Zgodnie z RODO administrator musi powiadomić zainteresowanych o tym, że doszło do naruszenia ochrony ich danych osobowych. Chodzi o to, by dać im możliwość zabezpieczenia się przed negatywnymi skutkami wycieku danych, np. wzięciem kredytu na ich nazwisko. Przepisy nakazują przekazywanie tych informacji wtedy, gdy występuje „wysokie ryzyko naruszenia praw lub wolności osób fizycznych”.
Santander, który odkrył, że były pracownik wciąż miał dostęp do profilu płatnika na Platformie Usług Elektronicznych ZUS i mógł przeglądać dane osób zatrudnionych w banku, uznał, że nie stwarzało to wysokiego ryzyka dla zainteresowanych. Dlatego nie powiadomił ich o ewentualnym zagrożeniu. Informację o nim przekazał natomiast prezesowi Urzędu Ochrony Danych Osobowych. Ten zaś, po przeprowadzeniu postępowania, doszedł do wniosku, że ryzyko naruszenia praw i wolności osób fizycznych było wysokie i nałożył karę 545 tys. zł.