Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Директива Европейского Парламента и Совета Европейского Союза 2016/680 от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных компетентными органами в целях предотвращения, расследования, выявления или уголовного преследования преступлений или исполнения уголовных наказаний, о свободном обращении таких данных, а также об отмене Рамочного Решения 2008/977/ПВД Совета ЕС (Брюссель, 27 апреля 2016 г.)
- Глава IV. Контролер и лицо, обрабатывающее данные
- Раздел 2. Безопасность персональных данных
- Статья 31. Информирование субъекта данных об утечке персональных данных
Статья 31. Информирование субъекта данных об утечке персональных данных
Статья 31
Информирование субъекта данных об утечке персональных данных
1. Государства-члены ЕС предусматривают, что в том случае, если утечка персональных данных может привести к высокой степени риска для прав и свобод физических лиц, контролер должен незамедлительно уведомить субъекта данных об утечке персональных данных.
2. Уведомление субъекта данных, указанное в параграфе 1 настоящей Статьи, должно описывать ясным и простым языком характер утечки персональных данных и содержать как минимум информацию и меры, указанные в пунктах (b), (c) и (d) Статьи 30(3) настоящей Директивы.
3. Уведомление субъекта данных, указанное в параграфе 1, не требуется при соблюдении любого из следующих условий:
(a) контролер имплементировал соответствующие технические и организационные меры защиты, и указанные меры применялись в отношении персональных данных, утечка которых произошла, в частности, меры, благодаря которым персональные данные будут непонятны для лиц, не обладающих доступом к ним, например, криптографическая защита;
(b) контролер принял дополнительные меры, которые гарантируют, что высокая степень риска для прав и свобод субъектов данных согласно параграфу 1 настоящей Статьи маловероятна;
(c) такое уведомление требует несоразмерного усилия. В указанном случае, вместо этого делается сообщение для информирования общественности или принимается аналогичная мера, посредством которой осуществляется равнозначное по эффективности уведомление субъектов данных.
4. Если контролер еще не проинформировал субъекта данных об утечке персональных данных, надзорный орган, изучив вероятность возникновения высокой степени риска вследствие утечки персональных данных, может потребовать от контролера проинформировать субъекта данных или может принять решение о том, что соблюдается одно из условий, указанных в параграфе 3 настоящей Статьи.
5. Уведомление субъекта данных, указанное в параграфе 1 настоящей Статьи, может быть задержано, ограничено или исключено на условиях и по основаниям, предусмотренным Статьей 13(3) настоящей Директивы.