Art. 33, täpsustab GDPR, et vastutav töötleja peab isikuandmete rikkumisest teatama järelevalveasutusele pärast sellest teada saamist .
1. juhtum: majutatakse isikuandmetega andmebaasi väljavõtet teatud aja jooksul Internetis juurdepääsetavas serveris. Faili saab ilma autentimiseta alla laadida kõigilt, kes teavad URL-i.
Kontrolleril pole tõendeid selle kohta, et keegi oleks faili alla laadinud, kuna faili majutav veebiserver ei pea logisid ega ka kõiki logisid kogu selle aja jooksul, mil see fail oli allalaadimiseks saadaval olevad serveris hoitakse, kuna neid pööratakse automaatselt.
Kas vastutav töötleja peab sel juhul järelevalveasutust teavitama? Isegi kui rikkumise kohta pole tõendeid?
2. juhtum: öeldakse, et Internetist saadaval olev veebirakendus annab mõnele kasutajale juurdepääsu tundlikele isikuandmetele. See on selle veebirakenduse peamine kasutamisjuhtum. Veebisait kasutab edastatavate andmete krüptimiseks https-i. Mõne veebiserveri konfiguratsioonivea korral keelatakse https ja kogu liiklus sellele veebisaidile on teatud aja vältel selge.
Kas kontroller peab sel teisel juhul järelevalveasutust teavitama? Isegi kui rikkumise kohta pole tõendeid, sest keskel rünnakus meest ei tuvastatud?