(1) Dalam hal terjadi kegagalan Pelindungan Data Pribadi, Pengendali Data Pribadi wajib menyampaikan pemberitahuan secara tertulis paling lambat 3 x 24 (tiga kali dua puluh empat) jam kepada: a. Subjek Data Pribadi; dan b. lembaga.
(2) Pemberitahuan tertulis sebagaimana dimaksud pada ayat (1) minimal memuat:
a. Data Pribadi yang terungkap;
b. kapan dan bagaimana Data Pribadi terungkap; dan
c. upaya penanganan dan pemulihan atas terungkapnya Data Pribadi oleh Pengendali Data Pribadi.
(3) Dalam hal tertentu, Pengendali Data Pribadi wajib memberitahukan kepada masyarakat mengenai kegagalan Pelindungan Data Pribadi.
Perbandingan dengan General Data Protection Regulation (GDPR) akan dibahas disini.