33 artikla

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle

  • Jos tapahtuu henkil√∂tietojen tietoturvaloukkaus, rekisterinpit√§j√§n on ilmoitettava siit√§ ilman aiheetonta viivytyst√§ ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta 55 artiklan mukaisesti toimivaltaiselle valvontaviranomaiselle, paitsi jos henkil√∂tietojen tietoturvaloukkauksesta ei todenn√§k√∂isesti aiheudu luonnollisten henkil√∂iden oikeuksiin ja vapauksiin kohdistuvaa riski√§. Jos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpit√§j√§n on toimitettava valvontaviranomaiselle perusteltu selitys.
  • Henkil√∂tietojen k√§sittelij√§n on ilmoitettava henkil√∂tietojen tietoturvaloukkauksesta rekisterinpit√§j√§lle ilman aiheetonta viivytyst√§ saatuaan sen tietoonsa.
  • Edell√§ 1 kohdassa tarkoitetussa ilmoituksessa on v√§hint√§√§n
    • a) kuvattava henkil√∂tietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekister√∂ityjen ryhm√§t ja arvioidut lukum√§√§r√§t sek√§ henkil√∂tietotyyppien ryhm√§t ja arvioidut lukum√§√§r√§t;
    • b) ilmoitettava tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lis√§tietoa;
    • c) kuvattava henkil√∂tietojen tietoturvaloukkauksen todenn√§k√∂iset seuraukset;
    • d) kuvattava toimenpiteet, joita rekisterinpit√§j√§ on ehdottanut tai jotka se on toteuttanut henkil√∂tietojen tietoturvaloukkauksen johdosta, tarvittaessa my√∂s toimenpiteet mahdollisten haittavaikutusten lievent√§miseksi.
  • Jos ja silt√§ osin kuin tietoja ei ole mahdollista toimittaa samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta viivytyst√§.
  • Rekisterinpit√§j√§n on dokumentoitava kaikki henkil√∂tietojen tietoturvaloukkaukset, mukaan lukien henkil√∂tietojen tietoturvaloukkaukseen liittyv√§t seikat, sen vaikutukset ja toteutetut korjaavat toimet. Valvontaviranomaisen on voitava t√§m√§n dokumentoinnin avulla tarkistaa, ett√§ t√§t√§ artiklaa on noudatettu.