(1) La mandataire doit informer immédiatement le client si lui-même ou une personne qu'il emploie a enfreint la réglementation relative à la protection des données personnelles, les stipulations du présent contrat ou une instruction émise par la personne responsable, s'il y a des indications qu'un tiers - quelle que soit la raison - pourrait avoir illégalement acquis connaissance des données de commande, ou si l'intégrité ou la confidentialité des données de commande a été mise en danger d'une quelconque manière (« incident de sécurité des données »).
(2) Les informations sur l'incident de sécurité des données comprennent des informations sur l'heure et le type de l'incident (y compris des informations sur les données de commande affectées et sous quelle forme), le système informatique concerné, les personnes concernées, l'heure de la découverte, les conséquences de l'incident de sécurité des données ainsi que les mesures prises par le mandataire et toutes les autres informations spécifiées à l'article 33, paragraphe 3 du RGPD. En outre, le mandataire doit fournir les informations nécessaires si une violation de la protection des données personnelles est susceptible d'entraîner un risque pour les droits et libertés des personnes physiques au sens de l'article 33, paragraphe 1, phrase 1 du RGPD et si le risque est susceptible d'être élevé au sens de l'article 34, paragraphe 1 du RGPD.
(3) Une première information du client doit être donnée immédiatement, une information dédiée, qui doit contenir toutes les informations conformément au paragraphe (2) ci-dessus, dans la mesure du possible dans les 24 heures après avoir pris connaissance de l'incident de sécurité des données.
(4) Après avoir pris connaissance d'un incident de sécurité des données, le mandataire doit immédiatement prendre toutes les mesures raisonnables pour minimiser et éliminer les menaces à l'intégrité ou à la confidentialité des données de commande, pour sécuriser les données de commande et pour éviter autant que possible d'éventuelles conséquences négatives pour les personnes concernées.
(5) En cas d'incident de sécurité des données, le mandataire est tenu de soutenir le client dans ses actions explicatives et correctives, y compris toutes les actions pour remplir les obligations légales, à la première demande, dans le cadre de ce qui est raisonnable.
(6) Le mandataire est tenu d'effectuer une analyse des causes immédiatement après avoir pris connaissance d'un incident de sécurité des données, de le documenter et de remettre la documentation au client sur demande. Si le mandataire détermine au cours de l'analyse que les mesures techniques et organisationnelles qui ont été prises pour protéger les données de la commande ne sont pas suffisantes pour garantir un niveau de protection approprié, il mettra en œuvre les mesures techniques et organisationnelles supplémentaires nécessaires à ses propres frais.