Nawigacja
RODO > Artyku艂 34. Zawiadamianie osoby, kt贸rej dane dotycz膮, o naruszeniu ochrony danych osobowych
Pobierz jako plik PDF

Artyku艂 34 RODO. Zawiadamianie osoby, kt贸rej dane dotycz膮, o naruszeniu ochrony danych osobowych

Article 34 GDPR. Communication of a personal data breach to the data subject

1. Je偶eli naruszenie ochrony danych osobowych mo偶e powodowa膰 wysokie ryzyko naruszenia praw lub wolno艣ci os贸b fizycznych, administrator bez zb臋dnej zw艂oki zawiadamia osob臋, kt贸rej dane dotycz膮, o takim naruszeniu.

1. When the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall communicate the personal data breach to the data subject without undue delay.

2. Zawiadomienie, o kt贸rym mowa w ust. 1 niniejszego artyku艂u, jasnym i prostym j臋zykiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i 艣rodki, o kt贸rych mowa w art. 33 ust. 3 lit. b), c) i d).

2. The communication to the data subject referred to in paragraph 1 of this Article shall describe in clear and plain language the nature of the personal data breach and contain at least the information and measures referred to in points聽(b), (c) and (d) of Article聽33(3).

Powi膮zane teksty

3. Zawiadomienie, o kt贸rym mowa w ust. 1, nie jest wymagane, w nast臋puj膮cych przypadkach:

3. The communication to the data subject referred to in paragraph聽1 shall not be required if any of the following conditions are met:

a) administrator wdro偶y艂 odpowiednie techniczne i organizacyjne 艣rodki ochrony i 艣rodki te zosta艂y zastosowane do danych osobowych, kt贸rych dotyczy naruszenie, w szczeg贸lno艣ci 艣rodki takie jak szyfrowanie, uniemo偶liwiaj膮ce odczyt osobom nieuprawnionym do dost臋pu do tych danych osobowych;

(a)聽the controller has implemented appropriate technical and organisational protection measures, and those measures were applied to the personal data affected by the personal data breach, in particular those that render the personal data unintelligible to any person who is not authorised to access it, such as encryption;

b) administrator zastosowa艂 nast臋pnie 艣rodki eliminuj膮ce prawdopodobie艅stwo wysokiego ryzyka naruszenia praw lub wolno艣ci osoby, kt贸rej dane dotycz膮, o kt贸rym mowa w ust. 1;

(b)聽the controller has taken subsequent measures which ensure that the high risk to the rights and freedoms of data subjects referred to in paragraph聽1 is no longer likely to materialise;

c) wymaga艂oby ono niewsp贸艂miernie du偶ego wysi艂ku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny 艣rodek, za pomoc膮 kt贸rego osoby, kt贸rych dane dotycz膮, zostaj膮 poinformowane w r贸wnie skuteczny spos贸b.

(c)聽it would involve disproportionate effort. In such a case, there shall instead be a public communication or similar measure whereby the data subjects are informed in an equally effective manner.

4. Je偶eli administrator nie zawiadomi艂 jeszcze osoby, kt贸rej dane dotycz膮, o naruszeniu ochrony danych osobowych, organ nadzorczy 鈥 bior膮c pod uwag臋 prawdopodobie艅stwo, 偶e to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko 鈥 mo偶e od niego tego za偶膮da膰 lub mo偶e stwierdzi膰, 偶e spe艂niony zosta艂 jeden z warunk贸w, o kt贸rych mowa w ust. 3.

4. If the controller has not already communicated the personal data breach to the data subject, the supervisory authority, having considered the likelihood of the personal data breach resulting in a high risk, may require it to do so or may decide that any of the conditions referred to in paragraph 3 are met.

ISO 27701 Motywy Wytyczne & Case Law zostaw komentarz
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 16.1.1.

Here is the relevant paragraph to article 34 GDPR:

6.13.1.1 Responsibilities and procedures

Implementation guidance

As part of the overall information security incident management process, the organization should establish responsibilities and procedures for the identification and recording of breaches of PII. Additionally, the organization should establish responsibilities and procedures related to notification to required parties of PII breaches (including the timing of such notifications) and the disclosure to authorities, taking into account the applicable legislation and/or regulation.


aby uzyska膰 dost臋p do pe艂nego tekstu

Motywy

(75) Ryzyko naruszenia praw lub wolno艣ci os贸b, o r贸偶nym prawdopodobie艅stwie i wadze zagro偶e艅, mo偶e wynika膰 z przetwarzania danych osobowych mog膮cego prowadzi膰 do uszczerbku fizycznego lub szk贸d maj膮tkowych lub niemaj膮tkowych, w szczeg贸lno艣ci: je偶eli przetwarzanie mo偶e poskutkowa膰 dyskryminacj膮, kradzie偶膮 to偶samo艣ci lub oszustwem dotycz膮cym to偶samo艣ci, strat膮 finansow膮, naruszeniem dobrego imienia, naruszeniem poufno艣ci danych osobowych chronionych tajemnic膮 zawodow膮, nieuprawnionym odwr贸ceniem pseudonimizacji lub wszelk膮 inn膮 znaczn膮 szkod膮 gospodarcz膮 lub spo艂eczn膮; je偶eli osoby, kt贸rych dane dotycz膮, mog膮 zosta膰 pozbawione przys艂uguj膮cych im praw i wolno艣ci lub mo偶liwo艣ci sprawowania kontroli nad swoimi danymi osobowymi; je偶eli przetwarzane s膮 dane osobowe ujawniaj膮ce pochodzenie rasowe lub etniczne, pogl膮dy polityczne, wyznanie lub przekonania 艣wiatopogl膮dowe, lub przynale偶no艣膰 do zwi膮zk贸w zawodowych oraz je偶eli przetwarzane s膮 dane genetyczne, dane dotycz膮ce zdrowia lub dane dotycz膮ce seksualno艣ci lub wyrok贸w skazuj膮cych i narusze艅 prawa lub zwi膮zanych z tym 艣rodk贸w bezpiecze艅stwa; je偶eli oceniane s膮 czynniki osobowe, w szczeg贸lno艣ci analizowane lub prognozowane aspekty dotycz膮ce efekt贸w pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowa艅, wiarygodno艣ci lub zachowania, lokalizacji lub przemieszczania si臋 鈥 w celu tworzenia lub wykorzystywania profili osobistych; lub je偶eli przetwarzane s膮 dane osobowe os贸b wymagaj膮cych szczeg贸lnej opieki, w szczeg贸lno艣ci dzieci; je偶eli przetwarzanie dotyczy du偶ej ilo艣ci danych osobowych i wp艂ywa na du偶膮 liczb臋 os贸b, kt贸rych dane dotycz膮.

(85) 袧邪褉褍褕械薪懈械 斜械蟹芯锌邪褋薪芯褋褌懈 锌械褉褋芯薪邪谢褜薪褘褏 写邪薪薪褘褏, 械褋谢懈 芯薪芯 薪械 斜褘谢芯 薪邪写谢械卸邪褖懈屑 芯斜褉邪蟹芯屑 懈 胁芯胁褉械屑褟 褍褋褌褉邪薪械薪芯, 屑芯卸械褌 锌芯胁谢械褔褜 褎懈蟹懈褔械褋泻懈泄, 屑邪褌械褉懈邪谢褜薪褘泄 懈谢懈 屑芯褉邪谢褜薪褘泄 胁褉械写 褎懈蟹懈褔械褋泻懈屑 谢懈褑邪屑, 泻邪泻, 薪邪锌褉懈屑械褉, 锌芯褌械褉褟 泻芯薪褌褉芯谢褟 薪邪写 懈褏 锌械褉褋芯薪邪谢褜薪褘屑懈 写邪薪薪褘屑懈 懈谢懈 芯谐褉邪薪懈褔械薪懈械 懈褏 锌褉邪胁, 写懈褋泻褉懈屑懈薪邪褑懈褟, 泻褉邪卸邪 谢懈褔薪芯褋褌懈 懈谢懈 械械 屑芯褕械薪薪懈褔械褋泻芯械 懈褋锌芯谢褜蟹芯胁邪薪懈械, 褎懈薪邪薪褋芯胁褘械 锌芯褌械褉懈, 薪械褋邪薪泻褑懈芯薪懈褉芯胁邪薪薪邪褟 锌芯胁褌芯褉薪邪褟 懈写械薪褌懈褎懈泻邪褑懈褟 锌褋械胁写芯薪懈屑懈蟹懈褉芯胁邪薪薪褘褏 写邪薪薪褘褏, 褍褖械褉斜 褉械锌褍褌邪褑懈懈, 薪邪褉褍褕械薪懈械 泻芯薪褎懈写械薪褑懈邪谢褜薪芯褋褌懈 锌械褉褋芯薪邪谢褜薪褘褏 写邪薪薪褘褏, 蟹邪褖懈褖械薪薪褘褏 锌褉芯褎械褋褋懈芯薪邪谢褜薪芯泄 褌邪泄薪芯泄, 懈谢懈 谢褞斜芯泄 写褉褍谐芯泄 蟹薪邪褔懈褌械谢褜薪褘泄 褝泻芯薪芯屑懈褔械褋泻懈泄 懈谢懈 褋芯褑懈邪谢褜薪褘泄 胁褉械写, 薪邪薪械褋械薪薪褘泄 褎懈蟹懈褔械褋泻芯屑褍 谢懈褑褍. 袩芯褝褌芯屑褍, 泻邪泻 褌芯谢褜泻芯 泻芯薪褌褉芯谢褢褉褍 褋褌邪薪芯胁懈褌褋褟 懈蟹胁械褋褌薪芯 芯 薪邪褉褍褕械薪懈懈 斜械蟹芯锌邪褋薪芯褋褌懈 锌械褉褋芯薪邪谢褜薪褘褏 写邪薪薪褘褏, 芯薪 芯斜褟蟹邪薪 褍胁械写芯屑懈褌褜 芯 褌邪泻芯屑 薪邪褉褍褕械薪懈懈 薪邪写蟹芯褉薪褘泄 芯褉谐邪薪 斜械蟹 薪械芯锌褉邪胁写邪薪薪芯泄 蟹邪写械褉卸泻懈 懈, 锌芯 胁芯蟹屑芯卸薪芯褋褌懈, 薪械 锌芯蟹写薪械械 72 褔邪褋芯胁, 蟹邪 懈褋泻谢褞褔械薪懈械屑 褋谢褍褔邪械胁, 泻芯谐写邪 泻芯薪褌褉芯谢褢褉 屑芯卸械褌 锌芯写褌胁械褉写懈褌褜, 胁 褋芯芯褌胁械褌褋褌胁懈懈 褋 锌褉懈薪褑懈锌芯屑 锌芯写芯褌褔械褌薪芯褋褌懈, 褔褌芯 薪邪褉褍褕械薪懈械 斜械蟹芯锌邪褋薪芯褋褌懈 锌械褉褋芯薪邪谢褜薪褘褏 写邪薪薪褘褏 褋 屑邪谢芯泄 胁械褉芯褟褌薪芯褋褌褜褞 屑芯卸械褌 锌褉械写褋褌邪胁谢褟褌褜 褉懈褋泻 薪邪褉褍褕械薪懈褟 锌褉邪胁 懈 褋胁芯斜芯写 褎懈蟹懈褔械褋泻懈褏 谢懈褑. 袙 褋谢褍褔邪褟褏, 泻芯谐写邪 锌芯写芯斜薪芯械 褍胁械写芯屑谢械薪懈械 薪械 屑芯卸械褌 斜褘褌褜 褋写械谢邪薪芯 胁 褌械褔械薪懈械 72 褔邪褋芯胁, 锌褉懈褔懈薪褘 褌邪泻芯泄 蟹邪写械褉卸泻懈 写芯谢卸薪褘 褋芯锌褉芯胁芯卸写邪褌褜 褍胁械写芯屑谢械薪懈械 懈 懈薪褎芯褉屑邪褑懈褟 屑芯卸械褌 锌褉械写芯褋褌邪胁谢褟褌褜褋褟 锌芯褝褌邪锌薪芯 斜械蟹 写芯锌芯谢薪懈褌械谢褜薪芯泄 蟹邪写械褉卸泻懈.

(86) Administrator powinien bez zb臋dnej zw艂oki poinformowa膰 osob臋, kt贸rej dane dotycz膮, o naruszeniu ochrony danych osobowych, je偶eli mo偶e ono powodowa膰 wysokie ryzyko naruszenia praw lub wolno艣ci tej osoby, tak aby umo偶liwi膰 tej sobie podj臋cie niezb臋dnych dzia艂a艅 zapobiegawczych. Informacja taka powinna zawiera膰 opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutk贸w. Informacje nale偶y przekazywa膰 osobom, kt贸rych dane dotycz膮, tak szybko, jak jest to rozs膮dnie mo偶liwe, w 艣cis艂ej wsp贸艂pracy z organem nadzorczym, z poszanowaniem wskaz贸wek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy 艣cigania. Na przyk艂ad potrzeba zminimalizowania bezpo艣redniego ryzyka wyst膮pienia szkody b臋dzie wymaga膰 niezw艂ocznego poinformowania os贸b, kt贸rych dane dotycz膮, natomiast wdro偶enie odpowiednich 艣rodk贸w przeciwko takim samym lub podobnym naruszeniom ochrony danych mo偶e uzasadnia膰 p贸藕niejsze poinformowanie.

(86) The controller should communicate to the data subject a personal data breach, without undue delay, where that personal data breach is likely to result in a high risk to the rights and freedoms of the natural person in order to allow him or her to take the necessary precautions. The communication should describe the nature of the personal data breach as well as recommendations for the natural person concerned to mitigate potential adverse effects. Such communications to data subjects should be made as soon as reasonably feasible and in close cooperation with the supervisory authority, respecting guidance provided by it or by other relevant authorities such as law-enforcement authorities. For example, the need to mitigate an immediate risk of damage would call for prompt communication with data subjects whereas the need to implement appropriate measures against continuing or similar personal data breaches may justify more time for communication.

(87) Nale偶y si臋 upewni膰, czy wdro偶ono wszelkie odpowiednie techniczne 艣rodki ochrony i wszelkie odpowiednie 艣rodki organizacyjne, by od razu stwierdzi膰 naruszenie ochrony danych osobowych i szybko poinformowa膰 organ nadzorczy i osob臋, kt贸rej dane dotycz膮. To, czy zawiadomienia dokonano bez zb臋dnej zw艂oki, nale偶y ustali膰 z uwzgl臋dnieniem w szczeg贸lno艣ci charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutk贸w dla osoby, kt贸rej dane dotycz膮. Takie zawiadomienie mo偶e skutkowa膰 interwencj膮 organu nadzorczego, zgodnie z jego zadaniami i uprawnieniami okre艣lonymi w niniejszym rozporz膮dzeniu.

(87) It should be ascertained whether all appropriate technological protection and organisational measures have been implemented to establish immediately whether a personal data breach has taken place and to inform promptly the supervisory authority and the data subject. The fact that the notification was made without undue delay should be established taking into account in particular the nature and gravity of the personal data breach and its consequences and adverse effects for the data subject. Such notification may result in an intervention of the supervisory authority in accordance with its tasks and powers laid down in this Regulation.

(88) Przy okre艣laniu szczeg贸艂owych przepis贸w o formie i procedurach maj膮cych zastosowanie do zawiadamiania o naruszeniu ochrony danych osobowych nale偶y wzi膮膰 pod uwag臋 okoliczno艣ci naruszenia, w tym fakt, czy dane osobowe by艂y zabezpieczone odpowiednimi technicznymi 艣rodkami ochrony skutecznie ograniczaj膮cymi prawdopodobie艅stwo oszustwa dotycz膮cego to偶samo艣ci lub innych form nadu偶ycia. W przepisach tych i procedurach nale偶y ponadto uwzgl臋dni膰 prawnie uzasadnione interesy organ贸w 艣cigania, je偶eli przedwczesne ujawnienie mog艂oby niepotrzebnie utrudni膰 badanie okoliczno艣ci naruszenia ochrony danych osobowych.

(88) In setting detailed rules concerning the format and procedures applicable to the notification of personal data breaches, due consideration should be given to the circumstances of that breach, including whether or not personal data had been protected by appropriate technical protection measures, effectively limiting the likelihood of identity fraud or other forms of misuse. Moreover, such rules and procedures should take into account the legitimate interests of law-enforcement authorities where early disclosure could unnecessarily hamper the investigation of the circumstances of a personal data breach.

Wytyczne & Case Law zostaw komentarz
[js-disqus]