Kiedy należy poinformować osobę o naruszeniu ochrony danych?

Administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności jednostki.

Ocena stopnia ryzyka zgodnie z zasadą rozliczalności powinna być udokumentowana/możliwa do wykazania. Pojęcie bez zbędnej zwłoki’ należy interpretować w odniesieniu do konkretnej sytuacji, z uwzględnieniem charakteru i wagi naruszenia, konsekwencji oraz niekorzystnych skutków dla osób narażonych.

Co ważne: administrator zawiadamiając osobę musi operować jasnym i prostym językiem opisując charakter naruszenia. Ponadto wskazuje zastosowane środki zaradcze lub proponowane w celu zapobiegnięcia naruszenia ochrony danych lub zminimalizowaniu jego ewentualnych negatywnych skutków.

Wyłączenia

Nie jest wymagane zawiadomienie, jeżeli administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony (i znalazły one zastosowanie w danym przypadku) takie jak szyfrowanie, które uniemożliwia odczyt danych osobom nieuprawnionym.

Co więcej administrator nie musi zawiadamiać danej osoby, jeżeli zastosował następcze środki eliminujące prawdopodobieństwo wysokiego naruszenia praw i wolności osoby, której naruszenie dotyczy.

Jeżeli zawiadomienie wymagałoby niewspółmiernie dużego wysiłku, administrator, zamiast informować każdą osobę, wydaje publiczny komunikat (lub inny podobny środek), który powinien zapewniać równie skuteczny sposób zawiadomienia.