1. Państwa członkowskie zapewniają, by w przypadku gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadomił osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych.
2. Skierowane do osoby, której dane dotyczą, zawiadomienie wskazane w ust. 1 niniejszego artykułu, opisuje jasnym i prostym językiem charakter naruszenia ochrony danych osobowych i zawiera co najmniej informacje i środki, o których mowa w art. 30 ust. 3 lit. b), c) i d).
3. Skierowane do osoby, której dane dotyczą, zawiadomienie wskazane w ust. 1 niniejszego artykułu nie jest wymagane, jeżeli spełniony został którykolwiek z następujących warunków:
a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, zwłaszcza środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
b) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osób, których dane dotyczą, wskazanych w ust. 1; lub
c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
4. Jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może zażądać wystosowania przez administratora zawiadomienia, lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3.
5. Skierowane do osoby, której dane dotyczą, zawiadomienie wskazane w ust. 1 niniejszego artykułu można opóźnić, ograniczyć lub pominąć, z zastrzeżeniem warunków i z powodów wskazanych w art. 13 ust. 3.
(62) Jeżeli naruszenie ochrony danych może rodzić prawdopodobieństwo wystąpienia wysokiego ryzyka naruszenia praw i wolności osób fizycznych, osoby fizyczne należy poinformować bez zbędnej zwłoki, tak by mogły podjąć niezbędne środki ostrożności. Informacja taka powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z organem nadzorczym oraz zgodnie z zaleceniami przekazanymi przez ten organ lub inne właściwe organy. Przykładowo potrzeba zminimalizowania bezpośredniego ryzyka wystąpienia szkody będzie wymagać niezwłocznego poinformowania osób, których dane dotyczą, natomiast wdrożenie odpowiednich środków przeciwko takim samym lub podobnym naruszeniom ochrony danych może uzasadniać późniejsze poinformowanie. Jeżeli unikania zakłócania czynności postępowań urzędowych lub sądowych, postępowań przygotowawczych lub procedur, unikania zakłócania zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, ochrony bezpieczeństwa publicznego, ochrony bezpieczeństwa narodowego lub ochrony praw i wolności innych osób, nie można osiągnąć poprzez opóźnienie lub ograniczenie przekazania danej osobie fizycznej informacji o naruszeniu jej danych osobowych, w wyjątkowych okolicznościach można nie przekazywać takich informacji.
Zobacz także: WYTYCZNE
