vir: Europa.eu
Tako bodo morala podjetja odslej v roku 24 ur po odkritju kršitve o tem obvestiti nacionalne organe. Če v tem času popolno razkritje ne bo tehnično izvedljivo, bo zadostovalo tudi razkritje začetnih podatkov, preostale pa bodo morali posredovati v naslednjih 72 urah. Hkrati bodo morala navesti, katere informacije so bile prizadete in kakšni so ukrepi za preprečitev ponovitve. Obveznost obveščanja naročnikov (s preizkusom za ugotavljanje, ali bo kršitev ogrozila osebne podatke ali zasebnost) je odvisna od tega, ali so bili ogroženi občutljivi podatki, to so finančni, lokacijski, dnevniški in prometni podatki. Prijave bodo potekale prek standardiziranega obrazca.
Komisija želi tudi doseči čim širšo rabo šifriranja. Zato podjetjem ne bo treba razkrivati vdorov oziroma kraje šifriranih podatkov, ki so za napadalce neuporabni. Podjetja morajo vdore razkrivati že sedaj, še zlasti če so ogroženi osebni podatki. Da pa bilo izvajanje teh dolžnosti usklajeno in primerljivo po Evropi, je sedaj Komisija predlagala še "tehnične izvedbene ukrepe" (praktična pravila k obstoječi zakonodaji, o okoliščinah, oblikah in postopkih glede zahtev po obveščanju).