Nawigacja
RODO > Artyku艂 34. Zawiadamianie osoby, kt贸rej dane dotycz膮, o naruszeniu ochrony danych osobowych
Pobierz jako plik PDF

Artyku艂 34 RODO. Zawiadamianie osoby, kt贸rej dane dotycz膮, o naruszeniu ochrony danych osobowych

Article 34 GDPR. Communication of a personal data breach to the data subject

1. Je偶eli naruszenie ochrony danych osobowych mo偶e powodowa膰 wysokie ryzyko naruszenia praw lub wolno艣ci os贸b fizycznych, administrator bez zb臋dnej zw艂oki zawiadamia osob臋, kt贸rej dane dotycz膮, o takim naruszeniu.

1. When the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall communicate the personal data breach to the data subject without undue delay.

2. Zawiadomienie, o kt贸rym mowa w ust. 1 niniejszego artyku艂u, jasnym i prostym j臋zykiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i 艣rodki, o kt贸rych mowa w art. 33 ust. 3 lit. b), c) i d).

2. The communication to the data subject referred to in paragraph 1 of this Article shall describe in clear and plain language the nature of the personal data breach and contain at least the information and measures referred to in points聽(b), (c) and (d) of Article聽33(3).

Powi膮zane teksty

3. Zawiadomienie, o kt贸rym mowa w ust. 1, nie jest wymagane, w nast臋puj膮cych przypadkach:

3. The communication to the data subject referred to in paragraph聽1 shall not be required if any of the following conditions are met:

a) administrator wdro偶y艂 odpowiednie techniczne i organizacyjne 艣rodki ochrony i 艣rodki te zosta艂y zastosowane do danych osobowych, kt贸rych dotyczy naruszenie, w szczeg贸lno艣ci 艣rodki takie jak szyfrowanie, uniemo偶liwiaj膮ce odczyt osobom nieuprawnionym do dost臋pu do tych danych osobowych;

(a)聽the controller has implemented appropriate technical and organisational protection measures, and those measures were applied to the personal data affected by the personal data breach, in particular those that render the personal data unintelligible to any person who is not authorised to access it, such as encryption;

b) administrator zastosowa艂 nast臋pnie 艣rodki eliminuj膮ce prawdopodobie艅stwo wysokiego ryzyka naruszenia praw lub wolno艣ci osoby, kt贸rej dane dotycz膮, o kt贸rym mowa w ust. 1;

(b)聽the controller has taken subsequent measures which ensure that the high risk to the rights and freedoms of data subjects referred to in paragraph聽1 is no longer likely to materialise;

c) wymaga艂oby ono niewsp贸艂miernie du偶ego wysi艂ku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny 艣rodek, za pomoc膮 kt贸rego osoby, kt贸rych dane dotycz膮, zostaj膮 poinformowane w r贸wnie skuteczny spos贸b.

(c)聽it would involve disproportionate effort. In such a case, there shall instead be a public communication or similar measure whereby the data subjects are informed in an equally effective manner.

4. Je偶eli administrator nie zawiadomi艂 jeszcze osoby, kt贸rej dane dotycz膮, o naruszeniu ochrony danych osobowych, organ nadzorczy 鈥 bior膮c pod uwag臋 prawdopodobie艅stwo, 偶e to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko 鈥 mo偶e od niego tego za偶膮da膰 lub mo偶e stwierdzi膰, 偶e spe艂niony zosta艂 jeden z warunk贸w, o kt贸rych mowa w ust. 3.

4. If the controller has not already communicated the personal data breach to the data subject, the supervisory authority, having considered the likelihood of the personal data breach resulting in a high risk, may require it to do so or may decide that any of the conditions referred to in paragraph 3 are met.

ISO 27701 Motywy Wytyczne & Case Law zostaw komentarz
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 16.1.1.

Here is the relevant paragraph to article 34 GDPR:

6.13.1.1 Responsibilities and procedures

Implementation guidance

As part of the overall information security incident management process, the organization should establish responsibilities and procedures for the identification and recording of breaches of PII. Additionally, the organization should establish responsibilities and procedures related to notification to required parties of PII breaches (including the timing of such notifications) and the disclosure to authorities, taking into account the applicable legislation and/or regulation.


aby uzyska膰 dost臋p do pe艂nego tekstu

Motywy

(75) Ryzyko naruszenia praw lub wolno艣ci os贸b, o r贸偶nym prawdopodobie艅stwie i wadze zagro偶e艅, mo偶e wynika膰 z przetwarzania danych osobowych mog膮cego prowadzi膰 do uszczerbku fizycznego lub szk贸d maj膮tkowych lub niemaj膮tkowych, w szczeg贸lno艣ci: je偶eli przetwarzanie mo偶e poskutkowa膰 dyskryminacj膮, kradzie偶膮 to偶samo艣ci lub oszustwem dotycz膮cym to偶samo艣ci, strat膮 finansow膮, naruszeniem dobrego imienia, naruszeniem poufno艣ci danych osobowych chronionych tajemnic膮 zawodow膮, nieuprawnionym odwr贸ceniem pseudonimizacji lub wszelk膮 inn膮 znaczn膮 szkod膮 gospodarcz膮 lub spo艂eczn膮; je偶eli osoby, kt贸rych dane dotycz膮, mog膮 zosta膰 pozbawione przys艂uguj膮cych im praw i wolno艣ci lub mo偶liwo艣ci sprawowania kontroli nad swoimi danymi osobowymi; je偶eli przetwarzane s膮 dane osobowe ujawniaj膮ce pochodzenie rasowe lub etniczne, pogl膮dy polityczne, wyznanie lub przekonania 艣wiatopogl膮dowe, lub przynale偶no艣膰 do zwi膮zk贸w zawodowych oraz je偶eli przetwarzane s膮 dane genetyczne, dane dotycz膮ce zdrowia lub dane dotycz膮ce seksualno艣ci lub wyrok贸w skazuj膮cych i narusze艅 prawa lub zwi膮zanych z tym 艣rodk贸w bezpiecze艅stwa; je偶eli oceniane s膮 czynniki osobowe, w szczeg贸lno艣ci analizowane lub prognozowane aspekty dotycz膮ce efekt贸w pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowa艅, wiarygodno艣ci lub zachowania, lokalizacji lub przemieszczania si臋 鈥 w celu tworzenia lub wykorzystywania profili osobistych; lub je偶eli przetwarzane s膮 dane osobowe os贸b wymagaj膮cych szczeg贸lnej opieki, w szczeg贸lno艣ci dzieci; je偶eli przetwarzanie dotyczy du偶ej ilo艣ci danych osobowych i wp艂ywa na du偶膮 liczb臋 os贸b, kt贸rych dane dotycz膮.

(75) The risk to the rights and freedoms of natural persons, of varying likelihood and severity, may result from personal data processing which could lead to physical, material or non-material damage, in particular: where the processing may give rise to discrimination, identity theft or fraud, financial loss, damage to the reputation, loss of confidentiality of personal data protected by professional secrecy, unauthorised reversal of pseudonymisation, or any other significant economic or social disadvantage; where data subjects might be deprived of their rights and freedoms or prevented from exercising control over their personal data; where personal data are processed which reveal racial or ethnic origin, political opinions, religion or philosophical beliefs, trade union membership, and the processing of genetic data, data concerning health or data concerning sex life or criminal convictions and offences or related security measures; where personal aspects are evaluated, in particular analysing or predicting aspects concerning performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, in order to create or use personal profiles; where personal data of vulnerable natural persons, in particular of children, are processed; or where processing involves a large amount of personal data and affects a large number of data subjects.

(86) Administrator powinien bez zb臋dnej zw艂oki poinformowa膰 osob臋, kt贸rej dane dotycz膮, o naruszeniu ochrony danych osobowych, je偶eli mo偶e ono powodowa膰 wysokie ryzyko naruszenia praw lub wolno艣ci tej osoby, tak aby umo偶liwi膰 tej sobie podj臋cie niezb臋dnych dzia艂a艅 zapobiegawczych. Informacja taka powinna zawiera膰 opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutk贸w. Informacje nale偶y przekazywa膰 osobom, kt贸rych dane dotycz膮, tak szybko, jak jest to rozs膮dnie mo偶liwe, w 艣cis艂ej wsp贸艂pracy z organem nadzorczym, z poszanowaniem wskaz贸wek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy 艣cigania. Na przyk艂ad potrzeba zminimalizowania bezpo艣redniego ryzyka wyst膮pienia szkody b臋dzie wymaga膰 niezw艂ocznego poinformowania os贸b, kt贸rych dane dotycz膮, natomiast wdro偶enie odpowiednich 艣rodk贸w przeciwko takim samym lub podobnym naruszeniom ochrony danych mo偶e uzasadnia膰 p贸藕niejsze poinformowanie.

(86) The controller should communicate to the data subject a personal data breach, without undue delay, where that personal data breach is likely to result in a high risk to the rights and freedoms of the natural person in order to allow him or her to take the necessary precautions. The communication should describe the nature of the personal data breach as well as recommendations for the natural person concerned to mitigate potential adverse effects. Such communications to data subjects should be made as soon as reasonably feasible and in close cooperation with the supervisory authority, respecting guidance provided by it or by other relevant authorities such as law-enforcement authorities. For example, the need to mitigate an immediate risk of damage would call for prompt communication with data subjects whereas the need to implement appropriate measures against continuing or similar personal data breaches may justify more time for communication.

(87) Nale偶y si臋 upewni膰, czy wdro偶ono wszelkie odpowiednie techniczne 艣rodki ochrony i wszelkie odpowiednie 艣rodki organizacyjne, by od razu stwierdzi膰 naruszenie ochrony danych osobowych i szybko poinformowa膰 organ nadzorczy i osob臋, kt贸rej dane dotycz膮. To, czy zawiadomienia dokonano bez zb臋dnej zw艂oki, nale偶y ustali膰 z uwzgl臋dnieniem w szczeg贸lno艣ci charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutk贸w dla osoby, kt贸rej dane dotycz膮. Takie zawiadomienie mo偶e skutkowa膰 interwencj膮 organu nadzorczego, zgodnie z jego zadaniami i uprawnieniami okre艣lonymi w niniejszym rozporz膮dzeniu.

(87) It should be ascertained whether all appropriate technological protection and organisational measures have been implemented to establish immediately whether a personal data breach has taken place and to inform promptly the supervisory authority and the data subject. The fact that the notification was made without undue delay should be established taking into account in particular the nature and gravity of the personal data breach and its consequences and adverse effects for the data subject. Such notification may result in an intervention of the supervisory authority in accordance with its tasks and powers laid down in this Regulation.

(88) Przy okre艣laniu szczeg贸艂owych przepis贸w o formie i procedurach maj膮cych zastosowanie do zawiadamiania o naruszeniu ochrony danych osobowych nale偶y wzi膮膰 pod uwag臋 okoliczno艣ci naruszenia, w tym fakt, czy dane osobowe by艂y zabezpieczone odpowiednimi technicznymi 艣rodkami ochrony skutecznie ograniczaj膮cymi prawdopodobie艅stwo oszustwa dotycz膮cego to偶samo艣ci lub innych form nadu偶ycia. W przepisach tych i procedurach nale偶y ponadto uwzgl臋dni膰 prawnie uzasadnione interesy organ贸w 艣cigania, je偶eli przedwczesne ujawnienie mog艂oby niepotrzebnie utrudni膰 badanie okoliczno艣ci naruszenia ochrony danych osobowych.

(88) In setting detailed rules concerning the format and procedures applicable to the notification of personal data breaches, due consideration should be given to the circumstances of that breach, including whether or not personal data had been protected by appropriate technical protection measures, effectively limiting the likelihood of identity fraud or other forms of misuse. Moreover, such rules and procedures should take into account the legitimate interests of law-enforcement authorities where early disclosure could unnecessarily hamper the investigation of the circumstances of a personal data breach.

Wytyczne & Case Law zostaw komentarz
[js-disqus]