Чл. 67. (Нов - ДВ, бр. 17 от 2019 г.) (1) В случай на нарушение на сигурността на личните данни, което има вероятност да доведе до риск за правата и свободите на субектите на данни, администраторът без излишно забавяне, но не по-късно от 72 часа след като е разбрал за нарушението, уведомява комисията, съответно инспектората, за него. Когато уведомлението е подадено след срока по изречение първо, в него се посочват причините за забавянето.

(2) Обработващият лични данни уведомява администратора без излишно забавяне, но не по-късно от 72 часа след като е установил нарушение на сигурността на лични данни.

(3) Уведомлението по ал. 1 съдържа най-малко:

1. описание на нарушението на сигурността на личните данни, включително когато е възможно, категориите и приблизителния брой на засегнатите субекти на данни и категориите и приблизителния брой на засегнатите записи на лични данни;

2. името и координатите за връзка на длъжностното лице по защита на данните или на друго звено за контакт, от което може да се получи повече информация;

3. описание на евентуалните последици от нарушението на сигурността на личните данни;

4. описание на предприетите или предложените от администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.

(4) Когато не е възможно информацията да се подаде едновременно, тя може да се подаде поетапно без по-нататъшно ненужно забавяне.

(5) Администраторът документира всяко нарушение на сигурността на личните данни по ал. 1, като включва фактите, свързани с нарушението, последиците от него и предприетите действия за справяне с него.

(6) Когато нарушението на сигурността на личните данни засяга лични данни, които са изпратени от или на администратор от друга държава - членка на Европейския съюз, информацията по ал. 3 се съобщава на този администратор без излишно забавяне, но не по-късно от 7 дни от установяването на нарушението.