個人データ保護法では、組織は所有する、あるいは管理するデータが不正に入手、利用、公開されないよう、セキュリティー対策を講じなければならないと規定しており、違反の場合、100万Sドル(約8,005万円)の罰金を科せられる。
侵害行為の代表例はURLの操作、パスワード管理のまずさ、印刷間違いによる誤配送など。
PDPCは、対策を十分講じている組織でもデータ侵害のリスクを100%なくすことはできないと思われると指摘。責任の所在をはっきりさせており、侵害に対処する措置の準備もあるとの条件付きで、組織は通常捜査の免除をPDPCに要請できる。
PDPCは、通常の捜査を行うのと同等、あるいはそれ以上の執行上の成果を得られると判断すれば、要請に応じることができる。
PDPCはまた、組織は侵害をどのように処理すべきかの改定指針も発表した。データ侵害の疑いがある場合、それに気付いた時点から30日以内に内部調査を終えなければならない。