Стаття 33. Нотифікація наглядового органу про порушення захисту персональних даних

У випадку порушення захисту персональних даних, контролер повинен без необґрунтованої затримки та, за можливості, не пізніше, ніж протягом 72 години після того, як йому стало відомо про це, повідомити про порушення захисту персональних даних наглядовий орган, який є компетентним згідно зі статтею 55, якщо таке порушення навряд чи призведе до виникнення ризику для прав і свобод фізичних осіб. Якщо нотифікацію наглядового органу не здійснюють протягом 72 годин, необхідно надати супровідну інформацію про причини затримки.
Оператор повинен повідомити контролера без необґрунтованої затримки після того, як йому стало відомо про порушення захисту персональних даних.
Нотифікація, вказана в параграфі 1, повинна принаймні:
1. описувати специфіку порушення захисту персональних даних, у тому числі, за можливості, категорії та приблизну кількість зацікавлених суб'єктів даних і категорії та приблизну кількість записів персональних даних, яких це стосується;
2. повідомляти особу та контактні дані співробітника з питань захисту даних або іншого координаційного органу, де можна отримати більше інформації;
3. описувати ймовірні наслідки порушення захисту персональних даних;
4. описувати заходи, яких було вжито чи яких запропоновано вжити контролером для реагування на порушення захисту персональних даних, у тому числі, в разі необхідності, заходи для зниження його потенційних негативних наслідків.
Якщо і оскільки є неможливим надати інформацію одночасно, інформацію можна надавати поетапно без подальшої необґрунтованої затримки.
Контролер повинен зафіксувати будь-які порушення захисту персональних даних, збираючи факти, що стосуються порушення захисту персональних даних, його наслідків та вжитих заходів щодо виправлення ситуації. Документація надає можливість наглядовому органу перевірити відповідність цій статті.