Zgodnie z art. 33 ust. 3 RODO zgłoszenie naruszenia do organu nadzorczego powinno zawierać m.in. opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym – w stosownych przypadkach – środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Z wytycznych Grupy Roboczej art. 29 dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP 250 rev. 01)wynika, że brak dostępu do szczegółowych informacji o incydencie nie powinien stanowić przeszkody dla dokonania terminowego zgłoszenia.

Jeśli zatem w ciągu 72 godzin nie uda się administratorowi danych ustalić wszystkich wymaganych w zgłoszeniu kwestii, powinien on dokonać zgłoszenia, a ewentualne brakujące informacje przekazywać stopniowo, jak tylko uda mu się je uzyskać, bez dalszej zbędnej zwłoki.