Asmens duomenų sauguos pažeidimo atveju, įmonė privalo apie tai pranešti priežiūros intitucijai per 72 valandas nuo pažeidimo nustatymo.
Pranešimas turi nurodyti, kokie duomenys buvo pavogti ar prarasti ir kokios saugos priemonės buvo taikomos (pvz., pseudonimo suteikimas), taip pat, tikėtinos asmens duomenų saugumo pažeidimo pasekmės. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, įmonė turi nedelsdama pranešti apie asmens duomenų saugumo pažeidimą duomenų subjektui.