34 artikla

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle

  • Kun henkil√∂tietojen tietoturvaloukkaus todenn√§k√∂isesti aiheuttaa korkean riskin luonnollisten henkil√∂iden oikeuksille ja vapauksille, rekisterinpit√§j√§n on ilmoitettava tietoturvaloukkauksesta rekister√∂idylle ilman aiheetonta viivytyst√§.
  • T√§m√§n artiklan 1 kohdassa tarkoitetussa rekister√∂idylle annettavassa ilmoituksessa on kuvattava selke√§ll√§ ja yksinkertaisella kielell√§ henkil√∂tietojen tietoturvaloukkauksen luonne ja annettava ainakin 33 artiklan 3 kohdan b, c ja d¬†alakohdassa tarkoitetut tiedot ja toimenpiteet.
  • Edell√§ 1 kohdassa tarkoitettua ilmoitusta rekister√∂idylle ei vaadita, jos jokin seuraavista edellytyksist√§ t√§yttyy:
    • a) rekisterinpit√§j√§ on toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet ja henkil√∂tietojen tietoturvaloukkauksen kohteena oleviin henkil√∂tietoihin on sovellettu kyseisi√§ toimenpiteit√§, erityisesti niit√§, joiden avulla henkil√∂tiedot muutetaan muotoon, jossa ne eiv√§t ole sellaisten henkil√∂iden ymm√§rrett√§viss√§, joilla ei ole lupaa p√§√§st√§ tietoihin, kuten salausta;
    • b) rekisterinpit√§j√§ on toteuttanut jatkotoimenpiteit√§, joilla varmistetaan, ett√§ 1 kohdassa tarkoitettu rekister√∂idyn oikeuksiin ja vapauksiin kohdistuva korkea riski ei en√§√§ todenn√§k√∂isesti toteudu;
    • c) se vaatisi kohtuutonta vaivaa. T√§llaisissa tapauksissa on k√§ytett√§v√§ julkista tiedonantoa tai vastaavaa toimenpidett√§, jolla rekister√∂idyille tiedotetaan yht√§ tehokkaalla tavalla.
  • Jos rekisterinpit√§j√§ ei ole viel√§ ilmoittanut henkil√∂tietojen tietoturvaloukkauksesta rekister√∂idylle, valvontaviranomainen voi vaatia ilmoituksen tekemist√§ tai p√§√§tt√§√§, ett√§ jokin 3 kohdan edellytyksist√§ t√§yttyy, arvioituaan, kuinka todenn√§k√∂isesti henkil√∂tietojen tietoturvaloukkaus aiheuttaa suuren riskin.