Obowiązkiem administratorów danych jest zgłaszanie w ciągu 72 godzin od wykrycia do organu nadzoru oraz do osób, których incydent dotyczy informacji o naruszeniu, które mogą skutkować zagrożeniem dla praw i wolności osób. Administrator powinien prowadzić wewnętrzny rejestr naruszeń, w którym ma obowiązek dokumentować:
• okoliczności naruszenia,
• jego skutki,
• podjęte działania zaradcze.
Przepisy przewidują poważne sankcje za niesprostanie ww. wymogom:
• kara administracyjna do 10 mln EUR,
• albo do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w zależności od tego, która kwota jest wyższa.
Powyższy wpis nie jest poradą prawną tylko informacją wynikającą z przepisów prawa.