1. Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να προκαλέσει σημαντικό κίνδυνο για τα προστατευόμενα έννομα συμφέροντα φυσικού προσώπου, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμέσως στο υποκείμενο των δεδομένων το περιστατικό.
2. Κατά τη γνωστοποίηση στο υποκείμενο των δεδομένων, σύμφωνα με την παράγραφο 1 περιγράφεται κατά τρόπο εύληπτο και σαφή η φύση της παραβίασης και αναφέρεται τουλάχιστον το περιεχόμενο των περιπτώσεων β΄, γ΄ και δ΄ της παραγράφου 3 του προηγούμενου άρθρου.
3. Γνωστοποίηση στο υποκείμενο των δεδομένων δεν απαιτείται, εφόσον πληρούται οποιοσδήποτε από τους παρακάτω όρους:
α) ο υπεύθυνος επεξεργασίας έχει λάβει τα κατάλληλα τεχνικά και οργανωτικά μέτρα ασφαλείας και έχει εφαρμόσει τα μέτρα αυτά στα δεδομένα προσωπικού χαρακτήρα που θίγονται από την παραβίαση• αυτό ισχύει ιδιαίτερα για τα μέτρα, όπως η κρυπτογράφηση, μέσω της οποίας τα δεδομένα καθίσταται απρόσιτα σε μη εξουσιοδοτημένα πρόσωπα•
β) ο υπεύθυνος επεξεργασίας έλαβε εκ των υστέρων μέτρα που διασφαλίζουν την προστασία έναντι της παραβίασης των δεδομένων προσωπικού χαρακτήρα• ή
γ) απαιτούνται δυσανάλογες προσπάθειες. Στην περίπτωση αυτή, πρέπει να γίνεται δημόσια γνωστοποίηση ή να λαμβάνονται παρόμοια μέτρα, ώστε το υποκείμενο των δεδομένων να ενημερώνεται με εξίσου αποτελεσματικό τρόπο.
4. Εάν ο υπεύθυνος επεξεργασίας δεν έχει ενημερώσει το υποκείμενο των δεδομένων για τυχόν παραβίαση δεδομένων προσωπικού χαρακτήρα, η Αρχή μπορεί να δηλώσει επισήμως ότι θεωρεί ότι δεν πληρούνται οι προϋποθέσεις της παραγράφου 3. Με τον τρόπο αυτό, πρέπει να λάβει υπόψη την πιθανότητα ότι η ζημία θα οδηγήσει σε σημαντικό κίνδυνο κατά την έννοια της παραγράφου 1.
5. Η κοινοποίηση στο υποκείμενο των δεδομένων σύμφωνα με την παράγραφο 1 μπορεί να αναβληθεί, να περιοριστεί ή να παραλειφθεί υπό τους όρους που ορίζονται στο άρθρο 54 παράγραφος 2, εκτός εάν τα συμφέροντα του υποκειμένου των δεδομένων υπερτερούν του σημαντικού κινδύνου της παραβίασης κατά την έννοια της παραγράφου 1.