Стаття 33
чиннаКонтролер та процесор
1. У разі виникнення порушення захисту персональних даних, контролер повідомляє про це компетентний наглядовий орган відповідно до статті 55 без необґрунтованої затримки та, якщо це можливо, не пізніше ніж через 72 години після того, як йому стало відомо про таке порушення, за винятком випадків, коли малоймовірно, що порушення захисту персональних даних створює ризик для прав і свобод фізичних осіб. Якщо повідомлення наглядовому органу не здійснюється протягом 72 годин, воно має супроводжуватися обґрунтуванням причин затримки.
2. Обробник інформує контролера без необґрунтованої затримки, як тільки йому стало відомо про порушення, пов’язане з персональними даними.
3. У повідомленні, зазначеному в частині 1, принаймні описується або повідомляється таке:
а) характер порушення стосовно персональних даних, за можливості із зазначенням категорій суб’єктів даних та відповідних реєстрів персональних даних, а також приблизної кількості суб’єктів даних та відповідних реєстрів персональних даних;
b) найменування та контактні дані особи, відповідальної за захист даних, або іншого контактного пункту, де можна отримати додаткову інформацію;
c) імовірні наслідки порушення стосовно персональних даних;
d) заходи, які запропонував або вжив контролер для усунення порушення захисту персональних даних, включаючи, у відповідних випадках, заходи щодо обмеження будь-яких негативних наслідків такого порушення.
4. Якщо і оскільки надання всієї інформації одночасно є неможливим, інформація може надаватися поетапно без необґрунтованої затримки.
5. Контролер документує всі порушення захисту персональних даних, включаючи факти, що стосуються порушення захисту персональних даних, його наслідки та вжиті коригувальні заходи. Така документація дає змогу наглядовому органу перевірити дотримання вимог цієї статті.
1. Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt de verwerkingsverantwoordelijke deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de overeenkomstig artikel 55 bevoegde toezichthoudende autoriteit, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien de melding aan de toezichthoudende autoriteit niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging.
2. De verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens.
3. In de in lid 1 bedoelde melding wordt ten minste het volgende omschreven of meegedeeld:
a) de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
b) de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
c) de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
d) de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
4. Indien en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, kan de informatie zonder onredelijke vertraging in stappen worden verstrekt.
5. De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Die documentatie stelt de toezichthoudende autoriteit in staat de naleving van dit artikel te controleren.