Mikor kell tájékoztatást adni az adatvédelmi incidensről?
GDPR pontosan meghatározza, hogy egy adatkezelőnek mely esetekben kell tájékoztatni az érintetteket az adatvédelmi incidensről.
Az általános adatvédelmi rendelet 34. cikke alapján ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelőnek indokolatlan késedelem nélkül tájékoztatnia kell az érintettet az adatvédelmi incidensről.
Az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell
- az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
- ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
- ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket.
Az érintettet azonban nem szükséges tájékoztatni, ha a következő feltételek bármelyike teljesül:
a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták (…);
b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket közlemény útján lehet tájékoztatni.
Feleljen meg a GDPR-nek! Kérje árajánlatunkat a DPO tisztség betöltésére, céges GDPR adatvédelmi auditra, az adatkezelési tájékoztató, a GDPR adatvédelmi szabályzat elkészítésére a [email protected], vagy az Ajánlatkérő űrlapunkon! Net-jog.hu: IT ügyvédek sokéves tapasztalattal, milliós bírsággaranciával.