- Если нарушение персональных данных может привести к высокому риску для прав и свобод физических лиц, контролер должен сообщить о нарушении персональных данных субъекту данных без неоправданной задержки.
- Сообщение субъекту данных, упомянутое в пункте 1 данной статьи, должно описывать ясным и понятным языком характер нарушения персональных данных и содержать, по крайней мере, информацию и меры, упомянутые в пунктах (b), (c) и (d) Статьи 33(3).
- Сообщение субъекту данных, упомянутое в параграфе 1, не требуется, если выполняется одно из следующих условий:
- (a) контроллер внедрил соответствующие технические и организационные меры защиты, и эти меры были применены к персональным данным, затронутым нарушением персональных данных, в частности, меры, которые делают персональные данные неразборчивыми для любого лица, не уполномоченного на доступ к ним, например, шифрование;
- (b) контроллер принял последующие меры, которые гарантируют, что высокий риск для прав и свобод субъектов данных, упомянутый в параграфе 1, больше не будет иметь место;
- (c) это потребует непропорциональных усилий. В этом случае вместо этого должно быть публичное сообщение или аналогичная мера, с помощью которой субъекты данных будут проинформированы столь же эффективным способом.
- Если контролер еще не сообщил субъекту персональных данных о нарушении, контролирующий орган, рассмотрев вероятность того, что нарушение персональных данных приведет к высокому риску, может обязать его сделать это или принять решение о выполнении любого из условий, упомянутых в параграфе 3.
Статья 34