Az érintettek értesítése
Az előző részben már tárgyaltuk azt, hogy mikor kell a hatóságot értesíteni egy incidensről, de bizonyos esetekben ez nem elég, az érintetteket is meg kell keresnünk.
Míg a hatósági bejelentést akkor kell tennünk, ha az incidens kockázatot jelent a természetes személyekre, addig az érintettekkel akkor kel valamilyen módon tudatni a kellemetlen eseményt, ha az magas kockázatot jelent rájuk nézve [1]. A különbség a „magas” szócskában rejlik, tehát enyhébb kockázat esetén elég lesz csak a hatóságnak elküldeni az információkat, míg nagyobb kockázatnál a magányszemélyeket is értesítjük.
Hogy mi számít magas kockázatnak, az rendeletileg nincs meghatározva, így ezt nekünk kell mérlegelnünk. Az egyéb útmutatások alapján elmondható, hogy általában véve, ha az érintettet bármilyen észrevehető hátrány érheti, akkor azok már a magas kockázathoz tartoznak. Ha bizonytalanok vagyunk ennek megítélésével, érdemes lehet szakértőinkkel konzultálni erről.
Ha úgy ítéljük meg, hogy magas kockázatú az incidens, akkor értesítjük az érintetteket, hogy ők is megtehessék a saját önvédelmi intézkedéseiket. Természetesen lehet, hogy nincs rá eszközünk és módunk, hogy értesítsük az adatalanyokat. Ha van bármilyen elérhetőségünk hozzájuk, akkor elvárt, hogy megpróbáljuk felvenni velük a kapcsolatot. Ennek hiányában az is megfelelő értesítés lehet, ha széles körben közzétesszük az információt, például sokak által látogatott híroldalakon.
Az értesítésben köznapi nyelven, jól érthetően át kell adni a következő információkat:
- az adatvédelmi incidens jellege;
- az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
- az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
- az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Ez az értesítés nem csak a rendeleti előírás miatt szükséges, hanem a tisztességes adatkezelői magatartás megvalósítása miatt is. Ha már valaki ránk bízta személyes adatait, elvárható, hogy vele szemben transzparensek legyünk az esetleges problémák kapcsán is. Ezen okból, még ha esetleg egy incidens kapcsán nem is éreznénk kötelezőnek az érintettek értesítést, akkor is érdemes lehet fontolóra venni, hogy a saját hírnevünk megóvása érdekében fair módon tájékoztatjuk az alanyokat az eseményekről.