Z analiz przeprowadzonych przez Urząd Ochrony Danych Osobowych wynika, że zdarza się, że administratorzy danych osobowych, czyli np. gminy i ich organy oraz inne jednostki administracji publicznej, wysyłając do obywateli zawiadomienia o naruszeniu zasad ochrony ich danych osobowych, opisują te przypadki zbyt ogólnikowo, według standardowych szablonów, nieadekwatnych do danego przypadku i kategorii danych. Wskazywane osobom zalecenia nie odpowiadają charakterowi naruszenia, a tym samym nie są im przydatne. Zdarza się też, że zawiadomienia te zawierają sprzeczne informacje. Przykładowo, w pierwszej części zawiadomienia administrator informuje, że stwierdził naruszenie powodujące wysokie ryzyko naruszenia praw danej osoby, w dalszej części zaś wskazuje, że zdarzenie to nie może powodować żadnych negatywnych konsekwencji dla tej osoby. Takie zawiadomienia nie spełniają swojej funkcji i są niezgodne z prawem.
UODO zamieścił na swojej stronie internetowej wyjaśnienia, w których opisuje m.in., co w zawiadomieniu o naruszeniu danych osobowych powinno się znaleźć. Taka informacja musi zawierać: opis charakteru naruszenia (np. przedstawienie okoliczności wystąpienia naruszenia wraz z opisem kategorii danych), imię i nazwisko oraz dane kontaktowe inspektora ochrony danych (jeżeli został on wyznaczony) lub innego punktu kontaktowego, od którego można uzyskać więcej informacji.
Należy również opisać możliwe konsekwencje naruszenia ochrony danych osobowych (np. możliwość zaciągnięcia zobowiązań finansowych w instytucjach pozabankowych), a także poinformować o środkach, których zastosowanie przez administratora zaradzi naruszeniu ochrony danych osobowych lub zminimalizuje jego ewentualne negatywne skutki.
