W opinii UODO – czas powiadomienia jest sprawą najwyższej wagi. Poinformowanie osób, których dane dotyczą tak szybko jak to tylko jest możliwe, nie jest tylko istotne ale także buduje zaufanie do działań administratora. Im poważniejsze naruszenie, tym większa odpowiedzialność administratora co do powiadomienia bez zbędnej zwłoki – zarówno organu nadzoru jak i osób fizycznych. Termin „bez zbędnej zwłoki" będzie zatem interpretowany w różny sposób, w zależności od wielkości naruszenia i ryzyka, jakie stanowi ono dla jednostek. Należy również zauważyć, że 72-godzinny termin rozpoczyna się dopiero wtedy, gdy administrator ma wystarczający stopień pewności, że doszło do zdarzenia naruszającego ochronę, które doprowadziło do naruszenia ochrony danych.
Formularz i treść powiadomienia podlegają zasadniczo uznaniu administratora, jednakże wiadomo również, że powinny one zawierać przynajmniej informacje wymagane w art. 33 ust. 3 RODO. Urząd Ochrony Danych Osobowych udostępnił przykładowy szablon takiego raportu o naruszeniu, który można przesłać zarówno drogą elektroniczną oraz pocztą. Szablon umożliwia wprowadzenie wszystkich wymaganych informacji, ponadto wskazane są w nim przykłady danych osobowych, a także możliwe konsekwencje dla osób, których dane dotyczą. W rzeczywistości UODO zauważa, że administratorzy używający tego właśnie szablonu wykazują tendencję do składania lepszych zawiadomień, pozbawionych typowych błędów. UODO pozwala również administratorom przesyłać częściowe informacje, jeśli w ciągu 72 godzin nie jesteśmy w stanie podać pełnych informacji. Jednakże, w każdej takiej sytuacji administrator powinien być w stanie uzasadnić powody takiego opóźnienia.
Powiadomienia osób, których dane dotyczą
Zgodnie z RODO, w przypadku gdy naruszenie danych osobowych może prowadzić do wysokiego ryzyka dla praw i wolności osób fizycznych, administrator danych powinien, bez zbędnej zwłoki, poinformować o naruszeniu osobę, której dane dotyczą. Ocena ryzyka przeprowadzona przez administratora, powinna dać odpowiedź na pytanie, czy istnieje potrzeba poinformowania osób, których dane dotyczą. Zazwyczaj konieczność informowania tych osób, pojawia się zawsze, gdy istnieje ryzyko wykorzystania danych osobowych do różnego rodzaju oszustw, kradzieży tożsamości, strat finansowych lub dyskryminacji. W przypadku naruszenia tych szczególnych kategorii danych osobowych administratorzy powinni zawsze stwierdzić, że może to spowodować wysokie ryzyko dla ochrony danych osób fizycznych.
Podobnie jak w przypadku zawiadomienia organu nadzorczego, im szybciej osoby, których dane dotyczą zostaną poinformowane o naruszeniu, tym więcej czasu będą miały na podjęcie pewnych środków ostrożności (np. zmiana haseł na konto bankowe), co powinno również zmniejszyć ryzyko szkody. Samo powiadomienie powinno zawierać informacje wymagane w art. 34 ust. 2 RODO. Ponadto nie powinno to być rozwlekłe, a jasne i zrozumiałe, przede wszystkim zrozumiałe dla przeciętnego przedstawiciela osób, których dane dotyczą. UODO sugeruje również, że szablon zawiadomienia o naruszeniu danych osobowych, zawiera instrukcje, w których wskazane są kroki, które należy podjąć w celu zmniejszenia ryzyka.
Sposób informowania osób, których dane dotyczą, leży po stronie administratora. UODO wskazuje, że poinformowanie osób, powinno do nich dotrzeć tak szybko, jak to możliwe. Dlatego w większości przypadków preferowana powinna być forma elektroniczna, zamiast tradycyjnej. Powiadomienia nie należy również maskować jako zwykłej wysyłki (np. newsletter) i powinny mieć odrębny temat i treść związaną z naruszeniem danych. Zwykle wydawanie oświadczenia publicznego lub opublikowanie powiadomienia na blogu firmowym nie będzie uznawane za ważne, chyba że zastosowanie mają wyjątki wymienione w art. 34 ust.4 RODO.