Jakie informacje należy przekazać osobom, których dane dotyczą w związku z naruszeniem?
Zgodnie z art. 34 ust. 2 RODO zawiadomienie skierowane do osób, których dane dotyczą powinno jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych oraz zawierać przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d). Zgodnie z tym przepisem, administrator powinien podać przynajmniej następujące informacje:
imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, od którego można uzyskać więcej informacji;
opis możliwych konsekwencji naruszenia ochrony danych osobowych;
opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym w stosownych przypadkach - środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
Zawiadomienie powinno być sformułowane jasnym i prostym językiem. Aby wymóg ten został spełniony, administrator powinien mieć na względzie grupę odbiorców, do której zawiadomienie będzie skierowane i dostosować do niej jego treść. Tytułem przykładu: jeżeli określony podmiot posiada klientów w zbliżonym wieku i poziomie wykształcenia, język komunikatu powinien uwzględniać te okoliczności. Jeżeli natomiast adresaci są zróżnicowani lub administrator nie posiada wystarczających danych dla dokładniejszego określenia grupy odbiorców zawiadomienia, to w takim przypadku punktem odniesienia powinien być przeciętny adresat takiej wiadomości. Celem jest przekazanie odbiorcy komunikatu łatwego do zrozumienia. Ponadto komunikat nie powinien być nadmiernie rozbudowany, gdyż długa informacja z reguły utrudnia zrozumienie istoty przekazu.
