Ved brud på persondatasikkerheden skal den dataansvarlige uden unødig forsinkelse og om muligt, senest 72 timer efter at den dataansvarlige er blevet bekendt med bruddet, anmelde bruddet til tilsynsmyndigheden, medmindre det er usandsynligt, at bruddet indebærer en risiko for fysiske personers rettigheder. En overskridelse af fristen på 72 timer skal begrundes.
Stk. 2 Databehandleren underretter uden unødig forsinkelse den dataansvarlige om et brud på persondatasikkerheden.
Stk. 3 Anmeldelsen efter stk. 1 skal
-
1) beskrive karakteren af bruddet på persondatasikkerheden, herunder i videst muligt omfang kategorierne af og det berørte antal registrerede og kategorierne af og det berørte antal registreringer af personoplysninger,
-
2) angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes,
-
3) beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden og
-
4) beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.
Stk. 4 Er det ikke muligt at forelægge oplysningerne, der er nævnt i stk. 3, samlet for tilsynsmyndigheden, skal oplysningerne meddeles trinvis uden unødig forsinkelse.
Stk. 5 Den dataansvarlige skal dokumentere alle brud på persondatasikkerheden, som er omfattet af stk. 1, herunder de faktiske omstændigheder vedrørende bruddet, bruddets virkninger og de trufne afhjælpende foranstaltninger.
Stk. 6 Omhandler bruddet på persondatasikkerheden oplysninger, der er transmitteret af eller til en dataansvarlig i en anden medlemsstat, skal oplysninger, der er nævnt i stk. 3, uden unødig forsinkelse meddeles til den dataansvarlige i denne medlemsstat.