GDPR zavádí pojem porušení zabezpečení osobních údajů, se kterým je spjato několik nových povinností správců osobních údajů.
Podle čl. 4 bodu 12 GDPR se „porušením zabezpečení osobních údajů“ rozumí každé porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů. Jedná se tedy např. i o případy krádeže nosiče informací (notebooku, PC), ale i o jeho ztrátu (flash disku) nebo neúmyslné vymazání osobních údajů.
V některých případech vzniká (pokud daný incident představuje jakékoli riziko pro dotčené osoby) povinnost ohlásit porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů (dále jen „Úřad“), a to bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se správce o daném incidentu dozvěděl.