Legutóbbi írásunkban tisztáztuk, mi is pontosan az adatvédelmi incidens, és azt is részletesen összeszedtük, hogyan és mit kell jelenteni az illetékes hatóság, vagyis a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) felé.
Ennyiben azonban nem merül ki a tennivaló egy ilyen esemény bekövetkeztekor, hiszen egy további kört is tájékoztatni kell: mégpedig az érintetteket.
A GDPR úgy fogalmaz, hogy erről a tájékoztatásról “az észszerűség keretei között a lehető leghamarabb gondoskodni kell”, később hozzáteszi a jogalkotó, hogy “indokolatlan késedelem nélkül”. Ez a gyakorlatban annyit jelent, hogy minél előbb el kell küldeni az érintettnek a tájékoztatót, amiben tudatni kell vele, mi is történt.
Vagyis az érintett részére adott tájékoztatásban:
- világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét
- közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit
- ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
- ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Vannak azonban kivételek, amikor nem kell tájékoztatni az érintettet:
- titkosítás alkalmazásánál, amikor a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat
- amikor megtörténtek azok az intézkedések, amelyek biztosítják azt, hogy a magas kockázat, ami az érintett jogaira kiterjedne, valószínűsíthetően nem valósul meg.
- amikor a tájékoztatás aránytalan erőfeszítésbe kerülne.