Art. 30. 1. Raportująca instytucja finansowa wykonuje obowiązki, o których mowa w art. 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), w terminie pozwalającym na zrealizowanie przez osobę raportowaną jej uprawnień, określonych w art. 15-20 tego rozporządzenia, przed przekazaniem informacji, o których mowa w art. 33 ust. 1 oraz art. 36 ust. 1.
2. Raportująca instytucja finansowa zawiadamia niezwłocznie osobę raportowaną o prawdopodobieństwie naruszenia bezpieczeństwa jej danych osobowych gromadzonych i przetwarzanych na potrzeby automatycznej wymiany informacji o rachunkach raportowanych.