Nawet w najlepiej zabezpieczonym i zarządzanym systemie może dojść do zdarzenia skutkującego naruszeniem bezpieczeństwa danych osobowych, czyli incydentu bezpieczeństwa. Obecnie administrator danych nie musi informować o tym GIODO ani osób, których danych incydent dotyczył. Zmieni się to po wejściu w życie ogólnego rozporządzenia.