W naszym życiu mogą pojawić się sytuacje, gdzie będzie trzeba egzekwować nasze prawa, a do tego niezbędna jest wiedza o tym, kto odpowiedzialny jest za nasze dane oraz co uznawane za naruszenie RODO.
Zgodnie z przepisami RODO organizacja musi zgłosić naruszenie ochrony danych organowi ochrony danych, zwanemu również organem nadzorczym, jeśli wystąpi incydent "prowadzący do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych", który prowadzi do potencjalnego zagrożenia praw i wolności osób. Europejski Inspektor Ochrony Danych (EIOD) zwraca uwagę, że choć nie każdy incydent związany z bezpieczeństwem informacji jest naruszeniem danych osobowych, to każde naruszenie danych osobowych jest incydentem związanym z bezpieczeństwem informacji.
Jeśli naruszenie może spowodować "utratę kontroli nad swoimi danymi osobowymi lub ograniczenie praw, dyskryminację, kradzież tożsamości lub oszustwo, straty finansowe, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, utratę poufności danych osobowych chronionych tajemnicą zawodową lub jakąkolwiek inną znaczącą ekonomiczną lub społeczną szkodę dla danej osoby fizycznej", jak wymieniono w motywie 85 RODO, firma ma obowiązek zgłosić incydent.
Zdarzenia wymienione przez EIOD, które mogą być brane pod uwagę, to m.in:
Za niepowiadomienie organu ochrony danych o naruszeniu przepisów grozi grzywna w wysokości 10 milionów euro (11,3 miliona dolarów) lub 2 procent światowego obrotu firmy.