Med en personuppgiftsincident anses en säkerhetsincident, som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till personuppgifter.
Den personuppgiftsansvarige är skyldig att dokumentera och bedöma alla personuppgiftsincidenterna. Ifall personuppgiftsincidenten kan orsaka en risk till den registrerade, skickas även dataombudsmannens byrå en anmälan om personuppgiftsincidenten. Ifall personuppgiftsincidenten orsakar den registrerade en hög risk, är utgångspunkten den, att även den registrerade skickas en anmälan om personuppgiftsincidenten. I vissa fall skickas en anmälan om personuppgiftsincidenten även till andra sektorer.