1. В случае нарушении защиты персональных данных, контроллер без необоснованной задержки и, по возможности, в течение 72 часов с момента, как ему стало известно о нарушении, уведомляет о нарушении защиты персональных данных компетентное надзорное учреждение, в соответствии со статьей 55, кроме случаев, когда маловероятно, что нарушение защиты персональных данных может создать риск для прав и свобод физических лиц. Если уведомление надзорного органа не произошло в течение 72 часов, то к уведомлению прикладывают причины задержки.
2. Процессор, как только ему стало известно о нарушении защиты персональных данных, без необоснованной задержки уведомляет об этом контроллера.
3. В уведомлении, указанном в пункте 1, как минимум:
- <описывают характер нарушения защиты персональных данных, в том числе, по возможности, указывают категории и приблизительное количество соответствующих субъектов данных, и категории, и приблизительное количество соответствующих записей персональных данных;
- сообщают имя и фамилию, и контактную информацию специалиста по защите данных или указывают другой контактный пункт, где можно получить дополнительную информацию;
- описывают возможные последствия нарушения защиты персональных данных;
- описывают меры, которые контроллер принял или планирует осуществить для предотвращения нарушения защиты персональных данных, в том числе, в соответствующем случае, – меры по снижению его возможного неблагоприятного воздействия.
4. Если и постольку информацию невозможно предоставить одновременно, то она может быть предоставлена поэтапно, без дальнейшего необоснованного промедления.
5. Контроллер документирует все нарушения защиты персональных данных с указанием фактов, связанных с нарушением персональных данных, его последствия и совершённые корректирующие действия. Указанная документация позволяет надзорному учреждению проверить соблюдение настоящей статьи.