1. В случае, если нарушение защиты персональных данных может создать высокую степень риска для прав и свобод физических лиц, то контроллер без необоснованной задержки уведомляет субъекта данных об утечке персональных данных.
2. В уведомлении субъекта данных, указанном в пункте 1 настоящей статьи, используя ясный и простой язык, описывают характер нарушения защиты персональных данных и, как минимум, информацию и меры, предусмотренные в подпунктах b), c) и d) пункта 3 статьи 33.
3. Уведомление субъекта данных, указанное в пункте 1, не предоставляется, если выполнено любое из следующих условий:
- контроллер принял соответствующие технические и организационные меры защиты, и указанные меры применялись в отношении затронутых нарушением защиты персональных данных, в особенности те меры, посредством которых персональные данные не будут понятны лицам, которые не уполномочены иметь доступ к данным, например, шифрование;
- контроллер принял дополнительные меры, которые обеспечивают, чтобы, вероятнее всего, больше не смогла материализоваться указанная в 1. пункте высокая степень риска в отношении прав и свобод субъектов данных;
- это требует несоразмерно больших усилий. В данном случае, вместо этого используют публичное сообщение или принимается подобная мера, посредством которой субъекты данных информируются одинаково эффективным образом.
4. Если контроллер ещё не проинформировал субъекта данных о нарушении защиты персональных данных, то надзорное учреждение, взвесив вероятность того, что нарушение защиты персональных данных может создать высокую степень риска, может потребовать у контроллера уведомление субъекта данных или может принять решение о том, что все указанные в пункте 3 условия выполнены.