A GDPR szerint az adatvédelmi incidens az adatbiztonság olyan sérelme, amely a kezelt személyes adatok megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott be kell jelentenie a NAIH-nak, kivéve ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személy jogaira és szabadságaira nézve. Az adatkezelő az adatvédelmi incidensről – a NAIH-nak történő jelentéssel egyidejűleg – főszabály szerint tájékoztatja az érintettet.
