- В случае нарушения персональных данных контролер должен без неоправданной задержки и, если это возможно, не позднее 72 часов после того, как ему стало об этом известно, уведомить о нарушении персональных данных надзорный орган, компетентный в соответствии со Статьей 55, за исключением случаев, когда нарушение персональных данных вряд ли приведет к риску для прав и свобод физических лиц. Если уведомление в надзорный орган не было сделано в течение 72 часов, оно должно сопровождаться объяснением причин задержки.
- Обработчик должен уведомить контролера без неоправданной задержки после того, как ему стало известно о нарушении персональных данных.
- Уведомление, упомянутое в параграфе 1, должно, по крайней мере:
- (a) опишите характер нарушения персональных данных, включая, по возможности, категории и приблизительное число субъектов данных, которых это касается, а также категории и приблизительное число записей персональных данных, которых это касается;
- (b) сообщить имя и контактные данные ответственного за защиту данных или другой контактный пункт, где можно получить дополнительную информацию;
- (c) опишите вероятные последствия нарушения персональных данных;
- (d) опишите меры, принятые или предлагаемые к принятию контролером для устранения нарушения персональных данных, включая, где это уместно, меры по смягчению его возможных негативных последствий.
- В тех случаях, когда и насколько невозможно предоставить информацию одновременно, информация может быть предоставлена поэтапно без неоправданной задержки.
- Контроллер должен документировать любые нарушения персональных данных, включая факты, связанные с нарушением персональных данных, его последствия и предпринятые меры по исправлению ситуации. Эта документация должна позволить контролирующему органу проверить соблюдение данной статьи.
Статья 33