Статья 33 Уведомление надзорного органа о нарушении

О чём эта статья

Статья 33 — уведомление надзорного органа о нарушении (data breach notification).

33(1) — 72 часа

В случае нарушения безопасности персональных данных контролёр должен без неоправданной задержки, и где возможно — не позднее 72 часов после того, как ему стало известно о нарушении, уведомить компетентный надзорный орган.

Исключение: если нарушение маловероятно создаст риск для прав и свобод субъектов.

Если уведомление сделано позже 72 часов, оно должно сопровождаться объяснением причин задержки.

33(2) — Уведомление обработчиком

Обработчик уведомляет контролёра без неоправданной задержки, как только узнаёт о нарушении.

33(3) — Содержание уведомления

Уведомление должно как минимум:

(a) описывать характер нарушения, включая категории и приблизительное количество затронутых субъектов и записей;

(b) содержать имя и контакты DPO или другого контактного лица;

(c) описывать вероятные последствия нарушения;

(d) описывать меры, принятые или предложенные для устранения нарушения, включая, при необходимости, меры по смягчению возможных неблагоприятных последствий.

33(4) — Поэтапное уведомление

Если невозможно предоставить всю информацию одновременно, её можно предоставить поэтапно без неоправданной задержки.

33(5) — Документирование

Контролёр должен документировать все нарушения безопасности данных, включая факты, последствия и принятые меры. Эта документация должна позволять надзорному органу проверить соблюдение Art. 33.

Почему это важно

72-часовое окно — это жёсткий срок, и за его пропуск штрафуют. Контролёры часто пытаются «изучить ситуацию» две недели, а потом сообщают — это уже нарушение само по себе.

Документация нарушений (33(5)) — отдельная обязанность. DPA при проверке может запросить журнал инцидентов, и его отсутствие — нарушение.