(1) El encargado informará sin demora al cliente si él o una persona empleada por él ha violado las normas de protección de datos personales, las especificaciones del presente acuerdo o una instrucción emitida por la persona responsable, si hay indicios de que un tercero, por cualquier razón, puede haber tenido conocimiento de datos del encargo de manera ilícita, o si se ha producido una amenaza a la integridad o la confidencialidad de los datos contractuales de cualquier otra manera ("incidente de seguridad de los datos").
(2) La información sobre el incidente de seguridad de los datos contendrá detalles sobre el momento y la naturaleza del incidente (incluida la información sobre qué datos se ven afectados y en qué forma), el sistema informático de que se trate, las personas afectadas, el momento del descubrimiento, cualquier consecuencia adversa concebible del incidente de seguridad de los datos, así como las medidas adoptadas por el encargado y toda otra información especificada en el párrafo 3 del artículo 33 de la RGPD. Además, el encargado debe declarar específicamente si una violación de la protección de los datos personales puede suponer un riesgo para los derechos y libertades de las personas físicas en el sentido del artículo 33, párrafo 1, frase 1, de la RGPD y si es probable que el riesgo sea elevado en el sentido del artículo 34, párrafo 1, de la RGPD.
(3) Debe proporcionarse inmediatamente una información inicial del cliente, una información detallada, que debe contener toda la información según el párrafo 2), si es posible, en un plazo de 24 horas después de que el incidente de seguridad de los datos haya llegado a conocimiento del cliente.
(4) Después de tener conocimiento de un incidente de seguridad de los datos, el encargado tomará inmediatamente todas las medidas razonables para reducir al mínimo y eliminar las amenazas resultantes para la integridad o el carácter confidencial de los datos, para asegurar los datos y para prevenir o limitar en la medida de lo posible cualquier consecuencia adversa para los afectados.
(5) En caso de que se produzca un incidente de seguridad de los datos, el encargado estará obligado a asistir al cliente en sus esfuerzos por aclarar y remediar la situación, incluidas todas las medidas para cumplir las obligaciones legales, previa solicitud, dentro de los límites de lo razonable.
(6) El encargado estará obligado a realizar un análisis de las causas inmediatamente después de tener conocimiento de un incidente de seguridad de los datos, a documentar esas causas y a entregar la documentación al cliente cuando éste lo solicite. Si el encargado determina en el curso del análisis que las medidas técnicas y de organización adoptadas hasta la fecha para proteger los datos del pedido no son suficientes para establecer un nivel de protección adecuado, aplicará, a su propio costo, las medidas técnicas y de organización adicionales que sean necesarias.