Podle čl. 33 obecného nařízení, známějšího pod zkratkou GDPR, musí správce dokumentovat veškeré případy porušení zabezpečení osobních údajů. Za tzv. incident lze považovat téměř cokoliv, co se nějak vymyká běžnému stavu při práci s osobními údaji, který vychází z nastavených a zakotvených pravidel ochrany osobních údajů v organizaci. Mezi významné incidenty s vysokou pravděpodobností hlášení jeho průběhu na Úřad pro ochranu osobních údajů pak patří události v oblasti IT. Incident ovšem nemusí být jednorázová událost, ale může k němu docházet opakovaně, pravidelně, například nesprávným postupem v konkrétní agendě. Ať už je incident méně nebo více závažný, vždy je nutné dodržet tři základní kroky – identifikovat, že jde o incident v oblasti ochrany osobních údajů, oslovit pověřence a zaznamenat průběh události.