Selon l’article 33 du RGPD, les responsables de traitement doivent notifier les violations de données à caractère personnel à la CNPD dans un délai de 72 heures après en avoir pris connaissance, si la violation est susceptible d’engendrer un risque pour les droits et libertés des personnes concernées.
Pour aider les responsables de traitement dans leur démarche de conformité, la CNPD a élaboré un formulaire de notifications des violations de données à caractère personnel.
La CNPD a précisé que la notification de la violation peut être transmise à l’adresse email : databreach@cnpd.lu.
Le responsable de traitement peut utiliser la clé publique mise à disposition par la CNPD pour sécuriser la transmission des informations en les chiffrant.