Adatvédelmi incidens a biztonság olyan sérülése, amely személyes adatok jogosulatlan megismeréséhez, elvesztéséhez vagy megsemmisüléséhez vezet (GDPR 4. cikk 12. pont).
Az adatkezelőnek az incidenst indokolatlan késedelem nélkül, lehetőleg 72 órán belül be kell jelentenie a felügyeleti hatóságnak (NAIH), kivéve, ha az valószínűsíthetően nem jár kockázattal (GDPR 33. cikk).
Ha az incidens valószínűsíthetően magas kockázattal jár az érintettekre, őket is tájékoztatni kell (GDPR 34. cikk). Minden incidenst dokumentálni kell, függetlenül a bejelentési kötelezettségtől.