I art. 33, specificerar GDPR att en registeransvarig måste anmäla ett brott mot personuppgifter till tillsynsmyndigheten efter att ha fått kännedom om det .
Fall 1: En databasdump med personuppgifter är värd under en tidsperiod på en server som är tillgänglig från internet. Filen kan laddas ner utan autentisering från någon som känner till webbadressen.
Styrenheten har inga bevis för att någon laddar ner filen eftersom webbservern som är värd för filen håller inga loggar eller inte alla loggar under hela den tid den filen var tillgängliga för nedladdning behålls på servern eftersom de roteras automatiskt.
I detta fall, måste den registeransvarige meddela tillsynsmyndigheten? Även om det inte finns några bevis för ett brott?
Fall 2: säg att en webbapplikation tillgänglig från internet ger vissa användare tillgång till känsliga personuppgifter. Detta är det primära användningsfallet för denna webbapp. Webbplatsen använder https för att kryptera data under transport. För vissa konfigurationsfel på webbservern blir https avaktiverad och all trafik till den här webbplatsen är tydlig under en tidsperiod.
I det andra fallet, måste den registeransvarige meddela tillsynsmyndigheten? Även om det inte finns några bevis för ett brott eftersom ingen man i mittattacken upptäcktes?