- Αν η Εθνική Αρχή Κυβερνοασφάλειας διαπιστώσει, στο πλαίσιο της εποπτείας ή της επιβολής κυρώσεων, ότι η παράβαση από βασική ή σημαντική οντότητα των υποχρεώσεων που ορίζονται στα άρθρα 15 και 16 μπορεί να συνεπάγεται παραβίαση δεδομένων προσωπικού χαρακτήρα, όπως ορίζεται στην περ. 12) του άρθρου 4 του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων, L 119) και τον ν. 4624/2019 (Α’ 137), η οποία πρέπει να κοινοποιείται σύμφωνα με το άρθρο 33 του εν λόγω Κανονισμού, ενημερώνει χωρίς αδικαιολόγητη καθυστέρηση την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
- Όταν οι εποπτικές αρχές που αναφέρονται στα άρθρα 55 ή 56 του Κανονισμού (ΕΕ) 2016/679 επιβάλλουν διοικητικό πρόστιμο σύμφωνα με την περ. θ) της παρ. 2 του άρθρου 58 του εν λόγω Κανονισμού, η Εθνική Αρχή Κυβερνοασφάλειας δεν επιβάλλει διοικητικό πρόστιμο σύμφωνα με το άρθρο 26 για παράβαση που αναφέρεται στην παρ. 1 του παρόντος και η οποία απορρέει από την ίδια συμπεριφορά που αποτέλεσε αντικείμενο του διοικητικού προστίμου σύμφωνα με την περ. θ) της παρ. 2 του άρθρου 58 του Κανονισμού (ΕΕ) 2016/679. Η Εθνική Αρχή Κυβερνοασφάλειας δύναται στην περίπτωση αυτή να εφαρμόσει τα μέτρα επιβολής που αναφέρονται στις περ. α) έως η) της παρ. 4 και στην παρ. 5 του άρθρου 24 και στις περ. α) έως ζ) της παρ. 4 του άρθρου 25 του παρόντος.
- Αν η εποπτική αρχή που είναι αρμόδια σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679 είναι εγκατεστημένη σε άλλο κράτος μέλος της Ευρωπαϊκής Ένωσης, η Εθνική Αρχή Κυβερνοασφάλειας ενημερώνει την εποπτική αρχή που είναι εγκατεστημένη στην Ελλάδα για την ενδεχόμενη παραβίαση των δεδομένων που αναφέρονται στην παρ. 1.