Raportowanie do organu nadzorczego

Artykuł 33 ust. 1 wyraźnie podkreśla, że administrator bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu.

Określenie „administrator (...) zgłasza” oznacza, że chodzi o kierownictwo; w przypadku spółki akcyjnej lub spółki z ograniczoną odpowiedzialnością będzie to zarząd. Jeśli ma to być ktoś inny, musi posiadać odpowiednie pełnomocnictwo. Może okazać się, że będzie to inspektor ochrony danych osobowych. To znacznie ułatwia sprawę działom IT, które ustalają z inspektorem, w jaki sposób współpracować, jak mu zgłaszać incydenty, jakie informacje przekazywać itp.