Logica din spatele informării pacienților că a avut loc o breșă de securitate e de a le permite celor afectați să înțeleagă impactul și să știe că măsuri pot lua pentru a diminua efectele negative. În acest sens, o notificare făcută persoanelor afectate de o breșă de securitate ar trebui, de principiu, să conțină următoarele informații:
- descrierea breșei de securitate, în sine;
- numele și datele de contact ale responsabilului cu protecția datelor sau ale altei persoane responsabile, care poate fi contactată;
- o descriere a consecințelor - ori a posibilelor consecințe ale - breșei;
- ce măsuri a luat - sau plănuiește să ia - operatorul de date pentru a remedia sau ameliora problema.
În al doilea rând, trebuie informată Autoritatea de protecție a datelor cu privire la breșă. Cu excepția situației în care nu există riscuri pentru drepturile și libertățile celor afectați de breșă - sau e improbabil ca acele riscuri să se concretizeze.
Însă, dacă acele riscuri există, GDPR prevede că o companie ce a trecut printr-un asemenea incident trebuie să informeze și persoanele fizice afectate.
În ceea ce le privește pe acestea din urmă, există câteva situații când acest lucru nu mai e obligatoriu. De exemplu, dacă firma vizată reușește să ia măsuri suficiente pentru a înlătura riscurile de mai sus. Sau dacă s-au luat măsuri de criptare a datelor compromise, nimeni în afară de persoane autorizate putând să le acceseze.
De asemenea, mai există o excepție și pentru acele situații când informarea ar implica un efort disproporționat pentru companie. Ceea ce nu înseamnă, însă, că informarea nu mai e obligatorie - tot ar trebui să existe o comunicare făcută public, chiar dacă nu adresată, neapărat, fiecărui individ ale cărui date personale ar fi fost compromise.
Pentru a înțelege mai bine riscurile unei breșe de securitate, cei interesați pot accesa acest articol.