Zákon o zpracování osobních údajů - § 41

(1) Spravující orgán ohlásí bez zbytečného odkladu porušení zabezpečení osobních údajů Úřadu, ledaže je riziko neoprávněného zásahu do práv a svobod subjektu údajů nízké.

(2) Pokud spravující orgán provede ohlášení po více než 72 hodinách od okamžiku, kdy se o něm dozvěděl, připojí k němu odůvodnění tohoto prodlení.

(3) V ohlášení podle odstavce 1 spravující orgán uvede, pokud jsou mu tyto údaje známy, alespoň

a) popis povahy porušení zabezpečení osobních údajů,

b) kategorie a přibližný počet subjektů údajů a záznamů osobních údajů, kterých se porušení zabezpečení týká,

c) jméno a kontaktní údaje pověřence nebo jiného pracoviště, které poskytne bližší informace k porušení zabezpečení osobních údajů,

d) popis pravděpodobných důsledků porušení zabezpečení osobních údajů a

e) popis opatření přijatých nebo navržených spravujícím orgánem k nápravě nebo zmírnění újmy způsobené porušením zabezpečení osobních údajů.

(4) Skutečnosti podle odstavce 3, které mu nebyly v době ohlášení známy, spravující orgán doplní bez zbytečného odkladu poté, co se o nich dozví.

(5) Skutečnosti podle odstavce 3 sdělí spravující orgán též osobě nebo orgánu jiného členského státu Evropské unie, který osobní údaje poskytl nebo obdržel.

(6) Spravující orgán vede o každém porušení zabezpečení osobních údajů, jeho důsledcích a přijatých nápravných opatřeních dokumentaci, kterou uchovává nejméně 3 roky.