Zawiadomienie, o którym mowa powyżej musi być napisanym jasnym oraz prostym językiem. Zawiadomienie musi opisywać charakter naruszenia ochrony danych osobowych. Ponadto powinno zawierać następujące elementy:
- Imię, nazwisko, dane kontaktowe inspektora ochrony danych albo oznaczenie punktu kontaktowego, w którym można uzyskać więcej informacji,
- Opis konsekwencji naruszenia ochrony danych,
- Opis środków zastosowanych albo proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych,
- Opis środków mających zminimalizować ewentualne negatywne konsekwencje naruszenia danych osobowych.
Procedura zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych uregulowana została w art. 28 Dekretu ogólnego w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim. We wspomnianym w zdaniu poprzednim artykule wymieniono sytuacje, w których zawiadomienie nie jest wymagane. Są to następujące przypadki:
1) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
2) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1;
3) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
Opracowano na podstawie:
Art. 28 Dekretu ogólnego w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim,