Чл. 68. (Нов - ДВ, бр. 17 от 2019 г.) (1) Когато има вероятност нарушението на сигурността на личните данни по чл. 67, ал. 1 да доведе до висок риск за правата и свободите на субектите на данни, администраторът на лични данни уведомява и субекта на данните за нарушението не по-късно от 7 дни от установяването му.

(2) В уведомлението по ал. 1 на ясен и разбираем език се посочва описание на нарушението и най-малко информацията и мерките по чл. 67, ал. 3, т. 2, 3 и 4.

(3) Субектът на данните не се уведомява за нарушение по ал. 1, ако е изпълнено някое от следните условия:

1. администраторът е предприел подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението, по-специално мерки, които правят личните данни неразбираеми за всяко лице, което няма право на достъп до тях, като например криптиране;

2. администраторът е взел впоследствие мерки, които гарантират, че вече няма вероятност да се реализира високият риск за правата и свободите на субектите на данни;

3. уведомяването би довело до непропорционални усилия; в този случай се прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да са в еднаква степен ефективно информирани.

(4) Когато администраторът не е уведомил субекта на данните за нарушението на сигурността на личните данни по ал. 1, комисията, съответно инспекторатът, след като отчете каква е вероятността нарушението да породи висок риск, може да изиска от администратора да уведоми субекта на данните.

(5) В случаите по чл. 54, ал. 3 администраторът може да не уведоми субекта на данните за нарушението по ал. 1, да го уведоми след срока по ал. 1, както и да ограничи информацията по ал. 2.