I artikel 33 anges att den personuppgiftsansvarige ska underrätta tillsynsmyndigheten om en personuppgiftsincident inträffar. Det anges också att personuppgiftsbiträde måste meddela den personuppgiftsansvarige i händelse av en personuppgiftsincident.

Alla personuppgiftsansvariga måste rapportera personuppgiftsincidenter till tillsynsmyndigheten i medlemsstaten. Det måste göras utan onödigt dröjsmål och senast inom 72 timmar sedan den personuppgiftsansvarige fick kännedom om incidenten.

Om det är en hög risk att incidenten innebär negativa effekter för de registrerades rättigheter och friheter, måste den personuppgiftsansvarige informera de potentiellt berörda registrerade och tillsynsmyndigheten i medlemsstaten.

När tillsynsmyndigheten informeras ska incidenten förklaras på ett klart och begripligt språk, och informationen bör åtminstone bestå av följande:

• Namn och kontaktuppgifter till den personuppgiftsansvarige, dataskyddsombud eller annan kontaktpunkt där mer information kan erhållas om den personuppgiftsansvarig inte har något dataskyddsombud.
• En beskrivning av de sannolika konsekvenserna av incidenten. och
• En beskrivning av de åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att begränsa skadan av incidenten.

Informationen är avgörande för att tillsynsmyndigheten ska kunna hjälpa den personuppgiftsansvarige att begränsa skador till följd av incidenter.