Správci osobních údajů musí dozorovým úřadům hlásit bezpečnostní incidenty, které představují riziko pro práva a svobody fyzických osob. U nás jsou to stovky případů ročně, ale v jiných zemích EU jsou to tisíce. V nedávném případu se v Nizozemsku třetí osoba snažila díky zákonu o svobodném přístupu k informacím získat detaily o GDPR incidentu své přímé konkurence. Dozorový úřad žádost odmítl a uvedl, že většina požadovaných informací je důvěrná a zveřejnění by poškodilo pověst společnosti. Tento krok by mohl také odradit další organizace od spolupráce na řešení podobných incidentů.
V České republice se žádosti také řídí zákonem o svobodném přístupu k informacím. ÚOOÚ je sice povinným subjektem, zároveň ale musí respektovat několik výluk:
- neposkytuje informace, které mají povahu obchodního tajemství (interní IT architektura, nastavení bezpečnostních opatření, podmínky spolupráce s dodavateli a další)
- neposkytuje informace získané od třetích osob při výkonu kontroly nebo dozoru (podklady a interní informace z oznámení bezpečnostních incidentů či následných šetření)
ÚOOÚ může zveřejnit své vlastní kontrolní závěry, ale jen v anonymizované a zestručněné podobě, aby nezasáhl do obchodního tajemství a nezveřejnil informace kryté mlčenlivostí. Pro správce to znamená, že údaje poskytnuté ÚOOÚ kvůli incidentu nebo v rámci kontroly nejsou automaticky veřejné, velká část je zákonem chráněna. Zároveň ale ochrana interních informací není důvodem k tomu, aby správce odmítal součinnost. Pokud nezbytné informace neposkytne, riskuje vysoké pokuty.