|
Lei n.º 41/2004, de 18 de Agosto PROTECÇÃO DE DADOS PESSOAIS E PRIVACIDADE NAS TELECOMUNICAÇÕES |
Versão desactualizada - redacção: Lei n.º 46/2012, de 29 de Agosto! |
|
Contém as seguintes alterações: |
Ver versões do diploma:
|
|
|
|
|
| SUMÁRIO Transpõe para a ordem jurídica nacional a Directiva n.º 2002/58/CE, do Parlamento Europeu e do Conselho, de 12 de Julho, relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas _____________________ |
|
Artigo 3.º-A
Notificação de violação de dados pessoais |
1 - As empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público devem, sem demora injustificada, notificar a CNPD da ocorrência de violação de dados pessoais.
2 - Quando a violação de dados pessoais referida no número anterior possa afetar negativamente os dados pessoais do assinante ou utilizador, as empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público devem ainda, sem demora injustificada, notificar a violação ao assinante ou ao utilizador, para que estes possam tomar as precauções necessárias.
3 - Uma violação de dados pessoais afeta negativamente os dados ou a privacidade do assinante ou utilizador sempre que possa resultar, designadamente, em usurpação ou fraude de identidade, danos físicos, humilhação significativa ou danos para a reputação, quando associados à prestação e utilização de serviços de comunicações eletrónicas acessíveis ao público.
4 - O regime previsto no n.º 2 não se aplica nos casos em que as empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público comprovem perante a CNPD, e esta reconheça, que adotaram as medidas tecnológicas de proteção adequadas e que essas medidas foram aplicadas aos dados a que a violação diz respeito.
5 - As medidas a que se refere o número anterior devem tornar os dados incompreensíveis para todas as pessoas não autorizadas a aceder-lhes.
6 - Sem prejuízo da obrigação de notificação a que se refere o n.º 2, quando a empresa que oferece serviços de comunicações eletrónicas acessíveis ao público não tiver ainda notificado a violação de dados pessoais ao assinante ou ao utilizador, a CNPD pode exigir a realização da mesma notificação, tendo em conta a probabilidade de efeitos adversos decorrentes da violação.
7 - Constituem elementos mínimos da notificação a que se refere o n.º 2 a identificação da natureza da violação dos dados pessoais e dos pontos de contato onde possam ser obtidas informações complementares, bem como a recomendação de medidas destinadas a limitar eventuais efeitos adversos da referida violação.
8 - Na notificação à CNPD prevista no n.º 1, a empresa que oferece serviços de comunicações eletrónicas acessíveis ao público deve, além dos elementos constantes do número anterior, indicar as consequências da violação de dados pessoais e as medidas por si propostas ou tomadas para fazer face à violação.
9 - A CNPD pode, em conformidade com as decisões da Comissão Europeia, emitir orientações ou instruções sobre as circunstâncias em que as empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público estão obrigadas a notificar a violação de dados pessoais, bem como sobre a forma e o procedimento aplicáveis a essas notificações.
10 - Para a verificação, pela CNPD, do cumprimento das obrigações estabelecidas no presente artigo, as empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público devem constituir e manter um registo das situações de violação de dados pessoais, com indicação dos factos que lhes dizem respeito, dos seus efeitos e das medidas adotadas, incluindo as notificações efetuadas e as medidas de reparação tomadas.
|
| |
|
|
|
|
|