Pri úniku osobných údajov je potrebné dodržiavať prísne postupy na ochranu dotknutých osôb a informovať príslušné orgány. Uvedieme príklad spoločnosti EquiFax, ktorá spracúva úverovú históriu a zaznamenala únik údajov 143 miliónov Američanov. Aj keď spoločnosť o úniku vedela, nenahlásila ho ani neinformovala poškodené osoby, čo ich vystavilo riziku individuálnych útokov.
Podľa GDPR je však potrebné únik okamžite nahlásiť príslušnému orgánu do 72 hodín a informovať dotknuté osoby, pokiaľ to môže ohroziť ich práva a slobodu. Ochrana musí byť komplexná, napríklad ak sú údaje kryptované, neexistuje riziko pre poškodené osoby.