Czy o naruszeniu ochrony danych osobowych należy poinformować pracowników, których to zdarzenie dotyczyło?

Firma posiada wdrożony system CRM. Okazało się, że niestety system ten śledzi nie tylko pocztę mailową związaną z realizacją usług firmy, ale również pocztę mailową pracowniczą, zawierającą: paski wynagrodzeń pracowników (w postaci załącznika .pdf, który można pobrać, ale otworzyć tylko za pomocą hasła, którym jest nr pesel pracownika), wnioski o zasiłki opiekuńcze (również można otworzyć .pdf bo nie jest zahasłowany), wnioski o indywidualny rozkład pracy (znajdują się w nim np.: orzeczenia o kształceniu specjalnym dziecka pracownika), podania urlopowe (wysyłane mailowo), wszelkiej uzgodnienia o premiach/wypłatach/warunkach zatrudnienia itp.

Fakt tego typu naruszenia wyszedł przez przypadek. Nikt nie był świadomy, że tego typu maile są śledzone przez system CRM i dostęp do nich ma 60% załogi. Oprócz spraw pracowniczych, śledzą się również zapisy umów z klientem, z którym firma podpisała umowę o zachowaniu poufności i nie wszyscy pracownicy powinni mieć dostęp do jej treści.

Czy tego typu naruszenie musi zostać zgłoszone pracownikom firmy?