art. 3

ROZPORZĄDZENIE KOMISJI (UE) NR 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej

32013R0611

Treść przepisu

Artykuł 3 Powiadomienie abonenta lub osoby fizycznej 1.   Jeśli istnieje prawdopodobieństwo, że naruszenie danych osobowych wywoła niekorzystne skutki dla danych osobowych lub prywatności abonenta lub osoby fizycznej, dostawca, oprócz powiadomienia, o którym mowa w art. 2, powiadamia również o naruszeniu tego abonenta lub tę osobę fizyczną. 2.   Prawdopodobieństwo, że naruszenie danych osobowych może mieć niekorzystne skutki dla danych osobowych lub prywatności abonenta lub osoby fizycznej, ocenia się, biorąc od uwagę w szczególności następujące okoliczności: a) charakter i treść odnośnych danych osobowych, zwłaszcza jeśli dane te związane są z informacjami finansowymi, szczególnymi kategoriami danych, o których mowa w art. 8 ust. 1 dyrektywy 95/46/WE, danymi dotyczącymi poczty elektronicznej, danymi dotyczącymi lokalizacji, internetowymi plikami rejestru, rejestrami przeszukiwanych stron internetowych i wykazami wykonanych usług telekomunikacyjnych; b) prawdopodobne konsekwencje naruszenia danych osobowych dla danego abonenta lub osoby fizycznej, szczególnie jeżeli naruszenie mogłoby skutkować kradzieżą lub sfałszowaniem tożsamości, uszkodzeniem ciała, cierpieniem psychicznym, upokorzeniem lub naruszeniem dobrego imienia; oraz c) okoliczności, w jakich doszło do naruszenia danych osobowych, w szczególności to, gdzie skradziono dane oraz kiedy dostawca dowiedział się, że dane są w posiadaniu nieupoważnionej strony trzeciej. 3.   Powiadomienie abonenta lub osoby fizycznej następuje bez zbędnej zwłoki po wykryciu naruszenia danych osobowych, jak określono w art. 2 ust. 2 akapit trzeci. Powyższe nie jest zależne od powiadomienia o naruszeniu danych osobowych skierowanego do właściwego organu krajowego, o którym mowa w art. 2. 4.   W powiadomieniu skierowanym do abonenta lub osoby fizycznej dostawca zawiera informacje określone w załączniku II. Powiadomienie skierowane do abonenta lub osoby fizycznej sformułowane jest w sposób jasny i łatwo zrozumiały. Dostawca nie wykorzystuje powiadomienia jako okazji do promowania lub reklamowania nowych lub dodatkowych usług. 5.   W wyjątkowych okolicznościach, gdy powiadomienie abonenta lub osoby fizycznej może zaszkodzić należytemu zbadaniu przypadku naruszenia danych osobowych, dostawcy zezwala się, po uprzednim uzyskaniu zgody właściwego organu krajowego, na powiadomienie abonenta lub osoby fizycznej w późniejszym terminie, który właściwy organ krajowy uzna za możliwy do celów powiadomienia o naruszeniu danych osobowych zgodnie z niniejszym artykułem. 6.   Dostawca powiadamia abonenta lub osobę fizyczną o naruszeniu danych osobowych, używając środków komunikacji zapewniających szybkie dotarcie informacji i odpowiednio zabezpieczonych zgodnie z najnowszym stanem wiedzy w tej dziedzinie. Informacja o naruszeniu dotyczy naruszenia i nie jest powiązana z informacjami na inny temat. 7.   Jeżeli w terminie, o którym mowa w ust. 3, oraz mimo odpowiednich starań, dostawca związany z końcowym użytkownikiem bezpośrednim stosunkiem umownym nie jest w stanie zidentyfikować wszystkich osób fizycznych, wobec których naruszenie danych osobowych prawdopodobnie ma niekorzystne skutki, dostawca może w tymże terminie powiadomić te osoby poprzez ogłoszenia w głównych mediach krajowych lub regionalnych w danych państwach członkowskich. Ogłoszenia te zawierają informacje określone w załączniku II, w razie potrzeby w formie skróconej. W takim przypadku dostawca nadal podejmuje odpowiednie starania, by zidentyfikować te osoby i jak najszybciej przekazać im informacje określone w załączniku II.

© Unia Europejska, źródło: EUR-Lex (eur-lex.europa.eu), pozyskano 12.07.2026. Autentyczne są wyłącznie wersje opublikowane w Dz. Urz. UE. · PDF źródłowy