Bu nedenle, yangından etkilenen altyapılarda kişisel veri barındıran veri sorumluları dahili olarak tuttukları bir envanterde ihlali (olaylar, etkileri ve bu etkileri ortadan kaldırmak için alınan tedbirler) belgelemelidirler.

Altyükleniciler, her biri tarafından dahili olarak tutulan ihlal kaydındaki belgeler dahil olmak üzere, kendi yükümlülüklerini yerine getirebilmek adına, müşterilerini meydana gelen olaya ilişkin olarak bilgilendirmelidirler.

Bildirim yapılmasının gerekli olmadığı durumlar

CNIL’e bildirim yapılması ve bireylerle iletişim kurulması, bireyler için sonuçların sınırlı kalması halinde gerekli değildir. Bu nedenle, şu hallerde CNILê bildirim yapılması gerekli değildir:

• Bir iş kurtarma planı veya iş sürekliliği planı uygulanmasının hizmetin devamlılığını sağladığı ya da sağlamadığı; veya
  
• Şayet, insanlar için önemli sonuçları olmaksızın veri yedeklerden kurtarılmışsa (örn. Sonuçlar birkaç saatliğine sipariş verememe ile sınırlıdır).

Bildirimin yapılmasının gerektiği haller

Öte yandan, şu hallerde CNIL’e bildirim yapılması gerekmektedir:

• Kişisel veri kalıcı olarak kaybolmuşsa, veya
  
• Kişisel veriler, kişiler için risk yaratacak kadar uzun bir süre erişilemez olduysa
  

Ek olarak, şayet ihlal bireyler için yüksek risk doğuracak gibiyse, veri sorumlusu tarafından bireyler ayrıca doğrudan da bilgilendirilmelidir.

Risk seviyesi, özellikle ilgili verinin türü ve (örneğin bir hastanın sağlık verisinin kalıcı olarak kaybedilmesi yüksek risk doğurabilir) ihlalin potansiyel sonuçları dikkate alınarak değerlendirilir.