Den dataansvarlige bør underrette den registrerede om et brud på persondatasikkerheden uden unødig
forsinkelse, når dette brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for den fysiske
persons rettigheder og frihedsrettigheder, med henblik på at give vedkommende mulighed for at træffe de
fornødne forholdsregler. Underretningen bør beskrive karakteren af bruddet på persondatasikkerheden og
indeholde anbefalinger til den berørte fysiske person med henblik på at begrænse de mulige skadevirkninger.
Sådanne underretninger til registrerede bør gives, så snart det med rimelighed er muligt og i tæt samarbejde med tilsynsmyndigheden, i overensstemmelse med retningslinjer, der er udstukket af denne eller af andre relevante myndigheder, såsom de retshåndhævende myndigheder. Eksempelvis kræver behovet for at begrænse en umiddelbar risiko for skade omgående underretning af registrerede, mens behovet for at gennemføre passende foranstaltninger mod fortsatte eller lignende brud på persondatasikkerheden kan begrunde en længere frist for underretning.