第33条 向监管机构报告对个人数据的泄露

  1.在个人数据泄露的情形中,如果可行,控制者在知悉后应当及时——至迟在72小时内——将个人数据泄露告知第55条所规定的有权监管机构,除非个人数据泄露对于自然人的权利与自由不太可能会带来风险。对于不能在72小时以内告知监管机构的情形,应当提供延迟告知的原因。

  2.处理者在获知个人数据泄露后,应当及时告知控制者。

  3.第1段所规定的告知应当至少包括:

  (a)描述个人数据泄露的性质,在可能的情形下,描述包括相关数据主体的类型和大致数量,以及涉及到个人数据的类型与大致数量;

  (b)告知数据保护官的姓名与详细联系方式,或者可以获取更多信息的其他联系方式;

  (c)描述个人数据泄露的可能后果;

  (d)描述控制者应对个人数据泄露已经采用或计划采用的措施,包括——如果合适的话——减少负面影响的措施。

  4.在不可能同时提供信息的情形下,可以分阶段地及时提供信息。

  5.控制者应当记录所有对个人数据的泄露,包括泄露个人数据相关的事实、影响与已经采取的救济行动。参照该记录,监管机构得以核实控制者是否遵守本条例的有关规定。