Në rast të cenimit të sigurisë së të dhënave personale, kontrolluesi duhet menjëherë, por jo më vonë se 72 orë pasi ka kuptuar për cenimin ta njoftojë Agjencinë për Mbrojtjen e të Dhënave Personale në incident@privacy.mk ose https://eprijavi.privacy.mk/.

Nëse nuk ka mundësi për njoftimin e Agjencisë për Mbrojtjen e të Dhënave Personale në afat prej 72 orësh, kontrolluesi mund ta dorëzojë njoftimin gradualisht, pa prolongim të panevojshëm më tej. Ky obligim nuk zbatohet në rastet ku nuk ka probabilitet se  cenimi i sigurisë së të dhënave personale do të rezultojë me rrezik të madh për të drejtat dhe liritë e personave fizikë.

Shembull:

Një komunë shpall thirrje për përkrahjen e shoqatave që u sigurojnë ndihmë personave të vjetër dhe personave të pafuqishëm. Në thirrje janë paraqitur më shumë shoqata, ndërsa disa prej tyre kanë arritur të marrin përkrahje financiare nga komunat për aktivitetet e tyre

Kur komuna i ka njoftuar shoqatat që kanë marrë përkrahje (përmes e-meilit), ajo rastësisht i ka vënë kontaktet e të gjitha shoqatave në pjesën për karbon kopje (cc:) në vend se në pjesën për kopje të padukshme (bcc:) me çka do të ishte penguar zbulimi i të dhënave personale të personave të paautorizuar.

Edhe pse kjo paraqet shkelje, nuk ekziston rrezik i madh për personat fizikë (disa e-meil adresa kanë përmbajtur emrin e personit për kontakt nga shoqata relevante, por përmbajtja e mesazhit nuk ka qenë konfidenciale / ndjeshme), prandaj ky incident nuk duhet të paraqitet në Agjencinë për Mbrojtjen e të Dhënave Personale.

Komuna e ka dokumentuar këtë prishje të sigurisë së të dhënave personale, duke përfshirë edhe faktet dhe efektet e ngjarjes, si dhe veprimet korrigjuese që i ka ndërmarrë.