RODO zdefiniował pojęcie „naruszenia ochrony danych osobowych" jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Postać naruszenia może mieć charakter zewnętrzny i wewnętrzny oraz dotyczyć danych w formie papierowej czy elektronicznej. Brak adekwatnej i niezwłocznej reakcji administratora może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych (kradzież, sfałszowanie tożsamości, strata finansowa, naruszenie poufności, szkody gospodarcze). Administrator powinien upewnić się, czy w związku z przetwarzaniem danych wdrożył techniczne i organizacyjne środki ochrony, a następnie dokonać oceny, czy naruszenie miało miejsce. Pozytywna weryfikacja skutkować powinna niezwłocznym powiadomieniem przez administratora organu nadzorczego. To nowum w stosunku do regulacji obowiązującej. O tym, czy zgłoszenia dokonano bez zbędnej zwłoki podlegać będzie ocenie z uwzględnieniem kryterium charakteru i wagi ochrony danych oraz niekorzystnych skutków dla osoby, której naruszenie dotyczy. Administrator powinien poinformować organ nie później niż w ciagu 72 godzin od stwierdzenia naruszenia chyba, że będzie w stanie wykazać małe prawdopodobieństwo ryzyka naruszenia praw lub wolności osób fizycznych. W przypadku przekroczenia terminu zgłoszenia na administratorze ciążyć będzie obowiązek udzielenia wyjaśnień, co do jego przyczyn. RODO nie pozostawia dowolności, co do formy zgłoszenia naruszenia, określając jego minimalne wymogi. I tak, administrator musi: opisać charakter naruszenia ochrony danych, wskazać kategorie i przybliżoną liczbę osób, których dane dotyczą, kategorie i przybliżoną liczbę wpisów danych, których dotyczy naruszenie; podać dane oraz kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; opisać konsekwencje naruszenia; wskazać zastosowane lub proponowane przez administratora środki w celu zaradzenia naruszeniu ochrony danych. Obowiązek informowania o naruszeniach spoczywa też na podmiocie przetwarzającym, któremu na mocy umowy lub innego aktu powierzono przetwarzanie danych. To administrator ponosi odpowiedzialność za właściwą ochronę danych.