W przypadku naruszenia ochrony danych osobowych, czyli naruszenia bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je Kościelnemu Inspektorowi Ochrony Danych. Jednakże obowiązek zgłoszenia nie powstaje, jeśli jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Tym samym do administratora należy ocena tego, czy zaistniałą sytuację objął obowiązek zgłoszenia. Do zgłoszenia przekazanego po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
Natomiast podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi. Oznacza to, że podmiot przetwarzający zgłasza administratorowi każde naruszenie. To do administratora należy ocena, czy dane naruszenie podlega obowiązkowi zgłoszenia Kościelnemu Inspektorowi Ochrony Danych.
Zgłoszenie naruszenia ochrony danych osobowych Kościelnemu Inspektorowi Ochrony Danych powinno być dokonane na formularzu i przesłane w formie pisemnej lub elektronicznej na adres e-mail KIOD lub poprzez formularz elektroniczny zamieszczony na stronie internetowej KIOD.
Dekret KEP stanowi, że administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania. Może odbywać się to poprzez prowadzenie Rejestru Naruszeń Ochrony Danych. Te spośród naruszeń, które nie zostały zgłoszone KIOD powinny zawierać dodatkowo dane jednoznacznie wskazujące, że zachodziło małe prawdopodobieństwo, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
