„72. Agentūros veiksmus ar neveikimą įgyvendinant duomenų subjekto teises duomenų subjektas turi teisę skųsti pats arba duomenų subjekto atstovas, taip pat jo įgaliota ne pelno įstaiga, organizacija ar asociacija, atitinkanti Bendrojo duomenų apsaugos reglamento 80 straipsnio reikalavimus, Valstybinei duomenų apsaugos inspekcijai, L. Sapiegos g., 10312 Vilnius, el. paštas ada@ada.lt, interneto svetainė https://vdai.lrs.lt/, taip pat Regionų administracinio teismo Vilniaus rūmams Žygimantų g. 2, 01102, Vilnius.“

„73.   Dėl duomenų subjekto teisių pažeidimo patyrus materialinę ar nematerialinę žalą, duomenų subjektas turi teisę į kompensaciją, dėl kurios priteisimo turi teisę kreiptis į Regionų administracinio teismo Vilniaus rūmus Žygimantų g. 2, 01102, Vilnius.“

„76¹. Kai Agentūros darbuotojas (-ai) gauna informaciją, kad padarė asmens duomenų saugumo pažeidimą, nedelsiant apie tai informuoja duomenų apsaugos pareigūną. Duomenų apsaugos pareigūnas atlieka pirminį tyrimą ir praėjus ne daugiau kaip 72 valandoms nuo tada, kai sužino apie asmens duomenų saugumo pažeidimą, apie tai praneša Valstybinei duomenų apsaugos inspekcijai, nebent asmens duomenų saugumo pažeidimas nekelia pavojaus duomenų subjekto teisėms ir laisvėms. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų fizinių asmenų teisėms ir laisvėms, duomenų apsaugos pareigūnas nepagrįstai nedelsdamas praneša dėl asmens duomenų saugumo pažeidimo duomenų subjektui. Pranešime duomenų subjektui aiškia ir paprasta kalba aprašomas asmens duomenų saugumo pažeidimo pobūdis ir pateikiama bent Bendrojo duomenų apsaugos reglamento 33 straipsnio 3 dalies b, c ir d punktuose nurodyta informacija ir priemonės, t. y. duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardą bei pavardę (pavadinimas) ir kontaktinius duomenis; aprašyti tikėtinas asmens duomenų saugumo pažeidimo pasekmes, aprašyti priemones, kurių ėmėsi arba pasiūlė imtis duomenų valdytojas, kad būtų pašalintas asmens duomenų saugumo pažeidimo, įskaitant, kai tinkama, priemones galimoms neigiamoms jo pasekmėms sumažinti.“

„76². Agentūros darbuotojas (-ai) konsultuojasi su duomenų apsaugos pareigūnu, kitais Agentūros administracijos padaliniais kokias priemones taikyti asmens duomenų pažeidimui pašalinti. Pašalinęs (-ę) asmens duomenų saugumo pažeidimą, apie tai informuoja duomenų apsaugos pareigūną. Agentūros darbuotojas (-ai), kai dėl asmens duomenų saugumo pažeidimo negali kilti didelis pavojus duomenų fizinių asmenų teisėms ir laisvėms  parengia rašytinį pranešimą i kuriuo informuojamas duomenų subjektas apie įvykusį  asmens duomenų saugumo pažeidimą, apie galimas jo pasekmes, ar priemones, kurių ėmėsi, kad būtų sumažinto asmens duomenų saugos pažeidimo pasekmės, duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos apie įvykusį asmens duomenų saugos pažeidimą, vardas, pavardė (pavadinimas) kaip to reikalaujama Bendrojo duomenų apsaugos reglamento 33 straipsnio 3 dalies b, c ir d punktuose. Šis rašytinis pranešimas derinamas su duomenų apsaugos pareigūnu per  Dokumentų valdymo bendrąją informacinę sistemą (DBSIS).“

„76³. Atliekant pavojaus duomenų subjektų teisėms ir laisvėms vertinimą, pavojus turi būti vertinamas ne tik dėl to ne tiems asmenims raštų, laiškų išsiuntimo, bet ir  pačio rašto, laiško turinio bei jame pateiktos informacijos atskleidimo atitinkamo asmens atžvilgiu. Turi būti vertinama informacija iš esmės, t. y. tiek dėl rašte nurodytų asmens duomenų atskleidimo, tiek ir dėl laiško turinyje pateikiamos informacijos.“