Art. 30. 1. Raportująca instytucja finansowa wykonuje obowiązki określone w art. 24 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922) w terminie pozwalającym na zrealizowanie przez osobę raportowaną jej uprawnień, określonych w rozdziale 4 tej ustawy, przed przekazaniem informacji, o których mowa w art. 33 ust. 1 oraz art. 36 ust. 1.
2. Raportująca instytucja finansowa zawiadamia niezwłocznie osobę raportowaną o prawdopodobieństwie naruszenia bezpieczeństwa jej danych osobowych gromadzonych i przetwarzanych na potrzeby automatycznej wymiany informacji o rachunkach raportowanych.