Оглавл.
Скачать в PDF

Преамбула 85

Recital 85

(85) Нарушение безопасности персональных данных, если оно не было надлежащим образом и вовремя устранено, может привести к физическому, материальному или моральному вреду физическим лицам, например, к потере контроля над их персональными данными или ограничению их прав, дискриминации, краже личности или ее мошенническому использованию, финансовым потерям, несанкционированной отмене псевдонимизации данных, ущербу репутации, нарушению конфиденциальности персональных данных, защищенных профессиональной тайной, или любому другому значительному экономический или социальный ущербу для физическому лицу.

Поэтому, как только контролёру становится известно о нарушении безопасности персональных данных, он обязан уведомить о таком нарушении надзорный орган без неоправданной задержки и, по возможности, не позднее 72 часов, за исключением случаев, когда контролёр может подтвердить, в соответствии с принципом подотчетности, что нарушение безопасности персональных данных с малой вероятностью может представлять риск нарушения прав и свобод физических лиц.

В случаях, когда подобное уведомление не может быть сделано в течение 72 часов, причины такой задержки должны сопровождать уведомление и информация может предоставляться поэтапно без дополнительной необоснованной задержки.

(85) A personal data breach may, if not addressed in an appropriate and timely manner, result in physical, material or non-material damage to natural persons such as loss of control over their personal data or limitation of their rights, discrimination, identity theft or fraud, financial loss, unauthorised reversal of pseudonymisation, damage to reputation, loss of confidentiality of personal data protected by professional secrecy or any other significant economic or social disadvantage to the natural person concerned.

Therefore, as soon as the controller becomes aware that a personal data breach has occurred, the controller should notify the personal data breach to the supervisory authority without undue delay and, where feasible, not later than 72 hours after having become aware of it, unless the controller is able to demonstrate, in accordance with the accountability principle, that the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons.

Where such notification cannot be achieved within 72 hours, the reasons for the delay should accompany the notification and information may be provided in phases without undue further delay.