3 kap. Personuppgiftsansvarigas skyldigheter
Personuppgiftsincidenter
10 § Om en personuppgiftsincident som ska anmälas enligt 9 § första stycket har medfört eller kan antas medföra särskild risk för otillbörligt intrång i registrerades personliga integritet, ska den personuppgiftsansvarige utan onödigt dröjsmål underrätta den registrerade om incidenten. Underrättelseskyldigheten gäller inte om den personuppgiftsansvarige 1. har tillämpat lämpliga tekniska och organisatoriska skyddsåtgärder på de personuppgifter som påverkades av incidenten, 2. har säkerställt att det inte längre finns särskild risk för otillbörligt intrång i registrerades personliga integritet, eller 3. skulle behöva göra oproportionerliga ansträngningar för att underrätta alla berörda. I fall som avses i andra stycket 3 ska allmänheten informeras eller en liknande åtgärd vidtas genom vilken de registrerade får nödvändig information.