Jakie obowiązki ciążą na podmiocie przetwarzającym w związku ze zidentyfikowanym u siebie naruszeniem ochrony danych poza niezwłocznym poinformowaniem ADO?

Jakie obowiązki ciążą na podmiocie przetwarzającym w związku ze zidentyfikowanym u siebie naruszeniem ochrony danych poza niezwłocznym poinformowaniem ADO? Czy taka informacja obligatoryjnie musi zawierać informacje z art. 33 ust. 3 RODO?

Jednocześnie, czy PP jest zobowiązany do zastosowania się do zaleceń wskazanych przez ADO w związku z naruszeniem, jeżeli takie zobowiązanie nie wynika z umowy powierzenia a system informatyczny obsługiwany na rzecz ADO przez PP został odebrany przez ADO bez zastrzeżeń? Czy w takiej sytuacji ADO może wnosić żądanie jego modyfikacji i zastosowania dodatkowych zabezpieczeń bez wynagrodzenia?