Artikel 34

Information till den registrerade om en personuppgiftsincident

  • Om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rĂ€ttigheter och friheter ska den personuppgiftsansvarige utan onödigt dröjsmĂ„l informera den registrerade om personuppgiftsincidenten.
  • Den information till den registrerade som avses i punkt 1 i denna artikel ska innehĂ„lla en tydlig och klar beskrivning av personuppgiftsincidentens art och Ă„tminstone de upplysningar och Ă„tgĂ€rder som avses i artikel 33.3 b, c och d.
  • Information till den registrerade i enlighet med punkt 1 krĂ€vs inte om nĂ„got av följande villkor Ă€r uppfyllt:
    • a) Den personuppgiftsansvarige har genomfört lĂ€mpliga tekniska och organisatoriska skyddsĂ„tgĂ€rder och dessa Ă„tgĂ€rder tillĂ€mpats pĂ„ de personuppgifter som pĂ„verkades av personuppgiftsincidenten, i synnerhet sĂ„dana som ska göra uppgifterna olĂ€sbara för alla personer som inte Ă€r behöriga att fĂ„ tillgĂ„ng till personuppgifterna, sĂ„som kryptering.
    • b) Den personuppgiftsansvarige har vidtagit ytterligare Ă„tgĂ€rder som sĂ€kerstĂ€ller att den höga risk för registrerades rĂ€ttigheter och friheter som avses i punkt 1 sannolikt inte lĂ€ngre kommer att uppstĂ„.
    • c) Det skulle inbegripa en oproportionell anstrĂ€ngning. I sĂ„ fall ska i stĂ€llet allmĂ€nheten informeras eller en liknande Ă„tgĂ€rd vidtas genom vilken de registrerade informeras pĂ„ ett lika effektivt sĂ€tt.
  • Om den personuppgiftsansvarige inte redan har informerat den registrerade om personuppgiftsincidenten fĂ„r tillsynsmyndigheten, efter att ha bedömt sannolikheten för att personuppgiftsincidenten medför en hög risk, krĂ€va att personuppgiftsbitrĂ€det gör det eller fĂ„r besluta att nĂ„got av de villkor som avses i punkt 3 uppfylls.