Статья 34. Уведомление субъекта данных о взломе персональных данных

 
 

1. В случае, если нарушение защиты персональных данных может создать высокую степень риска для прав и свобод физических лиц, то контроллер без необоснованной задержки уведомляет субъекта данных об утечке персональных данных.

2. В уведомлении субъекта данных, указанном в пункте 1 настоящей статьи, используя ясный и простой язык, описывают характер нарушения защиты персональных данных и, как минимум, информацию и меры, предусмотренные в подпунктах b), c) и d) пункта 3 статьи 33.

3. Уведомление субъекта данных, указанное в пункте 1, не предоставляется, если выполнено любое из следующих условий:

  1. контроллер принял соответствующие технические и организационные меры защиты, и указанные меры применялись в отношении затронутых нарушением защиты персональных данных, в особенности те меры, посредством которых персональные данные не будут понятны лицам, которые не уполномочены иметь доступ к данным, например, шифрование;
  2. контроллер принял дополнительные меры, которые обеспечивают, чтобы, вероятнее всего, больше не смогла материализоваться указанная в 1. пункте высокая степень риска в отношении прав и свобод субъектов данных;
  3. это требует несоразмерно больших усилий. В данном случае, вместо этого используют публичное сообщение или принимается подобная мера, посредством которой субъекты данных информируются одинаково эффективным образом.

4. Если контроллер ещё не проинформировал субъекта данных о нарушении защиты персональных данных, то надзорное учреждение, взвесив вероятность того, что нарушение защиты персональных данных может создать высокую степень риска, может потребовать у контроллера уведомление субъекта данных или может принять решение о том, что все указанные в пункте 3 условия выполнены.

 
 

Наверх