Oprócz zawiadamiania organu nadzorczego o naruszeniu ochrony danych osobowych i informowaniu o nich osób, których dane dotyczą, administrator powinien także dokumentować naruszenia ochrony danych osobowych. Czy w takim rejestrze trzeba będzie uwzględnić także te naruszenia, które nie zostały zgłoszone do organu nadzorczego?