Adatvédelmi incidensről van szó, ha a személyes adatok biztonsága sérül, és ennek folytán a személyes adatokhoz az arra jogosult nem fér hozzá vagy épp ellenkezőleg, azokhoz az arra nem jogosult személy fér hozzá. Ez előállhat szándékos cselekmény/mulasztás vagy akár véletlen folytán. Ide tartozik valamely személyes adat véletlen vagy jogellenes módosítása is.

Példák adatvédelmi incidensre: 

• az adatkezelőt zsarolóvírus támadás éri, ami az összes adatát titkosítja;
• az érintett egy másik kolléga többletfeladat teljesítéséről szóló megállapodását kapja meg;
• az adatok véletlen törlése;
• áramkimaradás miatt elérhetetlenné válnak személyes adatok;
• az adatkezelő internetes szolgáltatása elleni kibertámadás miatt egyének személyes adatai szivárognak ki.

Az adatvédelmi incidenst az adatkezelő haladéktalanul köteles bejelenteni az adatvédelmi tisztviselőnek, hogy az segíthessen az incidens következményeinek enyhítésében, illetve szükség esetén megtehesse a hatóság (NAIH) felé a bejelentést. Ha a bejelentés nem történik meg az adatkezelő tudomásszerzésétől számított 72 órán belül, a hatóság kéri mellékelni hozzá a késedelem igazolására szolgáló indokokat is.

Adatvédelmi incidens bejelentésére szolgáló formanyomtatvány