ארגונים וחברות חוץ-אירופאים הכפופים ל-GDPR ונפגעים באירוע אבטחת מידע, נדרשים לדווח על כך לרשות להגנת מידע בכל אחת ממדינות האיחוד האירופי שבה נמצאים נושאי מידע העלולים להפגע מהאירוע. כך קובעת הגרסה העדכנית של ההנחייה על חובות הדיווח על אירועי אבטחת מידע לפי ה-GDPR שמועצת הרשויות הלאומיות להגנת מידע באיחוד האירופי (EDPB) פרסמה לפני ימים אחדים.
בגרסתה הקודמת של ההנחיה, שהיתה בתוקף מאז החל ה-GDPR ועד לפני ימים אחדים, נקבע כי ארגון חוץ-אירופי הכפוף ל-GDPR יסתפק בדיווח לרשות להגנת מידע במדינת האיחוד האירופי שבה מינה נציג לצורכי GDPR. הטעם לשינוי המדיניות, לפי נימוקי ההנחיה, הוא שמינוי נציג לצורכי ה-GDPR לא מהווה עילה להפעלת מנגנון ה-One Stop Shop של ה-GDPR. זה מנגנון המיועד רק לארגונים המאוגדים באיחוד האירופי ומאפשר להם לרכז את הפיקוח הרגולטורי עליהם ברשות לאומית אחת להגנת מידע.
law.co.il מזכיר כי בהתחשב ב-27 מדינות האיחוד האירופי, 16 מדינות הפדרציה בגרמניה, ועזיבת בריטניה את האיחוד האירופי, חברות ישראליות או אמריקאיות הכפופות ל-GDPR ופועלות כבעלות שליטה במידע (Controller) עלולות להדרש לדווח על אירוע אבטחת מידע ל-43 רשויות הגנת מידע ברחבי אירופה תוך 72 שעות לאחר שנודע להן על האירוע! רשויות הגנת המידע באירופה לא מעמידות לרשות ארגונים מנגנון דיווח מאוחד ומרכזי.