Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στον Επίτροπο

33.-(1) Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί στον Επίτροπο την παραβίαση δεδομένων προσωπικού χαρακτήρα αμελλητί και, εφόσον είναι δυνατόν, εντός εβδομήντα δύο (72) ωρών από τη στιγμή που έλαβε γνώση της παραβίασης, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν είναι πιθανόν να επιφέρει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.

(2) Σε περίπτωση που η αναφερόμενη στο εδάφιο (1) γνωστοποίηση πραγματοποιείται μετά την παρέλευση εβδομήντα δύο (72) ωρών συνοδεύεται από τους λόγους της καθυστέρησης.

(3) Ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα.

(4) Η αναφερόμενη στο εδάφιο (1) γνωστοποίηση κατ' ελάχιστον-

(α) Περιγράφει τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων, εφόσον είναι δυνατόν, των κατηγοριών και του κατά προσέγγιση αριθμού των ενδιαφερόμενων υποκειμένων των δεδομένων προσωπικού χαρακτήρα, καθώς και των κατηγοριών και του κατά προσέγγιση αριθμού των σχετικών αρχείων δεδομένων προσωπικού χαρακτήρα,

(β) γνωστοποιεί το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων ή άλλου σημείου επικοινωνίας από το οποίο μπορούν να εξασφαλιστούν περισσότερες πληροφορίες,

(γ) περιγράφει τις ενδεχόμενες συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα,

(δ) περιγράφει τα μέτρα που λαμβάνονται ή προτείνεται να ληφθούν από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της.

(5) Σε περίπτωση και στον βαθμό που δεν είναι δυνατόν να παρασχεθούν οι πληροφορίες ταυτόχρονα, μπορούν να παρέχονται σταδιακά χωρίς αδικαιολόγητη καθυστέρηση.

(6) Ο υπεύθυνος επεξεργασίας τεκμηριώνει κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα εκ των αναφερόμενων στο εδάφιο (1), αναφέροντας τα πραγματικά περιστατικά που αφορούν την παραβίαση, τις συνέπειές της και τα ληφθέντα μέτρα επανόρθωσης, κατά τρόπον ώστε η εν λόγω τεκμηρίωση να επιτρέπει στον Επίτροπο να επαληθεύει τη συμμόρφωση με τις διατάξεις του παρόντος άρθρου.

(7) Σε περίπτωση που η παραβίαση αφορά δεδομένα προσωπικού χαρακτήρα που διαβιβάστηκαν από ή προς τον υπεύθυνο επεξεργασίας άλλου κράτους μέλους, οι αναφερόμενες στο εδάφιο (4) πληροφορίες γνωστοποιούνται στον υπεύθυνο επεξεργασίας του εν λόγω κράτους μέλους χωρίς αδικαιολόγητη καθυστέρηση.