Podľa GDPR je prevádzkovateľ povinný nahlásiť únik osobných údajov najneskôr do 72 hodín od zistenia porušenia. Ak je to možné, únik by mal byť oznámený ešte skôr, bez zbytočného odkladu. Je dôležité, aby prevádzkovatelia mali stanovené interné postupy na monitorovanie a identifikáciu bezpečnostných incidentov, aby mohli včas reagovať. Ak únik predstavuje vysoké riziko pre práva a slobody dotknutých osôb, je potrebné ich tiež informovať, aby mohli prijať potrebné opatrenia na ochranu svojich osobných údajov.
