Статья 34 Сообщение субъекту о нарушении

О чём эта статья

Статья 34 — сообщение субъекту о нарушении безопасности. Когда контролёр обязан уведомить именно субъекта, а не только DPA.

34(1) — Условие уведомления

Если нарушение безопасности вероятно повлечёт высокий риск для прав и свобод физических лиц, контролёр обязан сообщить о нарушении субъекту данных без неоправданной задержки.

34(2) — Содержание сообщения

Сообщение должно описывать ясным и простым языком:

• характер нарушения;
• имя и контакты DPO или другой контактной точки;
• вероятные последствия;
• меры, принятые или предложенные.

34(3) — Исключения

Сообщение не требуется, если:

(a) контролёр реализовал надлежащие технические и организационные меры защиты (например, шифрование), делающие данные непонятными для лица без авторизации;

(b) контролёр предпринял последующие меры, обеспечивающие, что высокий риск больше не возникнет;

(c) это потребует непропорциональных усилий — в этом случае допускается публичное сообщение или аналогичная мера.

34(4) — Приказ DPA

Если контролёр ещё не сообщил субъекту, DPA может потребовать сделать это или установить факт применения исключений 34(3).

Почему это важно

Когда у компании утечка миллионов записей — она обязана уведомить каждого затронутого. На практике многие пытаются отделаться публичным заявлением «у нас была утечка», что недостаточно по Art. 34(1).

Шифрование (34(3)(a)) — реально работающее исключение: если данные были зашифрованы и ключ не утёк, индивидуальное уведомление не нужно. Это создаёт экономический стимул шифровать всё подряд.