Ved brud på persondatasikkerheden, som sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder, skal den dataansvarlige uden unødig forsinkelse underrette den registrerede om bruddet.
Stk. 2 Underretningen skal i et klart og enkelt sprog beskrive karakteren af bruddet og indeholde de oplysninger, der er nævnt i § 28, stk. 3, nr. 2-4.
Stk. 3 Bestemmelsen i stk. 1 gælder ikke, hvis
-
1) den dataansvarlige har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger og disse foranstaltninger er blevet anvendt på de personoplysninger, som er berørt af bruddet på persondatasikkerheden, herunder navnlig foranstaltninger, der f.eks. på grund af kryptering gør personoplysningerne uforståelige for enhver, der ikke har autoriseret adgang hertil,
-
2) den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registreredes rettigheder som omhandlet i stk. 1 sandsynligvis ikke længere er reel, eller
-
3) det vil kræve en uforholdsmæssig indsats af den dataansvarlige.
Stk. 4 I de tilfælde, der er nævnt i stk. 3, nr. 3, skal der i stedet gives en offentlig meddelelse eller træffes tilsvarende foranstaltning, hvorved de registrerede underrettes på en tilsvarende effektiv måde.
Stk. 5 Har den dataansvarlige ikke allerede underrettet den registrerede om bruddet på persondatasikkerheden, kan tilsynsmyndigheden efter at have overvejet sandsynligheden for, at bruddet på persondatasikkerheden indebærer en høj risiko, kræve, at den dataansvarlige gør dette, eller beslutte, at en af betingelserne i stk. 3 er opfyldt.
Stk. 6 Underretning af den registrerede kan udsættes, begrænses eller undlades af de grunde, der er nævnt i § 14, stk. 1.