Art. 31. - Art. 31: Informarea persoanei vizate cu privire la încălcarea securităţii datelor cu caracter personal - Directiva 680/27-apr-2016 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor şi privind libera circulaţie a acestor date şi de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului

Acte UE

Jurnalul Oficial 119L

În vigoare
Versiune de la: 23 Mai 2018
Art. 31: Informarea persoanei vizate cu privire la încălcarea securităţii datelor cu caracter personal
(1)Statele membre garantează că, în cazul în care încălcarea securităţii datelor cu caracter personal este susceptibilă să genereze un risc ridicat la adresa drepturilor şi libertăţilor persoanelor fizice, operatorul informează persoana vizată, fără întârzieri nejustificate, cu privire la încălcarea securităţii datelor cu caracter personal.
(2)În informarea transmisă persoanei vizate, prevăzută la alineatul (1) din prezentul articol, se include o descriere într-un limbaj simplu şi clar a caracterului încălcării securităţii datelor cu caracter personal, precum şi cel puţin informaţiile şi măsurile menţionate la articolul 30 alineatul (3) literele (b), (c) şi (d).
(3)Informarea persoanei vizate, menţionată la alineatul (1), nu este necesară în cazul în care este îndeplinită oricare dintre următoarele condiţii:
a)operatorul a pus în aplicare măsuri tehnologice şi organizatorice adecvate de protecţie, iar aceste măsuri au fost aplicate în cazul datelor cu caracter personal afectate de încălcarea securităţii datelor cu caracter personal, în special măsuri prin care se asigură că datele cu caracter personal devin neinteligibile oricărei persoane care nu este autorizată să le acceseze, cum ar fi criptarea;
b)operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat la adresa drepturilor şi libertăţilor persoanelor vizate menţionat la alineatul (1) nu mai este susceptibil să se materializeze;
c)aceasta ar necesita un efort disproporţionat. În acest caz, informarea se înlocuieşte printr-o informare publică sau o măsură similară prin care persoanele vizate sunt informate într-un mod la fel de eficace.
(4)În cazul în care operatorul nu a informat deja persoana vizată cu privire la încălcarea securităţii datelor cu caracter personal, autoritatea de supraveghere, luând în considerare probabilitatea ca încălcarea securităţii datelor cu caracter personal să genereze un risc ridicat, poate să îi solicite să facă acest lucru sau poate decide că oricare dintre condiţiile menţionate la alineatul (3) sunt îndeplinite.
(5)Informarea persoanei vizate menţionată la alineatul (1) din prezentul articol poate fi amânată, restricţionată sau omisă, sub rezerva condiţiilor şi a motivelor menţionate la articolul 13 alineatul (3).