W każdej sytuacji, gdy doszło do ujawnienia lub utraty danych.
Naruszenie może być spowodowane przez działania nieumyślne (błędna wysyłka korespondencji, zagubienie dokumentów czy laptopa itp.), ale także przez świadome działania jak włamania do systemów teleinformatycznych czy coraz częstsze przypadku„wyniesienia” danych osobowych przez pracowników czy współpracowników.
Każda taka sytuacja oznacza nałożenie na firmę jako administratora danych osobowych szeregu obowiązków wynikających wprost z art. 33-34 RODO.