Centro de Ajuda OVHcloud

Olá. Como posso ajudar?

Casos práticos

Quando se trata de dados pessoais, o responsável pelo tratamento deve documentar num registo interno a violação em causa.

 

O meu servidor dedicado ficou inacessível durante vários dias, mas não contém dados pessoais. Devo fazer uma notificação?

Não, a obrigação de notificação de uma violação é aplicável sempre que uma violação da segurança implique, de forma acidental ou ilícita, a destruição, a perda, a alteração ou a divulgação não autorizada de dados pessoais transmitidos, conservados ou tratados de outro modo, ou então deve ocorrer um acesso não autorizado a esses dados. Se não trata dados pessoais, então não tem qualquer obrigação de notificação.

 

A minha infraestrutura é considerada «não recuperável» após o incêndio e eu não tinha realizado nenhum backup. É preciso notificar a autoridade de controlo?

É preciso notificar a autoridade de controlo se:

  • os dados pessoais se perderam definitivamente perdidos (inexistência de backups); ou
  • as informações permaneceram indisponíveis durante um período tão longo que provocou um risco para as pessoas singulares em causa.

Todavia, se essa perda ou indisponibilidade não for suscetível de apresentar um risco para os direitos e liberdades das pessoas singulares em causa (por exemplo: dados de menor importância, como dados técnicos), não precisa, portanto, de fazer nenhuma notificação.

Quando necessário, a notificação deve ser feita pelo responsável pelo tratamento o quanto antes; se possível, no prazo de 72 horas após ter tido conhecimento da violação.

Se o cliente for subcontratado, ou seja, se está a tratar os dados em causa por ordem de um organismo terceiro (por exemplo, o seu cliente), deve notificá-lo o mais rapidamente possível, para que ele possa proceder às notificações necessárias, ou então, se ele não é responsável pelo tratamento, para avisar este último.

Além disso, se a violação for suscetível de gerar riscos elevados para as pessoas, estas devem também ser informadas diretamente. O nível de risco é avaliado tendo em conta, nomeadamente, o tipo de dados em causa, a população em causa (clientes, pacientes, funcionários, menores, pessoas vulneráveis) e as potenciais consequências da violação para as pessoas em questão (por exemplo, a perda definitiva dos dados de saúde de um paciente é suscetível de apresentar um risco elevado).

 

Sou responsável pelo tratamento e a minha infraestrutura é considerada «não recuperável» na sequência do incêndio, mas tenho cópias de segurança. Devo notificar a autoridade de controlo?

Se a execução de um plano de recuperação de desastres (PRD) ou de um plano de continuidade de atividade (PCA) tiver permitido assegurar a continuidade do serviço e os dados puderam ou poderão ser restaurados a partir dos backups, sem consequências significativas para as pessoas, não precisa de fazer a notificação.

 

Utilizo os serviços Exchange da OVHcloud, e os e-mails que me foram enviados ou que enviei durante o incidente chegaram tardiamente ao seu destino. Devo notificar essa situação à autoridade de proteção de dados?

A implementação dos PRD e PCA da OVH permitiu restaurar os dados a partir dos backups. Portanto, as consequências para as pessoas em causa foram reduzidas (impossibilidade temporária de aceder ao correio eletrónico). Neste caso, não é necessária qualquer notificação, a menos que se verifique um risco para as pessoas em causa.

 

Os meus serviços de e-mail ficaram inacessíveis várias horas depois do incidente, mas não houve nenhuma perda. Devo notificar essa indisponibilidade?

Não, só deve notificar as «violações de dados pessoais». A indisponibilidade temporária não é definida como uma violação pelo artigo 4(12) do RGPD.

 

 

Considera que o aconselhamento foi útil? ou
Excelente! Estamos satisfeitos por termos ajudado.
Obrigado pela sua ajuda! O seu feedback será analisado pelas nossas equipas tão brevemente quanto possível.
Diga-nos porque é que não encontrou a sua resposta. Os seus pedidos de suporte não serão processados através deste formulário. Para fazer isso, utilize o formulário de criação de tickets.