Przepisy RODO, czyli ogólnego rozporządzenia o ochronie danych, nakładają na administratora szereg obowiązków związanych ze stwierdzeniem naruszenia ochrony danych. Obok zawiadomienia organu nadzorczego administrator powinien w pewnych wypadkach powiadomić o naruszeniu osobę, której dane dotyczą. Przepis art. 34 ust. 1 RODO przewiduje, że zawiadomienie podmiotu danych jest obligatoryjne, „jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych". Jednocześnie europejski ustawodawca przewidział szereg sytuacji, gdy zawiadomienia tego nie trzeba dokonywać. Dotyczy to, gdy: