W przypadku podejrzenia naruszenia zasad bezpieczeństwa danych osobowych lub naruszenia zabezpieczeń stosowanych przez Administratora, osoba która jako pierwsza stwierdziła naruszenie lub możliwość naruszenia powinna niezwłocznie zawiadomić o zdarzeniu Inspektora ochrony danych, Administratora oraz w przypadku naruszenia związanego z systemem informatycznym, Administratora systemu informatycznego.
Zanim jednak zostaną podjęte pierwsze decyzje, należy zrobić wszystko, aby usunąć skutki naruszenia. Zareagować powinna już osoba, która wykryje naruszenie. W momencie stwierdzenia naruszenia ochrony danych należy zwrócić uwagę na:
- miejsce naruszenia,
- datę wykrycia oraz datę wystąpienia naruszenia,
- działania podjęte tuż po wykryciu naruszenia,
- liczbę osób, które zostały dotknięte naruszeniem,
- zakres danych osobowych,
- kategorie i ilość dokumentów/plików.
Każdy incydent powinien być zarejestrowany w Rejestrze naruszenia ochrony danych, opisany w Dokumentacji naruszenia ochrony danych oraz przeanalizowane pod kątem:
- konsekwencji jakie może ponieś osoba poszkodowana,
- obowiązku zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych.