Henkilötietojen tietoturvaloukkauksella tarkoitetaan tietoturvaloukkausta, jonka seurauksena on käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.
Rekisterinpitäjällä on velvollisuus dokumentoida ja arvioida kaikki henkilötietojen tietoturvaloukkaukset. Mikäli henkilötietojen tietoturvaloukkaus voi aiheuttaa riskin rekisteröidyille, ilmoitetaan tietoturvaloukkauksesta myös tietosuojavaltuutetun toimistolle. Jos henkilötietojen tietoturvaloukkauksesta aiheutuu rekisteröidylle korkea riski, tulee siitä lähtökohtaisesti ilmoittaa myös rekisteröidylle. Tietyissä tilanteissa henkilötietojen tietoturvaloukkauksista ilmoitetaan myös muille tahoille.