Une violation de données est un événement des plus graves avec des répercussions graves potentielles à la fois pour l’entreprise et l’une des personnes concernées.
Votre entreprise doit informez l’autorité de contrôle sans retard injustifié, et au plus tard dans les 72 heures après avoir pris connaissance de la violation. Si votre entreprise est un processeur de données, elle doit également notifier toute violation de données au responsable du traitement.
Si la violation de données présente un risque élevé de dommages physiques, matériels ou immatériels pour les personnes concernées, elles doivent toutes également en être informées, sauf s’il existe des mesures de protection techniques (par exemple: un cryptage fort des données) et organisationnel (par exemple: des clés expirantes) efficaces qui ont été mises en place, ou d’autres mesures garantissant que le risque n’est plus susceptible de se matérialiser.
Toute évaluation du risque pour les droits et libertés de l’individu doit être objective et prendre en compte à la fois la probabilité et la gravité. Il convient de tenir compte de la nature, de la sensibilité et du volume des données à caractère personnel, de la facilité d’identification des données violées, de la gravité des conséquences et des caractéristiques de la personne concernée, lorsqu’une violation peut avoir un impact sur des enfants ou d’autres personnes vulnérables. Lorsque la violation implique des données personnelles révélant une origine raciale ou ethnique, une opinion politique, une religion ou des convictions philosophiques, ou l’appartenance à un syndicat, ou comprend des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle, ou des condamnations pénales, de tels dégâts devrait être considéré comme susceptible de se produire.
