma política para agir da forma mais adequada possível caso ocorra, inesperadamente, uma violação de dados.
1 - Definição de violação de dados
Fala-se de uma violação de dados quando ocorre uma quebra de segurança que, acidentalmente ou de forma ilícita, leva à destruição, perda, alteração ou à divulgação não autorizada ou acesso não autorizado a dados transmitidos, armazenados ou processados de outra forma.
2 - Responsáveis internos para a notificação de violações de dados
A CalmActiva nomeou responsáveis internos pela gestão de violações de dados que são responsáveis pela notificação de uma violação de dados.
- 1.Estes responsáveis são: Dirk Verburg, número de telefone: 0624523564; endereço de e-mail: info@calmactiva.com. nl e caso este não esteja disponível Yvo Langhoor, número de telefone: 0650589123; endereço de e-mail: linfo@calmactiva.com, doravante denominado: ‘responsável interno.
- Se possível, a pessoa que descobriu a violação de dados deve simultaneamente garantir que os dados vazados sejam imediatamente apagados ou tornados inacessíveis à distância.
- Mensagem interna ao descobrir uma violação de dados
4 - Investigação pelo responsável interno
O responsável interno investiga, entre outras coisas:
se dados pessoais foram perdidos ou podem ser utilizados de forma ilícita, quem ou quais departamentos dentro da organização estão envolvidos na violação de dados ou se um processador está envolvido no incidente
5 - Combate a vazamentos de dados
O responsável interno interrompe a violação de dados, se ainda for possível, e toma as medidas necessárias para combater a violação de dados da melhor forma possível.
6 - Determinação das consequências de uma violação de dados
O responsável interno investiga as possíveis consequências da violação de dados com base na natureza e na extensão dos dados que foram vazados e determina quais podem ser as consequências negativas para os envolvidos.
7 - Colaboração na fornecimento de dados sobre a violação de dados O descobridor/comunicador da violação de dados oferece toda a colaboração ao responsável interno, respondendo o mais rápido e da melhor forma possível (por escrito) às seguintes perguntas:
- o que aconteceu? (descrição do incidente)
- foi acidental ou foi causado por má-fé (pense em dados hackeados)? quando aconteceu? (data e hora)
- quando foi descoberto?
- que tipo de dados (registos) foram vazados? os dados estão encriptados, e se sim, como?
- poderiam os dados ser apagados ou tornados inacessíveis à distância, e se sim, isso aconteceu? quais são as possíveis consequências para os envolvidos?
- quais grupos de pessoas foram afetados por isso? (por exemplo: alunos, pacientes, membros premium) quantas pessoas foram (aproximadamente) afetadas por isso?
- estão também disponíveis dados de pessoas em outros países da UE afetadas pela violação de dados?
- puderam ser tomadas medidas técnicas e/ou organizacionais em resposta ao incidente?
8 - Disponibilidade de pessoal após a descoberta da violação de dados
O responsável pelo departamento de onde ocorreu a violação de dados, bem como o descobridor da violação de dados e todos aqueles que, em função do seu cargo ou conhecimento, estão em condições de tomar medidas organizacionais e/ou técnicas para limitar as consequências da violação de dados, estarão disponíveis nas primeiras 24 horas após a descoberta da violação de dados para consultas com o responsável interno ou, se necessário, com especialistas por ele designados e para a execução de tarefas atribuídas como resultado da violação de dados.
9 - Decisão sobre a notificação de violações de dados
- O responsável interno decide o mais rapidamente possível, mas em qualquer caso dentro de 60 horas após a descoberta da violação de dados - com ou sem consulta ao responsável do departamento de onde a violação de dados foi descoberta e/ou por especialistas por ele designados - se a violação de dados deve ser comunicada à Autoridade de Proteção de Dados e/ou aos interessados.
- Uma violação de dados deve ser sempre comunicada à Autoridade de Proteção de Dados, a menos que não seja provável que a violação de dados represente um risco para os direitos e liberdades dos envolvidos.
- A notificação da violação de dados é acompanhada pela resposta às perguntas conforme descrito na seção 7.
- Uma violação de dados que é reportada à Autoridade de Proteção de Dados também é comunicada aos interessados, caso represente um alto risco para os direitos e liberdades das pessoas singulares, a menos que medidas adequadas tenham sido tomadas para mitigar o alto risco.
10 - Notificação de violações de dados à Autoridade de Proteção de Dados e/ou às partes afetadas
- O responsável interno assegura, se necessário, a notificação à Autoridade de Proteção de Dados e/ou ao(s) interessado(s).
- A notificação deve ser feita o mais rapidamente possível após a descoberta e, no máximo, dentro de 72 horas após a descoberta da violação de dados.
- Não é permitido a qualquer outro funcionário além do responsável interno relatar a (possível) violação de dados diretamente à Autoridade de Proteção de Dados e/ou aos interessados.
- Se um trabalhador não concordar com a decisão do responsável interno sobre a notificação ou não da violação de dados à Autoridade de Proteção de Dados e/ou ao(s) interessado(s), ele pode apresentar as suas queixas à direção.
Se solicitado, prestará um colaborador toda a colaboração ao responsável para informar as pessoas afetadas, de acordo com o artigo 34 do RGPD, sobre a violação de dados.
5.
11 - Consequências da notificação de violações de dados
Se a violação de dados tiver consequências negativas para os envolvidos, o responsável interno fará tudo o que estiver ao seu alcance para limitar essas consequências tanto quanto possível.
1.
- Dependendo da natureza e da extensão da violação de dados para os envolvidos, o responsável interno determina: de que forma os envolvidos serão informados (incluindo, pelo menos, as comunicações sobre quais tipos de dados pessoais foram afetados, quais são as possíveis consequências, quais medidas a Calma Activa toma e de que forma os envolvidos podem prevenir ou limitar os danos).
que acompanhamento os envolvidos recebem
quais ações são necessárias em prol da organização
Se ocorrer uma violação de dados - independentemente de ter sido reportada ou não - serão tomadas, o mais rapidamente possível, medidas técnicas e/ou organizacionais adequadas para prevenir futuras violações de dados semelhantes.
3.
12 - Manter registo de violações de dados
O responsável interno mantém um registo de todas as violações de dados, no qual são registados todos os dados relacionados com a violação de dados, como:
- uma descrição do incidente data e hora da violação de dados
- data e hora da descoberta da violação de dados?
- descrição do tipo de dados pessoais vazados
- descrição da(s) categoria(s) de pessoas envolvidas que foram afetadas
- descrição número de envolvidos (aproximadamente)
- ou também dados de pessoas em outros países da UE foram vazados