GDPR zavádí pojem porušení zabezpečení osobních údajů, se kterým je spjato několik nových povinností správců osobních údajů.
Podle čl. 4 bodu 12 GDPR se „porušením zabezpečení osobních údajů“ rozumí každé porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů. Jedná se tedy např. i o případy krádeže nosiče informací (notebooku, PC), ale i o jeho ztrátu (flash disku) nebo neúmyslné vymazání osobních údajů.
V obzvláště závažných případech, pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob (např. pokud by došlo k odcizení přihlašovacích údajů do on-line bankovnictví), oznámí správce toto porušení bez zbytečného odkladu subjektu údajů (článek 34 GDPR).